Подозрительные файлы в папке temp, вопрос по userinit
Добрый день.
Прошу подсказать по нескольким вопросам.
Началось все после обновления firefox. Он начал при запуске выдавать окно запуска в безопасном режиме, открывал окна при нажатии на любую ссылку. Решил его удалить. В процессе удалял временные файлы из папки temp.
И вот при удалении выскочило окошко что папка ~nsuA.tmp являеться сетевой и общей (примерно не помню точно предложение). В итоге я удалил ее. На следующий день она снова появилась.
Внутри этой папки были два файла Un_A.exe и Un_B.exe
Не подумал их запаковать в архив и сохранить.
Провел полную проверку диска С с помощью Malwarebytes, AVZ, MSE. Результат - все чисто.
Вопрос что это может быть и что делать если снова появиться папка ~nsuA.tmp ?
При проверке DrWeb cureit я получил одно подозрение:
Userinit REG:SUSPICIOUS.UserinitCorrupted Registry\Machine\Software\Wow6432Node\Microsoft\Wi ndows NT\CurrentVersion\Winlogon\Userinit
После своей работы DrWeb удалил запятую после userinit.exe в этом ключе реестра.
Откуда второй вопрос так и оставлять или запятая там нужна, в общем я не понимаю...
У параметра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit, – стоит C:\Windows\system32\userinit.exe,
Зачем DrWeb удалил запятую у параметра из ветки Wow6432Node я не понимаю.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) dima12s, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Касаемо работы антивируса DrWeb вам лучше обращаться в тех. поддержку.
HiJackThis (из каталога autologger)профиксить Важно: необходимо отметить и профиксить только то, что указано ниже.
Код:
O2 - HKLM\..\BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\skype4com: [CLSID] = {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
Убедитесь пожалуйста, что в каталогах MySQL не присутствовали постороние библиотеки и файлы exe, иначе говоря, чтобы он не был взломан.
Код:
C:\ProgramData\MySQL\MySQL Server 5.6
Закройте и сохраните все открытые приложения.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
- - - - -Добавлено - - - - -
Также сообщите, пожалуйста, если времено отключить MySQL проблема проявляется?
Прикрепляю.
Не совсем понял про MySQL. Даже не помню когда я его запускал последний раз. Я выставил в службах запуск вручную, что бы запускать его только для работы. Также помню отменял его задачу в планировщике, словом было это наверно довольно давно.
В логах также пусто, могли бы заархивировать каталог в zip с паролем virus и загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Каталог ~nsuA.tmp был дважды удален мною при чистке папки temp. Второй раз на второй день, после того как при удалении он спросил собираюсь ли я удалять папку которая сетевая и общая(~nsuA.tmp). Я снова удалил, потом начал искать в интернете и нашел что это троян, начал проверять всеми антивирусами, но в третий раз пока не появилась папка, к сожалению она не сохранена. Однако тот факт что она появилась второй раз меня удивил поэтому обратился сюда..
Проблема в том, что в логах я не нашел проблемы, понаблюдайте пожалуйста пару дней и сообщите, если проблема еще актуальна?
Также убедитесь, чтобы у Вас были установлены все обновления Windows и приложений которыми вы пользуетесь.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center