Показано с 1 по 8 из 8.

LSASS.EXE и попытки взаимодействия с памятью (заявка № 49792)

  1. #1
    Junior Member Репутация
    Регистрация
    11.07.2009
    Сообщений
    4
    Вес репутации
    31

    Thumbs up LSASS.EXE и попытки взаимодействия с памятью

    Некоторое время назад начал обращать внимание на странное поведение системы.

    при старте ОС системный процесс LSASS.EXE пытается получить контроль над памятью процесса файлового менеджера DOPUS.EXE (Directory Opus). В случае разрешения внедрения — всё идёт в обычном ключе. Если внедрение запретить — исчезает возможность подключиться к интернету (при попытке запуска подключения к интернету (именно к интернету, LAN работает корректно) система ссылается на ошибку 711, что, AFAIK, значит остановку необходимой для запуска диспетчера подключений службы). Ручной мониторинг служб через стандартные средства ОС и сторонние приложения показывает, что все необходимые службы запущены. Их перезапуск положения не меняет.

    Спустя несколько дней ситуация усугубилась — началось всё с попытки Directory Opus получить сетевой доступ (по-дефолту допускаются его обращения только на адрес 1го FTP. на остальные обращения включен "режим обучения"). При этом ситуация никак не предполагала сетевой активности приложения. Не происходило никакой попытки обращения к сетевым ресурсам и/или обновления ПО. Попытка была заблокирована, адрес обращения неизвестен. В дальнейшем подобных попыток не зафиксировано.

    Дальше — хуже. На данный момент даже простой запуск файлового менеджера в 3/4 случаях приводит к остановке системы. Симптомы: Загрузка ЦП доходит до 100% (грузит процесс EKRN.EXE, т.е. NOD32 v4). Причём физического сканирования HDD не идёт. Активность жёсткого — нулевая. Иногда помогает отключение через трей-меню NOD'a опции "защита файловой системы в режиме реального времени". Стоит отметить, что зависание (и загрузка ЦПУ) происходит не сразу, а спустя 30-40 секунд от начала работы с файловым менеджером.

    Попытки сканирования NOD'ом (автообновление баз раз в 2 часа все последние месяцы), Cure It от Dr.Web'a (скачан этой ночью), AVZ (обновления от сегодняшнего утра) приводят к сравнительно одинаковым результатам — сканирование идёт спокойно, не находит ничего, но на какой-то определённом моменте происходит ступор, сканер умирает и не реагирует на внешние команды. e.g. ситуация строго идентичная той, что бывает при попытке запуска Directory Opus.
    Единственное что — NOD сканирование проводит без убийства системы (правда всё-равно не находит ничего). А Cure It нашла какой-то скриптик _вероятно_ вредоносный в папке Оперы. В остальном всё чисто.

    Интересные факты:
    Так-же были зафиксированы попытки LSASS.EXE обратиться к памяти антивируса и EHttpSrv.EXE (локальный сервер обновлений для NOD'a) и DUTRAFFIC.EXE (в случае с Дутраффиком - довольно часто). Остальное ПО он пока игнорирует.
    Диспетчер процессов не показывает никаких подозрительных DLL в теле LSASS.EXE (хотя, да, это не показатель)
    Ещё интересный момент - в стандартном виндовом диспетчере задач вдруг неожиданно столбец "имя пользователя" стал девственно чистым у всех процессов. Разве что "Бездействие системы" гордо щеголяет записью "SYSTEM" в соответствующем поле

    В момент финального "ступора" системы происходит примерно следующее: система просто перестаёт реагировать на внешние команды. Открытые приложения сначала просто визуально "зависают" (рамка окошка и пустое пространство внутри + "песочные часы" курсора), а через несколько секунд превращаются в "статические декорации", не реагирующие вообще не на что (как скриншот прямо) при этом проигрываемый в AIMP'e трек доигрывается без проблем до конца, но следующий трек уже не начинается. Характерно, что закачка торрента судя по миганию лампочек на модеме и свитче идёт без остановок и на полной скорости вплоть до момент ребута системы через "reset"


    UPD:
    Пока писал текст - удалось победить проблему с зависанием системы. как оказалось - виноват был установленный на машине сервер RADMIN'a, содержащий модуль трояна.
    Все остальные проблемы по-прежнему актуальны. Описание неприятностей с ребутами на всякий случай оставляю, вводной информации много не бывает

    P.S. да, и кстати - контрольные суммы моей версии LSASS.EXE и версии с офдистриба совпадают полностью

    P.P.S. как видно по логу - файл карантина по сканированию с эвристикой содержит в основном стандартный треш в виде исполняемых файлов с изменёнными в процессе бэкапа перед патчем разрешениями, плюс модуль файрволла и собсна допуса... архив сюда не цепляю (временно сижу на _ОЧЕНЬ_ плохом интернете. по требованию файлы, конечно, приложу)
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Закройте все программы.
    Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
     SetAVZPMStatus(True);
     ExecuteRepair(5);
     ClearQuarantine;
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     QuarantineFile('C:\Program Files\AWiconsPro.exe','');
     DeleteFile('C:\Program Files\AIMP2\AIMP2.exe.(1).bak');
     DeleteFile('C:\Program Files\Alcohol Soft\Alcohol 120\alcohol.BAK');
     DeleteFile('C:\Program Files\uTorrent\uTorrent\uTorrent.exe.(1).bak');
     DeleteFile('C:\Program Files\WPM\WebPageMaker.exe.bak');
     DeleteFile('C:\Program Files\Ad Muncher\AdMunch.BAK');
     RebootWindows(False);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

    Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
    Установите Adobe Acrobat Reader 9.1 или удалите старый.

  4. #3
    Junior Member Репутация
    Регистрация
    11.07.2009
    Сообщений
    4
    Вес репутации
    31
    Скрипт выполнил
    Акробат удалил (моя ошибка. на самом деле через уязвимости в нём уже неоднократно гадость в системе поселиться пыталась. всё как-то руки не доходили)

    карантин первоначальный (по результатам первой проверки при создании топика) я выслал часа 3 назад. потом удалил его напрочь

    насчёт "пункт 2 диагностики" - имеется в виду скрипт#2 из раздела "стандартные скрипты" ? "скрипт сбора информации для раздела "помогите" ? выполнил. идёт аттачем

    Да, кстати. интересно - после последовавшей за выполнением скрипта удаления файлов/отключения автозапуска перезагрузки - по факту старта системы запустилось (самостоятельно) аж 2 копии Directory Opus и сбросился рисунок на рабочем столе о_0 файл сам жив, но в графе "фоновый рисунок" стояло "нет" о_0 не опасно, но очень интересно...

    upd: прошу пардона, не заметил строки с отправкой в карантин "AWiconsPro.exe" из скрипта. заархивировал, выслал через "прислать запрошенный карантин". но эта програмка у меня на машине валяется уже с год минимум и при этом довольно активно используется. даже если это реальный вредонос, то проблем от него за всё это время небыло ни разу
    Вложения Вложения
    Последний раз редактировалось -CATMAN-; 12.07.2009 в 08:20.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    В логе чисто.
    Когда будет нормальный интернет, выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519

  6. #5
    Junior Member Репутация
    Регистрация
    11.07.2009
    Сообщений
    4
    Вес репутации
    31
    кое-как со скрипом и писком залил файл.

    Файл сохранён как 090712_194220_virusinfo_files_CATQUISTADOR_4a5a045 c97307.zip
    Размер файла 10741900
    MD5 e3c9550032cbe08e38a4598e6642d6a2


    Добавлено через 3 часа 52 минуты

    о_0 или я чего-то не понимаю, или... или я чего-то не понимаю
    метка "[излечено]" напротив темы меня несколько смущает.
    на самом деле ничего не излечено и очень даже наоборот, я-бы сказал...
    теперь лсасс.ехе ещё и периодически пытается запрашивать сетевой доступ. правда только во время активности торрент-клиента. не знаю с чем это связано.
    Последний раз редактировалось -CATMAN-; 12.07.2009 в 22:36. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Особенности совестной работы системных файлов Windows, различных антивирусов и прикладных программ выходят за рамки данного раздела.

  8. #7
    Junior Member Репутация
    Регистрация
    11.07.2009
    Сообщений
    4
    Вес репутации
    31
    окей. я не настаиваю, просто уточню - никакого _нестандартного_ антивирусного ПО в системе не стоит (стандартная связка из NOD32/Outpost FW). изменения в реестр/настройки ПО/установка нового ПО в течении последнего месяца _не_ осуществлялась. Проблема появилась на пустом месте совершенно неожиданно, что заставляет меня подозревать тут вовсе не конфликт между собой прикладного ПО, а что-то более серьёзное. но настаивать я, повторюсь, не буду. судить Вам. постараюсь разобраться с проблемой самостоятельно. Спасибо лично Вам за попытку помочь.

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 9
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) -CATMAN-, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Проблемма с оперативной памятью
      От Djon777 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 02.11.2010, 02:27
    2. Что то с памятью моей стало!
      От stas1405 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 19.06.2009, 09:37
    3. Ответов: 9
      Последнее сообщение: 22.02.2009, 09:49
    4. Проблема с виртуальной памятью
      От Киска в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.11.2007, 11:50

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01475 seconds with 17 queries