Sysuser

[miller777]

Лечил заразу, не детектируемую Касперским (со свежими базами) и Dr Web Cure IT (тоже свежим).
Симптомы заражения:

1. При старте системы выдается сообщение: system error... невозможно найти какой-то модуль:

(Все картинки кликабельны, можно посмотреть в полном размере).


2. При выключении или перезагрузке выводится сообщение: access violation... Соответственно, выключения не происходит, или происходит не всегда.
3. В списке процессов висят system.exe, svchost.exe, wssfcmai.exe которые, однако, запускается не из \system32, а из \system32\systemuser. Для просмотра списка процессов рекомендую пользоваться каким-нибудь человеческим менеджером задач типа Starter, Anvir, Autoruns. Я пользовался Starter`om. Встроенный менеджер задач Windows не так удобен.


4. В system32 присутствует скрытая папка sysuser (искать Total Commander`ом или включить отображение скрытых и системных файлов в проводнике).



В папке лежат файлы, сходные по названию с системными: system.exe, svchost.exe, еще что-то.

Антивирусы ничего не находят, хотя все признаки указывают на заражение, и сама папка очень подозрительная; Но в интернете информация уже есть. forum.farline.net/archive/index.php/t-8079.html

Смотрим список автозагрузки: ничего криминального.



Далее: идем в службы:



Обнаруживаем службу MPSys. Якобы, подписанную Microsoft.

Для вируса папка весит слишком много: 800 мб.




Смотрим содержимое этой папки:







Имена папок и файлов наводят на мысль, что это кейлоггер или иная программа для слежения за пользователем. Или руткит.

Отсутствие реакции со стороны антивирусов наводят на печальную мысль, что это, возможно, чей-то легальный продукт (наподобие Staffcop`а), на который антивирусы "закрывают глаза". Хотя, суки, исправно реагируют на Dameware и Radmin, искренне считая их опасным программным обеспечением.

Удалить руками из-под загруженной в обычном режиме системы не получается: нет доступа, не хватает прав.

Лечение: AVZ со скриптами. Я прогонял вот такой:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mlrunas.exe',' ');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyg1 7.sys','');
QuarantineFile('C:\WINDOWS\system32\sysuser\svchos t.exe','');
QuarantineFile('C:\WINDOWS\system32\sysuser\sys.dl l','');
QuarantineFile('C:\WINDOWS\system32\sysuser\sys2.d ll','');
QuarantineFile('C:\WINDOWS\system32\sysuser\system .exe','');
QuarantineFile('c:\windows\system32\sysuser\system .exe','');
QuarantineFile('c:\windows\system32\sysuser\svchos t.exe','');
TerminateProcessByName('c:\windows\system32\sysuse r\svchost.exe');
TerminateProcessByName('c:\windows\system32\sysuse r\system.exe');
DeleteService('MSSystem');
DeleteService('Winyg17');
DeleteFile('c:\windows\system32\sysuser\svchost.ex e');
DeleteFile('c:\windows\system32\sysuser\system.exe ');
DeleteFile('C:\WINDOWS\system32\sysuser\system.exe ');
DeleteFile('C:\WINDOWS\system32\sysuser\sys2.dll') ;
DeleteFile('C:\WINDOWS\system32\sysuser\sys.dll');
DeleteFile('C:\WINDOWS\system32\sysuser\svchost.ex e');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyg17.sy s');
DeleteFile('C:\WINDOWS\system32\mlrunas.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winyg17');
BC_DeleteSvc('MSSystem');
BC_Activate;
RebootWindows(true);
end.

Полсле перезагрузки остатки удаляем руками.
Либо ручками удаляем эту папку из-под Live CD (возможно, даст удалить и из безопасного режима, но не факт). Но AVZ лучше.
Еще раз повторяю: Каспер и CureIT не нашли ничего.

Comments

тоже наблюдаю такое

[pirojoke.oneid.ru (from livejournal.com)]

virustotal.com от имени касперского пишет, что это (по крайней мере, его svchost.exe) "not-a-virus:Monitor.Win32.LanAgent.b".

спасибо

[liuciyena.livejournal.com]

Спасибо за информацию, стафкопа удалила, знала, что этим не закончится...Увы, оказалась права.

Re: спасибо

[miller777.livejournal.com]

Рад помочь!

[yoksel-moksel.livejournal.com]

Программа для слежения за пользователями Lan Agent (http://www.lanagent.ru/).

Удаляется через запуск установщика user.msi с ключами /x (ключ удаления) /quiet ("невидимый" режим удаления) или вручную, после выполнения "отложенного удаления файла" C:\WINDOWS\system32\sysuser\svchost.exe в AVZ.

Откуда берётся - не знаю, на подотчётных мне компах я её не встречал, а весить может несколько МБ благодаря накоплению файлов в папке LOG. Антивирусами не детектируется, ибо не вирус, использует модуль WinPcap для прослушки сети.

[miller777.livejournal.com]

Благодарю!

Только сейчас заметил ваш комментарий. (( Почему-то был помечен, как спам).

[(Anonymous)]

Спасибо за разбор чего и как!

[miller777.livejournal.com]

Всегда пожалуйста!

Sergey

[(Anonymous)]

Это программа LanAgent. Удаляется запуском этой программы.

Антон

[(Anonymous)]

Ребята помогите, в компах не соображаю, но проблема появилась сама собой. подцепил не понимаю что,wssfcmai.exe файл, но касперский его не видит, а процессор он не хило грузит, как его удалить? просто так не удаляется, прав не хватает, что делать?

Re: Антон

[miller777.livejournal.com]

Я в посте написал, как я удалял:

>>Удалить руками из-под загруженной в обычном режиме системы не получается: нет доступа, не хватает прав.
Лечение: AVZ со скриптами. Я прогонял вот такой:

и далее, по тексту. Скрипт в посте приведен. Соответственно, вам понадобится AVZ (ищите через любой поисковик), скачиваете, запускаете и прогоняете в нем скрипт.

Скорее всего, у вас стоит Lan agent. Он относится к легальному программному обеспечению, поэтому антивирусы на него реагировать не будут. В комментах выше писали, что он удаляется повторным запуском самой программы, соответственно, можно попробовать скачать сам Lan agent и запустить его установку, но сам я этот способ не проверял.

Или обратитесь к кому-нибудь, кто хорошо разбирается.

Искать в поисковиках: "как удалить Lan Agent?"

Посмотрите, есть ли у вас в списке процессов процессы, упомянутые в п. 3, если есть - откуда именно они запускаются (полный путь к файлу).