14 августа дочь слазила в интернет (в чат), и похоже словила вирус.
Проявляется следующим образом:
при подключении к интернету (модем) система фактически зависает. При этом на внешнем модеме по индикаторам виден мощный трафик. В таскбаре индикаторы трафика сети показывают 0-вую загрузку. "Завис" продолжается минут 5 (пока трафик на модеме не успокоится). затем становится полегче. При отрубании модема без запущенных IE и других браузеров вылазит сообщение с предложением подключиться опять (типа восстановить обрыв).
Кроме этого стали происходить странные проблемы с правами на доступ к файлам - пытаешься открыть, выдает сообщение "недостаточно прав доступа". После перезагрузки некоторое время все нормально, потом ошибка прав доступа может вылезти опять в любой момент.
Машинка: неразогнанная AMD 64 3000+, 1gb ram, 80gb диск.
Windows XP Professional SP2, лицензионная, со всеми апдейт паками (Microsoft update работает на автомате).
На машине стоит Касперский версии 6.0.0.300, с расширенными БД, обновления скачиваются каждые 6 часов (если подключен модем).
В AVP включен самый жесткий режим проверок, но он ничего не находит (при этом есть сообщения что кто-то пытается подсоединиться к процессу explorer и другие странности).
Логи AVZ приложены. Файл virusinfo_cure.zip пустой.
да, забыл. Проверяли RootkitRevealer-ом Руссиновича, он ничего не нашел.
Последний раз редактировалось kdv; 17.08.2006 в 22:56.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Действительно подозрительно, в связи с тем что явно "паразитов" не видать, пришлите как написано в правилах -
C:\WINDOWS\system32\CBJMON.DLL
C:\WINDOWS\system32\ckldrv.sys
C:\WINDOWS\System32\Drivers\dump_nvatabus.sys
C:\WINDOWS\System32\Drivers\EPoXUSDM.SYS
C:\WINDOWS\system32\DRIVERS\slabbus.sys
C:\WINDOWS\system32\DRIVERS\slabcm.sys
C:\WINDOWS\system32\DRIVERS\slabser.sys
C:\WINDOWS\system32\DRIVERS\slabwh.sys
C:\Program Files\ICache\ICache.exe
Действительно подозрительно, в связи с тем что явно "паразитов" не видать, пришлите как написано в правилах -
прислать сложно, в силу изложенных причин, но попробуем.
небольшой коммент:
C:\WINDOWS\System32\Drivers\EPoXUSDM.SYS
это монитор температуры проца и т.п., стандартная фишка для
материнских плат EPOX, я ставил у себя и на этом компе,
с фирменного диска. Практически вне подозрений.
C:\Program Files\ICache\ICache.exe
это штуковина, которая позволяет в оффлайне просматривать кэш IE. Тоже в использовании давно, и тоже фактически без подозрений.
прислать сложно, в силу изложенных причин, но попробуем.
небольшой коммент:
C:\WINDOWS\System32\Drivers\EPoXUSDM.SYS
это монитор температуры проца и т.п., стандартная фишка для
материнских плат EPOX, я ставил у себя и на этом компе,
с фирменного диска. Практически вне подозрений.
C:\Program Files\ICache\ICache.exe
это штуковина, которая позволяет в оффлайне просматривать кэш IE. Тоже в использовании давно, и тоже фактически без подозрений.
Файлы постараюсь прислать завтра.
-а все драйвера slab*.sys, скорее всего, из софта для мобилки... ну, даже если все файлы и окажутся чистыми, то Ваш труд не пропадёт зря, во-первых они пополнят базу безопасных в AVZ, во-вторых мы будем уверены, что проблема заключалась не в них
-а все драйвера slab*.sys, скорее всего, из софта для мобилки...
ага
Сообщение от Alex Plutoff
ну, даже если все файлы и окажутся чистыми, то Ваш труд не пропадёт зря, во-первых они пополнят базу безопасных в AVZ, во-вторых мы будем уверены, что проблема заключалась не в них
разумеется. проблема-то есть, и она достаточно неприятная. Можно было бы грешить на железо, если бы не специфическое поведение при модемном коннекте. Попробовать бы что-нибудь включить, что позволит отмониторить хотя бы ЧТО именно перекачивается.
p.s. подам идею перед коннектом в инет включить filemon с sysinternals...
-отключить обновления... да, но ни Каспер, ни винда не станут самостоятельно подключаться к сети, если такового нет... кроме того их трафик в трее индицируется... IMHO, проблема не в этом.
-отключить обновления... да, но ни Каспер, ни винда не станут самостоятельно подключаться к сети, если такового нет... кроме того их трафик в трее индицируется.
Это было сказано, для того, что бы быть 100% уверенным, что не они источник проблем.
avp 6 пробовали выключать перед коннектом к интернету - ничего. авто-апдейт виндов выставлен (уже давно) в режим только оповещения, ибо на модемной связи качать в произвольный момент что ни попадя - извините.
самостоятельно винда в интернет не звонит. этого нет.
Прислали файлы с компа:
Файл сохранён как
mxm00Y_44e703c0a7e10.rar
Размер файла 99589
MD51cecb8c5525c7a5aad1bee1a222599f3
мой CA eTrust 7.1 ничего в файле не обнаружил.
Вот коммент приславшего:
нет - (на дисках нет, куда делась не знаю)
C:\WINDOWS\System32\Drivers\dump_nvatabus.sys
нет - (на дисках нет, деинсталировал сам)
C:\WINDOWS\System32\Drivers\EPoXUSDM.SYS
есть - C:\WINDOWS\system32\CBJMON.DLL
есть - C:\WINDOWS\system32\ckldrv.sys
есть - C:\WINDOWS\system32\DRIVERS\slabbus.sys
есть - C:\WINDOWS\system32\DRIVERS\slabcm.sys
есть - С:\WINDOWS\system32\DRIVERS\slabser.sys
есть - C:\WINDOWS\system32\DRIVERS\slabwh.sys
нет - (размер 560KB) C:\Program Files\ICache\ICache.exe
деинсталлировал сам.
(ставил с http://www.risingresearch.com)
в дополнение. это калужский диалап, центр-телеком. с интервалом в 2 секунды при подключенном модеме с разных ip лезут на порт 1026 (с одного адреса может быть до 3-х раз). может, это какой-то локальный вирусняк?
ближайшее действие - отрубаем firewall в xp, ставим антихакера, лезем в интернет. Результаты доложу.
Upd: результат: трафик при подключении модема к инету прекращается только если в антихакере поставить "полную невидимость". Однако, остался вопрос с глюком с правами доступа.
Пока будем жить так (раз ответа на файл еще нет), через неделю доберусь до этого компа, гляну сам...
однако вопрос - неужели внешняя долбежка на порты может привести к ~5-6 минутному фактически зависанию компа, так что даже TaskManager ничего показать не может? и почему тогда это продолжается только 5-6 минут?
Последний раз редактировалось kdv; 21.08.2006 в 03:30.
антихакер касперского не спасает. повторяется та же самая картина - коннект - завис компа, в это время модем что-то качает, куда - непонятно, через 5-6 минут отвисает.
Он, наверное, тоже выше этого уровня работает. По транспортным протоколам aka TCP/IP (или IPX тоже умеет?). А PPP - этажом ниже, транспортные протоколы поверх него едут.
наверно не стоит гадать, а надо просто попробовать
хуже все равно уже не будет
возможно индикатор в трее мигать не будет, а оутпост активность зафиксирует. если она конечно есть эта самая активность. на сколько мне помнится у обычных диал-ап модемов есть возможность удаленного считывания конфигурации, изменения параметров и прочая лабудень. возможно стоит попробовать к компу другой модемчик подоткнуть. причем "другой" не только по фирме-производителю модема, но и по чипсету.
Кроме этого стали происходить странные проблемы с правами на доступ к файлам - пытаешься открыть, выдает сообщение "недостаточно прав доступа". После перезагрузки некоторое время все нормально, потом ошибка прав доступа может вылезти опять в любой момент.
Можно попробовать в этот момент запустить oh.exe из Ресурc-кита и посмотреть, кем занят доступ к файлу.
В любом случае стоит проверить все настройки соединения, в том числе и строку инициализации модема.
Можно попробовать взять PortMon Руссиновича и посмотреть, нет ли подозрительных обращений к COM-порту в момент подключения (и "подвисания").
значит так. Диск взяли, и подключили к другой машине.
И что вы думаете? Касперский 6 нашел Trojan-PSW.Win32.Lineage.acn на зараженной машине этот же касперский с теми же настройками ничего не находит, с самыми свежими базами.
нашли 4 зараженных файла, вычистили, будем смотреть дальше.
я понимаю, но его детектирование касперским обозначено с 3 июля, а вся эта фигня началась 14-го июля. И получается, что вся эта агрессивная защита, эвристика и т.п. просто не работает.
Конечно, можно списать на то, что если антивирус не запущен, а вирус внедрен, то при запуске антивирус не найдет этот вирус. Но простите, а зачем тогда антивирус?
и как тогда простому пользователю проверять свою систему?
Уважаемый(ая) kdv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Подозрение на неизвестный вирус
Сообщение от RiC
