Показано с 1 по 12 из 12.

Блокирование рабочего стола и панели задач(очень интересная, новая проблема) (заявка № 43560)

  1. #1
    Junior Member Репутация
    Регистрация
    09.04.2009
    Сообщений
    6
    Вес репутации
    33

    Блокирование рабочего стола и панели задач(очень интересная, новая проблема)

    Приветствую многоуважаемых коллег и сочувствующих, спасибо вам за то, что все тут собрались!

    Дано:

    Офисная сеть из 20 машин под управлением WinXP Pro SP2/SP3 (+ все обновления на этот день, IE8!) с совершенно разными настройками, обновлениями и режимом работы. Из общего - на всех машинах установлена проактивная защита и файервол COMODO (последние обновления, режим защиты - от "безопасного" до "параноидального", т.е. сообщается даже о чтениях реестра) + Avira с максимальным уровнем эвристики и автоудалением зловледов + Утилита касперского (всегда последняя) + AVZ4 + CureIT! + HiJackThis + Autoruns (Sysinternals) и ещё немного утилит. Расшареные папки только на паре машин и сервере, много расшареных принтеров, где нет - отключен протокол сети файлообмена (серверная часть). Сервер постоянно смотрит в инет и раздаёт его NAT, COMODO в режиме параноика, Avira на макс. эвристике, все протоколы\порты, обычно глядящие в инет, отключены\закрыты, в локалку - только NetBios и MS-network.

    В интернете юзеры (все!) сидят Opera AC с максимальными блокировками рекламы и скриптов. IE заблокирован и спрятан. Автозапуск со всех дисков и флешек отключен. Свойства ВСЕХ папок сведены к виду "подробная таблица" (то есть запуск заразы открытием папок в режиме эскиза - маловероятно). Можно ещё на пять страниц вывести список того, что настроено и заблокировано для безопасности. Например, везде созданы скрытые и нестираемые папки "autorun.inf", думаю, понятно - зачем.

    Проблема:

    Прямо сейчас работать всё труднее. В один час на нескольких машинах (с разными SP вплоть до PreSP4 - то есть SP3 со всеми офиц. исправлениями), включая сервер (COMODO в режиме параноика и полной защиты всего, как помним) нажатия мышки перестали доходить до ярлыков рабочего стола и панели задач\кн. Пуск. Не сразу после ребута! На некоторых - только десктоп, на других - только панель залочилась. При нажатии выдаётся звук, характерный для нажатия на родительское окно, заблокированное дочерним всплывающим окном, ждущим ввода (в настройках звуков событий ОС это называется "Стандартный звук")
    Другими словами над интерфейсом процесса Explorer.exe повисло невидимое "нечто", заблокировавшее собою доступ ко всему ниже себя приоритетом. Перезагрузка НЕ помогает, а вот убийство и перезапуск explorer временно решает проблему. На пол часа работы(

    Все остальные приложения, до которых легко добраться по Alt+Tab , работают прекрасно в штатном режиме, клинит только проводник...

    НАЖИМАЕМ WIN+D - все окна сворачиваются, и панель с десктопом СТАНОВЯТСЯ ненадолго ДОСТУПНЫ! То есть эта гадость реально сворачиваема и теряет фокус! И в безопасном режиме, вроде, не проявлялась, но не ждали долго - некогда, надо работать...


    Что делалось:

    Жизнь опять показала что избыток опыта вреден и полезно быть проще. Похоже, найдена причина - серьёзная ошибка движка AutoIT, используемого программой MultiAC (компонент Opera AC). Компонент ставит хуки на сообщения и "забывает" их отдавать. Пока на 80% уверен что причина в этом. Сетевая зависимость поведения обусловлена автообновлением Opera AC, которое как раз и провоцировало запуск окна MultiAC. Перезагрузка экплорера снимала хуки до следующего срабатывания обновлялки Оперы. Разбираюсь с кодом дальше. Временное решение - внёс в hosts сервера запись "127.0.0.1 bit-center.ru" чтобы не отключать обновление на всех машинах по одной.
    Вложения Вложения
    Последний раз редактировалось 1nd1g0; 13.04.2009 в 12:42. Причина: Вероятный солюшен

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    Прочитайте и выполните правила.
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    09.04.2009
    Сообщений
    6
    Вес репутации
    33
    Спасибо за терпение, теперь всё в соответствии с правилами, рад любой помощи!
    Последний раз редактировалось 1nd1g0; 10.04.2009 в 12:10.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Не обижайтесь! Мы работаем по нашим Правилам. 1-ый шаг (анализы) логи с любой из машин Вашей сети. Далее м.б. потребуются логи и других утилит.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    09.04.2009
    Сообщений
    6
    Вес репутации
    33
    Итак, начну разбор собственных же полётов по логам, пока участники форума читают логи моей системы.

    Намеренно делал лог на машине в обычном режиме как раз в момент, когда explorer залочился. Несмотря на закрытие некоторые процессы авиры и комодо упорно висят в памяти и не удаляются ничем, руткит анхукер их, вероятнее всего, удалит, но не стал рисковать вызвать BSOD. Как следствие имеем кучу перехватчиков функций ядра, обусловленную файерволом и авирой, пока удалять их не рискнул ибо в идеале нужна деинсталляция. А после ребута червячок может спрятаться на сутки, проверено.

    В автозагрузке не много лишнего, AviraNoAd - моя собственная программа, убирающая рекламные баннеры Авиры.

    Подозревал msgina.dll, однако посчитал её хэш и сравнил с другими машинами, нашёл резервные копии систем и убедился, что файл идентичен чистому (читал прямым доступом к винту WinHEX). sfc_os.dll - служба восстановления файлов отключена, однако библиотека упорно висит, хм... Вроде, подписана Мелкософтом, без проблем. spkp.sys - я так понимаю клон sptd.sys, или, скорее всего - авировский демон уровня драйверов..

    Как видим, зловред разрешил автозапуск с дисков... (этого не было)

    Добавлено через 7 часов 17 минут

    Напоминаю о себе и своей беде(
    Последний раз редактировалось 1nd1g0; 10.04.2009 в 19:34. Причина: Добавлено

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    В логах чисто...

  8. #7
    Junior Member Репутация
    Регистрация
    09.04.2009
    Сообщений
    6
    Вес репутации
    33
    Нет ли среди нас специалистов антивирусных лабораторий, готовых потратить немного времени на расследование? Я хоть и не вирусолог, однако на шею садиться не собираюсь и клянчить готового решения - тоже, мне требуется помощь инструментальная, наверняка у коллег есть утилиты, например, отслеживания системы сообщений дабы выяснить на кто перехватывает фокус и обрубает дальнейшую передачу координат мышиного тыка десктопу и панелям.

    Каким инструментом (если есть отдельный, небольшой) пользуются вирусологи чтобы отследить обработчкики системных событий, желательно - использующий недокументированные функции либо работающий на уровне ядра? Похоже, надо ловить того, на ком останавливается путь сообщения "мышиный клик" для explorer (кто-то в его памяти, я так понимаю, сидит, вот надо бы вычислить библиотеку).

    На данный момент у меня идея - запустить на заражённых машинах procmon (Sysinternals) в режиме полного лога и ждать пока произойдёт лок десктопа, потом от обратного трассировать - по факту проигрывания системного звука смотреть, кто его запросил и по какому поводу. Очень не хочется ставить на чужие машины, постоянно работающие, SoftICE, WinHEX или OllyDBG с IDA (( Я уже лет 8 не брался за них. Прошу о помощи, а пока поставлю сниффер и буду смотреть на гигабайты хлама - вдруг увижу как оно расползается...

    Повешу в сеть виртуальную машину безо всякой защиты с кучей открытых портов, сделаю её образ и буду надеяться что её также заразит... Но это очень длительные решения, а офис испытывает тем временем серьёзные трудности, шеф уже косо смотрит((
    Последний раз редактировалось 1nd1g0; 12.04.2009 в 16:08. Причина: добавились идеи

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    741
    Сорри за тупую подсказку, но все виденные мной сегодня винлокеры лежали в \Documents and Settings\All users\Application Data\blocker.exe
    Такого файла часом нету ?

  10. #9
    Junior Member Репутация
    Регистрация
    09.04.2009
    Сообщений
    6
    Вес репутации
    33
    Спасибо за ответ. А не подскажите обычный механизм его загрузки по статистике? Вырезал из авторана всё , грузится, собака, и вообще не ясно как эта хрень прошла сквозь COMODO на уровне защиты "параноидальный", он лочит вообще все операции с сетью, файлами и реестром; особенно - на авторан. Неужели там нолики в ветви реестра и он их тупо не может просканировать... Хм... Кстати, файл я такой где-то видел, вы правы, но давно. Мне интересно выработать методику защиты и борьбы, пока готовые продукты бесполезны во всей своей массе, проверил уже и Symantec - в упор не видит ничего, не зависимо от того, с самой ли системы пускаешь или проверял винт извне. Я грешу на dll у процессов логона и проводника. Буду на месте - перерою всех.

    Вырезаю вообще всё, что отличается от чистой установки винды, благо давно делаю снимки системы тем же AVZ4, всё равно пока сидит, но я не всё урезал. Убью ещё авиру и комодо, вот будет смеху если он в них подгружался...

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,228
    Вес репутации
    3387
    Цитата Сообщение от 1nd1g0 Посмотреть сообщение
    Нет ли среди нас специалистов антивирусных лабораторий, готовых потратить немного времени на расследование? Я хоть и не вирусолог, однако на шею садиться не собираюсь и клянчить готового решения - тоже, мне требуется помощь инструментальная, наверняка у коллег есть утилиты, например, отслеживания системы сообщений дабы выяснить на кто перехватывает фокус и обрубает дальнейшую передачу координат мышиного тыка десктопу и панелям.
    Для начала я посоветую взять проблемную машину (известно же, что проблема повторяема - и ждать нужно сравнительно недолго, можно для опыта выделить 2-3 ПК), и
    1. Отключить ей сеть (физически), перезагрузить ПК и наблюдать. Если проблема не проявится длительное время, то можно грешить на некую атаку из ЛВС, нарушающую работу ПК
    2. Вернуть сеть, деинсталлировать Firewall и антивирус и понаблюдать, что будет - проявится эта проблема или нет.

    Скорее всего п.п. 1 не решит проблему, в то время как п.п. 2 - решит. После этого можно делать выводы ...

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    741
    Вообще всё описанное могут сделать и авира с комодо на пару.

  13. #12
    Junior Member Репутация
    Регистрация
    09.04.2009
    Сообщений
    6
    Вес репутации
    33
    Как грамотный параноик в первые минуты заразы (ещё три дня назад) я отключил сеть ВООБЩЕ. Зараза перестала распространяться, но проявляться продолжала (отсюда мои выводы о том, что это автозагрузка\known dll etc.). Собственно, я потому и решил что червь сетевой. Тем более, что первыми попадали те, у кого открыта служба Сервер и расшарен принтер.

    До первого пострадавшего комодо был в паранойде только на админском компе и сервере, сервер залочился, админский - нет, причина в закрытых шарах последнего.

    Авиру вырезал, один шут - десктоп лочится намертво. После чего как раз и поставил всем шпионы, логгеры и COMODO, завтра запущу с начала раб. дня логгеры и за одно - виртуальную винду с шарами без софта и без паролей, посмотрим что с ней будет и что В ней будет.

    Что интересно, проявляется гадость спонтанно. Самый первый больной теперь вообще затих и прикинулся здоровым, на всякий случай комодоизирован на паранойде. Самые последние больные периодически всплывают вновь не смотря на параноидального комодо.

    Зайцеву Олегу гигантский респект за программу

    Спасибо юзеру SLAVCHIK за наводку, проверяю...

    Жизнь опять показала что избыток опыта вреден и полезно быть проще. Похоже, найдена причина - серьёзная ошибка движка AutoIT, используемого программой MultiAC (компонент Opera AC). Компонент ставит хуки на сообщения и "забывает" их отдавать. Пока на 80% уверен что причина в этом. Сетевая зависимость поведения обусловлена автообновлением Opera AC, которое как раз и провоцировало запуск окна MultiAC. Разбираюсь с кодом дальше. Временное решение - внёс в hosts сервера запись "127.0.0.1 bit-center.ru" чтобы не отключать обновление на всех машинах по одной.
    Последний раз редактировалось 1nd1g0; 13.04.2009 в 10:47. Причина: добавил солюшен

  • Уважаемый(ая) 1nd1g0, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Обрыв интернета и блокирование рабочего стола
      От ырьшырдутшн в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.05.2011, 23:07
    2. Ответов: 4
      Последнее сообщение: 03.12.2010, 10:30
    3. Нет рабочего стола, диспетчера задач
      От dis12345 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 15.03.2010, 16:31
    4. Ответов: 2
      Последнее сообщение: 30.11.2009, 01:56
    5. Ответов: 5
      Последнее сообщение: 31.12.2008, 09:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00232 seconds with 17 queries