Склад вирусов в файле C:\ProgramData\temp5.exe

[dm7000a]

Приветствую сообщество!

Два дня назад стал появляться файл C:\ProgramData\temp5.exe, который ломится в интернет, но файрвол его обрывает.
Онлайн сканирование выдало внутри сборник больше 60 вирусов.
Непонятно откуда он появляется. Планировщик пуст, автозапуск чистый, в службах постороннего тоже не видно.

Заметил, что его появлению предшествует появление файла C:\ProgramData\UpdateLock-8216C80C92C4E828

Прошу помощи в разборе ситуации

[Info_bot]

Уважаемый(ая) dm7000a, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LMODServer\LMODServer.lnk"      -> ["C:\LMODServer\LMODServer.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ReGet Software\ReGet Deluxe Help.lnk"     -> ["C:\Program Files (x86)\ReGet Deluxe\ReGetDx.chm"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip\7-Zip File Manager.lnk"   -> ["C:\Program Files (x86)\7-Zip\7zFM.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip\7-Zip Help.lnk"           -> ["C:\Program Files (x86)\7-Zip\7-zip.chm"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\Run Script (x64).lnk"           -> ["C:\Program Files (x86)\AutoIt3\AutoIt3_x64.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\AutoIt Window Info (x86).lnk"   -> ["C:\Program Files (x86)\AutoIt3\Au3Info.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\AutoIt Window Info (x64).lnk"   -> ["C:\Program Files (x86)\AutoIt3\Au3Info_x64.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\Compile Script to .exe (x86).lnk"         -> ["C:\Program Files (x86)\AutoIt3\Aut2Exe\Aut2exe.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\Compile Script to .exe (x64).lnk"         -> ["C:\Program Files (x86)\AutoIt3\Aut2Exe\Aut2exe_x64.exe"]
>>>  "C:\Users\Public\Desktop\CorelDRAW X4.lnk"    -> ["C:\0\AutoLogger\CheckBrowsersLNK\"C:\Program Files\Corel\CorelDRAW Graphics Suite X4\Programs\CorelDRW.exe"]
>>>  "C:\Users\User\Desktop\Ace Stream Media Center.lnk"     -> ["C:\Users\User\AppData\Roaming\ACEStream\engine\ace_engine.exe"  =>> --onstart-webui-open-page proxy-server-main]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CPUID\CPU-Z\CPU-Z.lnk"          -> ["C:\Program Files\CPUID\CPU-Z\cpuz.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CPUID\CPU-Z\Uninstall CPU-Z.lnk"          -> ["C:\Program Files\CPUID\CPU-Z\unins000.exe"

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^SPDriverInstall.lnk [backup] => C:\Program Files\MediaTek\SP Driver\SPDriverInstall (2018/01/12) (file missing)
O4 - MSConfig\startupreg: Akamai NetSession Interface [command] = (no file) (HKCU) (2015/09/14)
O4 - MSConfig\startupreg: CheckNDISPort01ac00 [command] = C:\Program Files (x86)\4G Hostless Modem\4G Wi-Fi hotspot Beeline\CheckNDISPort_df.exe (HKLM) (2017/03/15) (file missing)
O4 - MSConfig\startupreg: Discord [command] = C:\Users\User\AppData\Local\Discord\app-0.0.300\Discord.exe (HKCU) (2018/04/06) (file missing)
O4 - MSConfig\startupreg: Gaijin.Net Updater [command] = C:\Users\User\AppData\Local\Gaijin\Program Files (x86)\NetAgent\gjagent.exe (HKCU) (2019/06/21) (file missing)
O4 - MSConfig\startupreg: IJNetworkScannerSelectorEX [command] = (no file) (HKLM) (2015/04/09)
4 - MSConfig\startupreg: IJNetworkScanUtility [command] = (no file) (HKLM) (2014/04/26)
O4 - MSConfig\startupreg: IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} [command] = C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreSvr.exe ASO-616B5711-6DAE-4795-A05F-39A1E5104020 (HKCU) (2014/04/26) (file missing)
O4 - MSConfig\startupreg: NBKeyScan [command] = C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBKeyScan.exe (HKLM) (2018/04/06) (file missing)
O4 - MSConfig\startupreg: PDFPrint [command] = (no file) (HKLM) (2014/12/05)
O4 - MSConfig\startupreg: SetDefaultMIDI [command] = MIDIDef.exe (HKCU) (2016/07/01) (file missing)
O4 - MSConfig\startupreg: StartCCC [command] = (no file) (HKLM) (2014/04/26)
O4 - MSConfig\startupreg: World of Tanks [command] = D:\G\WOT_E\WargamingGameUpdater.exe (HKCU) (2017/06/02) (file missing)
22 - Task: Kontur.Updater-v1.1.2.154-S-1-5-21-2841191463-2520447947-916566067-1000 - C:\Users\User\AppData\Local\SkbKontur\Updater\1.1.2.154\kontur.updater.exe (file missing)

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[dm7000a]

Результаты работы

- - - - -Добавлено - - - - -

Донат работает? Можно закинуть?

[Vvvyg]

Через Яндекс.Деньги (ЮMoney) работал донат.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
FF HKU\S-1-5-21-2841191463-2520447947-916566067-1000\...\Firefox\Extensions: [[email protected]] - C:\Users\User\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => не найдено
FF Plugin-x32: JFGuide -> C:\Program Files (x86)\NetSurveillance\CMS\npGuide.dll [Нет файла]
FF Plugin-x32: JFWeb -> C:\Program Files (x86)\NetSurveillance\CMS\npWebPlugin.dll [Нет файла]
CHR HKU\S-1-5-21-2841191463-2520447947-916566067-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo]
R3 ALSysIO; \??\c:\Temp\ALSysIO64.sys [X]
U4 npcap_wifi; отсутствует ImagePath
S3 porttalk; \??\C:\TEMP\RarSFX0\porttalk.sys [X]
S3 PQAWRwa; \??\C:\Windows\SysWOW64\OSDSrv\PQAWDrv.sys [X]
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Нет файла
ContextMenuHandlers1: [MRACMenu] -> {B495CAFE-D53F-408B-A081-0814BE80EB3E} =>  -> Нет файла
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Нет файла
AlternateDataStreams: C:\Windows\win.ini:s1 [4]
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`29hfm [0]
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
Toolbar: HKLM-x32 - ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} -  Нет файла
FirewallRules: [TCP Query User{9FDCC3E1-6581-4799-B3C7-AFFD1EA0DD97}C:\program files (x86)\qip 2012\qip.exe] => (Allow) C:\program files (x86)\qip 2012\qip.exe => Нет файла
FirewallRules: [UDP Query User{F04CA6F6-1CCB-4471-976D-D93F57E9BFCB}C:\program files (x86)\qip 2012\qip.exe] => (Allow) C:\program files (x86)\qip 2012\qip.exe => Нет файла
FirewallRules: [{10DF8802-48F9-43F7-9161-050307E76241}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe => Нет файла
FirewallRules: [{6948A235-BDC2-4774-886A-2E1A6F7ECB9D}] => (Allow) C:\Program Files (x86)\Labcenter Electronics\Proteus 8 Professional\BIN\\PDS.EXE => Нет файла
FirewallRules: [{437E9D97-94C1-4C8B-B38C-401F3782FA3D}] => (Allow) C:\Program Files (x86)\Labcenter Electronics\Proteus 8 Professional\BIN\\PDS.EXE => Нет файла
FirewallRules: [TCP Query User{7978DEFA-9CD4-4BFB-A583-6C0386ECD3B9}C:\program files (x86)\videolan\vlc\vlc.exe] => (Allow) C:\program files (x86)\videolan\vlc\vlc.exe => Нет файла
FirewallRules: [UDP Query User{68C642D0-6A25-4273-ADFD-CD5BF868F85E}C:\program files (x86)\videolan\vlc\vlc.exe] => (Allow) C:\program files (x86)\videolan\vlc\vlc.exe => Нет файла
FirewallRules: [{8A47C814-D7AB-45FB-9630-67416942A298}] => (Allow) %ProgramFiles% (x86)\VideoLAN\VLC\vlc.exe => Нет файла
FirewallRules: [{BE506BC6-FA08-41B2-A5D7-F60DD0FA7DC2}] => (Allow) C:\Program Files (x86)\NETGEAR\Stora Desktop Applications\DesktopMirror\rsync.exe => Нет файла
FirewallRules: [{C3923C07-FA09-41E8-9DE5-90EA2F46A8CE}] => (Allow) C:\Program Files (x86)\NETGEAR\Stora Desktop Applications\DesktopMirror\rsync.exe => Нет файла
FirewallRules: [{6EE6585C-92B8-4F23-90D8-2667BC1ADE4C}] => (Allow) C:\Program Files (x86)\NETGEAR\Stora Desktop Applications\DesktopMirror\ssh.exe => Нет файла
FirewallRules: [{FC641917-BA0D-4A15-BB38-F70FEC85EC58}] => (Allow) C:\Program Files (x86)\NETGEAR\Stora Desktop Applications\DesktopMirror\ssh.exe => Нет файла
FirewallRules: [{89F19D63-43B9-4C72-B4EA-8932F716DFB9}] => (Allow) C:\Program Files (x86)\NETGEAR\Stora Desktop Applications\QuickConnect\AxentraPicturesWizard.exe => Нет файла
FirewallRules: [{202AFF1A-FEDB-4DFA-8F5A-6138334E2208}] => (Allow) C:\Program Files (x86)\NETGEAR\Stora Desktop Applications\QuickConnect\AxentraPicturesWizard.exe => Нет файла
FirewallRules: [{0D1BC5AB-6199-48A2-ABA7-D1382231B663}] => (Allow) C:\Program Files (x86)\NETGEAR\Stora Desktop Applications\QuickConnect\AxentraSmartShortcut.exe => Нет файла
FirewallRules: [{B93D6406-72DF-4B8D-81F6-672C0C17A72F}] => (Allow) C:\Program Files (x86)\NETGEAR\Stora Desktop Applications\QuickConnect\AxentraSmartShortcut.exe => Нет файла
FirewallRules: [{BAC02BAB-96A3-4942-9430-AF668EB0B548}] => (Allow) C:\Program Files (x86)\NETGEAR\Stora Desktop Applications\HipServAgent\HipServAgent.exe => Нет файла
FirewallRules: [{543D31D1-294E-4663-81B5-660633ACB289}] => (Allow) C:\Program Files (x86)\NETGEAR\Stora Desktop Applications\HipServAgent\HipServAgent.exe => Нет файла
FirewallRules: [{EE510411-940F-4A4B-9AF4-0E3B05E1AADA}] => (Allow) C:\Games\World_of_Tanks_enCore\WoTEnCoreLauncher.exe => Нет файла
FirewallRules: [{7C0C5962-59D8-448E-8B50-5FDFEFB68E91}] => (Allow) C:\Games\World_of_Tanks_enCore\WoTEnCoreLauncher.exe => Нет файла
FirewallRules: [{D935CBAA-0B33-4248-98CA-D67C916F84D7}] => (Allow) C:\Games\World_of_Tanks_enCore\WorldOfTanksEnCoreLauncher.exe => Нет файла
FirewallRules: [{E9B15502-B02F-42C3-941E-A4F706617133}] => (Allow) C:\Games\World_of_Tanks_enCore\WorldOfTanksEnCoreLauncher.exe => Нет файла
FirewallRules: [{FBA7F1B7-5878-412E-8D8F-B0F325DC988F}] => (Allow) C:\Program Files (x86)\RaidCall.RU\rcplugin.exe => Нет файла
FirewallRules: [{2064ACDF-36FF-4356-8FF1-C7939A76C65F}] => (Allow) C:\Program Files (x86)\RaidCall.RU\rcplugin.exe => Нет файла
FirewallRules: [{CDF9FE97-95F1-49DC-8711-D30935329DCA}] => (Allow) C:\Program Files (x86)\Deskshare\IP Camera Viewer 4\IP Camera Viewer.exe => Нет файла
FirewallRules: [{FF075897-E61C-4B13-AB4D-38360ADE49C8}] => (Allow) C:\Program Files (x86)\Deskshare\IP Camera Viewer 4\IP Camera Viewer.exe => Нет файла
FirewallRules: [{56E66B6F-B5E1-482C-9CCE-75EDB7EF999D}] => (Allow) C:\_0\Stora Setup\Setup\StoraSetup.exe => Нет файла
FirewallRules: [{70486903-514A-483C-8446-83FFDD63CEEA}] => (Allow) C:\_0\Stora Setup\Setup\StoraSetup.exe => Нет файла
FirewallRules: [{3FADF5A7-B880-4115-9372-E5735C200748}] => (Allow) C:\Users\User\AppData\Local\Programs\Opera\79.0.4143.72\opera.exe => Нет файла
FirewallRules: [{8055B497-F7CB-4423-A9C3-667CD806F99C}] => (Allow) C:\Users\User\AppData\Local\Programs\Opera\80.0.4170.63\opera.exe => Нет файла
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Нет даже следов троянов сейчас.

Java 8 обязательно обновите до текущего билда, у Вас устаревшая версия со множеством критических уязвимостей.

Других компьютеров в сети нет?

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[dm7000a]

В сети ноут жены, 2 NAS, тв-бокс, 2 сетевых МФУ.
В день появления temp5.exe ноут не включался уже неделю. На компе расшарена папка для сетевого сканера, куда он файлы скидывает.

- - - - -Добавлено - - - - -

Исправьте ссылку на донат через яндекс-деньги. Пишет, что страница отсутствует.

[Vvvyg]

Установите критические хотфиксы:

HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления

А лучше обновите систему по полной, через автоматическое обновление, или с помощью Набора обновлений UpdatePack7R2 для Windows 7 SP1 и Server 2008 R2 SP1 - там есть критические фиксы, в т. ч. от уязвимости Zerologon, который через автоматическое обновление для Windows 7 не распространяется.
Для 7-ки рекомендую накатить Набор обновлений UpdatePack7R2 для Windows 7 SP1 и Server 2008 R2 SP1

Контроль учётных записей пользователя отключен

Рекомендую ознакомиться со статьёй Так ли страшен контроль учетных записей (UAC)? и включить.

После этого, если появятся снова трояны,сделайте такой лог.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.