客户端 PC 轮流向我们的域控制器发送网络垃圾邮件 - rundll32.exe 似乎是罪魁祸首

客户端 PC 轮流向我们的域控制器发送网络垃圾邮件 - rundll32.exe 似乎是罪魁祸首

在我的小办公室里,我们偶然发现了今天开始出现的一个奇怪的问题。

一切都始于我们的网络似乎运行缓慢、反应迟钝——用户抱怨网络共享、电子邮件等的连接速度很慢。

快速查看我们的 Windows 2003 域控制器显示,网络利用率似乎一直保持在 100% 左右。我绝不是网络专家,但我使用 Wireshark 找出了罪魁祸首。我实际找到了客户端,并确认它的网络利用率也达到了最大值。

我启动了进程探索器来自 Microsoft/SysInternals,我相信已经在机器上活跃的一系列 rundll32.exe 进程中找到了罪魁祸首。

所有进程都归域用户所有,如果暂停其中的一个特定进程,我发现网络利用率下降到~0% - 尽管只持续了几秒钟。当我将机器从网络上拔下时,真正奇怪的事情开始了 - 几分钟内,一台新计算机就会开始对域控制器进行相同的垃圾邮件发送。在此客户端上运行进程资源管理器似乎显示了同样的事情 - 一系列 rundll32.exe 进程正在做天知道是什么。这种情况似乎不断升级 - 当断开第二个客户端与网络的连接时,启动了 2 个新客户端;两者的网络利用率均为 50%,并再次向服务器发送垃圾邮件。

所有客户端和服务器都安装了 McAffee 防病毒软件,并且都是最新版本。扫描未显示任何结果。

我似乎找不到任何真正原因来解释为什么会发生这种情况,这真的让我白发苍苍。这类问题真的不是我的菜,但现在,我就是那个处理它的人。

我希望你们中的一些人可以为我提供一些提示,帮助我发现这里发生的事情。

提前谢谢你
Christian

答案1

我建议至少在安全模式下运行病毒扫描,如果不是从该硬盘上的另一台计算机运行病毒扫描,则可以真正排除病毒。

另外,正如克鲁格上面所说,什么类型的流量?Wireshark 将允许您查看数据包的内容,这应该很有用。

(抱歉,这是一个答案而不是评论,我还没有足够的积分来在这个子网站上发表评论。)

相关内容