wmiprvse.exe/RPCRT4.dll tzres.dll забивает процессор до 100%
Всем привет!
Столкнулся с такой проблемой: wmiprvse.exe/RPCRT4.dll tzres.dll загеужают процессор на 100%, все глючит, температура ядра до 102°.
Система: windows server 2008, фаер/антивирь = oupost sequrity suite 2009. Все что ставится проходит дополнительную цензуру доктором вебером.
Сканил на avz - все тип-топ, только:
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
c:\progra~1\agnitum\outpos~1\wl_hook.dll --> Подозрение на Keylogger или троянскую DLL
c:\progra~1\agnitum\outpos~1\wl_hook.dll>>> Поведенческий анализ
C:\Program Files (x86)\Common Files\MetaProducts\FMCapt.dll.BAK - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files (x86)\ReGet Software\ReGet Deluxe 5.2ReGetDx.bak - PE файл с нестандартным расширением(степень опасности 5%)
-------->при этом и оутпост и ReGet Deluxe сняты с их оффсайтов и никаким патчеваниям не подвергались.
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "c:\progra~1\agnitum\outpos~1\wl_hook.dll"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (@%SystemRoot%\System32\termsrv.dll,-268)
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
Функция ntdll.dll:LdrLoadDll (122) перехвачена, метод APICodeHijack.JmpTo[100AB556] и т.д. для нтдлл и для:
Функция user32.dll:DefDlgProcA (143) перехвачена, метод ProcAddressHijack.GetProcAddress ->75A774E8->773D3DB0
итд.
Логи могу прислать только позже, т.к. 1 сканирование >часа а мне пока комп нужен и в них многое в процессах шло под ?-м, наверное не понимает сервер 2008.
Вычислил процесс через process monitor 2.0.3 от Руссиновича:
wmiprvse.exe и особенно его tzres.dll.
wmiprvse.exe у меня в C:\Windows\winsxs\wow64_microsoft-windows-wmi-core-providerhost_31bf3856ad364e35_6.0.6001.18000_none_76d6046178233cf8\WmiPrvSE.exe
C:\Windows\winsxs\amd64_microsoft-windows-wmi-core-providerhost_31bf3856ad364e35_6.0.6001.18000_none_6c815a0f43c27afd\WmiPrvSE.exe
C:\Windows\System32\wbem\WmiPrvSE.exe
C:\Windows\SysWOW64\wbem\WmiPrvSE.exe
Вырубил сервис WMI Performance Adapter стало компу легче дышать.
Помогите плиз, что делать? Его можно вырубить этот процесс WmiPrvSE.exe (или замочить эти файлы WmiPrvSE.exe , tzres.dll), может это быть связано с сетью?
В частности, если сижу под Oперой и смотрю там онлайн видео - труба дело - проц на 100% обязательно, в лисе - чуть полегче - процентов 70.
В фаере много ограничений, слежу периодически за потоком, так всякие опера с фаэрфоксом лезут на [URL="http://www.google-analitics.com"]www.google-analitics.com[/URL] без повода, так я им кислород перекрыл туда лазить.
И еще маленький вопросик чтобы новую тему не спамить: оутпост периодически (раз в 1-4 часа) нет отрубает, раньше было очень часто, стояла блокировка всех UDP, пришлось разблочить, позакрывал по приложениям, кроме броузеров и svhosta. Теперь Iнет обрывается (часто когда открываю много окон) когда идет скан портов.
Порывшись в журнале оутпоста, нашел что скан идет со стороны моего интернет-провайдера, может это быть из-за того, что фаер его на 5 минут блокирует? Если да, то что делать, если нет, то в журнале оутпоста ничего другого нет.
