-
Junior Member
- Вес репутации
- 56
wmiprvse.exe/RPCRT4.dll tzres.dll забивает процессор до 100%
Всем привет!
Столкнулся с такой проблемой: wmiprvse.exe/RPCRT4.dll tzres.dll загеужают процессор на 100%, все глючит, температура ядра до 102°.
Система: windows server 2008, фаер/антивирь = oupost sequrity suite 2009. Все что ставится проходит дополнительную цензуру доктором вебером.
Сканил на avz - все тип-топ, только:
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
c:\progra~1\agnitum\outpos~1\wl_hook.dll --> Подозрение на Keylogger или троянскую DLL
c:\progra~1\agnitum\outpos~1\wl_hook.dll>>> Поведенческий анализ
C:\Program Files (x86)\Common Files\MetaProducts\FMCapt.dll.BAK - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files (x86)\ReGet Software\ReGet Deluxe 5.2ReGetDx.bak - PE файл с нестандартным расширением(степень опасности 5%)
-------->при этом и оутпост и ReGet Deluxe сняты с их оффсайтов и никаким патчеваниям не подвергались.
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "c:\progra~1\agnitum\outpos~1\wl_hook.dll"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (@%SystemRoot%\System32\termsrv.dll,-26
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
Функция ntdll.dlldrLoadDll (122) перехвачена, метод APICodeHijack.JmpTo[100AB556] и т.д. для нтдлл и для:
Функция user32.dllefDlgProcA (143) перехвачена, метод ProcAddressHijack.GetProcAddress ->75A774E8->773D3DB0
итд.
Логи могу прислать только позже, т.к. 1 сканирование >часа а мне пока комп нужен и в них многое в процессах шло под ?-м, наверное не понимает сервер 2008.
Вычислил процесс через process monitor 2.0.3 от Руссиновича:
wmiprvse.exe и особенно его tzres.dll.
wmiprvse.exe у меня в C:\Windows\winsxs\wow64_microsoft-windows-wmi-core-providerhost_31bf3856ad364e35_6.0.6001.18000_none_ 76d6046178233cf8\WmiPrvSE.exe
C:\Windows\winsxs\amd64_microsoft-windows-wmi-core-providerhost_31bf3856ad364e35_6.0.6001.18000_none_ 6c815a0f43c27afd\WmiPrvSE.exe
C:\Windows\System32\wbem\WmiPrvSE.exe
C:\Windows\SysWOW64\wbem\WmiPrvSE.exe
Вырубил сервис WMI Performance Adapter стало компу легче дышать.
Помогите плиз, что делать? Его можно вырубить этот процесс WmiPrvSE.exe (или замочить эти файлы WmiPrvSE.exe , tzres.dll), может это быть связано с сетью?
В частности, если сижу под Oперой и смотрю там онлайн видео - труба дело - проц на 100% обязательно, в лисе - чуть полегче - процентов 70.
В фаере много ограничений, слежу периодически за потоком, так всякие опера с фаэрфоксом лезут на www.google-analitics.com без повода, так я им кислород перекрыл туда лазить.
И еще маленький вопросик чтобы новую тему не спамить: оутпост периодически (раз в 1-4 часа) нет отрубает, раньше было очень часто, стояла блокировка всех UDP, пришлось разблочить, позакрывал по приложениям, кроме броузеров и svhosta. Теперь Iнет обрывается (часто когда открываю много окон) когда идет скан портов.
Порывшись в журнале оутпоста, нашел что скан идет со стороны моего интернет-провайдера, может это быть из-за того, что фаер его на 5 минут блокирует? Если да, то что делать, если нет, то в журнале оутпоста ничего другого нет.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
У вас не просто 2008, а ещё и x64? Да, тут надо осторожно, AVZ вообще под серверные системы не затачивалась.
-
-
Junior Member
- Вес репутации
- 56
Да, забыл уточнить - x64, Рад бы на хрюшу перейти, да звука нет, а виста , как бы это помягче, в общем сервер лучше.
AVZ мне нарисовал на красном фоне множество вопросительных знаков и без описания, типа ищите сами чего наставили.
-
Junior Member
- Вес репутации
- 56
Привет еще раз.
Давайте упростим вопрос: можно ли вырубить wmiprvse.exe и tzres.dll в , если нельзя то какие службы или что можно отрубить, чтобы эти сервисы и библиотеки не вызывались?