Перейти к содержанию

При загрузке Windows открывается браузер с сайтом baymaleti.net


Рекомендуемые сообщения

Такая же проблема с зловредом url.exe в TEMP как и у PashaIglesias на https://forum.kasperskyclub.ru/index.php?showtopic=54724, при загрузке Windows открывается браузер с сайтом baymaleti.net

 

Антивирусы (MSE, Malwarebytes Anti-Malware Premium-3.6.1.2711, Malwarebytes Anti-Rootkit, Dr.WebCureIt!, ESET Online Scanner, Kaspersky Virus Removal Tool, AdwCleaner-7.2.6, Junkware Removal Tool, AVZ-4.46, UnHackMe, Microsoft Support Emergency Response Tool) ничего не находят.
Вычистили сколько-то мусора сразу, но осталось это...
При каждой загрузке запускается cmd.exe и следом стантдартный браузер (Chrome), открывается страница http://count.b12.fun/jump.phpс мгновенным редиректом на ведёт на сайт http://baymaleti.net/-64800SQRL/3b7O?rndad=2960134681-1545692553. Некая поисковая система Fierce.
Просмотрел реестр на предмет данных слов, ничего нет. msconfig автозагрузка и Autorun ничего нет.
Удалил Chrome. Получил ошибку при загрузке. Запускается cmd.exe и окошко в стиле Windows говорит, что  что http://count.b12.fun/jump.phpне сопоставлена программа для открытия (браузер деинталирован, а IE не по умолчанию, пользуюсь portable Chrome).
Некий файл c:\Windows\Temp\url.exe пытается открыть сайт, но не может.
 
Удаление файла url.exe не помогает. Он создаётся при каждом запуске системы.
Временное решение - ручное создание пустышки, файла url.exe с признаком ReadOnly.
 
Вложения после работы программ AutoLogger-test и Farbar Recovery Scan Tool: 
CollectionLog-2018.12.25-00.42.zip (61.0 Кб)
report1.7z (831 байт)
report2.7z (912 байт)
Addition.7z (5.4 Кб)
FRST.7z (13.5 Кб)
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

HiJackThis профиксить

O4 - HKLM\..\SafeBoot: [AlternateShell] = (no file) (disabled)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\windows\temp\url.exe');
 QuarantineFile('C:\Windows\BD143FEA71CD.sys','');
 QuarantineFile('c:\windows\temp\url.exe','');
 DeleteFile('c:\windows\temp\url.exe','32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(10);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Подготовьте лог AdwCleaner и приложите его в теме.
Ссылка на сообщение
Поделиться на другие сайты

Также определитесь, на каком форуме вы продолжите лечение, так как вы с указанной проблемой замечены на различных форумах. Сообщите пожалуйста о вашем решение.

Ссылка на сообщение
Поделиться на другие сайты
Добрый день!
Спасибо за скорый ответ.
Планировал, конечно, учесть все советы с разных форумов (Cyberforum, Dr.Web и Virusinfo). Но чтобы не запутать остальных начну с вашего форума т.к. раньше ответили.
 
1. HiJackThis профиксить -- сделал.
2. Скрипт1 AVZ -- выполнил от admin. Перезагрузка.
3. Скрипт2  AVZ -- выполнил от admin.
4. Архив quarantine.zip -- загрузил через форму (только он без пароля).
5. Лог AdwCleaner[s00].txt -- приложил в теме.

Вот кое что ещё нашлось программой образа автозапуска Universal Virus Sniffer, это точно ОНО. Могу сам лог прислать.

Ссылка на сообщение
Поделиться на другие сайты

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Ссылка на сообщение
Поделиться на другие сайты

Одна запись "PUP"-там как-то HKLM\Software\Classes\CLSID\{D4EF86C3-77D7-4F82-BBB8-6DFFAB6E2D32} -- удалил, перезагрузился. Url.exe по прежнему в Temp, но уже ничего не автозагрузилось с редиректом на тот сайт. 

Ссылка на сообщение
Поделиться на другие сайты

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

Важно при этом, в случае нахождение какого-либо вредоносного ПО не удалять самостоятельно.

Ссылка на сообщение
Поделиться на другие сайты

Вот у пользователя DmitryOlenin https://virusinfo.info/showthread.php?t=221198точно то же что и у меня и сроки такие же. Там вроде побороли, и файл url.exe и какой-то *.sys (у меня тоже подозрительный)

post-52361-0-89089400-1545980507_thumb.png

Ссылка на сообщение
Поделиться на другие сайты

Выполните пожалуйста, следующий фикс в безопасном режиме.

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
    CreateRestorePoint:
    CloseProcesses:
    () C:\Windows\Temp\url.exe
    FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.33.23\npGoogleUpdate3.dll [No File]
    FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.33.23\npGoogleUpdate3.dll [No File]
    File: C:\Windows\system32\themeservice.dll
    Virustotal: C:\Windows\system32\themeservice.dll
    R1 BD143FEA71CD; C:\Windows\BD143FEA71CD.sys [493800 2018-12-13] (VideoDriver)
    File: C:\Windows\system32\bootdelete.exe
    File: C:\Windows\system32\.crusader
    Folder: C:\Windows\PIF
    2018-12-23 10:15 - 2018-12-23 11:22 - 000000000 ____D C:\Users\Все пользователи\RegRun
    2018-12-23 10:15 - 2018-12-23 11:22 - 000000000 ____D C:\ProgramData\RegRun
    File: C:\Windows\system32\Lagarith.dll
    Virustotal: C:\Windows\system32\Lagarith.dll
    2018-12-13 23:00 - 2018-12-13 23:00 - 000493800 _____ (VideoDriver) C:\Windows\BD143FEA71CD.sys
    Folder: C:\Users\EVD\AppData\Local\GHISLER
    CustomCLSID: HKU\S-1-5-21-616957406-3878201000-336441770-1000_Classes\CLSID\{0E7118ED-D0A4-4F3C-AB0F-CBCAB6D446D3}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-616957406-3878201000-336441770-1000_Classes\CLSID\{28EF0C64-BF21-4528-B97B-A975B7B84437}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-616957406-3878201000-336441770-1000_Classes\CLSID\{30EC6FC9-1403-44FB-9012-5A3B2008B078}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-616957406-3878201000-336441770-1000_Classes\CLSID\{312B2188-078C-4236-B666-08D5AC6F6B05}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-616957406-3878201000-336441770-1000_Classes\CLSID\{9E9F92DD-3AE4-4D01-A19A-5E7EA13F3357}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-616957406-3878201000-336441770-1000_Classes\CLSID\{DA4592C4-D785-1DF8-ACEF-E771970A6555}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-616957406-3878201000-336441770-1000_Classes\CLSID\{EA3717B8-4B92-4BC7-848D-00B217D552A0}\InprocServer32 -> no filepath
    Task: {A3D330BB-5F7C-4486-BB85-7D4A7132411A} - \KMSAuto -> No File <==== ATTENTION
    2018-12-28 07:45 - 2018-12-28 07:45 - 000007680 _____ () C:\Windows\TEMP\url.exe
    2018-12-28 08:01 - 2018-12-28 08:01 - 000016384 _____ () C:\Users\EVD\AppData\Local\Temp\nsf7B9.tmp\registry.dll
    Reboot:
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на сообщение
Поделиться на другие сайты

Пришла информации по карантину:
 

url.exe (MD5: 876917B11903767755E6604A70129DF6) - Trojan.Win32.SelfDel.gnwr
BD143FEA71CD.sys (MD5: CD3B172832B5EB0D531A2AAF1BCA71FC) - Trojan.Win32.Agentb.jikp
Ссылка на сообщение
Поделиться на другие сайты

Доброй ночи!

Загрузился по F8, от admin выполнил Fix, лог прикрепил.

До этого фикса url.exe уже не появлялся в Temp (был от вчерашнего дня) и ничего не автозагружалось.

Каким антивирусом теперь пользоваться чтоб этого трояна не споймать?

Ссылка на сообщение
Поделиться на другие сайты

Каким антивирусом теперь пользоваться чтоб этого трояна не споймать?

Продукты Лаборатории Касперского.

 

Сообщите, что с проблемой?

Ссылка на сообщение
Поделиться на другие сайты

Спасибо за помощь! Уже ничего зловредного не проявляется.

Другие программы и файлы на системном и диске с данными были повреждены или заражены? Нужно ли переустанавливать? Не хочу кого-то заразить.

Подходит ли KVRT или нужен полноценный антивирус? У меня стоял MSE.

Ссылка на сообщение
Поделиться на другие сайты

В логах больше ничего плохого не обнаружено было.

 В завершение:
1.


  •    
  • Пожалуйста, запустите adwcleaner.exe
       
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
       
  • Подтвердите удаление, нажав кнопку: Да.



Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

KVRT это бесплатная утилита для одноразовой проверки, если Вам нужна полноценная защита, то лучше установить антивирус.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Андрей Семчин
      Доброго всем дня!
      подскажите в чем может быть проблема.  В папках windows/temp и windows/installer создаются файлы 
      Задачи запускаются через сервер администрирования, во вложении файл с папки ТЕМП
      KES.11.3.0.773_04.15_13.12_2148.install_product.kes_win.log
      посмотрел номер версии на таких машинах старый 11.3
      похоже не обновляется модуль Касперский 11.5
    • От Anton Minashkin
      на рабочем удаленном компьютере периодически появляются файлы, забивающие полностью жесткий диск. Пришлось даже папку Temp переместить на диск D:/ чтобы системный диск не так сильно тормозил. Откуда могут браться эти файлы и как отследить их природу? Антивирусом проверяли (CureIt и KVRT) ничего не обнаружили. Скриншот со странными файлами во вложении

×
×
  • Создать...