Некоторое время назад начал обращать внимание на странное поведение системы.
при старте ОС системный процесс LSASS.EXE пытается получить контроль над памятью процесса файлового менеджера DOPUS.EXE (Directory Opus). В случае разрешения внедрения — всё идёт в обычном ключе. Если внедрение запретить — исчезает возможность подключиться к интернету (при попытке запуска подключения к интернету (именно к интернету, LAN работает корректно) система ссылается на ошибку 711, что, AFAIK, значит остановку необходимой для запуска диспетчера подключений службы). Ручной мониторинг служб через стандартные средства ОС и сторонние приложения показывает, что все необходимые службы запущены. Их перезапуск положения не меняет.
Спустя несколько дней ситуация усугубилась — началось всё с попытки Directory Opus получить сетевой доступ (по-дефолту допускаются его обращения только на адрес 1го FTP. на остальные обращения включен "режим обучения"). При этом ситуация никак не предполагала сетевой активности приложения. Не происходило никакой попытки обращения к сетевым ресурсам и/или обновления ПО. Попытка была заблокирована, адрес обращения неизвестен. В дальнейшем подобных попыток не зафиксировано.
Дальше — хуже. На данный момент даже простой запуск файлового менеджера в 3/4 случаях приводит к остановке системы. Симптомы: Загрузка ЦП доходит до 100% (грузит процесс EKRN.EXE, т.е. NOD32 v4). Причём физического сканирования HDD не идёт. Активность жёсткого — нулевая. Иногда помогает отключение через трей-меню NOD'a опции "защита файловой системы в режиме реального времени". Стоит отметить, что зависание (и загрузка ЦПУ) происходит не сразу, а спустя 30-40 секунд от начала работы с файловым менеджером.
Попытки сканирования NOD'ом (автообновление баз раз в 2 часа все последние месяцы), Cure It от Dr.Web'a (скачан этой ночью), AVZ (обновления от сегодняшнего утра) приводят к сравнительно одинаковым результатам — сканирование идёт спокойно, не находит ничего, но на какой-то определённом моменте происходит ступор, сканер умирает и не реагирует на внешние команды. e.g. ситуация строго идентичная той, что бывает при попытке запуска Directory Opus.
Единственное что — NOD сканирование проводит без убийства системы (правда всё-равно не находит ничего). А Cure It нашла какой-то скриптик _вероятно_ вредоносный в папке Оперы. В остальном всё чисто.
Интересные факты:
Так-же были зафиксированы попытки LSASS.EXE обратиться к памяти антивируса и EHttpSrv.EXE (локальный сервер обновлений для NOD'a) и DUTRAFFIC.EXE (в случае с Дутраффиком - довольно часто). Остальное ПО он пока игнорирует.
Диспетчер процессов не показывает никаких подозрительных DLL в теле LSASS.EXE (хотя, да, это не показатель)
Ещё интересный момент - в стандартном виндовом диспетчере задач вдруг неожиданно столбец "имя пользователя" стал девственно чистым у всех процессов. Разве что "Бездействие системы" гордо щеголяет записью "SYSTEM" в соответствующем поле
В момент финального "ступора" системы происходит примерно следующее: система просто перестаёт реагировать на внешние команды. Открытые приложения сначала просто визуально "зависают" (рамка окошка и пустое пространство внутри + "песочные часы" курсора), а через несколько секунд превращаются в "статические декорации", не реагирующие вообще не на что (как скриншот прямо) при этом проигрываемый в AIMP'e трек доигрывается без проблем до конца, но следующий трек уже не начинается. Характерно, что закачка торрента судя по миганию лампочек на модеме и свитче идёт без остановок и на полной скорости вплоть до момент ребута системы через "reset"
UPD:
Пока писал текст - удалось победить проблему с зависанием системы. как оказалось - виноват был установленный на машине сервер RADMIN'a, содержащий модуль трояна.
Все остальные проблемы по-прежнему актуальны. Описание неприятностей с ребутами на всякий случай оставляю, вводной информации много не бывает
P.S. да, и кстати - контрольные суммы моей версии LSASS.EXE и версии с офдистриба совпадают полностью
P.P.S. как видно по логу - файл карантина по сканированию с эвристикой содержит в основном стандартный треш в виде исполняемых файлов с изменёнными в процессе бэкапа перед патчем разрешениями, плюс модуль файрволла и собсна допуса... архив сюда не цепляю (временно сижу на _ОЧЕНЬ_ плохом интернете. по требованию файлы, конечно, приложу)
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скрипт выполнил
Акробат удалил (моя ошибка. на самом деле через уязвимости в нём уже неоднократно гадость в системе поселиться пыталась. всё как-то руки не доходили)
карантин первоначальный (по результатам первой проверки при создании топика) я выслал часа 3 назад. потом удалил его напрочь
насчёт "пункт 2 диагностики" - имеется в виду скрипт#2 из раздела "стандартные скрипты" ? "скрипт сбора информации для раздела "помогите" ? выполнил. идёт аттачем
Да, кстати. интересно - после последовавшей за выполнением скрипта удаления файлов/отключения автозапуска перезагрузки - по факту старта системы запустилось (самостоятельно) аж 2 копии Directory Opus и сбросился рисунок на рабочем столе о_0 файл сам жив, но в графе "фоновый рисунок" стояло "нет" о_0 не опасно, но очень интересно...
upd: прошу пардона, не заметил строки с отправкой в карантин "AWiconsPro.exe" из скрипта. заархивировал, выслал через "прислать запрошенный карантин". но эта програмка у меня на машине валяется уже с год минимум и при этом довольно активно используется. даже если это реальный вредонос, то проблем от него за всё это время небыло ни разу
Последний раз редактировалось -CATMAN-; 12.07.2009 в 09:20.
Файл сохранён как 090712_194220_virusinfo_files_CATQUISTADOR_4a5a045 c97307.zip
Размер файла 10741900
MD5 e3c9550032cbe08e38a4598e6642d6a2
Добавлено через 3 часа 52 минуты
о_0 или я чего-то не понимаю, или... или я чего-то не понимаю
метка "[излечено]" напротив темы меня несколько смущает.
на самом деле ничего не излечено и очень даже наоборот, я-бы сказал...
теперь лсасс.ехе ещё и периодически пытается запрашивать сетевой доступ. правда только во время активности торрент-клиента. не знаю с чем это связано.
Последний раз редактировалось -CATMAN-; 12.07.2009 в 23:36.
Причина: Добавлено
окей. я не настаиваю, просто уточню - никакого _нестандартного_ антивирусного ПО в системе не стоит (стандартная связка из NOD32/Outpost FW). изменения в реестр/настройки ПО/установка нового ПО в течении последнего месяца _не_ осуществлялась. Проблема появилась на пустом месте совершенно неожиданно, что заставляет меня подозревать тут вовсе не конфликт между собой прикладного ПО, а что-то более серьёзное. но настаивать я, повторюсь, не буду. судить Вам. постараюсь разобраться с проблемой самостоятельно. Спасибо лично Вам за попытку помочь.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: