Показано с 1 по 16 из 16.

Симуляция клавиатурного ввода "testestestestestest" (заявка № 16209)

  1. #1
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    18
    Вес репутации
    60

    Thumbs up Симуляция клавиатурного ввода "testestestestestest"

    Симптомы:

    1) Симулируется клавиатурный ввод повторяющегося слова "test". Не успел рассмотреть до удаления пользователем, но припоминаю даже не "test", а повторы "est": "estestestestestest" (длина вводимой строки примерно 50 символов. Симптом впервые появился 5 часов назад, через пару часов проявился во второй раз.

    2) Система немедленно падает в BSOD (IRQL_NOT_LESS_OR_EQUAL) или перестает реагировать на мышь/клаву при большом трафике по локальной сети. Маленький трафик (единицы килобайт) проходит без зависания. Симптом появился 8 часов назад.

    3) Локально или при обмене с интернетом - поведение системы почти нормальное. Но примерно раз в два дня - BSOD.
    Симптом появился три недели назад.

    ПРИМЕЧАНИЕ. Система обработана XPLite, так что сообщения AVZ о запущенных службах SystemRestore и Messenger - ошибочны, этих служб нет.

    Первым делом пробовал поиск по форуму и поиск в интернете, но осознал, что я (или искалки) не умеем искать по фрагменту слова.

    Пишу с другой машины, вложить файлы в сообщение не смог, выложил их в сеть:
    http://tmp.pisatel.com/virusinfo_syscure.zip

    http://tmp.pisatel.com/virusinfo_syscheck.zip

    http://tmp.pisatel.com/hijackthis.zip

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    autoex.cmd в Автозагрузке - это ваше?
    I am not young enough to know everything...

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Симптом 1 - это работа антикейлоггера AVZ, свернутого в трей. Он имитирует клавиатурный ввод в процессе поведенческого анализа кейхуков, чтобы изучить, как их DLL реагруют на клавиатурные и мышиные события.

  5. #4
    Geser
    Guest
    Стоит для начала обновить все драйверы. Особенно мамы, видеокарты и сети. Старые драйверы часто приводят к зависанию и BSoD

  6. #5
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    18
    Вес репутации
    60

    Модификация машинного кода в ядре ntoskrnl.exe ???

    Спасибо всем ответившим.
    Теперь, после объяснения причины "симптома 1", самым подозрительным моментом являются строки AVZ-протокола о модификации машинного кода в ядре ntoskrnl.exe
    Что бы это значило?

    Примечание: autoex.cmd - мой файл.

    Обновить драйверы? - в моем случае нелогично. Потому что последние изменения в системе делались больше двух месяцев назад. А установка всяческих компонентов через браузер - отключена.
    Значит, после последней установки софта система проработала:
    - сначала больше месяца без проблем;
    - затем пару недель с BSOD два-три раза в неделю;
    - вчера полный день без проблем;
    - сегодня с начала рабочего дня - симптом 2.
    То есть, "симптом 2" возник внезапно, без видимых причин.
    Последний раз редактировалось Андрей Ильин; 10.01.2008 в 20:44. Причина: Опечатки

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Конкретно что пишется при БСОДе?

  8. #7
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    18
    Вес репутации
    60
    Похоже, мы с вами вышли на финишную прямую в устранении проблемы.

    При отключении автозагрузки любых модулей антивируса DrWeb 4.33 и файрвола Outpost 1.0, "симптом 2" исчез.
    Конечно, AVZ-сканирование я делал тоже при отключенных антивирусе и файрволе, но скорее всего оставалась загружена какая-то из служб антивируса. Просмотрел, извините.

    Добавлено через 1 минуту

    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Конкретно что пишется при БСОДе?
    В WinXPsp1rus BSOD русифицирован, пишутся крякозябры.
    Последний раз редактировалось Андрей Ильин; 10.01.2008 в 21:52. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    пуск-выполнить-%systemroot%\minidump-ок

    собрать несколько последних, приложить.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от Андрей Ильин Посмотреть сообщение
    При отключении автозагрузки любых модулей антивируса DrWeb 4.33 и файрвола Outpost 1.0, "симптом 2" исчез.
    ЕМНИП, я где-то здесь читал о плохой совместимости OP1 с XP SP2. А Доктора надо либо обновлять до актуальной версии 4.44, либо убирать навовсе, чтобы не создавал иллюзию защищённости.
    Да, при совместной работе Доктора и OP требуется настройка исключений в Спайдере.

  11. #10
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    18
    Вес репутации
    60
    Цитата Сообщение от pig Посмотреть сообщение
    при совместной работе Доктора и OP требуется настройка исключений в Спайдере.
    Пожалуйста, подскажите, где искать эту информацию? Может быть, на форуме ixbt в ветке про outpost?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    На forum.drweb.com перечислялись файлы. Только не от OP1, а от более поздней версии.
    Можно сделать так:
    - включить в Спайдере полный лог (чтобы мена проверяемых объектов писались)
    - поработать
    - открыть лог и посмотреть, какие файлы Спайдер постоянно проверяет
    - настроить исключения
    - настройки лога вернуть в исходное положение

  13. #12
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    18
    Вес репутации
    60

    Минидампы выслал

    Цитата Сообщение от Shu_b Посмотреть сообщение
    пуск-выполнить-%systemroot%\minidump-ок
    собрать несколько последних, приложить.
    Извините, долго не отвечал, потому что минидамп был отключен. Включил, стал ждать BSOD - не дождался, спровоцировал его (появился при AVZ-сканировании диска). Повторные сканирования прошли до конца, повторить провокацию не удалось.

    Выслал всего лишь два минидампа: больше пока нету.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Куда выслали?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Первый от видеокарты или её драйверов,
    Второй от Оутпоста.
    и Windows XP Service Pack 1 - тоже большая проблема.
    Код:
    Windows XP Kernel Version 2600 (Service Pack 1) UP Free x86 compatible
    Product: WinNt, suite: TerminalServer SingleUserTS
    Built by: 2600.xpsp1.020828-1920
    Kernel base = 0x804d4000 PsLoadedModuleList = 0x8054be30
    Debug session time: Mon Jan  7 19:00:45.148 2008 (GMT+3)
    System Uptime: 0 days 5:29:36.129
    Loading Kernel Symbols
    ...........................................................................
    Loading User Symbols
    Mini Kernel Dump does not contain unloaded driver list
    Unable to load image nv4_disp.dll, Win32 error 2
    *** WARNING: Unable to verify timestamp for nv4_disp.dll
    *** ERROR: Module load completed but symbols could not be loaded for nv4_disp.dll
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************
    
    Use !analyze -v to get detailed debugging information.
    
    BugCheck EA, {81d73270, 8224e320, 82248d78, 1}
    
    Probably caused by : nv4_disp.dll ( nv4_disp+73287 )
    
    Followup: MachineOwner
    ---------
    Код:
    Windows XP Kernel Version 2600 (Service Pack 1) UP Free x86 compatible
    Product: WinNt, suite: TerminalServer SingleUserTS
    Built by: 2600.xpsp1.020828-1920
    Kernel base = 0x804d4000 PsLoadedModuleList = 0x8054be30
    Debug session time: Fri Jan 11 21:19:56.778 2008 (GMT+3)
    System Uptime: 0 days 0:13:47.408
    Loading Kernel Symbols
    ................................................................................
    Loading User Symbols
    Loading unloaded module list
    .........
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************
    
    Use !analyze -v to get detailed debugging information.
    
    BugCheck A, {47051c, 2, 0, 804d483f}
    
    Unable to load image FILTNT.SYS, Win32 error 2
    *** WARNING: Unable to verify timestamp for FILTNT.SYS
    *** ERROR: Module load completed but symbols could not be loaded for FILTNT.SYS
    Unable to load image RTL8139.SYS, Win32 error 2
    *** WARNING: Unable to verify timestamp for RTL8139.SYS
    *** ERROR: Module load completed but symbols could not be loaded for RTL8139.SYS
    Probably caused by : memory_corruption
    
    Followup: memory_corruption
    ---------
    Последний раз редактировалось Shu_b; 11.01.2008 в 23:26.

  16. #15
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    18
    Вес репутации
    60

    Модификация машинного кода?

    Большое спасибо Shu_b.
    Создается впечатление, что вирусы вообще ни при чем...

    Что же тогда означают строки в AVZ-логе насчет модификации машиного кода, это нормально ли:
    Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D4000
    SDT = 8054AEC0
    KiST = 80502588 (284)
    Функция IoEnumerateDeviceObjectList (804D4A1A) - модификация машинного кода. Метод не определен., внедрение с байта 15
    Функция IoGetLowerDeviceObject (804D4999) - модификация машинного кода. Метод не определен., внедрение с байта 5
    Функция IoInitializeIrp (804D483C) - модификация машинного кода. Метод не определен., внедрение с байта 6
    Функция KeInsertHeadQueue (804D47FF) - модификация машинного кода. Метод не определен., внедрение с байта 5
    Может быть, эти сообщения вызваны крэком reset5/srvany ?

  17. #16
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    18
    Вес репутации
    60
    Сообщаю, чем закончился поиск причины "модификации машинного кода" в исследуемой системе. (закончился-то он на следующий день, а отчитываюсь много позже, простите)

    Развернул я систему из образа двухлетней давности. Там была чистая установка WindowsSP1 + reset5. Так вот, в той системе AVZ показал те же самые "модификации машинного кода" в тех же самых местах. Таким образом выяснилось, что эти сообщения не связаны с повреждением ОС, а существовали с самого начала, в устойчивой версии системы.

    Большое спасибо всем, кто любезно помогал мне.

  • Уважаемый(ая) Андрей Ильин, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    2. Ответов: 0
      Последнее сообщение: 01.11.2009, 13:19
    3. Ответов: 3
      Последнее сообщение: 22.02.2009, 09:42
    4. Ответов: 1
      Последнее сообщение: 28.11.2008, 17:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01652 seconds with 19 queries