Процесс lsass.exe загружает процессор и резервирует много памяти

[Heavyguy]

Добрый день!

Заметил странное использование физической оперативной памяти. Из установленных 8 ГБ в режиме без нагрузки система отъедает половину. При этом, если просуммировать объемы физической памяти, занимаемые приложениями, то 4 ГБ никак не получается. Запустил RAMMAP и увидел, что 2 с чем-то ГБ занимаются памятью AWE. При этом у меня нет никаких серверных приложений вроде SQL, которые могли бы эту память использовать. В безопасном режиме эта память не используется.
Далее, с помощью Process Explorer заметил, что lsass.exe резервирует 2.4 ГБ памяти (Private Bytes в ProcessExplorer), в безопасном режиме такого количества памяти не выделяется. Совершенно случайно заметил, что этот процесс загружает процессор, когда смотрел в системном мониторе график загрузки процессора. Дело в том, что при запуске Диспетчера задач или ProcessExplorer нагрузка сразу снижается до нулевой и никаких подозрений насчет lsass вроде не возникает. Но системный монитор все показывает верно, и даже снижение нагрузки от именно этого процесса при запуске диспетчера задач. Поэтому поведение этого файла мне кажется очень подозрительным, загрузка процессора от него около 50% (когда не запускается диспетчер задач). Сканировал компьютер уже несколькими утилитами, поудалял с их помощью много подозрительного, но ситуация не меняется. Похоже на какой-то хитрый руткит, но ничто его не берет.

Просьба изменить название темы на "Процесс lsass.exe загружает процессор и резервирует много памяти"

[Info_bot]

Уважаемый(ая) Heavyguy, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^SOLIDWORKS 2019 Быстрый запуск.lnk [backup] => C:\Windows\Installer\{F261BF5C-81C4-4E81-9ED6-D7EBFA2A9A5B}\NewShortcut2_87EDF6C81D0A4B7B84F42FE0C6A9D608.exe (2019/10/29) (file missing)
O4 - MSConfig\startupreg: ut [command] = C:\Users\Александр\AppData\Roaming\uTorrent\uTorrent.exe /MINIMIZED (HKCU) (2022/02/20) (file missing)

Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

Приложите лог TDSSKiller C:\TDSSKiller.3.1.0.28_20.02.2022_16.53.47_log.txt

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
Перед запуском UVS не запускайте Диспетчер задач или ProcessExplorer.

[Heavyguy]

Запрошенные логи во вложении

[Vvvyg]

AdwCleaner левый скачали, но не в нём дело, скорее всего.

Что-то есть нехорошее, TDSSKiller устарел и не видит, UVS только признаки определил, это не антируткит:

Splicing m3 detected: RegReplaceKeyW
Загружено реестров пользователей: 1
Построение списка процессов и модулей...
(!) Процесс нагружает CPU: C:\WINDOWS\SYSTEM32\LSASS.EXE
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [868], tid=3184
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [868], tid=5192
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [868], tid=5196
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [868], tid=5200
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [868], tid=5204
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [868], tid=5208
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [868], tid=5212
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [868], tid=5236 [suspended]
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [868], tid=5256 [suspended]
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [868], tid=5260 [suspended]

Попробуйте пролечиться с помощью KVRT. Прикрепите упакованными в архив файлы отчёта report_<дата>_*.klr.enc1 из папки C:\KVRT2020_Data.

[Heavyguy]

KVRT ничего подозрительного не обнаружил

[Vvvyg]

Попробуйте Dr. Web CureIt!.

Есть возможность сделать загрузочный диск/флэшку WinPE? Тогда есть ещё вариант проверки.

[Heavyguy]

CureIt! использовал в первую очередь, теперь еще раз самую свежую версию - вообще никаких угроз не обнаружено.
Загрузочный носитель сделать смогу.

[Vvvyg]

Сначала подготовку проведём.

Выполните скрипт в AVZ из папки Autologger:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
  ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Heavyguy]

Events.7z
Логи FRST прикрепил

[Vvvyg]

Системные журналы были очищены 2022-02-19 22:17:46. Не припомните, сами журналы событий чистили?

[Heavyguy]

Если только CCleaner мог почистить, на тот момент я еще не скачивал и не запускал никаких других чистящих утилит. Сам вручную точно не удалял. Скорее всего запускал CCleaner, но там у меня настройки по умолчанию.

[Vvvyg]

Отключите до перезагрузки все экраны Avast.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
Task: {90624DB8-3E1A-4A79-B946-6769A87B7966} - \Microsoft\Windows\Windows Error Reporting\ToolSystemInfo -> Нет файла <==== ВНИМАНИЕ
U0 Partizan; system32\drivers\Partizan.sys [X]
2022-02-20 02:25 - 2022-02-20 02:26 - 271664759 _____ C:\Users\Александр\Downloads\adwcleaner_9.3.zip
Unlock: C:\Windows\system32\Drivers\2682j.sys
File: C:\Windows\system32\Drivers\2682j.sys
Virustotal: C:\Windows\system32\Drivers\2682j.sys
Folder: C:\Program Files (x86)\dgGsFo
2022-02-07 21:40 C:\Windows\system32\Drivers\2682j.sys
Unlock: 2022-02-22 23:55 C:\Windows\system32\config\SYSTEM
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\49541894.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\49541894.sys => ""="Driver"
HKU\S-1-5-21-244928634-1335184161-3805591565-1000\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
FirewallRules: [{48B77714-3D6F-4A55-97B1-E1280FAF3508}] => (Allow) LPort=8027
FirewallRules: [{34450031-C055-4F67-B965-90F93028B76C}] => (Allow) LPort=8990
FirewallRules: [{181AA584-08EB-4BB5-9116-8D74B8D5B89E}] => (Allow) LPort=8991
FirewallRules: [{F509944D-C8E7-4E87-9948-27750F66BBE3}] => (Allow) LPort=8992
FirewallRules: [{E7315B9B-E40E-4694-B105-C4E0CE0EC070}] => (Allow) LPort=8993
FirewallRules: [{AA27F024-E465-4A85-8814-104252F61873}] => (Allow) LPort=8994
FirewallRules: [{E12ABEC5-2C14-4D5F-8541-99DE90A0619D}] => (Allow) LPort=8995
FirewallRules: [{4EEBEEFA-6336-4F4C-9386-24402440BD3B}] => (Allow) LPort=8996
FirewallRules: [{7D1BF32D-F16C-4182-97B8-C1FE9A5C3FE2}] => (Allow) LPort=8997
FirewallRules: [{6B23C86B-9394-462A-BCAF-B492A9BA2435}] => (Allow) LPort=8998
FirewallRules: [{292976F8-D8C1-4293-A517-02941A3FFFCD}] => (Allow) LPort=8999
FirewallRules: [{6865D545-351F-45A5-93BC-10E77677298E}] => (Allow) LPort=8027
FirewallRules: [{FB2AE87A-592D-41D6-88AB-7B2FC4BB49F8}] => (Allow) LPort=8027
FirewallRules: [{6B6F7DFD-20FD-4046-9382-4334C64529FF}] => (Allow) LPort=8027
FirewallRules: [{D7DF25BE-E01B-4517-9142-B24D5BFA7C68}] => (Allow) LPort=8027
FirewallRules: [{C4B62C9E-86FA-464C-AFFA-17ABA79BDFF1}] => (Allow) LPort=8027
FirewallRules: [{4EED70CF-2A9F-41AE-AE8F-BC302384D075}] => (Allow) LPort=8027
FirewallRules: [{88DE31F6-3B4E-44CB-9CF4-48CA98E6B425}] => (Allow) LPort=8027
FirewallRules: [{E5919DF3-8253-4B35-BB3E-6CAC23FA5C04}] => (Allow) LPort=8027
FirewallRules: [{8C4B5EC0-D105-4DB2-8DCF-E9CD627F1B10}] => (Allow) LPort=8027
FirewallRules: [{9F992749-5306-49B5-8525-D44BB0C00A76}] => (Allow) LPort=8027
FirewallRules: [{3739D56A-7CDA-4BB3-9367-AB06EE10EEB9}] => (Allow) LPort=8027
FirewallRules: [{1412AA4D-ED00-4A0A-A06E-6CDA43DDAFAD}] => (Allow) LPort=8027
FirewallRules: [{7105D47F-4B13-4D19-ACCC-184390737F56}] => (Allow) LPort=8027
FirewallRules: [{9BA56CED-89C8-4735-A808-FED1F35EB0C9}] => (Allow) LPort=8027
FirewallRules: [{1BB43B9A-92ED-422F-8577-74301F289C90}] => (Allow) LPort=8027
FirewallRules: [{E60BE41D-14C9-4E0E-8DB7-564880F1F07E}] => (Allow) LPort=8027
FirewallRules: [{DC0FD777-577F-4773-B66F-CBE2B832E956}] => (Allow) LPort=8027
FirewallRules: [{902E448F-24F1-46F3-AA0C-EA495C0E03D3}] => (Allow) LPort=8027
FirewallRules: [{93FFDA4D-AAA7-49A7-8D2E-21F8EE602BEF}] => (Allow) LPort=8027
FirewallRules: [{4474C833-627A-486B-99AA-24B267A6B077}] => (Allow) LPort=8027
FirewallRules: [{BE7695FB-5045-49F6-A2F8-1C8631B49907}] => (Allow) LPort=8027
FirewallRules: [{9CA76D74-62A7-4414-A6C8-4F3C6C7B46F4}] => (Allow) LPort=8027
FirewallRules: [{7C6E4BF6-CAC1-4097-8EB9-35FD26FFC373}] => (Allow) LPort=8027
FirewallRules: [TCP Query User{2BCC863F-10E0-4745-9C92-9945FB990048}C:\users\александр\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\александр\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{7DD2F9E6-F7E1-40E1-8DF7-A6D65B8CB6D9}C:\users\александр\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\александр\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [{1630377A-7F16-4039-8358-52A2E91E2A18}] => (Allow) C:\Users\Александр\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{B4F7D6F9-A55A-4A7F-8E58-D139B4035188}] => (Allow) C:\Users\Александр\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\temp\*.*"
endbatch:
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[Heavyguy]

Fixlog в аттаче

[Vvvyg]

В принципе, ясен виновник.
Загрузитесь с WinPE и сделайте образ автозапуска UVS неактивной системы:

Запустите файл start.exe из папки Support, пункт "Выберите каталог Windows (выбрана активная система)", укажите папку Windows на системном разделе. Далее в главном меню программы выбираете пункт: Файл -> Cохранить полный образ автозапуска. Лог сохраните в удобной для Вас папке. Если образ автоматически был упакован в архив 7z, то дополнительно упаковывать и перепаковывать не надо, если же у Вас получился обычный текстовый файл, добавьте его в архив RARили 7-zip и прикрепите к сообщению, или загрузите в доступное облачное хранилище/файлообменник без капчи и дайте ссылку.

[Heavyguy]

Архив с образом автозагрузки из под WinPE

[Vvvyg]

С WinPE запустите start.exe, так же выберите каталог Windows, в главном меню программы - Скрипты -> выполнить скрипт из файла (сохраните заранее в папке с UVS:

Код:

;uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv0.0
v400c
OFFSGNSAVE
zoo %Sys32%\DRIVERS\2682J.SYS
addsgn 9A6546F9D5827D535FD41EB0A71F6B29C5877129F97C17F2DD24A70F60B2F215E4512910FD30784875226FF6D9A19B6B6D54E5922D2173069D366749D9F34D9F 48 Trojan.Win64.Agentb.bsk [Kaspersky] 7

chklst
delvir

czoo

Загрузите обычную систему, проверьте, что с проблемой.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

[Heavyguy]

Кажется, проблема решилась. Теперь по системному монитору загрузка в фоновом режиме меньше процента. Раньше была около 40%.
Карантин прислал, лог прикрепил.
Спасибо!

[Vvvyg]

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[Heavyguy]

Лог в аттаче