Вирус (троян) постоянно создающий множество tmp.exe в каталоге Temp

**DmitriyR** · 09.03.2023, 13:38

Добрый день.
В каталоге Temp с периодичностью раз в 20-30 минут создаются файлы вида: nssDDBA.tmp и nssDDBA.tmp.exe. Меняются только названия. Расширение, объём и время создание постоянные.
Подозреваю что поймал майнер.
Почистил Планировщик заданий, удалил подозрительные программы, поискал что то похожее на майнер в реестре... Всё напрасно)
В системе установлен лицензионный Касперский.
Помогите найти и удалить заразу )

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 09.03.2023, 13:40

Уважаемый(ая) DmitriyR, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 09.03.2023, 14:13

Проверьте пару таких файлов на virustotal.com и дайте ссылки на результат.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

**DmitriyR** · 09.03.2023, 14:30

Сообщение от Vvvyg

Проверьте пару таких файлов на virustotal.com и дайте ссылки на результат.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

https://www.virustotal.com/gui/file/...d1dde2dd684cf9

- - - - -Добавлено - - - - -

Сообщение от DmitriyR

https://www.virustotal.com/gui/file/...d1dde2dd684cf9

https://drive.google.com/file/d/1xwC...ew?usp=sharing

**Vvvyg** · 09.03.2023, 16:14

Уведомление

Не нужно полностью цитировать сообщения, просто пишите в окне "Быстрый ответ"

На закладке "DETAILS" на virustotal видно:

File Version Information
Copyright (c) 1993-2021 Portrait Displays, Inc. All rights reserved.
Description HP Display Control Install Utility
Original Name DeviceCh.exe
Internal Name DeviceCh.exe
File Version 5.1.55.0

Ложная тревога.

**DmitriyR** · 09.03.2023, 16:48

Т.е., если я правильно понимаю, эти файлы создаёт утилита управления дисплеем моего ноутбука, который действительно HP?

**Vvvyg** · 09.03.2023, 17:12

Именно так. Поэтому и антивирус на них не реагирует.

**DmitriyR** · 09.03.2023, 17:14

Огромное спасибо за разъяснение!
Странное, конечно поведение утилиты. За сутки создаётся как минимум 16 таких файлов.

Вирус (троян) постоянно создающий множество tmp.exe в каталоге Temp (заявка № 228069)

Опции темы