Il prompt dei comandi si apre casualmente e si chiude molto velocemente [chiuso]

4

Forse sono solo paranoico ma sospetto un malware o forse un bitcoin. I prompt dei comandi si aprono a intervalli casuali e durante il gioco noto una diminuzione casuale dell'FPS (10-20 secondi). Sto usando un sistema HP-15 Windows 10 x64 e ho installato Quick Heal AntiVirus (versione a pagamento). Intel 4005U 1.7Ghz e Nvidia 820M. Le scansioni del sistema .Full non hanno prodotto risultati. Il sistema si sente anche un po 'insensibile. Questo calo di FPS potrebbe essere dovuto al surriscaldamento, ma ciò non spiega ancora il comportamento di CMD.

Non sono stati rilevati altri comportamenti insoliti o modifiche nel file di sistema.

Quali passi devo fare e posso registrare ciò che sta facendo CMD?

    
posta Anvit 10.06.2017 - 16:32
fonte

3 risposte

4

L'apertura della finestra di cmd potrebbe essere causata da un'attività in background in ufficio.
Microsoft ha risolto questo problema in build 16.8210.2075 , ma dal 6/6/17 è disponibile solo per il programma interno.

Se si desidera interrompere la visualizzazione della finestra, è possibile disabilitare l'attività in background in Utilità di pianificazione = > Microsoft = > Office = > OfficeBackgroundTaskHandlerRegistration e disabilitalo lì.
Se si desidera continuare a eseguire l'attività in background, è possibile modificare l'utente in sistema (tenere presente che si tratta di un rischio per la sicurezza!) . Questo può essere fatto tramite l'Utilità di pianificazione = > Microsoft = > Office = > OfficeBackgroundTaskHandlerRegistration, rightclick e seleziona proprietà. Qui fai clic su cambia utente o gruppo e digita "Sistema".

Non sono a conoscenza di conseguenze diverse dalla chiusura della finestra di cmd.

    
risposta data 13.06.2017 - 09:20
fonte
4

Se la tua versione di Windows ti consente di eseguire Criteri di sicurezza locali o Editor Criteri di gruppo locali, puoi abilitare la registrazione avanzata di controllo dell'avvio e dell'arresto del processo nel sistema e, al successivo verificarsi, cerca nel registro eventi di sicurezza di vedere quale processo è stato avviato.

Per eseguire questa operazione, esegui l'editor Criteri di sicurezza locali (in "Pannello di controllo" - > "Strumenti di amministrazione") come amministratore (fai clic con il tasto destro sulla sua icona e seleziona "Esegui come amministratore") ed espandi la sinistra albero "Configurazione avanzata dei criteri di controllo" - > "Criteri di controllo del sistema" - > "Tracciamento dettagliato". Selezionare "Tracciamento dettagliato", e sul lato destro, fare doppio clic su "Audit Process Creation" per aprire la finestra di dialogo delle proprietà. Selezionare "Configura i seguenti eventi di controllo:" e "Operazione riuscita", quindi fare clic su [OK] per salvare le impostazioni. Dovrebbe avere effetto immediato.

La prossima volta che la finestra viene visualizzata brevemente, registra l'ora del sistema (non l'ora sull'orologio sul muro), avvia il Visualizzatore eventi (in "Pannello di controllo" - > "Strumenti di amministrazione") come Amministratore (vedi sopra) ed espandere "Registri di Windows" per selezionare "Sicurezza". Dovresti vedere un numero di eventi; sei interessato a quelli con Categoria di attività "Creazione processo" con ID evento 4688, all'incirca nel momento in cui hai registrato. Probabilmente vedrai alcuni eventi; guarda la scheda Generale nei dettagli. Ti interessa il bit Informazioni di processo, in particolare New Process ID , New Process Name , Creator Process ID e Creator Process Name . Ci dovrebbe essere un processo "C: \ Windows \ System32 \ conhost.exe", che è la finestra del prompt dei comandi che vedi. Il suo valore Creator Process Name ti dirà come è stato lanciato. Guarda i seguenti eventi per trovare uno il cui Creator Process ID è uguale al New Process ID del conhost. Questo è il programma effettivamente eseguito nel prompt dei comandi.

Spero che ti aiuti.

    
risposta data 10.06.2017 - 22:17
fonte
0

Le tue opzioni, così come le vedo io, nell'ordine di preferenza:

  1. Ottieni assistenza professionale. Preferibilmente un responsabile della risposta agli incidenti di sicurezza.
  2. Pulisci il sistema, esegui una nuova installazione e ripristina solo i dati da un backup pulito (questo è difficile ... per assicurarti che il backup sia pulito).
  3. Fai da te: utilizza Process Explorer di SysInternals (scaricalo dal sito Microsoft, non un altro) e prova a tenere conto di tutti i processi in esecuzione. Google è il tuo amico per la maggior parte - nel tentativo di identificare i processi in esecuzione.
risposta data 10.06.2017 - 16:55
fonte

Leggi altre domande sui tag