Маскирующийся процесс - периодически пытается выйти в инет, часто подвешивает систему

Добрый день!

Столкнулся с весьма неприятной штуковиной. Началось с того, что Kerio Personal Firewall начал сообщать о попытках некоторого процесса с именем "??" добраться то интернет-соединения. После нескольких безуспешных попыток определить, какой именно модуль это делает я просто полностью заблокировал для "??" все сетевые соединения.

После этого периодически при загрузке системы стало появляться сообщение о сбое в svchost.exe.

Помимо этого довольно часто стала подвисать система (Windows XP), причем достаточно оригинально. Намертво зависает explorer.exe (перестает реагировать на мышь таскбар, не работают горячие клавиши, в том числе и Ctrl+Shift+ESC) - все запущенные до момента его зависания приложения функционируют нормально. Однако перезапуск explorer.exe становится невозможным. После его закрытия и повторного запуска процесс explorer.exe подвисает еще до того, как появится таскбар. Система перестает реагировать на Ctrl+Alt+Del (на секунду появляется курсор в виде стрелки с песочными часами, но потом ничего не происходит). Перезагрузка системы возможна только аппаратным ресетом.

Просмотрев список процессов в AVZ сразу видел злополучный процесс с именем "????????????????????". Причем загружается он не сразу, т.к. после старта системы часто его не видно, но он запускается позже. Точнее он загружен как DLL-модуль в пространство svchost.exe и имеет забавный хэндл = 01000000 (всегда один и тот же). Размер модуля окло 27кб (точно сейчас сказать не могу, т.к. модуля сейчас в памяти нет).

Еще бросилось в глаза присутствие в списке модулей пространства ядра некоего загадочного модуля. При каждой загрузке системы он имеет другое имя (сейчас - aikn0t2v.SYS, в прошлый раз - a8jsd3z.SYS). При этом таких файлов в \System32\Drivers нет. Имеет размер 303104 байта.

Прикладываю логи согласно правилам форума.

Заранее спасибо всем, кто откликнется.

[QUOTE=bstone;114644]Добрый день!
Еще бросилось в глаза присутствие в списке модулей пространства ядра некоего загадочного модуля. При каждой загрузке системы он имеет другое имя (сейчас - aikn0t2v.SYS, в прошлый раз - a8jsd3z.SYS). При этом таких файлов в \System32\Drivers нет. Имеет размер 303104 байта.

Прикладываю логи согласно правилам форума.

Заранее спасибо всем, кто откликнется.[/QUOTE]

Это драйвер от Daemon Tools. Он меняет имя после каждой перезагрузки.

По делу: восстановление системы надо отключить.

Хм, насчет драйвера Daemon Tools было подозрение, т.к. в дампе видел строку "c:\dtscsi", но не был до конца уверен. Спасибо.

Насчет восстановления системы - вроде в правилах есть пункт о том, что если пользователь достаточно продвинут, то можно этого не делать. По логам видно, что в базах system restore чисто, если не считать ложного срабатывания на безобидном INF-файле со следующим содержимым:

[dbase]
MDX=QRSymbol
UIDX=PRIMARYKEY

[QUOTE=bstone;114647]
Насчет восстановления системы - вроде в правилах есть пункт о том, что если пользователь достаточно продвинут, то можно этого не делать. По логам видно, что в базах system restore чисто, если не считать ложного срабатывания на безобидном INF-файле со следующим содержимым:

[dbase]
MDX=QRSymbol
UIDX=PRIMARYKEY[/QUOTE]

Просто есть вероятность того, что болячка будет восстанавливаться из system restore.

Согласен, но для начала нужно придумать, как ее удалить :)

[QUOTE=bstone;114656]Согласен, но для начала нужно придумать, как ее удалить :)[/QUOTE]
Стандартные способы не пройдут. Для АВЗ знак вопроса - маска поиска.
Есть мысль, что в имени процесса имеются иероглифы или что-то подобное.

Для начала: в АВЗ включить AVZ Guard. Затем
Сервис -- диспетчер процессов -- сбоку кнопочка "копировать в карантин".

Давайте попробуем вот такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\fwdrv.sys','');
BC_QrSvc('fwdrv');
BC_QrFile('C:\WINDOWS\system32\drivers\fwdrv.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите содержимое карантина согласно приложению 3 правил.

[quote=PavelA;114657]
Для начала: в АВЗ включить AVZ Guard. Затем
Сервис -- диспетчер процессов -- сбоку кнопочка "копировать в карантин".[/quote]
Я пробовал этот вариант, правда без AVZGuard. AVZ выдал ошибку о том, что путь к файлу не найден.

Попробую с AVZGuard, когда снова увижу в памяти этот процесс.

[quote=Bratez;114667]Давайте попробуем вот такой скрипт:
...
После перезагрузки пришлите содержимое карантина согласно приложению 3 правил.[/quote]
Сделано - 070608_160644_virus_4669465420107.zip. Но это ж, вроде, драйвер от Kerio Personal Firewall.

[QUOTE]Но это ж, вроде, драйвер от Kerio Personal Firewall.[/QUOTE]
Да, файл действительно чистый.

[quote=PavelA;114657]Стандартные способы не пройдут. Для АВЗ знак вопроса - маска поиска.
Есть мысль, что в имени процесса имеются иероглифы или что-то подобное.

Для начала: в АВЗ включить AVZ Guard. Затем
Сервис -- диспетчер процессов -- сбоку кнопочка "копировать в карантин".[/quote]
Попробовал - ничего не вышло. AVZ выдает в лог ошибку о том, что прямое чтение файла не удалось, т.к. путь к файлу некорректный.

Дамп злополучного процесса с именем ??????? сделать так же невозможно из-за того, что AVZ пытается создать файл с именем процесса. Если бы он предлагал выбрать имя файла, хотя бы с дампом проблемы бы не было.

В общем я еще внимательно проанализировал все и понял, что в ????????? превращается обычный svchost.exe (т.к. все экземпляры этого модуля имеют один и тот же хэндл и размер). Точно такие же значения и у процесса ????????.

Но выяснить какая же гадина маскирует себя в этом процессе до сих пор не удается.

Проанализировал ее попытки выбраться в инет и осознал следующее - зараза пытается соединиться с IP, который резолвится в sv02.coolfreesearch.com. т.е. на известный источник адварей.

Идей же насчет избавления от нее пока нет.

Давайте, что ли, на svchost посмотрим... заархивируйте с паролем virus и пришлите по правилам. Будем думать.

Делаю "Добавление в карантин по списку", указав файл C:\WINDOWS\system32\svchost.exe, но в карантин ничего не попадает. Это из-за того, что svchost.exe распознается AVZ как безопасный файл (в списке процессов он отображается зеленым цветом)?

Да. Безопасные файлы AVZ в карантин не добавляет.
Если уж присылать, то дами памяти модуля с именем ?????????. Дамп можно сделать через диспетчер процессов - нижняя кнопка слева от списка модулей.

PS. А лечить проблему следует на [url]http://windowsupdate.microsoft.com/[/url] IMHO

@Andreyka См. неск. сообщений выше. Дамп не снимается. АВЗ не может сохранить файл с таким именем.

Надо скачать ProcessExplorer от Русиновича и при помощи ее поизучать систему. Лежит на [url]www.sysinternals.com[/url]

[quote=PavelA;115846]Надо скачать ProcessExplorer от Русиновича и при помощи ее поизучать систему. Лежит на [URL="http://www.sysinternals.com"]www.sysinternals.com[/URL][/quote]
Да, этим инструментом я сначала и изучал, т.к. про AVZ не знал. В нем картина такая: подпорченный svchost.exe отображается как модуль с именем svchost.exe, но полный путь к модулю все равно ?????????. Поэтому часть операций над ним тоже не возможна. Да и выудить там сложно что-либо полезное.

В общем пока вижу свое спасение в каком-нибудь продвинутом хуке функций работы с сокетами. Чтобы протоколировал момент создания соединения с указанным IP-адресом и делал дамп стека. Тогда можно будет сказать точно какой модуль лезет на адварный сервер. А это уже что-то.

Попробуйте [url]http://virusinfo.info/showthread.php?t=6287[/url]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]