Имеется сервер 2008 R2 Eng. На нем работает MSSQL c 1C8. Оперативной памяти 12 Гб. Когда сервер свежеперегружен - использование памяти бывает по taskmgr от 2,5 Гб. С течением времени использование увеличивается из-за естественных сеансов RDP, но может увеличиваться и если сервер стоит в простое в выходные - до 6-9 Гб. Если сервер не перегрузить, то в течение недели он зависает и все равно приходится перегружать.

Я обратил внимание, что в taskmgr или procexplorer со временем появляется много запущенных rundll32.exe, каждый из которых впрочем отнимает только 2,3 Мб памяти, а по их числу - около 60, они должны отнимать только до 150 Мб памяти, но никак не гигабайты. Они(rundll32.exe) запускаются из планировщика заданий, где есть задания под именами At1-At150. У этих заданий во вкладке Actions прописано например: rundll32.exe pfonrvu.ao, oqgokh или rundll32.exe pfonrvu.ao, ljewhs или rundll32.exe pfonrvu.ao, ndvakaij и т.п., причем файла pfonrvu.ao нет на дисках, хотя это может быть и какой-то нужный параметр.
Названия несколько странные и заставляют задуматься о вирусах, но на сервере стоит лицензионный Dr.Web, который о вирусах не сигнализирует.
Задания созданы для запуска от аккаунта SYSTEM и их изменить невозможно, изменить расписание запуска или, например, сделать disabled или end task даже под правами администратора домена.
В принципе я даже не знаю, может эти задания важны для нормальной работы MSSQL или 1C и их просто изменять нельзя.

Я могу убить(kill) процессы rundll32.exe в procexplorer, но от этого память сильно не освобождается(как я выше указывал) и я не знаю, не вношу ли этим вред в работу MSSQL.
Как определиться с этими заданиями и с увеличением занимаемой памяти сервера? Может кто-нибудь сталкивался с такой ситуацией? Я никак не могу допустить перерыва в работе сервера для организации,
а все время перегружать или все переустанавливать не хочется. Бывают ли такие задания At "правильными", т.е. нужными для работы сервера и как их отключить, если они все-таки ненужные? Как определить "правильность" заданий?
В реестре можно найти ветки, связанные с этими заданиями, но я не знаю, можно ли что делать с ними через реестр и как.
Можно ли просто удалять задания, если удалять job файлы из папки windows/system32/Tasks если планировщик естественно запущен при старте?

может увеличиваться и если сервер стоит в простое в выходные - до 6-9 Гб. Если сервер не перегрузить, то в течение недели он зависает
Запустите RAMMap (http://technet.microsoft.com/en-us/sysinternals/ff700229) и покажите скриншот вкладки Use Counts во время глюка.

rundll32.exe pfonrvu.ao, oqgokh или rundll32.exe pfonrvu.ao, ljewhs или rundll32.exe pfonrvu.ao, ndvakaij и т.п., причем файла pfonrvu.ao нет на дисках, хотя это может быть и какой-то нужный параметр.
Названия несколько странные и заставляют задуматься о вирусах, но на сервере стоит лицензионный Dr.Web
Можете создать тему в разделе форума Лечение систем от вредоносных программ (http://forum.oszone.net/forum-87.html), выполнив эти инструкции (http://forum.oszone.net/thread-98169.html).

Запустите RAMMap и покажите скриншот вкладки Use Counts во время глюка. »

Скрины прикрепил, сервер сейчас простаивает, только 1 мой терминальный сеанс.


Можете создать тему в разделе форума Лечение систем от вредоносных программ, выполнив эти инструкции. »

Почему, если Dr.Web нормально обновляемый ничего не обнаруживает, то должен обнаружить какой-то другой антивирус.
Так любое созданное в планировщике задание должно опознаваться как вирус?
Руссинович на TechEd2012 пропагандировал применение его утилит для обнаружения вирусов, а не пользование антивирусами.

В принципе я даже не знаю, может эти задания важны для нормальной работы MSSQL или 1C и их просто изменять нельзя. »
о, это очень просто - это вирусы.
На нем работает MSSQL c 1C8. »
а ещё и сервер приложений 1С.
Как определиться с этими заданиями и с увеличением занимаемой памяти сервера? Может кто-нибудь сталкивался с такой ситуацией? Я никак не могу допустить перерыва в работе сервера для организации,
а все время перегружать или все переустанавливать не хочется. »
делать терминал+MSSQL+сервер предприятия на одном сервере=глупость.

ну а пока вам нужно сделать следующее:
- убить все эти задания
- вылечиться от вирусов
- запретить на сервере интернет
- все пользователи сервера должны быть с ограничеными правами
- ограничить потребляемую память для MS SQL

о, это очень просто - это вирусы. »

На основании чего такое заключение?

делать терминал+MSSQL+сервер предприятия на одном сервере=глупость. »

Не все живут жирно. Если пользователей немного, почему бы нет.
убить все эти задания »

Это как? В безопасном режиме перенести из папки Tasks в другую папку? Я писал, что в планировщике они не отключаются.

вылечиться от вирусов »
Dr.Web ничего не лечит. Или Вы его не признаете? Про применение AVZ втемную на серверах не написано. Инструкция про клиентские системы.

запретить на сервере интернет »
Интернетом пользуются не через сервер, а через маршрутизатор.

- все пользователи сервера должны быть с ограничеными правами »

Они и так не админы, а просто domain users.

ограничить потребляемую память для MS SQL »

Это к чему, если основная функция MSSQL сервера - обслуживание 1С? Стоит динамическое использование памяти по максимуму.
Если бы было статическое, то, возможно, обрушивалось-зависало бы чаще.

На основании чего такое заключение? »
Опыт, обычно... таких процессов на нормальных машинах нет.
Dr.Web ничего не лечит. Или Вы его не признаете? Про применение AVZ втемную на серверах не написано. Инструкция про клиентские системы. »
Он вообще imho обычно ничего не ищет, хотя утилитка CureIt очень полезная вещь и вполне себе работоспособная, как ни странно...
Интернетом пользуются не через сервер, а через маршрутизатор. »
Да хоть через Луну, инетом пользуются не через, а на нем, оттуда и зверьки.
Если бы было статическое, то, возможно, обрушивалось-зависало бы чаще. »
Это врятли, тем более сами говорите, что у вас совсем мало пользователей. А SQL при динамическом распределении сожрет любое кол-во памяти, даже если ему она и не нужна реально.

Скрины прикрепил
Утечка в категории "Process Private" - потребление памяти отдельными процессами должно быть видно в "Диспетчере задач" невооруженным глазом.
Если и другие утилиты, например Process Explorer (http://technet.microsoft.com/ru-ru/sysinternals/bb896653) и VMMap (http://technet.microsoft.com/en-us/sysinternals/dd535533).

Почему, если Dr.Web нормально обновляемый ничего не обнаруживает, то должен обнаружить какой-то другой антивирус.
Dr.Web ничего не лечит. Или Вы его не признаете?
Любой антивирус обнаруживает известные вирусы по сигнатурам. А неизвестные не обнаруживает :)
Даже если вы фанат Dr.Web, это не повод отказываться от лечения.

На основании чего такое заключение?
Потому что никакое приложение не создает беспорядочно задачи типа:
rundll32.exe pfonrvu.ao, oqgokh или rundll32.exe pfonrvu.ao, ljewhs или rundll32.exe pfonrvu.ao, ndvakaij и т.п.

Про применение AVZ втемную на серверах не написано. Инструкция про клиентские системы.
Просто предложил:
Можете создать тему в разделе форума Лечение систем от вредоносных программ (http://forum.oszone.net/forum-87.html)
Можете и не создавать. Авось само рассосется :)

Руссинович на TechEd2012 пропагандировал применение его утилит для обнаружения вирусов, а не пользование антивирусами
Тут я совершенно не понял, к чему это было сказано :)

Про применение AVZ втемную на серверах не написано. Инструкция про клиентские системы. »
Что значит - в темную...? Что по вашему серверные версии чем-то принципиально отличаются от просто клиентских ос? Дыры, которыми пользуются вири и методы поиска их одинаковы как для серверов, так и для клиентских ОС.

Они(rundll32.exe) запускаются из планировщика заданий, где есть задания под именами At1-At150»
очень напоминает KIDO... но в 2008 R2 ? Обновления все установлены? правда обновления есть только для 7-бета... выше не видел...
с другой стороны, в сети может быть комп до 7-ки, с инициатором KIDO.

На основании чего такое заключение? »
на основании того, что таких заданий нет на чистых от вирусов серверах.
Не все живут жирно. Если пользователей немного, почему бы нет. »
если пользователей не много, то файловая база может оказаться быстрей и дешевле.
Это как? В безопасном режиме перенести из папки Tasks в другую папку? Я писал, что в планировщике они не отключаются. »
странно что вы удалить не можете.
ну откройте CMD от SYSTEM, а в ней уже что хотите то и делайте, в том числе и искомую консольку планировщика.
Dr.Web ничего не лечит. Или Вы его не признаете? »
какая вам разница что я признаю? вас должно интересовать что у вас скомпроментирован сервер. Но да, я не признаю Dr.Web, кроме CureIT.
Про применение AVZ втемную на серверах не написано. Инструкция про клиентские системы. »
я не знаю что это такое.
Интернетом пользуются не через сервер, а через маршрутизатор. »
вы хотите пошутить? думаю что не стоит.
Они и так не админы, а просто domain users. »
тогда ищите тех, у кого бОльшие права на этом сервере.
Это к чему, если основная функция MSSQL сервера - обслуживание 1С? Стоит динамическое использование памяти по максимуму. »
а это к тому, что у вас не выделенный сервер базы данных.
Если бы было статическое, то, возможно, обрушивалось-зависало бы чаще. »
неа

Утечка в категории "Process Private" - потребление памяти отдельными процессами должно быть видно в "Диспетчере задач" невооруженным глазом. »

Невооруженным взглядом я не понимаю, куда берутся 6,5 Гб памяти. Прилагаю скрины procexplorer, а предыдущие удалю, т.к все равно никто не смотрел, а закачка ограничена.

Руссинович на TechEd2012 пропагандировал применение его утилит для обнаружения вирусов, а не пользование антивирусами
Тут я совершенно не понял, к чему это было сказано :) »
Тут собираются майкрософт-любители и для них про Руссиновича все равно что про Ленина для коммунистов.
Он вообще-то прав, что вручную часто проще и надежнее искать.


очень напоминает KIDO... но в 2008 R2 ? Обновления все установлены? правда обновления есть только для 7-бета... выше не видел...
с другой стороны, в сети может быть комп до 7-ки, с инициатором KIDO. »
Я обратил внимание, что предыдущий админ зачем-то поставил в автозапуск некоторых клиентских комп-ов старую лечилку Касперского от KIDO - KK.
Больше половины комп-ов с ХР. Неужели корпоративный Dr.Web и от KIDO не лечит?

Это как? В безопасном режиме перенести из папки Tasks в другую папку? Я писал, что в планировщике они не отключаются. »
странно что вы удалить не можете.
ну откройте CMD от SYSTEM, а в ней уже что хотите то и делайте, в том числе и искомую консольку планировщика. »

Каждый что-то делал в первый раз, особенно с windows. Я никогда не запускал cmd в терминале из-под админской учетки от SYSTEM, не представляю что надо за пароль вводить для SYSTEM и как писать пользователя в окне запроса credentials: ИмяДомена\SYSTEM или ИмяСервера\SYSTEM или просто SYSTEM

Интернетом пользуются не через сервер, а через маршрутизатор. »
вы хотите пошутить? думаю что не стоит. »

Я не шучу, некоторые админы почему-то по старой привычке
пропускают и-нет траффик через сервер-шлюз на том же компе, где 1С база или DC, я так не делаю. Пользователи работают с и-нетом даже когда сервер в дауне.

если пользователей не много, то файловая база может оказаться быстрей и дешевле. »
Файловые базы на 1С8.2 уже при числе пользователей больше 5-10 крайне тормозны и нестабильны. 1С8.2 заточен под SQL. А если есть еще и базы под 1С7.7, то пиши "пропало" без SQL. Бизнес не терпит технических проблем, главное бухгалтера и менеджеры по продаже, их проблемы.

Что значит - в темную...? Что по вашему серверные версии чем-то принципиально отличаются от просто клиентских ос? Дыры, которыми пользуются вири и методы поиска их одинаковы как для серверов, так и для клиентских ОС. »
По моему опыту серверные ОС очень существенно отличаются от клиентских.
"В темную" - значит я запускаю непонятную программу на сервере, за который отвечаю, отдаю логи неизвестным людям, эти люди что-то советуют еще запустить. И если после этого сервер не готов к работе, если люди случайно ошиблись, то меня увольняют, а мои дети голодают неопределенное время.

Тут собираются майкрософт-любители и для них про Руссиновича все равно что про Ленина для коммунистов.
Он вообще-то прав, что вручную часто проще и надежнее искать. »
не хочу вас обидеть, но ручная ловля зверьков явно не для вас, даже с видеокастом Марка.
Каждый что-то делал в первый раз, особенно с windows. Я никогда не запускал cmd в терминале из-под админской учетки от SYSTEM, не представляю что надо за пароль вводить для SYSTEM и как писать пользователя в окне запроса credentials: ИмяДомена\SYSTEM или ИмяСервера\SYSTEM »
psexec -S -I cmd.exe
Я не шучу, некоторые админы почему-то по старой привычке пропускают и-нет траффик через сервер-шлюз на том же компе, где 1С база, я так не делаю. Пользователи работают с и-нетом даже когда сервер в дауне.»
тогда попробуйте прочитать мой пост ещё раз. я говорила о запрете интернета на этом сервере.
Файловые базы на 1С8.2 уже при числе пользователей больше 5-10 крайне тормозны и нестабильны. 1С8.2 заточен под SQL. А если есть еще и базы под 1С7.7, то пиши "пропало" без SQL. »
скажем так - 10-15 это как раз то число, которое работает нормально.
"В темную" - значит я запускаю непонятную программу на сервере, за который отвечаю, отдаю логи неизвестным людям, эти люди что-то советуют еще запустить. И если после этого сервер не готов к работе, то меня увольняют, а мои дети голодают неопределенное время. »
сколько пафоса...

полотенце rundll32.exe очень информативно, да.

Больше половины комп-ов с ХР »
проверяйте их. наличие обновлений KB958644, KB957097 и KB958687 обязательны.

По моему опыту серверные ОС очень существенно отличаются от клиентских. »
Но комментс...
отдаю логи неизвестным людям, эти люди что-то советуют еще запустить. И если после этого сервер не готов к работе, если люди случайно ошиблись, то меня увольняют, а мои дети голодают неопределенное время. »
Тогда не понятно зачем вы вообще сюда пришли и о чем-то спрашиваете у неизвестных вам людей, с подобным подходом? Тут же насоветуют всего, а потом дети голодными останутся...
Файловые базы на 1С8.2 уже при числе пользователей больше 5-10 крайне тормозны и нестабильны. 1С8.2 заточен под SQL. А если есть еще и базы под 1С7.7, то пиши "пропало" без SQL. Бизнес не терпит технических проблем, главное бухгалтера и менеджеры по продаже, их проблемы. »
Пруфлинк в студию и желательно от производителя, ибо 10-15 человек - это не определяющее условие для использования SQL, я наверно по глупости своей всегда считал размер баз и характер их нагрузки, тем фактором, который и будет определяющим в выборе файлового доступа, или SQL.

не хочу вас обидеть, но ручная ловля зверьков явно не для вас, даже с видеокастом Марка. »
Вообще-то уже 10 лет этим занимаюсь, когда разные антивиры пропускают. А Марк подтвердил правильность подхода.
тогда попробуйте прочитать мой пост ещё раз. я говорила о запрете интернета на этом сервере »
Никто с сервера и-нетом не пользуется, сервер для 1С и файлов.
скажем так - 10-15 это как раз то число, которое работает нормально. »
Все зависит от степени новизны сервера. Без терминалов сеть и клиентские комп-ы не потянут, имхо.
я наверно по глупости своей всегда считал размер баз и характер их нагрузки »
Размер базы очень быстро нарастает до 1 Гб у работающей фирмы, это как-то понятно.
сколько пафоса... »
Тут же насоветуют всего, а потом дети голодными останутся.. »
Это - не пафос, это - жизнь, а многие от нее оторвались.
Я воплощаю в жизнь только безопасные советы.
полотенце rundll32.exe очень информативно, да. »
Оно практически полное, вот скажите прямо: куда тратится 6,5 Гб? По сумме не получается. Причем на скрине на sql уходит 3,8 Гб, а сразу после рестарта вообще на все процессы меньше 3,8 Гб. SQL как-то завирусован?

Невооруженным взглядом я не понимаю, куда берутся 6,5 Гб памяти
Process Explorer -> меню View -> Select Columns -> вкладка Process Memory -> включите флажки "Private Bytes", "Virtual Size" и "Working Set Size".

Или в Диспетчере задач -> вкладка Процессы -> меню Вид -> Выбрать столбцы.
Что означают столбцы памяти диспетчера задач? (http://windows.microsoft.com/ru-RU/windows7/What-do-the-Task-Manager-memory-columns-mean)

psexec -S -I cmd.exe »

Это не помогает, в запущенном планировщике удалось только остановить задания, а сделать их disabled не удается из-за возникающего сообщения,
см.скрин. Не все так просто в жизни, как думается.

Или в Диспетчере задач -> вкладка Процессы -> меню Вид -> Выбрать столбцы. »

Если считать по пикам использования, то цифра выходит, но от снятия паразитных заданий АТ использование памяти сильно не уменьшается. Дело в чем-то другом. Сейчас вот перегрузил сервер и сразу использование памяти всего 2,4 Гб вместо 6,5 Гб до перезагрузки. Паразитные процессы не успели по расписанию запуститься, но дело не в них. Sqlserv.exe*32 занимает всего 0,4 Гб вместо 3,8 Гб до перезагрузки - вот главный потребитель памяти, которая почему-то не освобождается. Сколько ему положено потреблять непонятно.

Sqlserv.exe*32 занимает всего 0,4 Гб вместо 3,8 Гб до перезагрузки - вот главный потребитель памяти, которая почему-то не освобождается
Раз утечка в MS SQL, ставьте для него последний сервис-пак и все обновления.

сделать их disabled не удается из-за возникающего сообщения
Ну руками .job удалите.
Убедитесь, что пароль локального администратора (если учетная запись включена) нормальный, не 12345. Поскольку Kido для распространения использует не только уязвимости ОС, но и простейший брутфорс.

Для операционной системы тоже установите все критические обновления безопасности.
Скачайте kk.zip (http://support.kaspersky.com/downloads/utils/kk.zip) и прогоните на сервере.

Сделайте полную проверку с помощью Kaspersky Virus Removal Tool (http://www.kaspersky.ru/antivirus-removal-tool) (бесплатно, не требует установки).
Удачи.

Раз утечка в MS SQL, ставьте для него последний сервис-пак и все обновления. »

SQL server версии 2000. Все обновления для него поставлены сразу. Дело в том, что он не освобождает память почему-то: если один раз запустить 1С и потом сразу выйти из 1С, то использование памяти SQL увеличивается на 8 Мб. А когда пользователи заходят по многу раз, да еще всякие отчеты запускают, то использование памяти должно расти с каждым днем.

Ну руками .job удалите.
Убедитесь, что пароль локального администратора (если учетная запись включена) нормальный, не 12345. Поскольку Kido для распространения использует не только уязвимости ОС, но и простейший брутфорс. »

Только что ходил ногами на сервер, чтобы удалить jobs. По справке к планировщику от Майкрософт надо перегрузить комп в безопасном режиме и тогда удалять, т.к. планировщик не запускается в безопасном режиме.
Тут меня ждал новый серьезный облом: при загрузке комп-а в безопасном режиме или в безопасном режиме с поддержкой сети он ждет ввода имени-пароля только около 5 сек, не успеть - потом сам идет на перезагрузку, могут ли быть шпионские программы, которые делают такую подлость, не дают загрузить безопасный режим?
Но как ни странно перенести jobs в другую папку удалось обычным образом под админским входом, а потом я перегрузил сервер и в списке доступных планировщика их уже нет. Под SYSTEM в планировщике они не удалялись, нажимаешь delete и ничего не происходит.

Скачайте kk.zip и прогоните на сервере. »
Я, конечно, попробую. Но вообще-то 2008R2 сервер разрабатывался тогда, когда KIDO вирус уже был известен и уязвимость к нему, как правильно напомнил exo, устраняется обновлениями на ХР, которые, кажется, еще в SP2 входили, kk запускать не к чему. Неужели Вы думаете, что Майкрософт оставил эту уязвимость на srv 2008R2 ?

вообще-то 2008R2 сервер разрабатывался тогда, когда KIDO вирус уже был известен
Kido для распространения использует не только уязвимости ОС, но и простейший брутфорс

не освобождает память почему-то
VMMap (http://technet.microsoft.com/en-us/sysinternals/dd535533) попробуйте. Вдруг что-нибудь увидите.

при загрузке комп-а в безопасном режиме или в безопасном режиме с поддержкой сети он ждет ввода имени-пароля только около 5 сек, не успеть - потом сам идет на перезагрузку
Включите запись дампов памяти (http://forum.oszone.net/thread-93436.html).
Если DMP-файлы уже есть в папке \Windows\Minidump, выложите свежие.