В папке C:\WINDOWS\Temp образуется папка типа ns****.tmp (например nsf131.tmp) в с файлами System.dll и Userinfo.dll, а также в папке C:\WINDOWS\Temp образуется файл с таким же именем ns****.tmp которые нельзя удалить. Эти файлы можно удалить сразу после перезагрузки системы, но через некоторое время они появляются вновь с новым именем.
Последний раз редактировалось Andrey Golubev; 16.12.2020 в 08:46.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Andrey Golubev, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Компьютер и проблема те же, что и здесь?
Сделайте лог этой версией Autologger.
WBR,
Vadim
Да, это одно и то же.
Прикладываю новый log
Проверьте файлы System.dll и Userinfo.dll на virustotal.com и дайте ссылки на результат.
psexesvc.exe из Sysinternals Utilites lkz удалённого управления сами устанавливали? Если нет - через HijackThis, расположенный в папке Autologger и пофиксите::Установите KB4012598 - похоже, дырка, используемая с 2017 года шифровальщиками WannaCry и Petya/NotPetya, а также многими майнерами и троянами не закрыта.Код:O23 - Service S3: PSEXESVC - C:\WINDOWS\PSEXESVC.exe
WBR,
Vadim
Через Virustotal они опознаются, как безопасные:
https://www.virustotal.com/gui/file/...61a1/detection
https://www.virustotal.com/gui/file/...c2d7/detection
Sysinternals Utilites lkz - специально не устанавливал. Пофиксил.
Патч KB4012598 по ссылке не устанавливается - т.к. язык ОС у меня English, а он под русскую версию. Скачал English из catalog.update.microsoft.com - установился успешно.
Пока не могу сказать есть эффект или нет. Эти файлы после перезагрузки ОС и удаления могут появится как через пару минут, так и через пару часов после загрузки ОС. Буду наблюдать.
Спасибо, за помощь.
- - - - -Добавлено - - - - -
Снова в C:\WINDOWS\Temp появился файл nst3A5.tmp и папка с таким же именем, в которой снова лежат System.dll и Userinfo.dll
Похоже на работу инсталлятора какого-то.
Скачайте утилиту Universal Virus Sniffer отсюда, как снова появится, сделайте полный образ автозапуска uVS.
WBR,
Vadim
Снова появились nsb335.tmp...
Сделал образ автозапуска:
Файл не могу загрузить на форум - ругается "превысил предел на форуме". Размер файла 332 кВ.
Удалите вложения, относящиеся к самым старым темам. Или загрузите в облако и сюда ссылку.
WBR,
Vadim
Готово
Ничего подозрительного. Кажется, такие папки создаёт NSIS инсталлер.
WBR,
Vadim
Спасибо.
Можно попробовать отловить, кто создаёт эти файлы, с помощью Procmon из Sysinternals Suite.
Загрузите Sysinternals Suite, распакуйте и запустите Procmon.exe. Меню Filter -> Filter..., в строке Display entries matching these conditions: Path contains впечатываете \Userinfo.dll then Include, далее Add, Apply и OK.
Когда в окне появятся записи, упоминающие этот файл, меню File -> Save..., выбираете Comma-Separated Values (CSV) и сохраняете.
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
