LSASS.EXE и попытки взаимодействия с памятью

Некоторое время назад начал обращать внимание на странное поведение системы.

при старте ОС системный процесс [B]LSASS.EXE[/B] пытается получить контроль над памятью процесса файлового менеджера [B]DOPUS.EXE[/B] (Directory Opus). В случае разрешения внедрения — всё идёт в обычном ключе. Если внедрение запретить — исчезает возможность подключиться к интернету (при попытке запуска подключения к интернету (именно к интернету, LAN работает корректно) система ссылается на [B]ошибку 711[/B], что, AFAIK, значит остановку необходимой для запуска диспетчера подключений службы). Ручной мониторинг служб через стандартные средства ОС и сторонние приложения показывает, что все необходимые службы запущены. Их перезапуск положения не меняет.

Спустя несколько дней ситуация усугубилась — началось всё с попытки Directory Opus получить сетевой доступ (по-дефолту допускаются его обращения только на адрес 1го FTP. на остальные обращения включен "режим обучения"). При этом ситуация никак не предполагала сетевой активности приложения. Не происходило никакой попытки обращения к сетевым ресурсам и/или обновления ПО. Попытка была заблокирована, адрес обращения неизвестен. В дальнейшем подобных попыток не зафиксировано.

Дальше — хуже. На данный момент даже простой запуск файлового менеджера в 3/4 случаях приводит к остановке системы. Симптомы: Загрузка ЦП доходит до 100% (грузит процесс [B]EKRN.EXE[/B], т.е. NOD32 v4). Причём физического сканирования HDD не идёт. Активность жёсткого — нулевая. Иногда помогает отключение через трей-меню NOD'a опции "защита файловой системы в режиме реального времени". Стоит отметить, что зависание (и загрузка ЦПУ) происходит не сразу, а спустя 30-40 секунд от начала работы с файловым менеджером.

Попытки сканирования NOD'ом (автообновление баз раз в 2 часа все последние месяцы), Cure It от Dr.Web'a (скачан этой ночью), AVZ (обновления от сегодняшнего утра) приводят к сравнительно одинаковым результатам — сканирование идёт спокойно, не находит ничего, но на какой-то определённом моменте происходит ступор, сканер умирает и не реагирует на внешние команды. e.g. ситуация строго идентичная той, что бывает при попытке запуска Directory Opus.
Единственное что — NOD сканирование проводит без убийства системы (правда всё-равно не находит ничего). А Cure It нашла какой-то скриптик _вероятно_ вредоносный в папке Оперы. В остальном всё чисто.

Интересные факты:
Так-же были зафиксированы попытки [B]LSASS.EXE[/B] обратиться к памяти антивируса и [B]EHttpSrv.EXE[/B] (локальный сервер обновлений для NOD'a) и [B]DUTRAFFIC.EXE[/B] (в случае с Дутраффиком - довольно часто). Остальное ПО он пока игнорирует.
Диспетчер процессов не показывает никаких подозрительных DLL в теле [B]LSASS.EXE[/B] (хотя, да, это не показатель)
Ещё интересный момент - в стандартном виндовом диспетчере задач вдруг неожиданно столбец "имя пользователя" стал девственно чистым у всех процессов. Разве что "Бездействие системы" гордо щеголяет записью "SYSTEM" в соответствующем поле

В момент финального "ступора" системы происходит примерно следующее: система просто перестаёт реагировать на внешние команды. Открытые приложения сначала просто визуально "зависают" (рамка окошка и пустое пространство внутри + "песочные часы" курсора), а через несколько секунд превращаются в "статические декорации", не реагирующие вообще не на что (как скриншот прямо) при этом проигрываемый в AIMP'e трек доигрывается без проблем до конца, но следующий трек уже не начинается. Характерно, что закачка торрента судя по миганию лампочек на модеме и свитче идёт без остановок и на полной скорости вплоть до момент ребута системы через "reset"


[SIZE="5"][B]UPD: [/B][/SIZE]
Пока писал текст - удалось победить проблему с зависанием системы. как оказалось - виноват был установленный на машине сервер [B]RADMIN[/B]'a, содержащий модуль трояна.
Все остальные проблемы по-прежнему актуальны. Описание неприятностей с ребутами на всякий случай оставляю, вводной информации много не бывает

P.S. да, и кстати - контрольные суммы моей версии [B]LSASS.EXE[/B] и версии с офдистриба совпадают полностью

P.P.S. как видно по логу - файл карантина по сканированию с эвристикой содержит в основном стандартный треш в виде исполняемых файлов с изменёнными в процессе бэкапа перед патчем разрешениями, плюс модуль файрволла и собсна допуса... архив сюда не цепляю (временно сижу на _ОЧЕНЬ_ плохом интернете. по требованию файлы, конечно, приложу)

Закройте все программы.
Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZPMStatus(True);
ExecuteRepair(5);
ClearQuarantine;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\Program Files\AWiconsPro.exe','');
DeleteFile('C:\Program Files\AIMP2\AIMP2.exe.(1).bak');
DeleteFile('C:\Program Files\Alcohol Soft\Alcohol 120\alcohol.BAK');
DeleteFile('C:\Program Files\uTorrent\uTorrent\uTorrent.exe.(1).bak');
DeleteFile('C:\Program Files\WPM\WebPageMaker.exe.bak');
DeleteFile('C:\Program Files\Ad Muncher\AdMunch.BAK');
RebootWindows(False);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.

Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Установите Adobe Acrobat Reader 9.1 или удалите старый.

Скрипт выполнил
Акробат удалил (моя ошибка. на самом деле через уязвимости в нём уже неоднократно гадость в системе поселиться пыталась. всё как-то руки не доходили)

карантин первоначальный (по результатам первой проверки при создании топика) я выслал часа 3 назад. потом удалил его напрочь

насчёт "пункт 2 диагностики" - имеется в виду скрипт#2 из раздела "стандартные скрипты" ? "скрипт сбора информации для раздела "помогите" ? выполнил. идёт аттачем

Да, кстати. интересно - после последовавшей за выполнением скрипта удаления файлов/отключения автозапуска перезагрузки - по факту старта системы запустилось (самостоятельно) аж 2 копии Directory Opus и сбросился рисунок на рабочем столе о_0 файл сам жив, но в графе "фоновый рисунок" стояло "нет" о_0 не опасно, но очень интересно...

upd: прошу пардона, не заметил строки с отправкой в карантин "AWiconsPro.exe" из скрипта. заархивировал, выслал через "прислать запрошенный карантин". но эта програмка у меня на машине валяется уже с год минимум и при этом довольно активно используется. даже если это реальный вредонос, то проблем от него за всё это время небыло ни разу

В логе чисто.
Когда будет нормальный интернет, выполните процедуру, описанную в первом сообщении: [url]http://virusinfo.info/showthread.php?t=3519[/url]

кое-как со скрипом и писком залил файл.

[COLOR="Silver"][U]Файл сохранён как 090712_194220_virusinfo_files_CATQUISTADOR_4a5a045c97307.zip
Размер файла 10741900
MD5 e3c9550032cbe08e38a4598e6642d6a2[/U][/COLOR]

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 52 минуты[/I][/B][/color][/size]

о_0 или я чего-то не понимаю, или... или я чего-то не понимаю
метка "[излечено]" напротив темы меня несколько смущает.
на самом деле ничего не излечено и очень даже наоборот, я-бы сказал...
теперь лсасс.ехе ещё и периодически пытается запрашивать сетевой доступ. правда только во время активности торрент-клиента. не знаю с чем это связано.

Особенности совестной работы системных файлов Windows, различных антивирусов и прикладных программ выходят за рамки данного раздела.

окей. я не настаиваю, просто уточню - никакого _нестандартного_ антивирусного ПО в системе не стоит (стандартная связка из NOD32/Outpost FW). изменения в реестр/настройки ПО/установка нового ПО в течении последнего месяца _не_ осуществлялась. Проблема появилась на пустом месте совершенно неожиданно, что заставляет меня подозревать тут вовсе не конфликт между собой прикладного ПО, а что-то более серьёзное. но настаивать я, повторюсь, не буду. судить Вам. постараюсь разобраться с проблемой самостоятельно. Спасибо лично Вам за попытку помочь.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]