Показано с 1 по 17 из 17.

Маскирующийся процесс - периодически пытается выйти в инет, часто подвешивает систему (заявка № 10249)

  1. #1
    Junior Member Репутация
    Регистрация
    08.06.2007
    Сообщений
    7
    Вес репутации
    62

    Question Маскирующийся процесс - периодически пытается выйти в инет, часто подвешивает систему

    Добрый день!

    Столкнулся с весьма неприятной штуковиной. Началось с того, что Kerio Personal Firewall начал сообщать о попытках некоторого процесса с именем "??" добраться то интернет-соединения. После нескольких безуспешных попыток определить, какой именно модуль это делает я просто полностью заблокировал для "??" все сетевые соединения.

    После этого периодически при загрузке системы стало появляться сообщение о сбое в svchost.exe.

    Помимо этого довольно часто стала подвисать система (Windows XP), причем достаточно оригинально. Намертво зависает explorer.exe (перестает реагировать на мышь таскбар, не работают горячие клавиши, в том числе и Ctrl+Shift+ESC) - все запущенные до момента его зависания приложения функционируют нормально. Однако перезапуск explorer.exe становится невозможным. После его закрытия и повторного запуска процесс explorer.exe подвисает еще до того, как появится таскбар. Система перестает реагировать на Ctrl+Alt+Del (на секунду появляется курсор в виде стрелки с песочными часами, но потом ничего не происходит). Перезагрузка системы возможна только аппаратным ресетом.

    Просмотрев список процессов в AVZ сразу видел злополучный процесс с именем "????????????????????". Причем загружается он не сразу, т.к. после старта системы часто его не видно, но он запускается позже. Точнее он загружен как DLL-модуль в пространство svchost.exe и имеет забавный хэндл = 01000000 (всегда один и тот же). Размер модуля окло 27кб (точно сейчас сказать не могу, т.к. модуля сейчас в памяти нет).

    Еще бросилось в глаза присутствие в списке модулей пространства ядра некоего загадочного модуля. При каждой загрузке системы он имеет другое имя (сейчас - aikn0t2v.SYS, в прошлый раз - a8jsd3z.SYS). При этом таких файлов в \System32\Drivers нет. Имеет размер 303104 байта.

    Прикладываю логи согласно правилам форума.

    Заранее спасибо всем, кто откликнется.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от bstone Посмотреть сообщение
    Добрый день!
    Еще бросилось в глаза присутствие в списке модулей пространства ядра некоего загадочного модуля. При каждой загрузке системы он имеет другое имя (сейчас - aikn0t2v.SYS, в прошлый раз - a8jsd3z.SYS). При этом таких файлов в \System32\Drivers нет. Имеет размер 303104 байта.

    Прикладываю логи согласно правилам форума.

    Заранее спасибо всем, кто откликнется.
    Это драйвер от Daemon Tools. Он меняет имя после каждой перезагрузки.

    По делу: восстановление системы надо отключить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    08.06.2007
    Сообщений
    7
    Вес репутации
    62
    Хм, насчет драйвера Daemon Tools было подозрение, т.к. в дампе видел строку "c:\dtscsi", но не был до конца уверен. Спасибо.

    Насчет восстановления системы - вроде в правилах есть пункт о том, что если пользователь достаточно продвинут, то можно этого не делать. По логам видно, что в базах system restore чисто, если не считать ложного срабатывания на безобидном INF-файле со следующим содержимым:

    [dbase]
    MDX=QRSymbol
    UIDX=PRIMARYKEY

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от bstone Посмотреть сообщение
    Насчет восстановления системы - вроде в правилах есть пункт о том, что если пользователь достаточно продвинут, то можно этого не делать. По логам видно, что в базах system restore чисто, если не считать ложного срабатывания на безобидном INF-файле со следующим содержимым:

    [dbase]
    MDX=QRSymbol
    UIDX=PRIMARYKEY
    Просто есть вероятность того, что болячка будет восстанавливаться из system restore.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    08.06.2007
    Сообщений
    7
    Вес репутации
    62
    Согласен, но для начала нужно придумать, как ее удалить

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от bstone Посмотреть сообщение
    Согласен, но для начала нужно придумать, как ее удалить
    Стандартные способы не пройдут. Для АВЗ знак вопроса - маска поиска.
    Есть мысль, что в имени процесса имеются иероглифы или что-то подобное.

    Для начала: в АВЗ включить AVZ Guard. Затем
    Сервис -- диспетчер процессов -- сбоку кнопочка "копировать в карантин".
    Последний раз редактировалось PavelA; 08.06.2007 в 13:47.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Давайте попробуем вот такой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\fwdrv.sys','');
    BC_QrSvc('fwdrv');
    BC_QrFile('C:\WINDOWS\system32\drivers\fwdrv.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите содержимое карантина согласно приложению 3 правил.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    08.06.2007
    Сообщений
    7
    Вес репутации
    62
    Цитата Сообщение от PavelA Посмотреть сообщение
    Для начала: в АВЗ включить AVZ Guard. Затем
    Сервис -- диспетчер процессов -- сбоку кнопочка "копировать в карантин".
    Я пробовал этот вариант, правда без AVZGuard. AVZ выдал ошибку о том, что путь к файлу не найден.

    Попробую с AVZGuard, когда снова увижу в памяти этот процесс.

    Цитата Сообщение от Bratez Посмотреть сообщение
    Давайте попробуем вот такой скрипт:
    ...
    После перезагрузки пришлите содержимое карантина согласно приложению 3 правил.
    Сделано - 070608_160644_virus_4669465420107.zip. Но это ж, вроде, драйвер от Kerio Personal Firewall.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Но это ж, вроде, драйвер от Kerio Personal Firewall.
    Да, файл действительно чистый.

  11. #10
    Junior Member Репутация
    Регистрация
    08.06.2007
    Сообщений
    7
    Вес репутации
    62
    Цитата Сообщение от PavelA Посмотреть сообщение
    Стандартные способы не пройдут. Для АВЗ знак вопроса - маска поиска.
    Есть мысль, что в имени процесса имеются иероглифы или что-то подобное.

    Для начала: в АВЗ включить AVZ Guard. Затем
    Сервис -- диспетчер процессов -- сбоку кнопочка "копировать в карантин".
    Попробовал - ничего не вышло. AVZ выдает в лог ошибку о том, что прямое чтение файла не удалось, т.к. путь к файлу некорректный.

    Дамп злополучного процесса с именем ??????? сделать так же невозможно из-за того, что AVZ пытается создать файл с именем процесса. Если бы он предлагал выбрать имя файла, хотя бы с дампом проблемы бы не было.

    В общем я еще внимательно проанализировал все и понял, что в ????????? превращается обычный svchost.exe (т.к. все экземпляры этого модуля имеют один и тот же хэндл и размер). Точно такие же значения и у процесса ????????.

    Но выяснить какая же гадина маскирует себя в этом процессе до сих пор не удается.

    Проанализировал ее попытки выбраться в инет и осознал следующее - зараза пытается соединиться с IP, который резолвится в sv02.coolfreesearch.com. т.е. на известный источник адварей.

    Идей же насчет избавления от нее пока нет.

  12. #11
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838
    Давайте, что ли, на svchost посмотрим... заархивируйте с паролем virus и пришлите по правилам. Будем думать.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  13. #12
    Junior Member Репутация
    Регистрация
    08.06.2007
    Сообщений
    7
    Вес репутации
    62
    Делаю "Добавление в карантин по списку", указав файл C:\WINDOWS\system32\svchost.exe, но в карантин ничего не попадает. Это из-за того, что svchost.exe распознается AVZ как безопасный файл (в списке процессов он отображается зеленым цветом)?

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Да. Безопасные файлы AVZ в карантин не добавляет.
    Если уж присылать, то дами памяти модуля с именем ?????????. Дамп можно сделать через диспетчер процессов - нижняя кнопка слева от списка модулей.

    PS. А лечить проблему следует на http://windowsupdate.microsoft.com/ IMHO

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    @Andreyka См. неск. сообщений выше. Дамп не снимается. АВЗ не может сохранить файл с таким именем.

    Надо скачать ProcessExplorer от Русиновича и при помощи ее поизучать систему. Лежит на www.sysinternals.com
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    08.06.2007
    Сообщений
    7
    Вес репутации
    62
    Цитата Сообщение от PavelA Посмотреть сообщение
    Надо скачать ProcessExplorer от Русиновича и при помощи ее поизучать систему. Лежит на www.sysinternals.com
    Да, этим инструментом я сначала и изучал, т.к. про AVZ не знал. В нем картина такая: подпорченный svchost.exe отображается как модуль с именем svchost.exe, но полный путь к модулю все равно ?????????. Поэтому часть операций над ним тоже не возможна. Да и выудить там сложно что-либо полезное.

    В общем пока вижу свое спасение в каком-нибудь продвинутом хуке функций работы с сокетами. Чтобы протоколировал момент создания соединения с указанным IP-адресом и делал дамп стека. Тогда можно будет сказать точно какой модуль лезет на адварный сервер. А это уже что-то.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) bstone, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 30.03.2012, 10:09
    2. Ответов: 14
      Последнее сообщение: 17.08.2011, 21:26
    3. Ответов: 11
      Последнее сообщение: 20.09.2010, 17:37
    4. процесс trffc.org.exe пытается выйти в Инет
      От HB_union в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 02:57
    5. Процесс kernel периодически грузит на 40%
      От Sandor в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 15.05.2008, 19:28

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01188 seconds with 20 queries