Перейти к содержанию

При загрузке Windows открывается браузер с сайтом baymaleti.net


EVD316

Рекомендуемые сообщения

Такая же проблема с зловредом url.exe в TEMP как и у PashaIglesias на https://forum.kasperskyclub.ru/index.php?showtopic=54724, при загрузке Windows открывается браузер с сайтом baymaleti.net

 

Антивирусы (MSE, Malwarebytes Anti-Malware Premium-3.6.1.2711, Malwarebytes Anti-Rootkit, Dr.WebCureIt!, ESET Online Scanner, Kaspersky Virus Removal Tool, AdwCleaner-7.2.6, Junkware Removal Tool, AVZ-4.46, UnHackMe, Microsoft Support Emergency Response Tool) ничего не находят.
Вычистили сколько-то мусора сразу, но осталось это...
При каждой загрузке запускается cmd.exe и следом стантдартный браузер (Chrome), открывается страница http://count.b12.fun/jump.phpс мгновенным редиректом на ведёт на сайт http://baymaleti.net/-64800SQRL/3b7O?rndad=2960134681-1545692553. Некая поисковая система Fierce.
Просмотрел реестр на предмет данных слов, ничего нет. msconfig автозагрузка и Autorun ничего нет.
Удалил Chrome. Получил ошибку при загрузке. Запускается cmd.exe и окошко в стиле Windows говорит, что  что http://count.b12.fun/jump.phpне сопоставлена программа для открытия (браузер деинталирован, а IE не по умолчанию, пользуюсь portable Chrome).
Некий файл c:\Windows\Temp\url.exe пытается открыть сайт, но не может.
 
Удаление файла url.exe не помогает. Он создаётся при каждом запуске системы.
Временное решение - ручное создание пустышки, файла url.exe с признаком ReadOnly.
 
Вложения после работы программ AutoLogger-test и Farbar Recovery Scan Tool: 
CollectionLog-2018.12.25-00.42.zip (61.0 Кб)
report1.7z (831 байт)
report2.7z (912 байт)
Addition.7z (5.4 Кб)
FRST.7z (13.5 Кб)
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

HiJackThis профиксить

O4 - HKLM\..\SafeBoot: [AlternateShell] = (no file) (disabled)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\windows\temp\url.exe');
 QuarantineFile('C:\Windows\BD143FEA71CD.sys','');
 QuarantineFile('c:\windows\temp\url.exe','');
 DeleteFile('c:\windows\temp\url.exe','32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(10);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Подготовьте лог AdwCleaner и приложите его в теме.
Ссылка на комментарий
Поделиться на другие сайты

Также определитесь, на каком форуме вы продолжите лечение, так как вы с указанной проблемой замечены на различных форумах. Сообщите пожалуйста о вашем решение.

Ссылка на комментарий
Поделиться на другие сайты

Добрый день!
Спасибо за скорый ответ.
Планировал, конечно, учесть все советы с разных форумов (Cyberforum, Dr.Web и Virusinfo). Но чтобы не запутать остальных начну с вашего форума т.к. раньше ответили.
 
1. HiJackThis профиксить -- сделал.
2. Скрипт1 AVZ -- выполнил от admin. Перезагрузка.
3. Скрипт2  AVZ -- выполнил от admin.
4. Архив quarantine.zip -- загрузил через форму (только он без пароля).
5. Лог AdwCleaner[s00].txt -- приложил в теме.

Вот кое что ещё нашлось программой образа автозапуска Universal Virus Sniffer, это точно ОНО. Могу сам лог прислать.

Ссылка на комментарий
Поделиться на другие сайты

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Ссылка на комментарий
Поделиться на другие сайты

Одна запись "PUP"-там как-то HKLM\Software\Classes\CLSID\{D4EF86C3-77D7-4F82-BBB8-6DFFAB6E2D32} -- удалил, перезагрузился. Url.exe по прежнему в Temp, но уже ничего не автозагрузилось с редиректом на тот сайт. 

Ссылка на комментарий
Поделиться на другие сайты

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

Важно при этом, в случае нахождение какого-либо вредоносного ПО не удалять самостоятельно.

Ссылка на комментарий
Поделиться на другие сайты

Вот у пользователя DmitryOlenin https://virusinfo.info/showthread.php?t=221198точно то же что и у меня и сроки такие же. Там вроде побороли, и файл url.exe и какой-то *.sys (у меня тоже подозрительный)

post-52361-0-89089400-1545980507_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

Выполните пожалуйста, следующий фикс в безопасном режиме.

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
    CreateRestorePoint:
    CloseProcesses:
    () C:\Windows\Temp\url.exe
    FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.33.23\npGoogleUpdate3.dll [No File]
    FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.33.23\npGoogleUpdate3.dll [No File]
    File: C:\Windows\system32\themeservice.dll
    Virustotal: C:\Windows\system32\themeservice.dll
    R1 BD143FEA71CD; C:\Windows\BD143FEA71CD.sys [493800 2018-12-13] (VideoDriver)
    File: C:\Windows\system32\bootdelete.exe
    File: C:\Windows\system32\.crusader
    Folder: C:\Windows\PIF
    2018-12-23 10:15 - 2018-12-23 11:22 - 000000000 ____D C:\Users\Все пользователи\RegRun
    2018-12-23 10:15 - 2018-12-23 11:22 - 000000000 ____D C:\ProgramData\RegRun
    File: C:\Windows\system32\Lagarith.dll
    Virustotal: C:\Windows\system32\Lagarith.dll
    2018-12-13 23:00 - 2018-12-13 23:00 - 000493800 _____ (VideoDriver) C:\Windows\BD143FEA71CD.sys
    Folder: C:\Users\EVD\AppData\Local\GHISLER
    CustomCLSID: HKU\S-1-5-21-616957406-3878201000-336441770-1000_Classes\CLSID\{0E7118ED-D0A4-4F3C-AB0F-CBCAB6D446D3}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-616957406-3878201000-336441770-1000_Classes\CLSID\{28EF0C64-BF21-4528-B97B-A975B7B84437}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-616957406-3878201000-336441770-1000_Classes\CLSID\{30EC6FC9-1403-44FB-9012-5A3B2008B078}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-616957406-3878201000-336441770-1000_Classes\CLSID\{312B2188-078C-4236-B666-08D5AC6F6B05}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-616957406-3878201000-336441770-1000_Classes\CLSID\{9E9F92DD-3AE4-4D01-A19A-5E7EA13F3357}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-616957406-3878201000-336441770-1000_Classes\CLSID\{DA4592C4-D785-1DF8-ACEF-E771970A6555}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-616957406-3878201000-336441770-1000_Classes\CLSID\{EA3717B8-4B92-4BC7-848D-00B217D552A0}\InprocServer32 -> no filepath
    Task: {A3D330BB-5F7C-4486-BB85-7D4A7132411A} - \KMSAuto -> No File <==== ATTENTION
    2018-12-28 07:45 - 2018-12-28 07:45 - 000007680 _____ () C:\Windows\TEMP\url.exe
    2018-12-28 08:01 - 2018-12-28 08:01 - 000016384 _____ () C:\Users\EVD\AppData\Local\Temp\nsf7B9.tmp\registry.dll
    Reboot:
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Доброй ночи!

Загрузился по F8, от admin выполнил Fix, лог прикрепил.

До этого фикса url.exe уже не появлялся в Temp (был от вчерашнего дня) и ничего не автозагружалось.

Каким антивирусом теперь пользоваться чтоб этого трояна не споймать?

Ссылка на комментарий
Поделиться на другие сайты

Каким антивирусом теперь пользоваться чтоб этого трояна не споймать?

Продукты Лаборатории Касперского.

 

Сообщите, что с проблемой?

Ссылка на комментарий
Поделиться на другие сайты

Спасибо за помощь! Уже ничего зловредного не проявляется.

Другие программы и файлы на системном и диске с данными были повреждены или заражены? Нужно ли переустанавливать? Не хочу кого-то заразить.

Подходит ли KVRT или нужен полноценный антивирус? У меня стоял MSE.

Ссылка на комментарий
Поделиться на другие сайты

В логах больше ничего плохого не обнаружено было.

 В завершение:
1.


  •    
  • Пожалуйста, запустите adwcleaner.exe
       
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
       
  • Подтвердите удаление, нажав кнопку: Да.



Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

KVRT это бесплатная утилита для одноразовой проверки, если Вам нужна полноценная защита, то лучше установить антивирус.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Boltov_
      От Boltov_
      Захотел проверить свой компьютер на наличие вирусного ПО, и заметил что не один сайт с ативирусниками не открывается, скачал доктор веб, просканил все, и заметил что некторые файлы не удаляются, и вылезает самораспаковывающейся архив.
       
      АвтоЛоггер не запускается даже в безопастном режиме, и даже если его переименовать.


    • ChaoticNeutral
      От ChaoticNeutral
      Внезапно перестали открываться сайты в браузере хром при включённой защите Kaspersky Internet Security. На всякий случай проверила ещё microsoft edge, там то же самое. Ещё вчера всё было хорошо  Открывается, как ни странно, гугл. А вот сайт моего провайдера, гугловая почта, сайт касперского, яндекс и многое другое не открывается. В стиме также не загружается store. Это на Windows 10, подключение через кабель. На других устройствах (windows 11, android, ios) в той же локальной сети такой проблемы нет.
      Пробовала синхронизировать время на устройстве (adjust date\time - sync now). Пробовала отключать проверку защищённых соединений в настройках сети.
      Пока не понимаю, куда копать.
      P. S. При отправке сообщения отображалась ошибка "извините, что-то пошло не так". Поэтому получились дубликаты темы. К сожалению, не могу удалить их самостоятельно.
    • para87
      От para87
      браузер Google Chrome  не всегда бывает  сам пытается перейти на сайт (byruthub.org   не надо на него переходить)  . Касперский останавливает переход на этот сайт.  
      я скачал   AV block remover (AVbr) v.4 подумал манер  тут safezone.cc запустил пишет скачайте новую версию. Его лог.  Я попробовал переименовал или  в другой место переместить  тоже самое.  Версия вроде новая.
      Malwarebytes обнаружила PUP.Optional.BundleInstaller я не чего с ними не делал лог вот 
       
      CollectionLog-2024.09.26-17.54.zip AV_block_remove_2024.09.26-18.07.log
      Malwarebytes Отчет о проверке 2024-09-26 182543.txt
    • Ant666
      От Ant666
      Запускается браузер после загрузки Windows.
      CollectionLog-2024.11.17-18.43.zip
    • Ser_S
      От Ser_S
      Здравствуйте, если, например задать маску проверки сайтов например *.mail.ru, то проверяется зона ru, затем mail и затем если звёздочка, то  все эти поддомены соответствуют условию.
      Непонятно, если условие написать mail.*, то будет ли проверяться каждая зона(ru, net, com и т.д.) на содержание поддомена mail?
×
×
  • Создать...