Показано с 1 по 6 из 6.

Просьба объяснить откуда \\sysuser\? (заявка № 44713)

  1. #1
    Junior Member Репутация
    Регистрация
    27.04.2009
    Сообщений
    5
    Вес репутации
    28

    Просьба объяснить откуда \\sysuser\?

    Буду надеяться, что зашел на ту страницу.
    И так, просьба пояснить, это результат вируса или чего-то другого!??
    В сети у пару сотен, стоит Nod32.2.27 + Sav10.1.6000, апдейт еженедельный, обнаружено в системном диске:
    C:\WINDOWS\system32\sysuser\
    Его содержимое:
    C:\WINDOWS\system32\sysuser\sys.dll
    C:\WINDOWS\system32\sysuser\system.exe
    C:\WINDOWS\system32\sysuser\SetUWRights.exe
    C:\WINDOWS\system32\sysuser\svchost.exe
    C:\WINDOWS\system32\sysuser\Sys2.dll
    C:\WINDOWS\system32\sysuser\sys_v.dll
    C:\WINDOWS\system32\sysuser\Logs\SetRights.exe
    C:\WINDOWS\system32\sysuser\wssfcmai.exe
    +
    C:\WINDOWS\Temp\rights.exe

    Запуск из ветки:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\SharedDlls]
    с одноименной структурой.
    Что делает? Иногда блокирует печать. Где-то с 16.00 начинает качать к себе в районе 4-6 мегов. Источник или цель не видна в керио.

    Просьба кто в курсе, помочь или объснить.
    Чё це такэ?

    ЗЫ. Так и непонял как закинуть на вирус.инфо файл в 2 мега, поэтому распаковывающийся архив можно взять из
    подозрительные файлы закачивать согласно приложению 3 правил
    Там все *.exe переименованы с добавлением 1.
    Т.е. svchost.exe > svchost1.exe и так далее. Это выполнял после удаления этой малвари с рабочего компа. После удаления приведенных веток из реестра, переименования *.ехе, перезагрузки можно копировать. Но \\\logs заблокирован.
    Последний раз редактировалось Rene-gad; 28.04.2009 в 18:39. Причина: Удален ненужный файл

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Закачивать по ссылке http://virusinfo.info/upload_virus.php?tid=44713!
    Из тему ссылку и вложение убрать.

    Выполните правила http://virusinfo.info/showthread.php?t=1235

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2265
    Это http://www.lanagent.ru/ . Откуда он в сети - вам как админу лучше знать
    Если не знаете - удаляется стандартным своим инсталлятором. Качать с сайта по ссылке.

  5. #4
    Junior Member Репутация
    Регистрация
    27.04.2009
    Сообщений
    5
    Вес репутации
    28
    Цитата Сообщение от anton_dr Посмотреть сообщение
    Это http://www.lanagent.ru/ . Откуда он в сети - вам как админу лучше знать
    Если не знаете - удаляется стандартным своим инсталлятором. Качать с сайта по ссылке.
    Спасибо за ответ. Возможно были недостатки по запросу. Так сказать не по форме.
    Добавил два лога от hijackthis, которая просто как индикатор процессов. Кстати, куда лучше лог от procexp.exe Марка Руссиновича. Но это наверное дело вкуса и привычки.
    АВЗ4 меня не просто разочеравала, а прямо потрясла. После скана, стояла птичка на лечения, а зачем он тогда как антивирь???, не пускаются проги. Например VFoxPro. Кстати, на ручнике удалял \\sysuser\, далее ветку в реестре все было как надо, без такого обвала как от авз.
    Хотя, не скрою вещь интересная, но может быть с последствиями. УЧТУ!
    Спасибо за эту науку.
    Ещё спасибо по ланагенту. Вычислить кто поставил реально. Подозрение было, т.к. по гугломобили вместе с шуточками он упоминался, ещё MsSQL Server. В последнем также создается \\sysuser\.
    Всё-таки не совсем понятно как лечить штатным способом, причем удаленно на многих компах. Счет под две сотни. Все сканить авз, а потом поднимать все проги по-новой? ИМХО это не хайтек. Есть конечно возможность удаленного доступа и к реестру, и к C$, да и к удаленному столу. Но делать все в ручную... Хотя можно сделать скрипт на удаления из реестра этой штуки во всей сети при логине. Наверное это вариант.
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2265
    Пообщался с поддержкой - запускайте при логоне пакет user.msi с ключами
    LanAgent (15:39:41 29/04/2009)
    /x ключ удаления
    /quiet - "невидимый" режим удаления

  7. #6
    Junior Member Репутация
    Регистрация
    27.04.2009
    Сообщений
    5
    Вес репутации
    28
    Понял. Проверяю.

  • Уважаемый(ая) SVAnt, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Пропало место на системном диске (sysuser)
      От alspod в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 20.04.2010, 15:44
    2. Ответов: 3
      Последнее сообщение: 10.02.2010, 21:00
    3. Даже не знаю как объяснить!!!!
      От Lenysi4ka1 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 11.12.2008, 04:08
    4. Ответов: 11
      Последнее сообщение: 30.12.2007, 15:12

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00605 seconds with 21 queries