<div dir="ltr">Do you when approximately the first responder did his work? It looks like you&#39;ve got some userinit.exe that started/stopped on <span style="font-family:arial,sans-serif;font-size:13px">2013-05-26 and then another batch on </span><span style="font-family:arial,sans-serif;font-size:13px">2013-06-01. If the first responder got there on </span><font face="arial, sans-serif">2013-06-01, then you know the weirdness wasn&#39;t anything caused by his actions since the issue existed at least as early as </font><span style="font-family:arial,sans-serif;font-size:13px">2013-05-26. </span><div>

<span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div style><span style="font-family:arial,sans-serif;font-size:13px">You scan the handles of running processes to see if any of them have open handles to the terminated processes (see [1]). That may help explain why they stuck around in the process list, but not why so many of the same processes started in the first place. </span></div>
<div style><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div style><span style="font-family:arial,sans-serif;font-size:13px">IMO its not a bad capture and its probably not malicious. You might look in the event logs (in particular the application one) to see if there are any indications of the processes crashing and restarting. </span></div>
<div style><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div style><span style="font-family:arial,sans-serif;font-size:13px">MHL</span></div><div style><span style="font-family:arial,sans-serif;font-size:13px"><br>
</span></div><div style><span style="font-family:arial,sans-serif;font-size:13px">[1]. </span><font face="arial, sans-serif"><a href="http://mnin.blogspot.com/2011/03/mis-leading-active-in.html">http://mnin.blogspot.com/2011/03/mis-leading-active-in.html</a></font></div>
<div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Jun 7, 2013 at 12:58 PM, Glenn Edwards <span dir="ltr">&lt;<a href="mailto:hiddenillusion@gmail.com" target="_blank">hiddenillusion@gmail.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">The tool the IH used in this instance was Cyber Marshal&#39;s wmr (<a href="http://cybermarshal.com/index.php/cyber-marshal-utilities/windows-memory-reader" target="_blank">http://cybermarshal.com/index.php/cyber-marshal-utilities/windows-memory-reader</a>).<div>


<br></div><div>I&#39;ve looked at dumps created by this tool in the past and this type of output/behavior wasn&#39;t observed.</div></div><div class="gmail_extra"><div><div class="h5"><br><br><div class="gmail_quote">On Fri, Jun 7, 2013 at 12:51 PM, Jesse Bowling <span dir="ltr">&lt;<a href="mailto:jessebowling@gmail.com" target="_blank">jessebowling@gmail.com</a>&gt;</span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">I&#39;ve had bad memory captures look a bit like this...Can you share what tool was used to collect the memory image?<br>


<br>Cheers,<br><br>Jesse<br></div><div class="gmail_extra"><br><br><div class="gmail_quote"><div><div>
On Fri, Jun 7, 2013 at 12:04 PM, Glenn Edwards <span dir="ltr">&lt;<a href="mailto:hiddenillusion@gmail.com" target="_blank">hiddenillusion@gmail.com</a>&gt;</span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div><div>
<div dir="ltr">Background: The user logged off (I know, I know) of the system (WinXP) and the first responder logged back in under a different user and took the memory dump.<div><br></div><div>When running pslist against the memory dump there&#39;re 2,423 entries.  I&#39;m seeing a lot of entries where the process starts and exits - sometimes in a row:</div>





<div><br></div><div><div>0x89b3f868 userinit.exe           3808    548      0 --------      0      0 2013-05-26 10:00:10 UTC+0000   2013-05-26 10:00:10 UTC+0000  </div><div>0x89b89ad0 userinit.exe           3156    548      0 --------      0      0 2013-05-26 10:00:28 UTC+0000   2013-05-26 10:00:28 UTC+0000  </div>





<div>0x89b2a868 userinit.exe           3672    548      0 --------      0      0 2013-05-26 11:30:11 UTC+0000   2013-05-26 11:30:11 UTC+0000  </div><div>0x89afc020 userinit.exe           3388    548      0 --------      0      0 2013-05-26 12:41:44 UTC+0000   2013-05-26 12:41:44 UTC+0000  </div>





<div>0x89b49da0 userinit.exe           1336    548      0 --------      0      0 2013-05-26 13:22:13 UTC+0000   2013-05-26 13:22:13 UTC+0000  </div></div><div><br></div><div>and sometimes more spread out:</div><div>

<br></div><div><div>0x89c1da98 java.exe               4536   1368      0 --------      0      0 2013-06-01 01:23:35 UTC+0000   2013-06-01 01:26:15 UTC+0000  </div><div>0x89141020 cscript.exe            8608   4536      0 --------      0      0 2013-06-01 01:24:12 UTC+0000   2013-06-01 01:24:14 UTC+0000  </div>





<div>0x89142da0 wmiprvse.exe           3152    832      0 --------      0      0 2013-06-01 01:24:12 UTC+0000   2013-06-01 01:25:42 UTC+0000  </div><div>0x89144ac0 minituner.exe          1120   1368      0 --------      0      0 2013-06-01 01:26:15 UTC+0000   2013-06-01 01:37:41 UTC+0000  </div>





<div>0x8934d520 java.exe               9148   1368      0 --------      0      0 2013-06-01 01:37:41 UTC+0000   2013-06-01 01:43:54 UTC+0000  </div><div>0x8934e020 cscript.exe            7620   9148      0 --------      0      0 2013-06-01 01:42:51 UTC+0000   2013-06-01 01:42:53 UTC+0000  </div>





<div>0x895423b8 wmiprvse.exe           3664    832      0 --------      0      0 2013-06-01 01:42:51 UTC+0000   2013-06-01 01:44:21 UTC+0000  </div><div>0x895ce8a0 minituner.exe          9940   1368      0 --------      0      0 2013-06-01 01:43:54 UTC+0000   2013-06-01 01:51:47 UTC+0000  </div>





<div>0x893a3838 java.exe               4572   1368      0 --------      0      0 2013-06-01 01:51:47 UTC+0000   2013-06-01 01:59:58 UTC+0000  </div><div><br></div></div><div>Example of top processes by overall count of occurrence:</div>





<div><br></div><div><div>$ cat pslist.txt | awk &#39;{print $2}&#39; | sort | uniq -c | sort -nr</div><div>    364 java.exe</div><div>    362 minituner.exe</div><div>    335 userinit.exe</div><div>    301 wmiprvse.exe</div>





<div>    219 cscript.exe</div><div>    192 verclsid.exe</div><div>     91 wuauclt.exe</div><div>     37 regsvr32.exe</div><div>     34 winlogon.exe</div><div>     34 csrss.exe</div><div>[snip]</div>
<div><br></div><div><br></div><div>I&#39;ve never come across this before so I&#39;m wondering if this could be attributed to the first responder not letting the system fully log them on prior to taking the memory dump and therefore there was a lot of still loading processes observed?</div>



<span><font color="#888888">

<div><br></div>-- <br><div style="text-align:left">Glenn Edwards<br>@hiddenillusion<br></div>
</font></span></div></div>
<br></div></div>_______________________________________________<br>
Vol-users mailing list<br>
<a href="mailto:Vol-users@volatilityfoundation.org" target="_blank">Vol-users@volatilityfoundation.org</a><br>
<a href="http://lists.volatilityfoundation.org/mailman/listinfo/vol-users" target="_blank">http://lists.volatilityfoundation.org/mailman/listinfo/vol-users</a><br>
<br></blockquote></div><span><font color="#888888"><br><br clear="all"><br>-- <br>Jesse Bowling<br><br>
</font></span></div>
</blockquote></div><br><br clear="all"><div><br></div></div></div><span class="HOEnZb"><font color="#888888">-- <br><div style="text-align:left">Glenn Edwards<br>@hiddenillusion<br></div>
</font></span></div>
<br>_______________________________________________<br>
Vol-users mailing list<br>
<a href="mailto:Vol-users@volatilityfoundation.org">Vol-users@volatilityfoundation.org</a><br>
<a href="http://lists.volatilityfoundation.org/mailman/listinfo/vol-users" target="_blank">http://lists.volatilityfoundation.org/mailman/listinfo/vol-users</a><br>
<br></blockquote></div><br></div>