Симуляция клавиатурного ввода "testestestestestest"

Симптомы:

1) Симулируется клавиатурный ввод повторяющегося слова "test". Не успел рассмотреть до удаления пользователем, но припоминаю даже не "test", а повторы "est": "estestestestestest" (длина вводимой строки примерно 50 символов. Симптом впервые появился 5 часов назад, через пару часов проявился во второй раз.

2) Система немедленно падает в BSOD (IRQL_NOT_LESS_OR_EQUAL) или перестает реагировать на мышь/клаву при большом трафике по локальной сети. Маленький трафик (единицы килобайт) проходит без зависания. Симптом появился 8 часов назад.

3) Локально или при обмене с интернетом - поведение системы почти нормальное. Но примерно раз в два дня - BSOD.
Симптом появился три недели назад.

ПРИМЕЧАНИЕ. Система обработана XPLite, так что сообщения AVZ о запущенных службах SystemRestore и Messenger - ошибочны, этих служб нет.

Первым делом пробовал поиск по форуму и поиск в интернете, но осознал, что я (или искалки) не умеем искать по фрагменту слова.

Пишу с другой машины, вложить файлы в сообщение не смог, выложил их в сеть:
[URL]http://tmp.pisatel.com/virusinfo_syscure.zip[/URL]

[URL]http://tmp.pisatel.com/virusinfo_syscheck.zip[/URL]

[URL]http://tmp.pisatel.com/hijackthis.zip[/URL]

autoex.cmd в Автозагрузке - это ваше?

Симптом 1 - это работа антикейлоггера AVZ, свернутого в трей. Он имитирует клавиатурный ввод в процессе поведенческого анализа кейхуков, чтобы изучить, как их DLL реагруют на клавиатурные и мышиные события.

Стоит для начала обновить все драйверы. Особенно мамы, видеокарты и сети. Старые драйверы часто приводят к зависанию и BSoD

Спасибо всем ответившим.
Теперь, после объяснения причины "симптома 1", самым подозрительным моментом являются строки AVZ-протокола о модификации машинного кода в ядре ntoskrnl.exe
Что бы это значило?

Примечание: autoex.cmd - мой файл.

Обновить драйверы? - в моем случае нелогично. Потому что последние изменения в системе делались больше двух месяцев назад. А установка всяческих компонентов через браузер - отключена.
Значит, после последней установки софта система проработала:
- сначала больше месяца без проблем;
- затем пару недель с BSOD два-три раза в неделю;
- вчера полный день без проблем;
- сегодня с начала рабочего дня - симптом 2.
То есть, "симптом 2" возник внезапно, без видимых причин.

Конкретно что пишется при БСОДе?

Похоже, мы с вами вышли на финишную прямую в устранении проблемы.

При отключении автозагрузки любых модулей антивируса DrWeb 4.33 и файрвола Outpost 1.0, "симптом 2" исчез.
Конечно, AVZ-сканирование я делал тоже при отключенных антивирусе и файрволе, но скорее всего оставалась загружена какая-то из служб антивируса. Просмотрел, извините.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[quote=Alex_Goodwin;170251]Конкретно что пишется при БСОДе?[/quote]

В WinXPsp1rus BSOD русифицирован, пишутся крякозябры.

пуск-выполнить-%systemroot%\minidump-ок

собрать несколько последних, приложить.

[QUOTE=Андрей Ильин;170284]При отключении автозагрузки любых модулей антивируса DrWeb 4.33 и файрвола Outpost 1.0, "симптом 2" исчез.[/QUOTE]
ЕМНИП, я где-то здесь читал о плохой совместимости OP1 с XP SP2. А Доктора надо либо обновлять до актуальной версии 4.44, либо убирать навовсе, чтобы не создавал иллюзию защищённости.
Да, при совместной работе Доктора и OP требуется настройка исключений в Спайдере.

[quote=pig;170447]при совместной работе Доктора и OP требуется настройка исключений в Спайдере.[/quote]

Пожалуйста, подскажите, где искать эту информацию? Может быть, на форуме ixbt в ветке про outpost?

На forum.drweb.com перечислялись файлы. Только не от OP1, а от более поздней версии.
Можно сделать так:
- включить в Спайдере полный лог (чтобы мена проверяемых объектов писались)
- поработать
- открыть лог и посмотреть, какие файлы Спайдер постоянно проверяет
- настроить исключения
- настройки лога вернуть в исходное положение

[quote=Shu_b;170298]пуск-выполнить-%systemroot%\minidump-ок
собрать несколько последних, приложить.[/quote]
Извините, долго не отвечал, потому что минидамп был отключен. Включил, стал ждать BSOD - не дождался, спровоцировал его (появился при AVZ-сканировании диска). Повторные сканирования прошли до конца, повторить провокацию не удалось.

Выслал всего лишь два минидампа: больше пока нету.

Куда выслали?

Первый от видеокарты или её драйверов,
Второй от Оутпоста.
и Windows XP Service Pack 1 - тоже большая проблема.
[CODE]Windows XP Kernel Version 2600 (Service Pack 1) UP Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 2600.xpsp1.020828-1920
Kernel base = 0x804d4000 PsLoadedModuleList = 0x8054be30
Debug session time: Mon Jan 7 19:00:45.148 2008 (GMT+3)
System Uptime: 0 days 5:29:36.129
Loading Kernel Symbols
...........................................................................
Loading User Symbols
Mini Kernel Dump does not contain unloaded driver list
Unable to load image nv4_disp.dll, Win32 error 2
*** WARNING: Unable to verify timestamp for nv4_disp.dll
*** ERROR: Module load completed but symbols could not be loaded for nv4_disp.dll
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck EA, {81d73270, 8224e320, 82248d78, 1}

Probably caused by : nv4_disp.dll ( nv4_disp+73287 )

Followup: MachineOwner
---------
[/CODE]
[CODE]Windows XP Kernel Version 2600 (Service Pack 1) UP Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 2600.xpsp1.020828-1920
Kernel base = 0x804d4000 PsLoadedModuleList = 0x8054be30
Debug session time: Fri Jan 11 21:19:56.778 2008 (GMT+3)
System Uptime: 0 days 0:13:47.408
Loading Kernel Symbols
................................................................................
Loading User Symbols
Loading unloaded module list
.........
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck A, {47051c, 2, 0, 804d483f}

Unable to load image FILTNT.SYS, Win32 error 2
*** WARNING: Unable to verify timestamp for FILTNT.SYS
*** ERROR: Module load completed but symbols could not be loaded for FILTNT.SYS
Unable to load image RTL8139.SYS, Win32 error 2
*** WARNING: Unable to verify timestamp for RTL8139.SYS
*** ERROR: Module load completed but symbols could not be loaded for RTL8139.SYS
Probably caused by : memory_corruption

Followup: memory_corruption
---------

[/CODE]

Большое спасибо Shu_b.
Создается впечатление, что вирусы вообще ни при чем...

Что же тогда означают строки в AVZ-логе насчет модификации машиного кода, это нормально ли:
[quote]Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D4000
SDT = 8054AEC0
KiST = 80502588 (284)
Функция IoEnumerateDeviceObjectList (804D4A1A) - модификация машинного кода. Метод не определен., внедрение с байта 15
Функция IoGetLowerDeviceObject (804D4999) - модификация машинного кода. Метод не определен., внедрение с байта 5
Функция IoInitializeIrp (804D483C) - модификация машинного кода. Метод не определен., внедрение с байта 6
Функция KeInsertHeadQueue (804D47FF) - модификация машинного кода. Метод не определен., внедрение с байта 5
[/quote]Может быть, эти сообщения вызваны крэком reset5/srvany ?

Сообщаю, чем закончился поиск причины "модификации машинного кода" в исследуемой системе. (закончился-то он на следующий день, а отчитываюсь много позже, простите)

Развернул я систему из образа двухлетней давности. Там была чистая установка WindowsSP1 + reset5. Так вот, в той системе AVZ показал те же самые "модификации машинного кода" в тех же самых местах. Таким образом выяснилось, что эти сообщения не связаны с повреждением ОС, а существовали с самого начала, в устойчивой версии системы.

Большое спасибо всем, кто любезно помогал мне.