При загрузке Windows открывается браузер с сайтом baymaleti.net

[EVD316]

Такая же проблема с зловредом url.exe в TEMP как и у PashaIglesias на https://forum.kasperskyclub.ru/index.php?showtopic=54724, при загрузке Windows открывается браузер с сайтом baymaleti.net

 

Антивирусы (MSE, Malwarebytes Anti-Malware Premium-3.6.1.2711, Malwarebytes Anti-Rootkit, Dr.WebCureIt!, ESET Online Scanner, Kaspersky Virus Removal Tool, AdwCleaner-7.2.6, Junkware Removal Tool, AVZ-4.46, UnHackMe, Microsoft Support Emergency Response Tool) ничего не находят.

Вычистили сколько-то мусора сразу, но осталось это...

При каждой загрузке запускается cmd.exe и следом стантдартный браузер (Chrome), открывается страница http://count.b12.fun/jump.phpс мгновенным редиректом на ведёт на сайт http://baymaleti.net/-64800SQRL/3b7O?rndad=2960134681-1545692553. Некая поисковая система Fierce.

Просмотрел реестр на предмет данных слов, ничего нет. msconfig автозагрузка и Autorun ничего нет.

Удалил Chrome. Получил ошибку при загрузке. Запускается cmd.exe и окошко в стиле Windows говорит, что  что http://count.b12.fun/jump.phpне сопоставлена программа для открытия (браузер деинталирован, а IE не по умолчанию, пользуюсь portable Chrome).

Некий файл c:\Windows\Temp\url.exe пытается открыть сайт, но не может.

 

Удаление файла url.exe не помогает. Он создаётся при каждом запуске системы.

Временное решение - ручное создание пустышки, файла url.exe с признаком ReadOnly.

 

Вложения после работы программ AutoLogger-test и Farbar Recovery Scan Tool: 

CollectionLog-2018.12.25-00.42.zip (61.0 Кб)

report1.7z (831 байт)

report2.7z (912 байт)

Addition.7z (5.4 Кб)

FRST.7z (13.5 Кб)

[SQ]

Здравствуйте,

HiJackThis профиксить

O4 - HKLM\..\SafeBoot: [AlternateShell] = (no file) (disabled)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\windows\temp\url.exe');
 QuarantineFile('C:\Windows\BD143FEA71CD.sys','');
 QuarantineFile('c:\windows\temp\url.exe','');
 DeleteFile('c:\windows\temp\url.exe','32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(10);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Подготовьте лог AdwCleaner и приложите его в теме.

[SQ]

Также определитесь, на каком форуме вы продолжите лечение, так как вы с указанной проблемой замечены на различных форумах. Сообщите пожалуйста о вашем решение.

[EVD316]

Добрый день!

Спасибо за скорый ответ.

Планировал, конечно, учесть все советы с разных форумов (Cyberforum, Dr.Web и Virusinfo). Но чтобы не запутать остальных начну с вашего форума т.к. раньше ответили.

 

1. HiJackThis профиксить -- сделал.

2. Скрипт1 AVZ -- выполнил от admin. Перезагрузка.

3. Скрипт2  AVZ -- выполнил от admin.

4. Архив quarantine.zip -- загрузил через форму (только он без пароля).

5. Лог AdwCleaner[s00].txt -- приложил в теме.

Вот кое что ещё нашлось программой образа автозапуска Universal Virus Sniffer, это точно ОНО. Могу сам лог прислать.

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[EVD316]

Одна запись "PUP"-там как-то HKLM\Software\Classes\CLSID\{D4EF86C3-77D7-4F82-BBB8-6DFFAB6E2D32} -- удалил, перезагрузился. Url.exe по прежнему в Temp, но уже ничего не автозагрузилось с редиректом на тот сайт. 

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

Важно при этом, в случае нахождение какого-либо вредоносного ПО не удалять самостоятельно.

[EVD316]

Не, все опять по прежнему. См. скрин. Идём дальше.

Пока ничего.

[EVD316]

Вот у пользователя DmitryOlenin https://virusinfo.info/showthread.php?t=221198точно то же что и у меня и сроки такие же. Там вроде побороли, и файл url.exe и какой-то *.sys (у меня тоже подозрительный)

[SQ]

Выполните пожалуйста, следующий фикс в безопасном режиме.

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  Start::
  CreateRestorePoint:
  CloseProcesses:
  () C:\Windows\Temp\url.exe
  FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.33.23\npGoogleUpdate3.dll [No File]
  FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.33.23\npGoogleUpdate3.dll [No File]
  File: C:\Windows\system32\themeservice.dll
  Virustotal: C:\Windows\system32\themeservice.dll
  R1 BD143FEA71CD; C:\Windows\BD143FEA71CD.sys [493800 2018-12-13] (VideoDriver)
  File: C:\Windows\system32\bootdelete.exe
  File: C:\Windows\system32\.crusader
  Folder: C:\Windows\PIF
  2018-12-23 10:15 - 2018-12-23 11:22 - 000000000 ____D C:\Users\Все пользователи\RegRun
  2018-12-23 10:15 - 2018-12-23 11:22 - 000000000 ____D C:\ProgramData\RegRun
  File: C:\Windows\system32\Lagarith.dll
  Virustotal: C:\Windows\system32\Lagarith.dll
  2018-12-13 23:00 - 2018-12-13 23:00 - 000493800 _____ (VideoDriver) C:\Windows\BD143FEA71CD.sys
  Folder: C:\Users\EVD\AppData\Local\GHISLER
  CustomCLSID: HKU\S-1-5-21-616957406-3878201000-336441770-1000_Classes\CLSID\{0E7118ED-D0A4-4F3C-AB0F-CBCAB6D446D3}\InprocServer32 -> no filepath
  CustomCLSID: HKU\S-1-5-21-616957406-3878201000-336441770-1000_Classes\CLSID\{28EF0C64-BF21-4528-B97B-A975B7B84437}\InprocServer32 -> no filepath
  CustomCLSID: HKU\S-1-5-21-616957406-3878201000-336441770-1000_Classes\CLSID\{30EC6FC9-1403-44FB-9012-5A3B2008B078}\InprocServer32 -> no filepath
  CustomCLSID: HKU\S-1-5-21-616957406-3878201000-336441770-1000_Classes\CLSID\{312B2188-078C-4236-B666-08D5AC6F6B05}\InprocServer32 -> no filepath
  CustomCLSID: HKU\S-1-5-21-616957406-3878201000-336441770-1000_Classes\CLSID\{9E9F92DD-3AE4-4D01-A19A-5E7EA13F3357}\InprocServer32 -> no filepath
  CustomCLSID: HKU\S-1-5-21-616957406-3878201000-336441770-1000_Classes\CLSID\{DA4592C4-D785-1DF8-ACEF-E771970A6555}\InprocServer32 -> no filepath
  CustomCLSID: HKU\S-1-5-21-616957406-3878201000-336441770-1000_Classes\CLSID\{EA3717B8-4B92-4BC7-848D-00B217D552A0}\InprocServer32 -> no filepath
  Task: {A3D330BB-5F7C-4486-BB85-7D4A7132411A} - \KMSAuto -> No File <==== ATTENTION
  2018-12-28 07:45 - 2018-12-28 07:45 - 000007680 _____ () C:\Windows\TEMP\url.exe
  2018-12-28 08:01 - 2018-12-28 08:01 - 000016384 _____ () C:\Users\EVD\AppData\Local\Temp\nsf7B9.tmp\registry.dll
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[SQ]

Пришла информации по карантину:
 

url.exe (MD5: 876917B11903767755E6604A70129DF6) - Trojan.Win32.SelfDel.gnwr
BD143FEA71CD.sys (MD5: CD3B172832B5EB0D531A2AAF1BCA71FC) - Trojan.Win32.Agentb.jikp

[EVD316]

Доброй ночи!

Загрузился по F8, от admin выполнил Fix, лог прикрепил.

До этого фикса url.exe уже не появлялся в Temp (был от вчерашнего дня) и ничего не автозагружалось.

Каким антивирусом теперь пользоваться чтоб этого трояна не споймать?

[SQ]

Каким антивирусом теперь пользоваться чтоб этого трояна не споймать?

Продукты Лаборатории Касперского.

 

Сообщите, что с проблемой?

[EVD316]

Спасибо за помощь! Уже ничего зловредного не проявляется.

Другие программы и файлы на системном и диске с данными были повреждены или заражены? Нужно ли переустанавливать? Не хочу кого-то заразить.

Подходит ли KVRT или нужен полноценный антивирус? У меня стоял MSE.

[SQ]

В логах больше ничего плохого не обнаружено было.

 В завершение:
1.

• 
     
• Пожалуйста, запустите adwcleaner.exe
     
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
     
• Подтвердите удаление, нажав кнопку: Да.
  

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

KVRT это бесплатная утилита для одноразовой проверки, если Вам нужна полноценная защита, то лучше установить антивирус.