Подозрительные файлы в папке temp, вопрос по userinit

Добрый день.
Прошу подсказать по нескольким вопросам.

Началось все после обновления firefox. Он начал при запуске выдавать окно запуска в безопасном режиме, открывал окна при нажатии на любую ссылку. Решил его удалить. В процессе удалял временные файлы из папки temp.
И вот при удалении выскочило окошко что папка [B]~nsuA.tmp[/B] являеться сетевой и общей (примерно не помню точно предложение). В итоге я удалил ее. На следующий день она снова появилась.

Внутри этой папки были два файла Un_A.exe и Un_B.exe
Не подумал их запаковать в архив и сохранить.

Провел полную проверку диска С с помощью Malwarebytes, AVZ, MSE. Результат - все чисто.

Вопрос что это может быть и что делать если снова появиться папка ~nsuA.tmp ?

При проверке DrWeb cureit я получил одно подозрение:
Userinit REG:SUSPICIOUS.UserinitCorrupted Registry\Machine\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

После своей работы DrWeb удалил запятую после userinit.exe в этом ключе реестра.

Откуда второй вопрос так и оставлять или запятая там нужна, в общем я не понимаю...

У параметра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit, – стоит C:\Windows\system32\userinit.exe,

Зачем DrWeb удалил запятую у параметра из ветки Wow6432Node я не понимаю.

Остальные файлы я все прикрепляю как требуется.

Уважаемый(ая) [B]dima12s[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

Касаемо работы антивируса DrWeb вам лучше обращаться в тех. поддержку.

HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
O2 - HKLM\..\BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\skype4com: [CLSID] = {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
[/CODE]

Убедитесь пожалуйста, что в каталогах MySQL не присутствовали постороние библиотеки и файлы exe, иначе говоря, чтобы он не был взломан.

[CODE]C:\ProgramData\MySQL\MySQL Server 5.6[/CODE]

[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\system\HsMgr64.exe
BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - No File
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [No File]
FF Plugin-x32: @t.garena.com/garenatalk -> C:\Program Files (x86)\Garena Plus\bbtalk\plugins\npPlugin\npGarenaTalkPlugin.dll [No File]
Folder: C:\ProgramData\SecTaskMan
Folder: C:\ProgramData\Mozilla
File: C:\Program Files (x86)\bb90ca74.tmp
AlternateDataStreams: C:\ProgramData:gs5sys [2560]
AlternateDataStreams: C:\Users\All Users:gs5sys [2560]
AlternateDataStreams: C:\Users\Dima:gs5sys [3074]
AlternateDataStreams: C:\Users\Все пользователи:gs5sys [2560]
AlternateDataStreams: C:\ProgramData\Application Data:gs5sys [2560]
AlternateDataStreams: C:\ProgramData\TEMP:77F07255 [111]
AlternateDataStreams: C:\ProgramData\Templates:gs5sys [2560]
AlternateDataStreams: C:\ProgramData\Шаблоны:gs5sys [2560]
AlternateDataStreams: C:\Users\Dima\Application Data:gs5sys [2048]
AlternateDataStreams: C:\Users\Dima\Cookies:gs5sys [3074]
AlternateDataStreams: C:\Users\Dima\Local Settings:gs5sys [3074]
AlternateDataStreams: C:\Users\Dima\Шаблоны:gs5sys [2048]
AlternateDataStreams: C:\Users\Dima\AppData\Local:gs5sys [3074]
AlternateDataStreams: C:\Users\Dima\AppData\Roaming:gs5sys [2048]
AlternateDataStreams: C:\Users\Dima\AppData\Local\Application Data:gs5sys [3074]
AlternateDataStreams: C:\Users\Dima\AppData\Local\History:gs5sys [3074]
AlternateDataStreams: C:\Users\Dima\AppData\Local\Temp:$DATA​ [16]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:gs5sys [2560]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:77F07255 [111]
AlternateDataStreams: C:\Users\Все пользователи\Templates:gs5sys [2560]
AlternateDataStreams: C:\Users\Все пользователи\Шаблоны:gs5sys [2560]
Reboot:
End::
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

[QUOTE=SQ;1501364]

Убедитесь пожалуйста, что в каталогах MySQL не присутствовали постороние библиотеки и файлы exe, иначе говоря, чтобы он не был взломан.

[/QUOTE]
Здравствуйте.
Просмотрел папки MySQL в ProgramData - файлов .exe и .dll не обнаружено (если я правильно понял).
Fixlog прикрепляю.

Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].

[QUOTE=SQ;1501387]Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].[/QUOTE]
Прикрепляю

В логах ничего плохого не заметил.

[QUOTE=SQ;1501390]В логах ничего плохого не заметил.[/QUOTE]

Спасибо. А вот если папка ~nsuA.tmp опять появится в каталоге temp, какие действия предпринять?

- Покажите лог [URL="http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe"]TDSSKiller[/URL]
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Также сообщите, пожалуйста, если времено отключить MySQL проблема проявляется?

[QUOTE=SQ;1501396]- Покажите лог [URL="http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe"]TDSSKiller[/URL]
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Также сообщите, пожалуйста, если времено отключить MySQL проблема проявляется?[/QUOTE]
Прикрепляю.
Не совсем понял про MySQL. Даже не помню когда я его запускал последний раз. Я выставил в службах запуск вручную, что бы запускать его только для работы. Также помню отменял его задачу в планировщике, словом было это наверно довольно давно.

В логах также пусто, могли бы заархивировать каталог в zip с паролем virus и загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

[QUOTE=SQ;1501401]В логах также пусто, могли бы заархивировать каталог в zip с паролем virus и загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.[/QUOTE]

Каталог ~nsuA.tmp был дважды удален мною при чистке папки temp. Второй раз на второй день, после того как при удалении он спросил собираюсь ли я удалять папку которая сетевая и общая(~nsuA.tmp). Я снова удалил, потом начал искать в интернете и нашел что это троян, начал проверять всеми антивирусами, но в третий раз пока не появилась папка, к сожалению она не сохранена. Однако тот факт что она появилась второй раз меня удивил поэтому обратился сюда..

Проблема в том, что в логах я не нашел проблемы, понаблюдайте пожалуйста пару дней и сообщите, если проблема еще актуальна?
Также убедитесь, чтобы у Вас были установлены все обновления Windows и приложений которыми вы пользуетесь.

Спасибо, если папка появится я отправлю ее в архиве.