Подозрительные файлы в папке temp, вопрос по userinit

[dima12s]

Добрый день.
Прошу подсказать по нескольким вопросам.

Началось все после обновления firefox. Он начал при запуске выдавать окно запуска в безопасном режиме, открывал окна при нажатии на любую ссылку. Решил его удалить. В процессе удалял временные файлы из папки temp.
И вот при удалении выскочило окошко что папка ~nsuA.tmp являеться сетевой и общей (примерно не помню точно предложение). В итоге я удалил ее. На следующий день она снова появилась.

Внутри этой папки были два файла Un_A.exe и Un_B.exe
Не подумал их запаковать в архив и сохранить.

Провел полную проверку диска С с помощью Malwarebytes, AVZ, MSE. Результат - все чисто.

Вопрос что это может быть и что делать если снова появиться папка ~nsuA.tmp ?

При проверке DrWeb cureit я получил одно подозрение:
Userinit REG:SUSPICIOUS.UserinitCorrupted Registry\Machine\Software\Wow6432Node\Microsoft\Wi ndows NT\CurrentVersion\Winlogon\Userinit

После своей работы DrWeb удалил запятую после userinit.exe в этом ключе реестра.

Откуда второй вопрос так и оставлять или запятая там нужна, в общем я не понимаю...

У параметра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit, – стоит C:\Windows\system32\userinit.exe,

Зачем DrWeb удалил запятую у параметра из ветки Wow6432Node я не понимаю.

Остальные файлы я все прикрепляю как требуется.

[Info_bot]

Уважаемый(ая) dima12s, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

Касаемо работы антивируса DrWeb вам лучше обращаться в тех. поддержку.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

O2 - HKLM\..\BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\skype4com: [CLSID] = {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)

Убедитесь пожалуйста, что в каталогах MySQL не присутствовали постороние библиотеки и файлы exe, иначе говоря, чтобы он не был взломан.

Код:

C:\ProgramData\MySQL\MySQL Server 5.6

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  Start::
  CreateRestorePoint:
  CloseProcesses:
  File: C:\Windows\system\HsMgr64.exe
  BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
  Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -  No File
  FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [No File]
  FF Plugin-x32: @t.garena.com/garenatalk -> C:\Program Files (x86)\Garena Plus\bbtalk\plugins\npPlugin\npGarenaTalkPlugin.dll [No File]
  Folder: C:\ProgramData\SecTaskMan
  Folder: C:\ProgramData\Mozilla
  File: C:\Program Files (x86)\bb90ca74.tmp
  AlternateDataStreams: C:\ProgramData:gs5sys [2560]
  AlternateDataStreams: C:\Users\All Users:gs5sys [2560]
  AlternateDataStreams: C:\Users\Dima:gs5sys [3074]
  AlternateDataStreams: C:\Users\Все пользователи:gs5sys [2560]
  AlternateDataStreams: C:\ProgramData\Application Data:gs5sys [2560]
  AlternateDataStreams: C:\ProgramData\TEMP:77F07255 [111]
  AlternateDataStreams: C:\ProgramData\Templates:gs5sys [2560]
  AlternateDataStreams: C:\ProgramData\Шаблоны:gs5sys [2560]
  AlternateDataStreams: C:\Users\Dima\Application Data:gs5sys [2048]
  AlternateDataStreams: C:\Users\Dima\Cookies:gs5sys [3074]
  AlternateDataStreams: C:\Users\Dima\Local Settings:gs5sys [3074]
  AlternateDataStreams: C:\Users\Dima\Шаблоны:gs5sys [2048]
  AlternateDataStreams: C:\Users\Dima\AppData\Local:gs5sys [3074]
  AlternateDataStreams: C:\Users\Dima\AppData\Roaming:gs5sys [2048]
  AlternateDataStreams: C:\Users\Dima\AppData\Local\Application Data:gs5sys [3074]
  AlternateDataStreams: C:\Users\Dima\AppData\Local\History:gs5sys [3074]
  AlternateDataStreams: C:\Users\Dima\AppData\Local\Temp:$DATA​ [16]
  AlternateDataStreams: C:\Users\Все пользователи\Application Data:gs5sys [2560]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:77F07255 [111]
  AlternateDataStreams: C:\Users\Все пользователи\Templates:gs5sys [2560]
  AlternateDataStreams: C:\Users\Все пользователи\Шаблоны:gs5sys [2560]
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[dima12s]

Убедитесь пожалуйста, что в каталогах MySQL не присутствовали постороние библиотеки и файлы exe, иначе говоря, чтобы он не был взломан.

Здравствуйте.
Просмотрел папки MySQL в ProgramData - файлов .exe и .dll не обнаружено (если я правильно понял).
Fixlog прикрепляю.

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[dima12s]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Прикрепляю

[SQ]

В логах ничего плохого не заметил.

[dima12s]

В логах ничего плохого не заметил.

Спасибо. А вот если папка ~nsuA.tmp опять появится в каталоге temp, какие действия предпринять?

[SQ]

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

- - - - -Добавлено - - - - -

Также сообщите, пожалуйста, если времено отключить MySQL проблема проявляется?

[dima12s]

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

- - - - -Добавлено - - - - -

Также сообщите, пожалуйста, если времено отключить MySQL проблема проявляется?

Прикрепляю.
Не совсем понял про MySQL. Даже не помню когда я его запускал последний раз. Я выставил в службах запуск вручную, что бы запускать его только для работы. Также помню отменял его задачу в планировщике, словом было это наверно довольно давно.

[SQ]

В логах также пусто, могли бы заархивировать каталог в zip с паролем virus и загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

[dima12s]

В логах также пусто, могли бы заархивировать каталог в zip с паролем virus и загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Каталог ~nsuA.tmp был дважды удален мною при чистке папки temp. Второй раз на второй день, после того как при удалении он спросил собираюсь ли я удалять папку которая сетевая и общая(~nsuA.tmp). Я снова удалил, потом начал искать в интернете и нашел что это троян, начал проверять всеми антивирусами, но в третий раз пока не появилась папка, к сожалению она не сохранена. Однако тот факт что она появилась второй раз меня удивил поэтому обратился сюда..

[SQ]

Проблема в том, что в логах я не нашел проблемы, понаблюдайте пожалуйста пару дней и сообщите, если проблема еще актуальна?
Также убедитесь, чтобы у Вас были установлены все обновления Windows и приложений которыми вы пользуетесь.

[dima12s]

Спасибо, если папка появится я отправлю ее в архиве.