-
Junior Member
- Вес репутации
- 53
Пропало место на системном диске (sysuser)
Заметил исчезновение примерно 20 гб на системном диске: общий объем 30гб, все папки и файлы занимают около 8 гб. Отключил файл подкачки и восстановление системы - места не прибавилось. Переопределил права доступа для всего диска и обнаружил папку c:\WINDOWS\system32\sysuser\Logs\ размером 21 гб. Так же нашел запущенную службу MPsys, которой нет на других компах с Win XP. В вышеописанной папке находится кроме всего прочего еще 2 большие папки: c:\WINDOWS\system32\sysuser\Logs\image\ размером около 18 гб и с большим количеством файлов с расширением .spl, в имени которых прослеживается дата, и папка c:\WINDOWS\system32\sysuser\Logs\pic\ размером около 2 гб и файлами с расширением .dat.
Очень большое подозрение на вирус. Помогите плиз.
PS: переопределение прав доступа для всех файлов и папок системного диска, как я понимаю, может облегчить в дальнейшем заражение оного. Если это возможно, то подскажите как вернуть все права доступа в значение по умолчанию.
Последний раз редактировалось alspod; 17.04.2010 в 14:34.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Программа LanAgent установлена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
В папке Program Files есть такая папка и содержит следующее:
DB\HIST.GDB
log\AdmLogD(24.11.2009 19-08-06).xmd
Сам я не помню чтобы устанавливал ее.
-
В списке установленных программ LanAgent есть?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
В Панель управления - Установка и удаление программ смотрели?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
да, как раз там и смотрел
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\sysuser\wssfcmai.exe');
TerminateProcessByName('c:\windows\system32\sysuser\system.exe');
TerminateProcessByName('c:\windows\system32\sysuser\svchost.exe');
SetServiceStart('MSSystem', 4);
QuarantineFile('C:\WINDOWS\system32\sysuser\sys2.dll','');
QuarantineFile('C:\WINDOWS\system32\sysuser\sys.dll','');
QuarantineFile('c:\windows\system32\sysuser\system.exe','');
QuarantineFile('c:\windows\system32\sysuser\wssfcmai.exe','');
QuarantineFile('c:\windows\system32\sysuser\svchost.exe','');
DeleteFile('c:\windows\system32\sysuser\svchost.exe');
DeleteFile('c:\windows\system32\sysuser\system.exe');
DeleteFile('c:\windows\system32\sysuser\wssfcmai.exe');
DeleteFile('C:\WINDOWS\system32\sysuser\sys.dll');
DeleteFile('C:\WINDOWS\system32\sysuser\sys2.dll');
DeleteService('MSSystem');
DeleteFileMask('c:\windows\system32\sysuser', '*.*', true);
DeleteDirectory('c:\windows\system32\sysuser');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Да, конечно. Спасибо большое. Удален ли этот вирус, которые писал такие обильные логи?
-
Junior Member
- Вес репутации
- 53
Папка sysuser снова создалась, но пока пустая. Это нормально?
-
Компьютер в локальной сети организации?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
В локальной сети, но не совсем организации.
-
Возможно кто-то из локальной сети пытается контролировать Вас
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Как это можно детектировать и пресечь?
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sysuser\svchost.exe - not-a-virus:Monitor.Win32.LanAgent.b ( BitDefender: Gen:Trojan.Heur.5K0@rm9nr9gg )
-