Нагрузка хост-процесс Windows(Rundll32)

[kenassash]

Добрый день.

Используем Kaspersky ES 11.9.0.351 + Агент администрирования, Kaspersky Security Center 13.2

На всех ПК с windows 10 21H2 (сборка 19044, 1806) идет нагрузка на ЦП с Rundll32. После удаления ES и перезагрузки, процесс исчезает. Агент  при этом установлен и не трогается.

На ПК с win 7 такой проблемы не наблюдается.

Подскажите решение и какие логи прислать для отображения нашей проблемы.

Edited July 13, 2022 by kenassash

[Goddeimos13]

Приветствую!
Есть предположение, что у Вас в политике включен компонент "Контроль программ" и стоит галочка по контролю загрузки DLL модулей.

[durtuno]

2 часа назад, kenassash сказал:

для отображения нашей проблемы.

Попробовать глянуть в "Process Explorer" на вкладке "Threads", отсортировав по колонке "CPU", возможно, что картина станет яснее.

[kenassash]

2 часа назад, Goddeimos13 сказал:

Приветствую!
Есть предположение, что у Вас в политике включен компонент "Контроль программ" и стоит галочка по контролю загрузки DLL модулей.

 

Галочка не стоит

[kenassash]

1 час назад, durtuno сказал:

Попробовать глянуть в "Process Explorer" на вкладке "Threads", отсортировав по колонке "CPU", возможно, что картина станет яснее.

[durtuno]

Нда, ничего.

А на вкладке "General" в строке "Command line:"?

Т.е. постараться собрать как можно больше информации о процессе.

[kenassash]

2 минуты назад, durtuno сказал:

Нда, ничего.

А на вкладке "General" в строке "Command line:"?

Т.е. постараться собрать как можно больше информации о процессе.

Тоже информации нету

[Goddeimos13]

В какой момент появилась проблема?

Проблема на всех ПК?

[kenassash]

45 минут назад, Goddeimos13 сказал:

В какой момент появилась проблема?

Проблема на всех ПК?

В какой момент не могу сказать

На всех компах у кого win 10 стоит

По логам каспера центра смотрим есть атаки, может ли rundll из-за этого грузится?

[Goddeimos13]

2 минуты назад, kenassash сказал:

По логам каспера центра смотрим есть атаки, может ли rundll из-за этого грузится?

Что за атаки? Где логи?

Чем больше информации, тем больше вероятность что Вам помогут. Пока что приходится инфу из Вас вытягивать.

[kenassash]

18 часов назад, Goddeimos13 сказал:

Что за атаки? Где логи?

Чем больше информации, тем больше вероятность что Вам помогут. Пока что приходится инфу из Вас вытягивать.

В общем нашли скорее всего проблему. При включении компьютера в сети, появляется в мониторинге активных приложений tmp файл как из скриншота. Гугл говорит что это вирус Trojan.PWS.Steam.20607 https://vms.drweb.ru/virus/?i=24692849 . Распространился он у  кого стоит windows 10, server 2016. На других пк  не замечено. Если включить пк без сети, tmp файла нету. После включения в сети, он появляется. Гасится служба снятием задачи. Появляется после перезагрузки. 

1. Какие логи и какие отчеты еще предоставить для полной инфы? (откуда)

2. Почему каспер дает работать данному темпу

3. И куда копать и как вылечить. 

Есть предположение что в планировщике заданий что то весит. Но поиск пока безуспешный. В автозагрузке ничего не найдено. В livecd через dr web cureit и в ручную поиском тоже ниче не найдено.

[kenassash]

Где то наверное в админке можно сделать чтоб поля были активными, но не пойму где. Правила приложения и последовательность запуска. скрин 1

Temp папка пользователя при включении и до появления tmp скрин 2

[durtuno]

1 час назад, kenassash сказал:

Гугл говорит что это вирус Trojan.PWS.Steam.20607

Возможно, что и заражение, но Вам на этом форуме вряд ли помогут.

Вам скорее в ТП обращаться, или, например, сюда "forum.kasperskyclub.ru", или на любой др. форум по безопасности, где помогают хэлперы с достаточным опытом по анализу и удалению малвари.