Блокирование рабочего стола и панели задач(очень интересная, новая проблема)

Printable View

10.04.2009, 09:55
1nd1g0

Вложений: 3

Блокирование рабочего стола и панели задач(очень интересная, новая проблема)

Приветствую многоуважаемых коллег и сочувствующих, спасибо вам за то, что все тут собрались!;)

[B]Дано:[/B]

Офисная сеть из 20 машин под управлением WinXP Pro SP2/SP3 ([I]+ все обновления на этот день, IE8[/I]!) с совершенно разными настройками, обновлениями и режимом работы. Из общего - на всех машинах установлена проактивная защита и файервол COMODO (последние обновления, режим защиты - от "безопасного" до "параноидального", т.е. сообщается даже о чтениях реестра) + Avira с максимальным уровнем эвристики и автоудалением зловледов + Утилита касперского (всегда последняя) + AVZ4 + CureIT! + HiJackThis + Autoruns (Sysinternals) и ещё немного утилит. Расшареные папки только на паре машин и сервере, много расшареных принтеров, где нет - отключен протокол сети файлообмена (серверная часть). Сервер постоянно смотрит в инет и раздаёт его NAT, COMODO в режиме параноика, Avira на макс. эвристике, все протоколы\порты, обычно глядящие в инет, отключены\закрыты, в локалку - только NetBios и MS-network.

В интернете юзеры (все!) сидят Opera AC с максимальными блокировками рекламы и скриптов. IE заблокирован и спрятан. Автозапуск со всех дисков и флешек отключен. Свойства ВСЕХ папок сведены к виду "подробная таблица" (то есть запуск заразы открытием папок в режиме эскиза - маловероятно). Можно ещё на пять страниц вывести список того, что настроено и заблокировано для безопасности. Например, везде созданы скрытые и нестираемые папки "autorun.inf", думаю, понятно - зачем.

[B]Проблема:[/B]

Прямо сейчас работать всё труднее. В один час на нескольких машинах (с разными SP вплоть до PreSP4 - то есть SP3 со всеми офиц. исправлениями), включая сервер (COMODO в режиме параноика и полной защиты всего, как помним) нажатия мышки перестали доходить до ярлыков рабочего стола и панели задач\кн. Пуск. [I][B]Не[/B] сразу после ребута! [/I]На некоторых - только десктоп, на других - только панель залочилась. При нажатии выдаётся звук, характерный для нажатия на родительское окно, заблокированное дочерним всплывающим окном, ждущим ввода (в настройках звуков событий ОС это называется "Стандартный звук")
Другими словами над интерфейсом процесса Explorer.exe повисло невидимое "нечто", заблокировавшее собою доступ ко всему ниже себя приоритетом. Перезагрузка НЕ помогает, а вот убийство и перезапуск explorer временно решает проблему. На пол часа работы(

Все остальные приложения, до которых легко добраться по Alt+Tab , работают прекрасно в штатном режиме, клинит только проводник...

[B]НАЖИМАЕМ WIN+D - все окна сворачиваются, и панель с десктопом СТАНОВЯТСЯ ненадолго ДОСТУПНЫ! [/B] То есть эта гадость реально сворачиваема и теряет фокус! И в безопасном режиме, вроде, не проявлялась, но не ждали долго - некогда, надо работать...

[B]Что делалось:[/B]

Жизнь опять показала что избыток опыта вреден и полезно быть проще. Похоже, найдена [b]причина - серьёзная ошибка движка AutoIT, используемого программой MultiAC (компонент Opera AC)[/b]. Компонент ставит хуки на сообщения и "забывает" их отдавать. Пока на 80% уверен что причина в этом. Сетевая зависимость поведения обусловлена автообновлением Opera AC, которое как раз и провоцировало запуск окна MultiAC. Перезагрузка экплорера снимала хуки до следующего срабатывания обновлялки Оперы. Разбираюсь с кодом дальше. [color=Indigo][b]Временное решение - внёс в hosts сервера запись "127.0.0.1 bit-center.ru" чтобы не отключать обновление на всех машинах по одной[/b][/color].
10.04.2009, 10:54
Aleksandra

Прочитайте и выполните [URL="http://virusinfo.info/showthread.php?t=1235"]правила.[/URL]
10.04.2009, 11:09
1nd1g0

Спасибо за терпение, теперь всё в соответствии с правилами, рад любой помощи!
10.04.2009, 11:42
PavelA

Не обижайтесь! Мы работаем по нашим Правилам. 1-ый шаг (анализы) логи с любой из машин Вашей сети. Далее м.б. потребуются логи и других утилит.
10.04.2009, 20:34
1nd1g0

Итак, начну разбор собственных же полётов по логам, пока участники форума читают логи моей системы.

Намеренно делал лог на машине в обычном режиме как раз в момент, когда explorer залочился. Несмотря на закрытие некоторые процессы авиры и комодо упорно висят в памяти и не удаляются ничем, руткит анхукер их, вероятнее всего, удалит, но не стал рисковать вызвать BSOD. Как следствие имеем кучу перехватчиков функций ядра, обусловленную файерволом и авирой, пока удалять их не рискнул ибо в идеале нужна деинсталляция. А после ребута червячок может спрятаться на сутки, проверено.

В автозагрузке не много лишнего, AviraNoAd - моя собственная программа, убирающая рекламные баннеры Авиры.

Подозревал msgina.dll, однако посчитал её хэш и сравнил с другими машинами, нашёл резервные копии систем и убедился, что файл идентичен чистому (читал прямым доступом к винту WinHEX). sfc_os.dll - служба восстановления файлов отключена, однако библиотека упорно висит, хм... Вроде, подписана Мелкософтом, без проблем. spkp.sys - я так понимаю клон sptd.sys, или, скорее всего - авировский демон уровня драйверов..

Как видим, зловред разрешил автозапуск с дисков... (этого не было)

[size="1"][color="#666686"][B][I]Добавлено через 7 часов 17 минут[/I][/B][/color][/size]

Напоминаю о себе и своей беде(
11.04.2009, 10:53
Гриша

В логах чисто...
12.04.2009, 16:22
1nd1g0

Нет ли среди нас специалистов антивирусных лабораторий, готовых потратить немного времени на расследование? Я хоть и не вирусолог, однако на шею садиться не собираюсь и клянчить готового решения - тоже, мне требуется помощь инструментальная, наверняка у коллег есть утилиты, например, отслеживания системы сообщений дабы выяснить на кто перехватывает фокус и обрубает дальнейшую передачу координат мышиного тыка десктопу и панелям.

Каким инструментом (если есть отдельный, небольшой) пользуются вирусологи чтобы отследить обработчкики системных событий, желательно - использующий недокументированные функции либо работающий на уровне ядра? Похоже, надо ловить того, на ком останавливается путь сообщения "мышиный клик" для explorer (кто-то в его памяти, я так понимаю, сидит, вот надо бы вычислить библиотеку).

На данный момент у меня идея - запустить на заражённых машинах procmon (Sysinternals) в режиме полного лога и ждать пока произойдёт лок десктопа, потом от обратного трассировать - по факту проигрывания системного звука смотреть, кто его запросил и по какому поводу. Очень не хочется ставить на чужие машины, постоянно работающие, SoftICE, WinHEX или OllyDBG с IDA (( Я уже лет 8 не брался за них. Прошу о помощи, а пока поставлю сниффер и буду смотреть на гигабайты хлама - вдруг увижу как оно расползается...

Повешу в сеть виртуальную машину безо всякой защиты с кучей открытых портов, сделаю её образ и буду надеяться что её также заразит... Но это очень длительные решения, а офис испытывает тем временем серьёзные трудности, шеф уже косо смотрит((
12.04.2009, 16:59
Alexey P.

Сорри за тупую подсказку, но все виденные мной сегодня винлокеры лежали в \Documents and Settings\All users\Application Data\blocker.exe
Такого файла часом нету ?
12.04.2009, 17:17
1nd1g0

Спасибо за ответ. А не подскажите обычный механизм его загрузки по статистике? Вырезал из авторана всё , грузится, собака, и вообще не ясно как эта хрень прошла сквозь COMODO на уровне защиты "параноидальный", он лочит вообще все операции с сетью, файлами и реестром; особенно - на авторан. Неужели там нолики в ветви реестра и он их тупо не может просканировать... Хм... Кстати, файл я такой где-то видел, вы правы, но давно. Мне интересно выработать методику защиты и борьбы, пока готовые продукты бесполезны во всей своей массе, проверил уже и Symantec - в упор не видит ничего, не зависимо от того, с самой ли системы пускаешь или проверял винт извне. Я грешу на dll у процессов логона и проводника. Буду на месте - перерою всех.

Вырезаю вообще всё, что отличается от чистой установки винды, благо давно делаю снимки системы тем же AVZ4, всё равно пока сидит, но я не всё урезал. Убью ещё авиру и комодо, вот будет смеху если он в них подгружался...
12.04.2009, 17:43
Зайцев Олег

[QUOTE=1nd1g0;386413]Нет ли среди нас специалистов антивирусных лабораторий, готовых потратить немного времени на расследование? Я хоть и не вирусолог, однако на шею садиться не собираюсь и клянчить готового решения - тоже, мне требуется помощь инструментальная, наверняка у коллег есть утилиты, например, отслеживания системы сообщений дабы выяснить на кто перехватывает фокус и обрубает дальнейшую передачу координат мышиного тыка десктопу и панелям.[/QUOTE]
Для начала я посоветую взять проблемную машину (известно же, что проблема повторяема - и ждать нужно сравнительно недолго, можно для опыта выделить 2-3 ПК), и
1. Отключить ей сеть (физически), перезагрузить ПК и наблюдать. Если проблема не проявится длительное время, то можно грешить на некую атаку из ЛВС, нарушающую работу ПК
2. Вернуть сеть, деинсталлировать Firewall и антивирус и понаблюдать, что будет - проявится эта проблема или нет.

Скорее всего п.п. 1 не решит проблему, в то время как п.п. 2 - решит. После этого можно делать выводы ...
12.04.2009, 19:12
Alexey P.

Вообще всё описанное могут сделать и авира с комодо на пару.
12.04.2009, 19:20
1nd1g0

Как грамотный параноик в первые минуты заразы (ещё три дня назад) я отключил сеть ВООБЩЕ. Зараза перестала распространяться, но проявляться продолжала (отсюда мои выводы о том, что это автозагрузка\known dll etc.). Собственно, я потому и решил что червь сетевой. Тем более, что первыми попадали те, у кого открыта служба Сервер и расшарен принтер.

До первого пострадавшего комодо был в паранойде только на админском компе и сервере, сервер залочился, админский - нет, причина в закрытых шарах последнего.

Авиру вырезал, один шут - десктоп лочится намертво. После чего как раз и поставил всем шпионы, логгеры и COMODO, завтра запущу с начала раб. дня логгеры и за одно - виртуальную винду с шарами без софта и без паролей, посмотрим что с ней будет и что В ней будет.

Что интересно, проявляется гадость спонтанно. Самый первый больной теперь вообще затих и прикинулся здоровым, на всякий случай комодоизирован на паранойде. Самые последние больные периодически всплывают вновь не смотря на параноидального комодо.

Зайцеву Олегу гигантский респект за программу;)

Спасибо юзеру SLAVCHIK за наводку, проверяю...

Жизнь опять показала что избыток опыта вреден и полезно быть проще. Похоже, найдена причина - серьёзная ошибка движка AutoIT, используемого программой MultiAC (компонент Opera AC). Компонент ставит хуки на сообщения и "забывает" их отдавать. Пока на 80% уверен что причина в этом. Сетевая зависимость поведения обусловлена автообновлением Opera AC, которое как раз и провоцировало запуск окна MultiAC. Разбираюсь с кодом дальше. Временное решение - внёс в hosts сервера запись "127.0.0.1 bit-center.ru" чтобы не отключать обновление на всех машинах по одной.