El indicador de comando se abre aleatoriamente y se cierra muy rápido [cerrado]

4

Tal vez solo estoy siendo paranoico, pero sospecho que es un malware o tal vez un minero de bitcoin. Las indicaciones de comando se abren a intervalos aleatorios y observo caídas aleatorias de FPS durante el juego (10-20 segundos). Estoy usando un sistema HP-15 Windows 10 x64 y tengo Quick Heal AntiVirus (versión de pago) instalado. Intel 4005U 1.7Ghz y Nvidia 820M. Los análisis completos del sistema no dieron resultados. El sistema también se siente un poco insensible. Esto y la caída de FPS pueden deberse al calor, pero eso aún no explica el comportamiento de CMD.

No se notó ningún otro comportamiento inusual o cambio en el archivo del sistema.

¿Qué pasos debo seguir y puedo registrar qué está haciendo CMD?

    
pregunta Anvit 10.06.2017 - 16:32
fuente

3 respuestas

4

La ventana cmd que aparece puede ser causada por una tarea de fondo de la oficina.
Microsoft lo ha solucionado en 16.8210.2075 , pero a partir del 6/6/17 solo está disponible para el programa de iniciados.

Si desea evitar que la ventana se abra, puede deshabilitar la tarea en segundo plano en el Programador de tareas = > Microsoft = > Oficina = > OfficeBackgroundTaskHandlerRegistration y deshabilítelo allí.
Si desea continuar ejecutando la tarea en segundo plano, puede cambiar el usuario al sistema (tenga en cuenta que esto es un riesgo de seguridad) . Esto se puede hacer a través del Programador de tareas = > Microsoft = > Oficina = > OfficeBackgroundTaskHandlerRegistration, clic derecho y seleccionar propiedades. Aquí haga clic en cambiar usuario o grupo y escriba "Sistema".

No tengo conocimiento de ninguna otra consecuencia que evitar que aparezca la ventana cmd.

    
respondido por el Eelke 13.06.2017 - 09:20
fuente
4

Si su versión de Windows le permite ejecutar la directiva de seguridad local o el editor de la directiva de grupo local, puede habilitar el registro de auditoría avanzada del inicio y la detención del proceso en el sistema, y la próxima vez que ocurra, busque en el registro de eventos de seguridad para ver qué proceso se inició.

Para hacer esto, ejecute el editor de políticas de seguridad local (en "Panel de control" - > "Herramientas administrativas") como administrador (haga clic con el botón derecho en su icono y seleccione "Ejecutar como administrador"), y expanda la izquierda. árbol "Configuración avanzada de la política de auditoría" - > "Políticas de auditoría del sistema" - > "Seguimiento detallado". Seleccione "Seguimiento detallado" y, en el lado derecho, haga doble clic en "Creación del proceso de auditoría" para abrir el cuadro de diálogo de propiedades. Marque "Configurar los siguientes eventos de auditoría:" y "Correcto", luego haga clic en [Aceptar] para guardar la configuración. Debería entrar en vigor inmediatamente.

La próxima vez que aparezca la ventana brevemente, registre la hora del sistema (no la hora del reloj en la pared), ejecute el Visor de eventos (en "Panel de control" - > "Herramientas administrativas") como administrador (vea arriba) y expanda "Registros de Windows" para seleccionar "Seguridad". Deberías ver una serie de eventos; está interesado en los que tienen la Categoría de tarea "Creación de proceso" con el Id. de evento 4688, aproximadamente en el momento en que registró. Probablemente veas algunos eventos; mira la pestaña General en los detalles. Está interesado en el bit de Información de proceso, específicamente el New Process ID , New Process Name , Creator Process ID y Creator Process Name . Debería haber un proceso "C: \ Windows \ System32 \ conhost.exe", que es la ventana del símbolo del sistema que ve. Su valor Creator Process Name le dirá cómo se lanzó. Mira los siguientes eventos para encontrar uno cuyo Creator Process ID sea el mismo que el New Process ID de conhost. Ese es el programa que realmente se ejecutó en el símbolo del sistema.

Espero que ayude.

    
respondido por el Pak 10.06.2017 - 22:17
fuente
0

Sus opciones, como las veo, en el orden de preferencia:

  1. Obtenga ayuda profesional. Preferiblemente un pro de Respuesta a Incidentes de Seguridad.
  2. Limpie el sistema, realice una instalación nueva y restaure solo datos a partir de una copia de seguridad limpia (esto es difícil ... para asegurarse de que su copia de seguridad esté limpia).
  3. DIY: use el Explorador de procesos de SysInternals (descárguelo desde el sitio de Microsoft, no otro) e intente tener en cuenta todos los procesos en ejecución. Google es su amigo en su mayor parte, al tratar de identificar procesos en ejecución.
respondido por el Sas3 10.06.2017 - 16:55
fuente

Lea otras preguntas en las etiquetas