Задания АТ в планировщике
 

Имеется сервер 2008 R2 Eng. На нем работает MSSQL c 1C8. Оперативной памяти 12 Гб. Когда сервер свежеперегружен - использование памяти бывает по taskmgr от 2,5 Гб. С течением времени использование увеличивается из-за естественных сеансов RDP, но может увеличиваться и если сервер стоит в простое в выходные - до 6-9 Гб. Если сервер не перегрузить, то в течение недели он зависает и все равно приходится перегружать.

Я обратил внимание, что в taskmgr или procexplorer со временем появляется много запущенных rundll32.exe, каждый из которых впрочем отнимает только 2,3 Мб памяти, а по их числу - около 60, они должны отнимать только до 150 Мб памяти, но никак не гигабайты. Они(rundll32.exe) запускаются из планировщика заданий, где есть задания под именами At1-At150. У этих заданий во вкладке Actions прописано например: rundll32.exe pfonrvu.ao, oqgokh или rundll32.exe pfonrvu.ao, ljewhs или rundll32.exe pfonrvu.ao, ndvakaij и т.п., причем файла pfonrvu.ao нет на дисках, хотя это может быть и какой-то нужный параметр.
Названия несколько странные и заставляют задуматься о вирусах, но на сервере стоит лицензионный Dr.Web, который о вирусах не сигнализирует.
Задания созданы для запуска от аккаунта SYSTEM и их изменить невозможно, изменить расписание запуска или, например, сделать disabled или end task даже под правами администратора домена.
В принципе я даже не знаю, может эти задания важны для нормальной работы MSSQL или 1C и их просто изменять нельзя.

Я могу убить(kill) процессы rundll32.exe в procexplorer, но от этого память сильно не освобождается(как я выше указывал) и я не знаю, не вношу ли этим вред в работу MSSQL.
Как определиться с этими заданиями и с увеличением занимаемой памяти сервера? Может кто-нибудь сталкивался с такой ситуацией? Я никак не могу допустить перерыва в работе сервера для организации,
а все время перегружать или все переустанавливать не хочется. Бывают ли такие задания At "правильными", т.е. нужными для работы сервера и как их отключить, если они все-таки ненужные? Как определить "правильность" заданий?
В реестре можно найти ветки, связанные с этими заданиями, но я не знаю, можно ли что делать с ними через реестр и как.
Можно ли просто удалять задания, если удалять job файлы из папки windows/system32/Tasks если планировщик естественно запущен при старте?

Запустите RAMMap и покажите скриншот вкладки Use Counts во время глюка.

Можете создать тему в разделе форума Лечение систем от вредоносных программ, выполнив эти инструкции.

Скрины прикрепил, сервер сейчас простаивает, только 1 мой терминальный сеанс.


Почему, если Dr.Web нормально обновляемый ничего не обнаруживает, то должен обнаружить какой-то другой антивирус.
Так любое созданное в планировщике задание должно опознаваться как вирус?
Руссинович на TechEd2012 пропагандировал применение его утилит для обнаружения вирусов, а не пользование антивирусами.

о, это очень просто - это вирусы.
а ещё и сервер приложений 1С.
делать терминал+MSSQL+сервер предприятия на одном сервере=глупость.

ну а пока вам нужно сделать следующее:
- убить все эти задания
- вылечиться от вирусов
- запретить на сервере интернет
- все пользователи сервера должны быть с ограничеными правами
- ограничить потребляемую память для MS SQL

На основании чего такое заключение?

Не все живут жирно. Если пользователей немного, почему бы нет.
Это как? В безопасном режиме перенести из папки Tasks в другую папку? Я писал, что в планировщике они не отключаются.

Dr.Web ничего не лечит. Или Вы его не признаете? Про применение AVZ втемную на серверах не написано. Инструкция про клиентские системы.

Интернетом пользуются не через сервер, а через маршрутизатор.

Они и так не админы, а просто domain users.

Это к чему, если основная функция MSSQL сервера - обслуживание 1С? Стоит динамическое использование памяти по максимуму.
Если бы было статическое, то, возможно, обрушивалось-зависало бы чаще.

Опыт, обычно... таких процессов на нормальных машинах нет.
Он вообще imho обычно ничего не ищет, хотя утилитка CureIt очень полезная вещь и вполне себе работоспособная, как ни странно...
Да хоть через Луну, инетом пользуются не через, а на нем, оттуда и зверьки.
Это врятли, тем более сами говорите, что у вас совсем мало пользователей. А SQL при динамическом распределении сожрет любое кол-во памяти, даже если ему она и не нужна реально.

Утечка в категории "Process Private" - потребление памяти отдельными процессами должно быть видно в "Диспетчере задач" невооруженным глазом.
Если и другие утилиты, например Process Explorer и VMMap.

Любой антивирус обнаруживает известные вирусы по сигнатурам. А неизвестные не обнаруживает :)
Даже если вы фанат Dr.Web, это не повод отказываться от лечения.

Потому что никакое приложение не создает беспорядочно задачи типа:
Просто предложил:
Можете и не создавать. Авось само рассосется :)

Тут я совершенно не понял, к чему это было сказано :)

Что значит - в темную...? Что по вашему серверные версии чем-то принципиально отличаются от просто клиентских ос? Дыры, которыми пользуются вири и методы поиска их одинаковы как для серверов, так и для клиентских ОС.

очень напоминает KIDO... но в 2008 R2 ? Обновления все установлены? правда обновления есть только для 7-бета... выше не видел...
с другой стороны, в сети может быть комп до 7-ки, с инициатором KIDO.

на основании того, что таких заданий нет на чистых от вирусов серверах.
если пользователей не много, то файловая база может оказаться быстрей и дешевле.
странно что вы удалить не можете.
ну откройте CMD от SYSTEM, а в ней уже что хотите то и делайте, в том числе и искомую консольку планировщика.
какая вам разница что я признаю? вас должно интересовать что у вас скомпроментирован сервер. Но да, я не признаю Dr.Web, кроме CureIT.
я не знаю что это такое.
вы хотите пошутить? думаю что не стоит.
тогда ищите тех, у кого бОльшие права на этом сервере.
а это к тому, что у вас не выделенный сервер базы данных.
неа

Невооруженным взглядом я не понимаю, куда берутся 6,5 Гб памяти. Прилагаю скрины procexplorer, а предыдущие удалю, т.к все равно никто не смотрел, а закачка ограничена.



Я обратил внимание, что предыдущий админ зачем-то поставил в автозапуск некоторых клиентских комп-ов старую лечилку Касперского от KIDO - KK.
Больше половины комп-ов с ХР. Неужели корпоративный Dr.Web и от KIDO не лечит?

Каждый что-то делал в первый раз, особенно с windows. Я никогда не запускал cmd в терминале из-под админской учетки от SYSTEM, не представляю что надо за пароль вводить для SYSTEM и как писать пользователя в окне запроса credentials: ИмяДомена\SYSTEM или ИмяСервера\SYSTEM или просто SYSTEM

Я не шучу, некоторые админы почему-то по старой привычке
пропускают и-нет траффик через сервер-шлюз на том же компе, где 1С база или DC, я так не делаю. Пользователи работают с и-нетом даже когда сервер в дауне.

Файловые базы на 1С8.2 уже при числе пользователей больше 5-10 крайне тормозны и нестабильны. 1С8.2 заточен под SQL. А если есть еще и базы под 1С7.7, то пиши "пропало" без SQL. Бизнес не терпит технических проблем, главное бухгалтера и менеджеры по продаже, их проблемы.

По моему опыту серверные ОС очень существенно отличаются от клиентских.
"В темную" - значит я запускаю непонятную программу на сервере, за который отвечаю, отдаю логи неизвестным людям, эти люди что-то советуют еще запустить. И если после этого сервер не готов к работе, если люди случайно ошиблись, то меня увольняют, а мои дети голодают неопределенное время.

не хочу вас обидеть, но ручная ловля зверьков явно не для вас, даже с видеокастом Марка.
psexec -S -I cmd.exe
тогда попробуйте прочитать мой пост ещё раз. я говорила о запрете интернета на этом сервере.
скажем так - 10-15 это как раз то число, которое работает нормально.
сколько пафоса...

полотенце rundll32.exe очень информативно, да.

проверяйте их. наличие обновлений KB958644, KB957097 и KB958687 обязательны.

Но комментс...
Тогда не понятно зачем вы вообще сюда пришли и о чем-то спрашиваете у неизвестных вам людей, с подобным подходом? Тут же насоветуют всего, а потом дети голодными останутся...
Пруфлинк в студию и желательно от производителя, ибо 10-15 человек - это не определяющее условие для использования SQL, я наверно по глупости своей всегда считал размер баз и характер их нагрузки, тем фактором, который и будет определяющим в выборе файлового доступа, или SQL.

Вообще-то уже 10 лет этим занимаюсь, когда разные антивиры пропускают. А Марк подтвердил правильность подхода.
Никто с сервера и-нетом не пользуется, сервер для 1С и файлов.
Все зависит от степени новизны сервера. Без терминалов сеть и клиентские комп-ы не потянут, имхо.
Размер базы очень быстро нарастает до 1 Гб у работающей фирмы, это как-то понятно.
Это - не пафос, это - жизнь, а многие от нее оторвались.
Я воплощаю в жизнь только безопасные советы.
Оно практически полное, вот скажите прямо: куда тратится 6,5 Гб? По сумме не получается. Причем на скрине на sql уходит 3,8 Гб, а сразу после рестарта вообще на все процессы меньше 3,8 Гб. SQL как-то завирусован?

Process Explorer -> меню View -> Select Columns -> вкладка Process Memory -> включите флажки "Private Bytes", "Virtual Size" и "Working Set Size".

Или в Диспетчере задач -> вкладка Процессы -> меню Вид -> Выбрать столбцы.
Что означают столбцы памяти диспетчера задач?

Это не помогает, в запущенном планировщике удалось только остановить задания, а сделать их disabled не удается из-за возникающего сообщения,
см.скрин. Не все так просто в жизни, как думается.

Если считать по пикам использования, то цифра выходит, но от снятия паразитных заданий АТ использование памяти сильно не уменьшается. Дело в чем-то другом. Сейчас вот перегрузил сервер и сразу использование памяти всего 2,4 Гб вместо 6,5 Гб до перезагрузки. Паразитные процессы не успели по расписанию запуститься, но дело не в них. Sqlserv.exe*32 занимает всего 0,4 Гб вместо 3,8 Гб до перезагрузки - вот главный потребитель памяти, которая почему-то не освобождается. Сколько ему положено потреблять непонятно.

Раз утечка в MS SQL, ставьте для него последний сервис-пак и все обновления.

Ну руками .job удалите.
Убедитесь, что пароль локального администратора (если учетная запись включена) нормальный, не 12345. Поскольку Kido для распространения использует не только уязвимости ОС, но и простейший брутфорс.

Для операционной системы тоже установите все критические обновления безопасности.
Скачайте kk.zip и прогоните на сервере.

Сделайте полную проверку с помощью Kaspersky Virus Removal Tool (бесплатно, не требует установки).
Удачи.

SQL server версии 2000. Все обновления для него поставлены сразу. Дело в том, что он не освобождает память почему-то: если один раз запустить 1С и потом сразу выйти из 1С, то использование памяти SQL увеличивается на 8 Мб. А когда пользователи заходят по многу раз, да еще всякие отчеты запускают, то использование памяти должно расти с каждым днем.

Только что ходил ногами на сервер, чтобы удалить jobs. По справке к планировщику от Майкрософт надо перегрузить комп в безопасном режиме и тогда удалять, т.к. планировщик не запускается в безопасном режиме.
Тут меня ждал новый серьезный облом: при загрузке комп-а в безопасном режиме или в безопасном режиме с поддержкой сети он ждет ввода имени-пароля только около 5 сек, не успеть - потом сам идет на перезагрузку, могут ли быть шпионские программы, которые делают такую подлость, не дают загрузить безопасный режим?
Но как ни странно перенести jobs в другую папку удалось обычным образом под админским входом, а потом я перегрузил сервер и в списке доступных планировщика их уже нет. Под SYSTEM в планировщике они не удалялись, нажимаешь delete и ничего не происходит.

Я, конечно, попробую. Но вообще-то 2008R2 сервер разрабатывался тогда, когда KIDO вирус уже был известен и уязвимость к нему, как правильно напомнил exo, устраняется обновлениями на ХР, которые, кажется, еще в SP2 входили, kk запускать не к чему. Неужели Вы думаете, что Майкрософт оставил эту уязвимость на srv 2008R2 ?

VMMap попробуйте. Вдруг что-нибудь увидите.

Включите запись дампов памяти.
Если DMP-файлы уже есть в папке \Windows\Minidump, выложите свежие.

Я, возможно, нечетко написал: перезагрузка идет без синего экрана BSOD, просто экран гаснет и дальше будто кнопку Reset нажали, все быстрее чем при BSOD. Идет опознавание контроллера RAID и массива дисков, к нему подключенного, а затем загрузка Windows. В обычном, небезопасном режиме грузится без ошибок
Папки minidump вообще на диске С нет. В настройках стоит - писать dump в %systemroot%\memory.dmp и такого файла на диске С не находится вообще.
Сделать small memory dump в minidump с перезагрузкой Safe mode смогу только на буднях

А что там можно увидеть? Только то, что я уже писал: один раз 1С запускаешь - использование памяти sqlservr.exe подрастает, чем больше в 1С разных отчетов запускаешь - тем больше память растет. Когда выходишь из 1С память sqlservr.exe*32 не уменьшается, не освобождается, а сама 1С выгружается и память освобождается, но там немного - 150 Мб. Каждый раз приходится жать кнопку F5-Refresh, т.к. автоматом показания по памяти не обновляет.Растет тип памяти Private Data.

а удалить тоже не поулчается?
на 2008 R2...
нужно смотреть счётчиками производительности.
а почему она должна освобождаться, при работающем MS SQL?
почему вы считаете что он должнен освобождать память? :)

Да, я писал как не получалось просто в планировщике и как я удалил выше.

А что Вы хотите от sql2000?

Из здравого смысла: если ресурс не используется, то он должен освобождаться, это еще на заре компьютерной эры должны были для серверов сделать - диспетчеризацию памяти.
Если не так, то стоит одному юзеру сто раз войти-выйти и сервер завис.
Как ни странно Вы правы оказывается.
Вот разговоры обнаружил http://www.sql.ru/forum/actualthread.aspx?tid=30045
http://www.sql.ru/forum/actualthread.aspx?tid=60760
Выходит действительно надо статически ограничивать ему память, чтоб освобождал. Непонятно только до какого предела при общей в 12Гб.
И у sql2008 это не исправлено?

При чем производительность к использованию памяти в данном случае, не понимаю? Какие конкретно счетчики предложите? На производительность жалоб нет.

Это, в общем то, уже секрет полишинеля для админов sql. Одно из первых действий, которое должен предпринять админ при настройке сервера баз данных.

я - ничего не хочу.
мне не ясно чем вы руководствовались, устанавливая SQL 2000 на Server 2008 r2.
здравый смысл здесь ни при чём - почитайте что такое базы данных, какие они бывают, что такое логи транзакций и индексы.
сервер у вас вряд ли из-за этого виснет. а вот совмещать сервера приложений, терминальных служб и баз данный здравый смысл как раз мешает.
хорошо, если на производительность жалоб нет, то не надо открывать эту консольку.

Согласно рекомендациям 1С для совсем безглючной работы 1С7.7 нужен sql2000, а 1С8 тоже на нем работает
И только сейчас я понял, что если поставить какой-нибудь sql2008, то он будет требовать еще больше памяти для той же работы, хоть железо меняй.

Из этого общего чтения не вытекает, что неиспользуемая память не должна освобождаться.
Насколько я понял из "As other applications are started on a computer running an instance of SQL Server, they consume memory and the amount of free physical memory drops below the SQL Server target. The instance of SQL Server then frees enough memory from its address space to raise the amount of free memory back to the SQL Server target. If another application is stopped and more memory becomes available, the instance of SQL Server increases the size of its memory allocation. SQL Server can free and acquire several megabytes of memory each second, allowing it to quickly adjust to memory allocation changes".
она при каких-то условиях освобождается.Если директору сказать, что он должен истратить еще 100000 руб. на какое-то непонятное железо, то его здравый смысл спросит его: "а почему предыдущий сисадмин ничего такого не требовал? и справлялся"

Блокирование загрузки в безопасном режиме может быть симптомом заражения.

Помимо обновлений есть хотфиксы.
Они кумулятивные, так что можно сразу обновить до build 8.00.2249.

Как подобное заражение найти - вот в чем вопрос? Происходит не блокирование в прямом смысле, а где-то выставлено малое время ожидания пароля и перезагрузка для безопасного режима.Для обычного режима перезагрузки нет.