Маскирующийся процесс - периодически пытается выйти в инет, часто подвешивает систему
Добрый день!
Столкнулся с весьма неприятной штуковиной. Началось с того, что Kerio Personal Firewall начал сообщать о попытках некоторого процесса с именем "??" добраться то интернет-соединения. После нескольких безуспешных попыток определить, какой именно модуль это делает я просто полностью заблокировал для "??" все сетевые соединения.
После этого периодически при загрузке системы стало появляться сообщение о сбое в svchost.exe.
Помимо этого довольно часто стала подвисать система (Windows XP), причем достаточно оригинально. Намертво зависает explorer.exe (перестает реагировать на мышь таскбар, не работают горячие клавиши, в том числе и Ctrl+Shift+ESC) - все запущенные до момента его зависания приложения функционируют нормально. Однако перезапуск explorer.exe становится невозможным. После его закрытия и повторного запуска процесс explorer.exe подвисает еще до того, как появится таскбар. Система перестает реагировать на Ctrl+Alt+Del (на секунду появляется курсор в виде стрелки с песочными часами, но потом ничего не происходит). Перезагрузка системы возможна только аппаратным ресетом.
Просмотрев список процессов в AVZ сразу видел злополучный процесс с именем "????????????????????". Причем загружается он не сразу, т.к. после старта системы часто его не видно, но он запускается позже. Точнее он загружен как DLL-модуль в пространство svchost.exe и имеет забавный хэндл = 01000000 (всегда один и тот же). Размер модуля окло 27кб (точно сейчас сказать не могу, т.к. модуля сейчас в памяти нет).
Еще бросилось в глаза присутствие в списке модулей пространства ядра некоего загадочного модуля. При каждой загрузке системы он имеет другое имя (сейчас - aikn0t2v.SYS, в прошлый раз - a8jsd3z.SYS). При этом таких файлов в \System32\Drivers нет. Имеет размер 303104 байта.
Прикладываю логи согласно правилам форума.
Заранее спасибо всем, кто откликнется.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Добрый день!
Еще бросилось в глаза присутствие в списке модулей пространства ядра некоего загадочного модуля. При каждой загрузке системы он имеет другое имя (сейчас - aikn0t2v.SYS, в прошлый раз - a8jsd3z.SYS). При этом таких файлов в \System32\Drivers нет. Имеет размер 303104 байта.
Прикладываю логи согласно правилам форума.
Заранее спасибо всем, кто откликнется.
Это драйвер от Daemon Tools. Он меняет имя после каждой перезагрузки.
По делу: восстановление системы надо отключить.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Хм, насчет драйвера Daemon Tools было подозрение, т.к. в дампе видел строку "c:\dtscsi", но не был до конца уверен. Спасибо.
Насчет восстановления системы - вроде в правилах есть пункт о том, что если пользователь достаточно продвинут, то можно этого не делать. По логам видно, что в базах system restore чисто, если не считать ложного срабатывания на безобидном INF-файле со следующим содержимым:
Насчет восстановления системы - вроде в правилах есть пункт о том, что если пользователь достаточно продвинут, то можно этого не делать. По логам видно, что в базах system restore чисто, если не считать ложного срабатывания на безобидном INF-файле со следующим содержимым:
[dbase]
MDX=QRSymbol
UIDX=PRIMARYKEY
Просто есть вероятность того, что болячка будет восстанавливаться из system restore.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Стандартные способы не пройдут. Для АВЗ знак вопроса - маска поиска.
Есть мысль, что в имени процесса имеются иероглифы или что-то подобное.
Для начала: в АВЗ включить AVZ Guard. Затем
Сервис -- диспетчер процессов -- сбоку кнопочка "копировать в карантин".
Попробовал - ничего не вышло. AVZ выдает в лог ошибку о том, что прямое чтение файла не удалось, т.к. путь к файлу некорректный.
Дамп злополучного процесса с именем ??????? сделать так же невозможно из-за того, что AVZ пытается создать файл с именем процесса. Если бы он предлагал выбрать имя файла, хотя бы с дампом проблемы бы не было.
В общем я еще внимательно проанализировал все и понял, что в ????????? превращается обычный svchost.exe (т.к. все экземпляры этого модуля имеют один и тот же хэндл и размер). Точно такие же значения и у процесса ????????.
Но выяснить какая же гадина маскирует себя в этом процессе до сих пор не удается.
Проанализировал ее попытки выбраться в инет и осознал следующее - зараза пытается соединиться с IP, который резолвится в sv02.coolfreesearch.com. т.е. на известный источник адварей.
Делаю "Добавление в карантин по списку", указав файл C:\WINDOWS\system32\svchost.exe, но в карантин ничего не попадает. Это из-за того, что svchost.exe распознается AVZ как безопасный файл (в списке процессов он отображается зеленым цветом)?
Да. Безопасные файлы AVZ в карантин не добавляет.
Если уж присылать, то дами памяти модуля с именем ?????????. Дамп можно сделать через диспетчер процессов - нижняя кнопка слева от списка модулей.
Надо скачать ProcessExplorer от Русиновича и при помощи ее поизучать систему. Лежит на www.sysinternals.com
Да, этим инструментом я сначала и изучал, т.к. про AVZ не знал. В нем картина такая: подпорченный svchost.exe отображается как модуль с именем svchost.exe, но полный путь к модулю все равно ?????????. Поэтому часть операций над ним тоже не возможна. Да и выудить там сложно что-либо полезное.
В общем пока вижу свое спасение в каком-нибудь продвинутом хуке функций работы с сокетами. Чтобы протоколировал момент создания соединения с указанным IP-адресом и делал дамп стека. Тогда можно будет сказать точно какой модуль лезет на адварный сервер. А это уже что-то.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: