-
Junior Member
- Вес репутации
- 60
Симуляция клавиатурного ввода "testestestestestest"
Симптомы:
1) Симулируется клавиатурный ввод повторяющегося слова "test". Не успел рассмотреть до удаления пользователем, но припоминаю даже не "test", а повторы "est": "estestestestestest" (длина вводимой строки примерно 50 символов. Симптом впервые появился 5 часов назад, через пару часов проявился во второй раз.
2) Система немедленно падает в BSOD (IRQL_NOT_LESS_OR_EQUAL) или перестает реагировать на мышь/клаву при большом трафике по локальной сети. Маленький трафик (единицы килобайт) проходит без зависания. Симптом появился 8 часов назад.
3) Локально или при обмене с интернетом - поведение системы почти нормальное. Но примерно раз в два дня - BSOD.
Симптом появился три недели назад.
ПРИМЕЧАНИЕ. Система обработана XPLite, так что сообщения AVZ о запущенных службах SystemRestore и Messenger - ошибочны, этих служб нет.
Первым делом пробовал поиск по форуму и поиск в интернете, но осознал, что я (или искалки) не умеем искать по фрагменту слова.
Пишу с другой машины, вложить файлы в сообщение не смог, выложил их в сеть:
http://tmp.pisatel.com/virusinfo_syscure.zip
http://tmp.pisatel.com/virusinfo_syscheck.zip
http://tmp.pisatel.com/hijackthis.zip
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
autoex.cmd в Автозагрузке - это ваше?
I am not young enough to know everything...
-
-
Симптом 1 - это работа антикейлоггера AVZ, свернутого в трей. Он имитирует клавиатурный ввод в процессе поведенческого анализа кейхуков, чтобы изучить, как их DLL реагруют на клавиатурные и мышиные события.
-
-
Стоит для начала обновить все драйверы. Особенно мамы, видеокарты и сети. Старые драйверы часто приводят к зависанию и BSoD
-
-
Junior Member
- Вес репутации
- 60
Модификация машинного кода в ядре ntoskrnl.exe ???
Спасибо всем ответившим.
Теперь, после объяснения причины "симптома 1", самым подозрительным моментом являются строки AVZ-протокола о модификации машинного кода в ядре ntoskrnl.exe
Что бы это значило?
Примечание: autoex.cmd - мой файл.
Обновить драйверы? - в моем случае нелогично. Потому что последние изменения в системе делались больше двух месяцев назад. А установка всяческих компонентов через браузер - отключена.
Значит, после последней установки софта система проработала:
- сначала больше месяца без проблем;
- затем пару недель с BSOD два-три раза в неделю;
- вчера полный день без проблем;
- сегодня с начала рабочего дня - симптом 2.
То есть, "симптом 2" возник внезапно, без видимых причин.
Последний раз редактировалось Андрей Ильин; 10.01.2008 в 20:44.
Причина: Опечатки
-
Конкретно что пишется при БСОДе?
-
-
Junior Member
- Вес репутации
- 60
Похоже, мы с вами вышли на финишную прямую в устранении проблемы.
При отключении автозагрузки любых модулей антивируса DrWeb 4.33 и файрвола Outpost 1.0, "симптом 2" исчез.
Конечно, AVZ-сканирование я делал тоже при отключенных антивирусе и файрволе, но скорее всего оставалась загружена какая-то из служб антивируса. Просмотрел, извините.
Добавлено через 1 минуту
Сообщение от
Alex_Goodwin
Конкретно что пишется при БСОДе?
В WinXPsp1rus BSOD русифицирован, пишутся крякозябры.
Последний раз редактировалось Андрей Ильин; 10.01.2008 в 21:52.
Причина: Добавлено
-
пуск-выполнить-%systemroot%\minidump-ок
собрать несколько последних, приложить.
-
-
Сообщение от
Андрей Ильин
При отключении автозагрузки любых модулей антивируса DrWeb 4.33 и файрвола Outpost 1.0, "симптом 2" исчез.
ЕМНИП, я где-то здесь читал о плохой совместимости OP1 с XP SP2. А Доктора надо либо обновлять до актуальной версии 4.44, либо убирать навовсе, чтобы не создавал иллюзию защищённости.
Да, при совместной работе Доктора и OP требуется настройка исключений в Спайдере.
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
pig
при совместной работе Доктора и OP требуется настройка исключений в Спайдере.
Пожалуйста, подскажите, где искать эту информацию? Может быть, на форуме ixbt в ветке про outpost?
-
На forum.drweb.com перечислялись файлы. Только не от OP1, а от более поздней версии.
Можно сделать так:
- включить в Спайдере полный лог (чтобы мена проверяемых объектов писались)
- поработать
- открыть лог и посмотреть, какие файлы Спайдер постоянно проверяет
- настроить исключения
- настройки лога вернуть в исходное положение
-
-
Junior Member
- Вес репутации
- 60
Минидампы выслал
Сообщение от
Shu_b
пуск-выполнить-%systemroot%\minidump-ок
собрать несколько последних, приложить.
Извините, долго не отвечал, потому что минидамп был отключен. Включил, стал ждать BSOD - не дождался, спровоцировал его (появился при AVZ-сканировании диска). Повторные сканирования прошли до конца, повторить провокацию не удалось.
Выслал всего лишь два минидампа: больше пока нету.
-
-
-
Первый от видеокарты или её драйверов,
Второй от Оутпоста.
и Windows XP Service Pack 1 - тоже большая проблема.
Код:
Windows XP Kernel Version 2600 (Service Pack 1) UP Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 2600.xpsp1.020828-1920
Kernel base = 0x804d4000 PsLoadedModuleList = 0x8054be30
Debug session time: Mon Jan 7 19:00:45.148 2008 (GMT+3)
System Uptime: 0 days 5:29:36.129
Loading Kernel Symbols
...........................................................................
Loading User Symbols
Mini Kernel Dump does not contain unloaded driver list
Unable to load image nv4_disp.dll, Win32 error 2
*** WARNING: Unable to verify timestamp for nv4_disp.dll
*** ERROR: Module load completed but symbols could not be loaded for nv4_disp.dll
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
Use !analyze -v to get detailed debugging information.
BugCheck EA, {81d73270, 8224e320, 82248d78, 1}
Probably caused by : nv4_disp.dll ( nv4_disp+73287 )
Followup: MachineOwner
---------
Код:
Windows XP Kernel Version 2600 (Service Pack 1) UP Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 2600.xpsp1.020828-1920
Kernel base = 0x804d4000 PsLoadedModuleList = 0x8054be30
Debug session time: Fri Jan 11 21:19:56.778 2008 (GMT+3)
System Uptime: 0 days 0:13:47.408
Loading Kernel Symbols
................................................................................
Loading User Symbols
Loading unloaded module list
.........
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
Use !analyze -v to get detailed debugging information.
BugCheck A, {47051c, 2, 0, 804d483f}
Unable to load image FILTNT.SYS, Win32 error 2
*** WARNING: Unable to verify timestamp for FILTNT.SYS
*** ERROR: Module load completed but symbols could not be loaded for FILTNT.SYS
Unable to load image RTL8139.SYS, Win32 error 2
*** WARNING: Unable to verify timestamp for RTL8139.SYS
*** ERROR: Module load completed but symbols could not be loaded for RTL8139.SYS
Probably caused by : memory_corruption
Followup: memory_corruption
---------
Последний раз редактировалось Shu_b; 11.01.2008 в 23:26.
-
-
Junior Member
- Вес репутации
- 60
Модификация машинного кода?
Большое спасибо Shu_b.
Создается впечатление, что вирусы вообще ни при чем...
Что же тогда означают строки в AVZ-логе насчет модификации машиного кода, это нормально ли:
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D4000
SDT = 8054AEC0
KiST = 80502588 (284)
Функция IoEnumerateDeviceObjectList (804D4A1A) - модификация машинного кода. Метод не определен., внедрение с байта 15
Функция IoGetLowerDeviceObject (804D4999) - модификация машинного кода. Метод не определен., внедрение с байта 5
Функция IoInitializeIrp (804D483C) - модификация машинного кода. Метод не определен., внедрение с байта 6
Функция KeInsertHeadQueue (804D47FF) - модификация машинного кода. Метод не определен., внедрение с байта 5
Может быть, эти сообщения вызваны крэком reset5/srvany ?
-
Junior Member
- Вес репутации
- 60
Сообщаю, чем закончился поиск причины "модификации машинного кода" в исследуемой системе. (закончился-то он на следующий день, а отчитываюсь много позже, простите)
Развернул я систему из образа двухлетней давности. Там была чистая установка WindowsSP1 + reset5. Так вот, в той системе AVZ показал те же самые "модификации машинного кода" в тех же самых местах. Таким образом выяснилось, что эти сообщения не связаны с повреждением ОС, а существовали с самого начала, в устойчивой версии системы.
Большое спасибо всем, кто любезно помогал мне.