Неизвестные %name%.tmp.exe файлы в папке C:\Windows\Temp [Trojan.Win64.Wdfload.bgk ]

**exportuha** · 21.05.2017, 21:16

Здравствуйте! Пару дней замечаю, как в папке C:\Windows\Temp появляются неизвестные файлы, название которых отличается в четырех символах после "g" до точки (например: g8465.tmp.exe, g6544.tmp.exe). На данный момент там лежит файл g3851.tmp.exe

В силу своих небольших познаний я открывал файл с помощью дизассемблера, где неоднократно обнаружил слова Crypt, Norton (мой антивирус на данный момент). Прошу помощи!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 21.05.2017, 21:18

Уважаемый(ая) exportuha, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 21.05.2017, 22:11

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFileF('C:\Windows\Temp', '*.tmp.exe', false, '', 0, 0);
 DeleteFile('C:\Windows\SYSWOW64\H@tKeysH@@k.DLL');
 DeleteFileMask('C:\Windows\Temp', '*.tmp.exe', true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteRepair(1);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

**exportuha** · 21.05.2017, 23:47

Файл загрузил.
После перезагрузки ПК опять пооткрывались эти темп-файлы, грузят сис-му прилично!

**Vvvyg** · 22.05.2017, 07:05

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**exportuha** · 22.05.2017, 07:33

Готово

**Vvvyg** · 22.05.2017, 19:59

Устраните для верности:

Поиск критических уязвимостей
Уязвимость в MSXML делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...0-4e0f4a65db04
Запускайте обновление от имени Администратора

UAC (контроль учётных записей) отключён.
http://windows.microsoft.com/ru-ru/w...control-on-off

Microsoft Silverlight 5.1.30514.0 устарел. Удалите его или установите новый
http://www.microsoft.com/getsilverli...lverlight.ashx

UAC включите обязательно на время.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.0.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
;---------command-block---------
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIKFLKCANBLCCFAHDHDONEHDALIBJNIF%26INSTALLSOURCE%3DONDEMAND%26UC
delref D:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE
delref %SystemDrive%\USERS\EXPORT\APPDATA\LOCAL\DISCORD\UPDATE.EXE
delref %SystemDrive%\USERS\EXPORT\APPDATA\LOCAL\MAELSTROM\APPLICATION\MAELSTROM.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\XILISOFT\VIDEO CONVERTER ULTIMATE 6\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\XILISOFT\VIDEO CONVERTER ULTIMATE 6\VCLOADER.EXE
delref %SystemDrive%\PROGRAM FILES\AIRVPN\AIRVPN.EXE
delref %SystemDrive%\PROGRAM FILES\AIRVPN\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES\ANDROID\ANDROID STUDIO\BIN\STUDIO64.EXE
delref %SystemDrive%\PROGRAM FILES\AUTOHOTKEY\AUTOHOTKEY.EXE
delref %SystemDrive%\PROGRAM FILES\AUTOHOTKEY\AU3_SPY.EXE
delref %SystemDrive%\PROGRAM FILES\AUTOHOTKEY\COMPILER\AHK2EXE.EXE
delref %SystemDrive%\PROGRAM FILES\AUTOHOTKEY\AUTOHOTKEY WEBSITE.URL
delref %SystemDrive%\PROGRAM FILES (X86)\AUTOIT3\AU3INFO_X64.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\AUTOIT3\AU3INFO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\AUTOIT3\AUT2EXE\AUT2EXE_X64.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\AUTOIT3\AUT2EXE\AUT2EXE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\AUTOIT3\AUTOIT3_X64.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MENUMAID\FREE BOOK.URL
delref %SystemDrive%\PROGRAM FILES (X86)\MENUMAID\MENUMAID.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MENUMAID\UNINST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MENUMAID\MENUMAID.URL
delref %SystemDrive%\PYTHON27\LIB\IDLELIB\IDLE.PYW
delref %SystemDrive%\PYTHON27\TOOLS\SCRIPTS\PYDOCGUI.PYW
delref %SystemDrive%\PROGRAM FILES (X86)\R.G. MECHANICS\PROJECT CARS\LAUNCHER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RAIDCALL.RU\UNINST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\PICPICK\PICPICK.EXE
adddir C:\Windows\temp
crimg
apply

Запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".

Будет сформирован новый образ автозапуска, загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в теме.

**exportuha** · 22.05.2017, 21:29

Спасибо, что помогаете!
http://rgho.st/private/7tzmyKVRj/ad1...af95758b59a059

**Vvvyg** · 22.05.2017, 22:00

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.0.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\FUJITSU FU403D XP\FUJITSU FU403D XP.DLL
dirzooex  %SystemDrive%\PROGRAM FILES\FUJITSU FU403D XP
addsgn BA6F9BD21DE1498740F2AE329EC9D505258AFCF6FDF057FB418B2C1DAE298EDC6F9E877306DCC96D1FC80DD3623EA1377DDFE89A2D314FD361FCE00BFF8D7657 24 a variant of Win64/Wdfload.M [ESET] 7

zoo %SystemRoot%\TEMP\G789E.TMP.EXE
addsgn BA6F9BB2BDDDA0720B9C2D754C211005258A303AC173435C958B4CC874CE2604A0FBF3BF46049D4924377426441649FA959C04725562FD762D77ECA2FA65EF85 8 PUP.Optional.BitCoinMiner [MBAM] 7

chklst
delvir
deldir %SystemDrive%\PROGRAM FILES\FUJITSU FU403D XP
czoo
deltmp
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите Java 8 Update 131.
Учтите, что 64-bit версия Java нужна только для очень ограниченного круга приложений.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**exportuha** · 23.05.2017, 00:35

Прикрепил архив ZOO через "Прислать запрошенный карантин";
Лог UVS помещаю в архив total_log.zip, к файлам FRST.txt, Addition.txt;
Java с ПК удалил;

**Vvvyg** · 23.05.2017, 07:03

Запустите FRST/FRST64. Нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:

Код:

CreateRestorePoint:
FF NetworkProxy: Mozilla\Firefox\Profiles\3ew8m55y.default -> http", "127.0.0.1"
FF NetworkProxy: Mozilla\Firefox\Profiles\3ew8m55y.default -> http_port", 8080
FF Extension: (Fast search) - C:\Users\EXPORT\AppData\Roaming\Mozilla\Firefox\Profiles\3ew8m55y.default\Extensions\amcontextmenu@loucypher [2017-05-19]
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
S3 CV2K1; system32\DRIVERS\cv2k1.sys [X]
S3 dbx; system32\DRIVERS\dbx.sys [X]
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
S3 taphss6; system32\DRIVERS\taphss6.sys [X]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2017-05-23 00:18 - 2009-07-14 06:20 - 00000000 ____D C:\Program Files\Fujitsu FU403D XP
Task: {07C72FB5-0D12-49A1-A94F-8B2B7F918B36} - System32\Tasks\{41646643-05ED-4FBD-BDFF-F300763E08E6} => c:\program files (x86)\opera\launcher.exe [2017-05-15] (Opera Software)
Task: {336BCC67-9064-4B46-B57D-CFB1D9C8EDFB} - System32\Tasks\{BC570195-BB2A-44DB-99FC-DC30CCEE9C1F} => c:\program files (x86)\opera\launcher.exe [2017-05-15] (Opera Software)
Task: {DA26C9E6-3C7E-424D-AF90-E5246DDE188F} - System32\Tasks\Fujitsu FU403D XP => Rundll32.exe "C:\Program Files\Fujitsu FU403D XP\Fujitsu FU403D XP.dll",KMFvqEwC
Task: {E2FB3FB0-56F4-4118-9796-0F5C13FE5896} - System32\Tasks\{FEA3EFDD-F9D7-4616-B8C6-BEEC84D7E7AD} => c:\program files (x86)\opera\launcher.exe [2017-05-15] (Opera Software)
Task: C:\Windows\Tasks\Fujitsu FU403D XP.job => rundll32.exe
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [149]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [124]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:FB6A21E3 [230]
FirewallRules: [{27B1CDC3-6713-4219-A61E-4CB54A1A22A1}] => (Allow) LPort=445
Reboot:

Сохраните (Ctrl+S) и закройте.
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**exportuha** · 23.05.2017, 16:53

После перезагрузки ПК в папке C:\Windows\Temp не нахожу никаких лишних файлов, в диспетчере задач также чисто!
Надеюсь и не появится. Спасибо Вам большое, лог готов и прикреплен к сообщению!

**Vvvyg** · 23.05.2017, 21:49

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

**CyberHelper** · 23.05.2017, 21:59

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 5
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\temp\gcc69.tmp.exe - UDS:DangerousObject.Multi.Generic
2. \fujitsu fu403d xp.dll._3f9812e7128dfe1b5766174518e475e5284349cc - Trojan.Win64.Wdfload.bgk

Неизвестные %name%.tmp.exe файлы в папке C:\Windows\Temp [Trojan.Win64.Wdfload.bgk ] (заявка № 212328)

Опции темы