Буду надеяться, что зашел на ту страницу.
И так, просьба пояснить, это результат вируса или чего-то другого!??
В сети у пару сотен, стоит Nod32.2.27 + Sav10.1.6000, апдейт еженедельный, обнаружено в системном диске:
C:\WINDOWS\system32\sysuser\
Его содержимое:
C:\WINDOWS\system32\sysuser\sys.dll
C:\WINDOWS\system32\sysuser\system.exe
C:\WINDOWS\system32\sysuser\SetUWRights.exe
C:\WINDOWS\system32\sysuser\svchost.exe
C:\WINDOWS\system32\sysuser\Sys2.dll
C:\WINDOWS\system32\sysuser\sys_v.dll
C:\WINDOWS\system32\sysuser\Logs\SetRights.exe
C:\WINDOWS\system32\sysuser\wssfcmai.exe
+
C:\WINDOWS\Temp\rights.exe
Запуск из ветки:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\SharedDlls]
с одноименной структурой.
Что делает? Иногда блокирует печать. Где-то с 16.00 начинает качать к себе в районе 4-6 мегов. Источник или цель не видна в керио.
Просьба кто в курсе, помочь или объснить.
Чё це такэ?
ЗЫ. Так и непонял как закинуть на вирус.инфо файл в 2 мега, поэтому распаковывающийся архив можно взять из подозрительные файлы закачивать согласно приложению 3 правил
Там все *.exe переименованы с добавлением 1.
Т.е. svchost.exe > svchost1.exe и так далее. Это выполнял после удаления этой малвари с рабочего компа. После удаления приведенных веток из реестра, переименования *.ехе, перезагрузки можно копировать. Но \\\logs заблокирован.
Последний раз редактировалось Rene-gad; 28.04.2009 в 18:39.
Причина: Удален ненужный файл
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Это http://www.lanagent.ru/ . Откуда он в сети - вам как админу лучше знать
Если не знаете - удаляется стандартным своим инсталлятором. Качать с сайта по ссылке.
Это http://www.lanagent.ru/ . Откуда он в сети - вам как админу лучше знать
Если не знаете - удаляется стандартным своим инсталлятором. Качать с сайта по ссылке.
Спасибо за ответ. Возможно были недостатки по запросу. Так сказать не по форме.
Добавил два лога от hijackthis, которая просто как индикатор процессов. Кстати, куда лучше лог от procexp.exe Марка Руссиновича. Но это наверное дело вкуса и привычки.
АВЗ4 меня не просто разочеравала, а прямо потрясла. После скана, стояла птичка на лечения, а зачем он тогда как антивирь???, не пускаются проги. Например VFoxPro. Кстати, на ручнике удалял \\sysuser\, далее ветку в реестре все было как надо, без такого обвала как от авз.
Хотя, не скрою вещь интересная, но может быть с последствиями. УЧТУ!
Спасибо за эту науку.
Ещё спасибо по ланагенту. Вычислить кто поставил реально. Подозрение было, т.к. по гугломобили вместе с шуточками он упоминался, ещё MsSQL Server. В последнем также создается \\sysuser\.
Всё-таки не совсем понятно как лечить штатным способом, причем удаленно на многих компах. Счет под две сотни. Все сканить авз, а потом поднимать все проги по-новой? ИМХО это не хайтек. Есть конечно возможность удаленного доступа и к реестру, и к C$, да и к удаленному столу. Но делать все в ручную... Хотя можно сделать скрипт на удаления из реестра этой штуки во всей сети при логине. Наверное это вариант.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Сообщение от anton_dr
