Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Подозрительгая папка "sysuser" (заявка № 52759)

  1. #1
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    16
    Вес репутации
    31

    Question Подозрительгая папка "sysuser"

    Доброго всем дня!
    На днях вылечил с Вашей помощью систему (ещё раз большое спасибо!) и там среди прочего была папка w\system32\sysuser, которая, как я понял, содержала программу/мы для взлома/слежения. И вот теперь встретил такую папку ещё на одной машине. Вызвался помочь, проверил на вирусы по Вашим рекомендациям - в sysuser CureIT нашёл Trojan.HideProc.42 в виде файла Sys2.dll. Будьте добры, посмотрите прилагаемые логи и подскажите, что и как ещё исправить (обновления, это понятно - поставлю).
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     ExecuteRepair(13);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     DeleteService('MSSystem');
     QuarantineFile('C:\WINDOWS\system32\sysuser\svchost.exe','');
     DeleteService('ASUSHWIO');
     QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe','');
    DeleteFile('c:\windows\tasks\At1.job');
     QuarantineFile('C:\Documents and Settings\Valentin\Templates\Brengkolang.com','');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    QuarantineFile('C:\WINDOWS\system32\sysuser\sys.dll','');
    DeleteFile('C:\WINDOWS\system32\sysuser\sys.dll');
     QuarantineFile('c:\windows\system32\sysuser\wssfcmai.exe','');
     QuarantineFile('c:\windows\system32\sysuser\system.exe','');
     QuarantineFile('c:\windows\system32\sysuser\svchost.exe','');
     DeleteFile('c:\windows\system32\sysuser\svchost.exe');
     DeleteFile('c:\windows\system32\sysuser\system.exe');
     DeleteFile('c:\windows\system32\sysuser\wssfcmai.exe');
     DeleteFile('C:\Documents and Settings\Valentin\Templates\Brengkolang.com');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\SPIDERNT','EventMessageFile');
     DeleteFile('C:\WINDOWS\system32\sysuser\svchost.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

    Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
    Установите Adobe Acrobat Reader 9.1.3 или удалите старый.

  4. #3
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    16
    Вес репутации
    31
    Всё сделал!
    Карантин выслал.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Очистите файл hosts.

    Вы каком антивирусом пользоваться собираетесь? У Вас Нортон и Др.Веб.
    Удалите какой не нужен, повторите лог по п.2 Диагностики.

  6. #5
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    16
    Вес репутации
    31
    Будет DrWeb, Нортона удалил.
    Файл hosts очистил. Попытался удалить за ненадобностью ICQ - не получается, ошибка открытия reg.key.
    После перезагрузки стала выскакивать такая ошибка: Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Похоже я что-то не так сделал?
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Обновления безопасности на Windows надо устанавливать. Лучше начать с Service Pack 3 (может потребоваться активация).

  8. #7
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    16
    Вес репутации
    31
    Файл hosts поправил - ошибка пропала. С ICQ тоже справился.
    Вот только система как и предыдущем случае (http://virusinfo.info/showthread.php?t=52486) стала надолго задумываться при перезагрузке/выключении. - 2 мин и более. Изменения в реестре, предложенные уважаемым Rene-Gad-ом влияют лишь на скорость исчезновения ярлыков и элементов интерфейса на "рабочем столе", но "обои" всё-равно висят 2 мин и более. В чём беда?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Код:
    C:\WINDOWS\System32\drivers\ASUSHWIO.sys
    - пришлите по правилам (приложение 2 и 3).

  10. #9
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    16
    Вес репутации
    31
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Код:
    C:\WINDOWS\System32\drivers\ASUSHWIO.sys
    - пришлите по правилам (приложение 2 и 3).
    Что-то нет такого файла на этой машине.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от androstan Посмотреть сообщение
    Что-то нет такого файла на этой машине.
    ОК, значит я его выдумал

    - Сделайте лог GMER.

  12. #11
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    16
    Вес репутации
    31
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    ОК, значит я его выдумал

    - Сделайте лог GMER.
    Уважаемый Rene-gad, если Вас обидел, то прошу прощения, но указанный Вами файл правда отсутствует - AVZ выдаёт ошибку при попытке добавить файл в карантин по списку.
    Лог GMER прилагаю.
    Вложения Вложения
    • Тип файла: log gmer.log (2.1 Кб, 4 просмотров)

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от androstan Посмотреть сообщение
    если Вас обидел, то прошу прощения.
    Да нет же Ну подумайте сами - мы же не ясновидящие и если видим В ЛОГЕ файл, вызывающий у нас подозрения, то просим его прислать для анализа.
    Если бы Вы сказали: Не могу найти файл - другое дело, но утверждать, что его нет Вы не можете, т.к. он виден в логе.

    Вы в GMER на кнопку SCAN нажимали? Что-то лог очень маленький.

  14. #13
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    16
    Вес репутации
    31
    Уважаемый Rene-gad! С некоторым трудом, но всё-таки получилось записать лог GMER-а! Около десятка запусков оканчивались сохранением практически пустого лог-файла, пока не додумался скачать эту прогу ещё раз! Сообщение о том, что найден руткит видел, однако свои ручонки держу при себе - жду мнения экспертов.
    Кстати про файл C:\WINDOWS\System32\drivers\ASUSHWIO.sys - прошу меня извинить за некорректную формулировку, но удивительно, что программа записавшая файл в лог не видит его при попытке поместить в карантин. Это что, такой юркий "червячок"?!
    Вложения Вложения
    • Тип файла: log g3.log (55.4 Кб, 3 просмотров)
    Последний раз редактировалось androstan; 29.08.2009 в 18:58.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от androstan Посмотреть сообщение
    Сообщение о том, что найден руткит видел, однако свои ручонки держу при себе
    Это было мудрое решение, т.к. telnet - служба Виндовс. Если она Вам не нужна - можете ее отключить.
    удивительно, что программа записавшая файл в лог не видит его при попытке поместить в карантин.
    Файл может быть не помещен в карантин, если он проходит по базе безопасных файлов.А если поискать его, то м.б. он найдется: АВЗ/Сервис/Поиск файлов?

    Добавлено через 1 минуту

    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Обновления безопасности на Windows надо устанавливать. Лучше начать с Service Pack 3 (может потребоваться активация).
    Сделано?
    Последний раз редактировалось Rene-gad; 29.08.2009 в 21:14. Причина: Добавлено

  16. #15
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    16
    Вес репутации
    31
    Увы, но файл не находится ни при помощи АВЗ, ни из коммандной строки, про эксплорер уж и не говорю. В логах АВЗ он по прежнему присутствует.
    Сервис-пак на винду установил.
    Кстати, про главный вопрос: что это за папка "sysuser"? - расскажите хоть что зверь её организовал. Нужно ли её удалять? Несмотря на выполненный скрипт, эта папка всё ещё присутствует на своём месте.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    - Сделайте лог полного сканирования MBAM.

  18. #17
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    16
    Вес репутации
    31
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    - Сделайте лог полного сканирования MBAM.
    Вот лог полного сканирования программой МВАМ.
    Вложения Вложения

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    C:\Documents and Settings\Valentin\Local Settings\Application Data\Bron.tok-12-29 - удалите с помощью МБАМ

    Папка sysuser в зловредных не видна. А она еще есть? Что в ней лежит?

  20. #19
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    16
    Вес репутации
    31
    Во вложении архив с текстовым файлом со списком полного содержимого каталога sysuser (за исключением файла Sys2.dll, который был удалён CureIt - первый пост, он располагался в корне папки + несколько файлов, удалённых при выполнении скрипта в AVZ). Папка имеет аттрибут "скрытая", подпапка Logs и её содержимое было недоступно.
    Вложения Вложения
    Последний раз редактировалось androstan; 31.08.2009 в 17:11.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Понятия не имею, куда тут кобылу запрягают
    Удалите эту папку.

  • Уважаемый(ая) androstan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 03.07.2012, 10:05
    2. Ответов: 7
      Последнее сообщение: 26.04.2012, 15:16
    3. В диске С постоянно появляется папка "News". Avast истерит )
      От СветлаяЛана в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 08.04.2012, 16:02
    4. Ответов: 7
      Последнее сообщение: 27.02.2012, 13:25
    5. Autorun.inf и папка RECYCL*ER ("RECYCL" пробел "ER")
      От Sekkusu в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 10.04.2010, 00:05

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00402 seconds with 17 queries