Подозрение на неизвестный вирус

14 августа дочь слазила в интернет (в чат), и похоже словила вирус.
Проявляется следующим образом:
при подключении к интернету (модем) система фактически зависает. При этом на внешнем модеме по индикаторам виден мощный трафик. В таскбаре индикаторы трафика сети показывают 0-вую загрузку. "Завис" продолжается минут 5 (пока трафик на модеме не успокоится). затем становится полегче. При отрубании модема без запущенных IE и других браузеров вылазит сообщение с предложением подключиться опять (типа восстановить обрыв).
Кроме этого стали происходить странные проблемы с правами на доступ к файлам - пытаешься открыть, выдает сообщение "недостаточно прав доступа". После перезагрузки некоторое время все нормально, потом ошибка прав доступа может вылезти опять в любой момент.

Машинка: неразогнанная AMD 64 3000+, 1gb ram, 80gb диск.
Windows XP Professional SP2, лицензионная, со всеми апдейт паками (Microsoft update работает на автомате).
На машине стоит Касперский версии 6.0.0.300, с расширенными БД, обновления скачиваются каждые 6 часов (если подключен модем).
В AVP включен самый жесткий режим проверок, но он ничего не находит (при этом есть сообщения что кто-то пытается подсоединиться к процессу explorer и другие странности).

Логи AVZ приложены. Файл virusinfo_cure.zip пустой.
да, забыл. Проверяли RootkitRevealer-ом Руссиновича, он ничего не нашел.

Действительно подозрительно, в связи с тем что явно "паразитов" не видать, пришлите как написано в правилах -
C:\WINDOWS\system32\CBJMON.DLL
C:\WINDOWS\system32\ckldrv.sys
C:\WINDOWS\System32\Drivers\dump_nvatabus.sys
C:\WINDOWS\System32\Drivers\EPoXUSDM.SYS
C:\WINDOWS\system32\DRIVERS\slabbus.sys
C:\WINDOWS\system32\DRIVERS\slabcm.sys
C:\WINDOWS\system32\DRIVERS\slabser.sys
C:\WINDOWS\system32\DRIVERS\slabwh.sys
C:\Program Files\ICache\ICache.exe

[quote=RiC]Действительно подозрительно, в связи с тем что явно "паразитов" не видать, пришлите как написано в правилах -[/quote]

прислать сложно, в силу изложенных причин, но попробуем.
небольшой коммент:
C:\WINDOWS\System32\Drivers\EPoXUSDM.SYS

это монитор температуры проца и т.п., стандартная фишка для
материнских плат EPOX, я ставил у себя и на этом компе,
с фирменного диска. Практически вне подозрений.

C:\Program Files\ICache\ICache.exe

это штуковина, которая позволяет в оффлайне просматривать кэш IE. Тоже в использовании давно, и тоже фактически без подозрений.

Файлы постараюсь прислать завтра.

[quote=kdv]прислать сложно, в силу изложенных причин, но попробуем.
небольшой коммент:
C:\WINDOWS\System32\Drivers\EPoXUSDM.SYS

это монитор температуры проца и т.п., стандартная фишка для
материнских плат EPOX, я ставил у себя и на этом компе,
с фирменного диска. Практически вне подозрений.

C:\Program Files\ICache\ICache.exe

это штуковина, которая позволяет в оффлайне просматривать кэш IE. Тоже в использовании давно, и тоже фактически без подозрений.

Файлы постараюсь прислать завтра.[/quote]
-а все драйвера slab*.sys, скорее всего, из софта для мобилки... ну, даже если все файлы и окажутся чистыми, то Ваш труд не пропадёт зря, во-первых они пополнят базу безопасных в AVZ, во-вторых мы будем уверены, что проблема заключалась не в них ;)

[quote=Alex Plutoff]-а все драйвера slab*.sys, скорее всего, из софта для мобилки... [/quote]
ага
[quote=Alex Plutoff]ну, даже если все файлы и окажутся чистыми, то Ваш труд не пропадёт зря, во-первых они пополнят базу безопасных в AVZ, во-вторых мы будем уверены, что проблема заключалась не в них ;)[/quote]
разумеется. проблема-то есть, и она достаточно неприятная. Можно было бы грешить на железо, если бы не специфическое поведение при модемном коннекте. Попробовать бы что-нибудь включить, что позволит отмониторить хотя бы ЧТО именно перекачивается.

p.s. подам идею перед коннектом в инет включить filemon с sysinternals...

Возможно, трафик идет от обновления Касперского. Попробуйте ненадолго выключить обновление его, и автообновление винды.

-отключить обновления... да, но ни Каспер, ни винда не станут самостоятельно подключаться к сети, если такового нет... кроме того их трафик в трее индицируется... IMHO, проблема не в этом.

[QUOTE=Alex Plutoff]-отключить обновления... да, но ни Каспер, ни винда не станут самостоятельно подключаться к сети, если такового нет... кроме того их трафик в трее индицируется.[/QUOTE]
Это было сказано, для того, что бы быть 100% уверенным, что не они источник проблем.

avp 6 пробовали выключать перед коннектом к интернету - ничего. авто-апдейт виндов выставлен (уже давно) в режим только оповещения, ибо на модемной связи качать в произвольный момент что ни попадя - извините.
самостоятельно винда в интернет не звонит. этого нет.

Прислали файлы с компа:
Файл сохранён как
mxm00Y_44e703c0a7e10.rar
Размер файла 99589
MD51cecb8c5525c7a5aad1bee1a222599f3

мой CA eTrust 7.1 ничего в файле не обнаружил.

Вот коммент приславшего:

нет - (на дисках нет, куда делась не знаю)
C:\WINDOWS\System32\Drivers\dump_nvatabus.sys
нет - (на дисках нет, деинсталировал сам)
C:\WINDOWS\System32\Drivers\EPoXUSDM.SYS

есть - C:\WINDOWS\system32\CBJMON.DLL
есть - C:\WINDOWS\system32\ckldrv.sys
есть - C:\WINDOWS\system32\DRIVERS\slabbus.sys
есть - C:\WINDOWS\system32\DRIVERS\slabcm.sys
есть - С:\WINDOWS\system32\DRIVERS\slabser.sys
есть - C:\WINDOWS\system32\DRIVERS\slabwh.sys

нет - (размер 560KB) C:\Program Files\ICache\ICache.exe
деинсталлировал сам.
(ставил с [url]http://www.risingresearch.com[/url])

в дополнение. это калужский диалап, центр-телеком. с интервалом в 2 секунды при подключенном модеме с разных ip лезут на порт 1026 (с одного адреса может быть до 3-х раз). может, это какой-то локальный вирусняк?

ближайшее действие - отрубаем firewall в xp, ставим антихакера, лезем в интернет. Результаты доложу.

[B]Upd:[/B] результат: трафик при подключении модема к инету прекращается только если в антихакере поставить "полную невидимость". Однако, остался вопрос с глюком с правами доступа.
Пока будем жить так (раз ответа на файл еще нет), через неделю доберусь до этого компа, гляну сам...

однако вопрос - неужели внешняя долбежка на порты может привести к ~5-6 минутному фактически зависанию компа, так что даже TaskManager ничего показать не может? и почему тогда это продолжается только 5-6 минут?

антихакер касперского не спасает. повторяется та же самая картина - коннект - завис компа, в это время модем что-то качает, куда - непонятно, через 5-6 минут отвисает.

Похоже, качание идёт на таком низком уровне, что даже индикатор этого не чувствует. Какие-нибудь обмены уровня PPP?

а если оутпост поставить и в нем посмотреть ?

Он, наверное, тоже выше этого уровня работает. По транспортным протоколам aka TCP/IP (или IPX тоже умеет?). А PPP - этажом ниже, транспортные протоколы поверх него едут.

наверно не стоит гадать, а надо просто попробовать ;)
хуже все равно уже не будет :)
возможно индикатор в трее мигать не будет, а оутпост активность зафиксирует. если она конечно есть эта самая активность. на сколько мне помнится у обычных диал-ап модемов есть возможность удаленного считывания конфигурации, изменения параметров и прочая лабудень. возможно стоит попробовать к компу другой модемчик подоткнуть. причем "другой" не только по фирме-производителю модема, но и по чипсету.

Скорее всего, не поможет, но вдруг...

[QUOTE=kdv]Кроме этого стали происходить странные проблемы с правами на доступ к файлам - пытаешься открыть, выдает сообщение "недостаточно прав доступа". После перезагрузки некоторое время все нормально, потом ошибка прав доступа может вылезти опять в любой момент.[/QUOTE]
Можно попробовать в этот момент запустить oh.exe из [url=http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en]Ресурc-кита[/url] и посмотреть, кем занят доступ к файлу.

В любом случае стоит проверить все настройки соединения, в том числе и строку инициализации модема.

Можно попробовать взять [url=http://www.sysinternals.com/Utilities/Portmon.html]PortMon[/url] Руссиновича и посмотреть, нет ли подозрительных обращений к COM-порту в момент подключения (и "подвисания").

значит так. Диск взяли, и подключили к другой машине.
И что вы думаете?
[COLOR=DarkRed][B]Касперский 6 нашел Trojan-PSW.Win32.Lineage.acn
[/B][COLOR=Black]на зараженной машине этот же касперский с теми же настройками [B]ничего не находит, с самыми свежими базами[/B].

нашли 4 зараженных файла, вычистили, будем смотреть дальше.
[/COLOR][/COLOR]

ничего удивительного. видимо работающий троян сам себя активно прятал. на другой машине прятать его было некому :)

я понимаю, но его детектирование касперским обозначено с 3 июля, а вся эта фигня началась 14-го июля. И получается, что вся эта агрессивная защита, эвристика и т.п. просто не работает.
Конечно, можно списать на то, что если антивирус не запущен, а вирус внедрен, то при запуске антивирус не найдет этот вирус. Но простите, а зачем тогда антивирус?
и как тогда простому пользователю проверять свою систему?

ладно, эта тема скользкая, так что...
на текущий момент проблема в другом. человек, который сейчас с этим возится, говорит, что проблема не ликвидирована на 100%. То есть, впечатление такое, что НЕЧТО закачало этот троян на машину. И касперский хоть и сам троян нашел, но что-то в системе осталось.

с каждым часом все интереснее - подозрение на упомянутый троян оказалось ложным срабатыванием касперского. проверка подозрительных файлов тут же на avp.ru, на отдельной машине с только что установленными чистыми виндами (и с моей) показывает, что никаких вирусов нет.

тем временем, "подозрительная" машина совсем перестала выходить в инет - после дозвона в браузере ничего открыть нельзя.
жду отчет о трафике из commview.

А, т.е. там не Lineage.acn ?
А я его разыскиваю, чтобы посмотреть, может ли такое быть. Нашел только .ach
Странное ложное срабатывание. На [url]http://virustotal.com[/url] попробуйте файлы проверить.
Насчет выхода в инет - проверьте цепочку LSP/SPI, AVZ это проверяет, может исправлять. Надо просто запустить проверку, можно без выбора дисков. А чтобы исправить - поставить разрешающую птицу на третьей вкладке.

Я правильно понимаю, что один и тот же файл одним и тем же антивирусом с одинаковыми базами на одной машине опознается как зараженный, а на другой - как чистый, притом что ни там, ни там он не запускался, а был просто скопирован на обе машины?

В таком случае могу предположить, что на одной из машин есть проблемы с памятью, из-за чего в момент проверки этого файла какой-то из байтов файла портится так, что происходит ложное срабатывание антивируса. Это очень маловероятно, но тем не менее возможно: у меня при разогнанной памяти AVP Инспектор стабильно ругался на изменение одного из нормальных файлов.

Рекомендую взять [url=http://www.memtest86.com/]memtest86[/url], и хорошенько проверить память на обоих машинах.

Продолжение, извиняюсь за долгое молчание. AVP 6 до сих пор ничего не находит. Но периодически ругается на то, что разные процессы пытаются внедриться в чужую память. Например:

17.08.2006 12:41:32 Процесс C:\WINDOWS\System32\svchost.exe, обнаружено: потенциально опасное ПО Invader (модификация)
17.08.2006 14:40:53 Процесс C:\Program Files\Internet Explorer\iexplore.exe (PID: 2364): попытка выполнения подозрительных действий заблокирована.
17.08.2006 17:21:28 Попытка процесса с PID 1976 получения доступа к процессу Антивирус Касперского 6.0 с PID 1172 была заблокирована. Это результат срабатывания механизма самозащиты.

Еще я в tcpview (sysinternals) углядел какой-то странный процесс, который невозможно обнаружить ничем (в т.ч. processexplorer), невозможно убить, и его соединения невозможно отрубить:
[FONT=Fixedsys][System Process]:0 TCP SVETA-IBASE:1110 localhost:3809 TIME_WAIT
[System Process]:0 TCP sveta-ibase:1630 cds4.lon.llnw.net:http TIME_WAIT
[System Process]:0 TCP sveta-ibase:1081 host37.rax.ru:http TIME_WAIT
[System Process]:0 TCP sveta-ibase:1083 217.73.199.91:http TIME_WAIT [/FONT]
процесс лезет например на 84.53.146.8.
еще интересно, что даже сам avp лезет на странные адреса типа
[FONT=Fixedsys]avp.exe:1316 TCP sveta-ibase:3783 64.236.46.5:http ESTABLISHED [/FONT]

AVZ проверил еще раз - ничего не находит.

p.s. вчера наблюдал как кусок от winamp 5 - gen_ff.dll, по сообщениям avp6 якобы пытался внедриться в память к другим процессам. winamp5 ставил со свежего диска к журналу Навигатор Игрового Мира за сентябрь.

Повторите все логи, благо новая версия AVZ вышла.

Итак, второй заход, файлы прицеплены. Есть еще логи открытых портов и адресов/ip в момент сеанса в интернете на модеме.

Вы эти файлы присылали?
[code]C:\WINDOWS\system32\drivers\cmaudio.sys
C:\WINDOWS\system32\ckldrv.sys
C:\WINDOWS\System32\drivers\sfdrv01.sys
C:\WINDOWS\System32\drivers\sfhlp02.sys
C:\WINDOWS\System32\drivers\sfsync04.sys
C:\WINDOWS\system32\DRIVERS\slabbus.sys
C:\WINDOWS\system32\DRIVERS\slabser.sys
C:\WINDOWS\system32\drivers\ts_lb.sys
C:\WINDOWS\system32\DRIVERS\tscomm.sys
C:\WINDOWS\system32\DRIVERS\slabcm.sys
C:\WINDOWS\system32\DRIVERS\slabwh.sys[/code]
Кроме них, в логах ничего необычного.

Файл сохранён как 060920_114507_vrs_451162038ebfb.zip
Размер файла 331937
MD5 502e3fb1aab38fa3bfec7e182efdc5ef

На компе нашли странный файл CBEZEXYDAQXM.exe, лежащий в temp и прописанный как сервис. Антивирусами не опознается.

отправил как
[FONT="Courier New"]Файл сохранён как 060926_045632_file_4518eb400de68.zip
Размер файла 118534
MD5 f1af28a0f898f581710fcab3fd8d9179[/FONT]

пароль virus

в общем, если не сможете понять, что это, придется на компе все убить и переустановить ОС. и мы так и не узнаем, что это была за гадость...

[quote=kdv]На компе нашли странный файл CBEZEXYDAQXM.exe, лежащий в temp и прописанный как сервис. Антивирусами не опознается.
[/quote]
кусок Rootkit Revealer

[quote=MOCT]кусок Rootkit Revealer[/quote]

интересно. почему тогда этот файл прописан в сервисах и работал.
rootkit revealer с sysinternals запускали, не спорю, но что-ж он, сам так устанавливается, да еще лежа в temp?
я тоже его запускал, но ни в сервисах ни в temp ничего такого не наблюдаю.

кроме того - обратите внимание на размер файла. в rootkit revealer ничего такого нет. Проверили еще раз - никаких подобных файлов на машине не возникает.