Каждый екзешник при втором запуске требует слишком многого

Андрей Я

Guest

Это нравится:0 Да/0 Нет

16.02.2010 16:40:29

После установки любой программы при втором её запуске выскакивает Агнитум с гневным окном мол ваше приложение хочет изменить критические важные файлы. Следом фаервол рапортует о попытке прямого доступа к диску.

NOD32, KAV, CureIt - ничего.
Подозрительной сетевой активности не видно.
Система вроде бы особо не тормозит.
Отсылал файл, на который ругался фаервол, на TotalVirus.net или как там его - проверка показала, что такой файл уже проверялся и всё чисто. Т.е. файл внутренне без изменений.
Да, ещё какой-то антируткит запускал, тоже ничё не унюхал.

Я не сильно шарю в этих вопросах, но на мысли только какой-то code-injection в выполняемый процесс. Больше вариантов нет.

Такая шарада продолжается уже месяца 4, сис-му не переустанавливал, т.к. лицензия а диск остался далеко.

Прошу помощи!

[mad]Mega Guest	#2 Это нравится:0 Да/0 Нет 22.02.2010 11:33:59 надеюсь что на "assoc .exe" вам ".exe=exefile". если "да!", то вам в HKEY_CLASSES_ROOT\exefile\shell\open\command а в целом это операция проверки начинается с HKEY_CLASSES_ROOT\.exe, а дальше по аналогии с exefile

Андрей Я

Guest

Это нравится:0 Да/0 Нет

22.02.2010 12:34:58

Вот данные из реестра. К сожалению, значения ключей не особо много мне говорят:

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"

[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

098f2470-bae0-11cd-b579-08002b30bfeb:
[HKEY_CLASSES_ROOT\CLSID\{098f2470-bae0-11cd-b579-08002b30bfeb}]
@="Null persistent handler"

[HKEY_CLASSES_ROOT\CLSID\{098f2470-bae0-11cd-b579-08002b30bfeb}\PersistentAddinsRegistered]

[HKEY_CLASSES_ROOT\CLSID\{098f2470-bae0-11cd-b579-08002b30bfeb}\PersistentAddinsRegistered\{89BCB740-6119-101A-BCB7-00DD010655AF}]
@="{c3278e90-bea7-11cd-b579-08002b30bfeb}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\...] - то же самое

89BCB740-6119-101A-BCB7-00DD010655AF:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{89BCB740-6119-101A-BCB7-00DD010655AF}]
@="IFilter"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{89BCB740-6119-101A-BCB7-00DD010655AF}\NumMethods]
@="8"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{89BCB740-6119-101A-BCB7-00DD010655AF}\ProxyStubClsid32]
@="{B056521A-9B10-425E-B616-1FCD828DB3B1}"

[HKEY_CLASSES_ROOT\CLSID\{c3278e90-bea7-11cd-b579-08002b30bfeb}]
@="Null filter"

c3278e90-bea7-11cd-b579-08002b30bfeb:
[HKEY_CLASSES_ROOT\CLSID\{c3278e90-bea7-11cd-b579-08002b30bfeb}\InprocServer32]
@="query.dll"
"ThreadingModel"="Both"

query.dll
C:\WINDOWS\$hf_mig$\KB969059\SP3QFE\query.dll
C:\WINDOWS\$NtServicePackUninstall$\query.dll
C:\WINDOWS\$NtUninstallKB969059$\query.dll
C:\WINDOWS\ServicePackFiles\i386\query.dll
C:\WINDOWS\system32\dllcache\query.dll
C:\WINDOWS\system32\query.dll
Размер: 1 438 208 байт
Проверка файла на virustotal.com сообщила, что файл чист.

Не представляю, где можно копать дальше.

[mad]Mega Guest	#4 Это нравится:0 Да/0 Нет 22.02.2010 13:10:27 моё HKEY_CLASSES_ROOT\exefile\shell\open\command: "%1" %* эм... а чё за слеши у вас догнать не могу

Андрей Я

Guest

Это нравится:0 Да/0 Нет

22.02.2010 13:14:32

Цитата
[mad]Mega пишет: моё HKEY_CLASSES_ROOT\exefile\shell\open\command: "%1" %* эм... а чё за слеши у вас догнать не могу

Сорри, копировал из файла-експорта.
\" здесь означает кавычку " внутри строки.

lkesh

Guest

Это нравится:0 Да/0 Нет

22.02.2010 13:42:30

То что агнум ругается это хорошо. Значит работает.
Вы бы поподробней описали как реагирует агнум, на что ругается.
А то кажется что он ругается на попытки изменить файл query.dll.
А вы сравните оригинальный с тем который в дистрибутиве(не забывайте что файлы в дистрибутиве упакованы). Еще можете посмотреть оригинальный размер в файле %systemroot%\inf\layout.inf.
Я глянул в SP3 этот файл, он и вправду весит 1 438 208 байт. Отсюда вывод что он у вас скорее всего чистый.
Следующим ходом должна быть проверка автозапуска например программа Autoruns и поиск того что пытается выскочить из своего адресного пространства.
Можно и средствами самой системы например пуск->выполнить:
wmic process list >\process.txt - создаст в корне системного диска техтовый файл с перечнем запущенных процессов.
wmic service list >\service.txt - соответственно список сервисов.
wmic sysdriver list >\driver.tx - драйвера.
А дальше анализируем что там и как.

Андрей Я

Guest

Это нравится:0 Да/0 Нет

23.02.2010 01:51:13

Цитата
lkesh пишет: То что агнум ругается это хорошо. Значит работает. Вы бы поподробней описали как реагирует агнум, на что ругается. А то кажется что он ругается на попытки изменить файл query.dll.

Скачал я gvim. Запускаю - всё гуд. Поигрался, закрыл. Запускаю повторно - процесс хочет изменить критически важные файлы. Сразу после этого сообщение, что процесс пытается получить прямой доступ к диску. Кидаю файл на virustotal - с такой сигнатурой файл сканировали, всё чисто.
Инсталлирую триал фотошопа. В процессе екзешник создаёт какие-то временные процессы. Посреди инсталляции: "процесс блаблабла.tmp пытается изменить критические важные файлы) и т.д. аналогично с gvim.
Появление таковых сообщений на разные программы было уже раз двадцать. Блокирование доступа не влияет на функциональность программы, затребовавшей такие изменения.

Цитата

А вы сравните оригинальный с тем который в дистрибутиве(не забывайте что файлы в дистрибутиве упакованы). Еще можете посмотреть оригинальный размер в файле %systemroot%\inf\layout.inf.
Я глянул в SP3 этот файл, он и вправду весит 1 438 208 байт. Отсюда вывод что он у вас скорее всего чистый.
Следующим ходом должна быть проверка автозапуска например программа Autoruns и поиск того что пытается выскочить из своего адресного пространства.
Можно и средствами самой системы например пуск->выполнить:
wmic process list >\process.txt - создаст в корне системного диска техтовый файл с перечнем запущенных процессов.
wmic service list >\service.txt - соответственно список сервисов.
wmic sysdriver list >\driver.tx - драйвера.
А дальше анализируем что там и как.

Файлы в архиве, здесь: http://rapidshare.com/files/354427546/files.zip
Похоже, аттачмент добавить здесь нельзя.

lkesh

Guest

Это нравится:0 Да/0 Нет

23.02.2010 09:42:51

Глянул на ваши логи. Внешне чисто. Хотя списочек немаленький и многое мне не известно. Правда у вас там остался след от Sophos AntiRootkit (драйвер MEMSWEEP2 с ручным запуском C:\WINDOWS\system32\4BE.tmp) если не пользуетесь то лучше удалить.
Еще присутствует не самый безопасный сервис PunkBuster античитерская прога (самообновляющаяся!).
Да и про Bonjour Service ходят слухи нехорошие. Его устанавливает фотошоп.

Цитата
процесс блаблабла.tmp пытается изменить критические важные файлы

А вот это уже интересней. Когда выскочит это окно, не трогая его, найдите тот самый "блаблабла.tmp" (например тотал командером) и скопируйте его куда нибудь.
Ну и проверьте.
А еще можно дать ему инфицировать файл. А имея на руках инфицированный файл из него легко можно выделить стабильную сигнатуру и при помощи этой сигнатуры найти все инфицированные файлы.
После чего загрузившись с лайвСД заменить все на чистое.

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?