Проблема с зловредом url.exe в TEMP, при загрузке Windows открывается браузер с сайтом baymaleti.net

Такая же проблема с зловредом url.exe в TEMP как и у DmitryOlenin на virusinfo.info/showthread.php?t=221198, при загрузке Windows открывается браузер с сайтом baymaleti.net


Антивирусы (MSE, Malwarebytes Anti-Malware Premium-3.6.1.2711, Malwarebytes Anti-Rootkit, Dr.WebCureIt!, ESET Online Scanner, Kaspersky Virus Removal Tool, AdwCleaner-7.2.6, Junkware Removal Tool, AVZ-4.46, UnHackMe, Microsoft Support Emergency Response Tool) ничего не находят.
Вычистили сколько-то мусора сразу, но осталось это...
При каждой загрузке запускается cmd.exe и следом стантдартный браузер (Chrome), открывается страница [url]http://count.b12.fun/jump.php[/url] с мгновенным редиректом ведёт на сайт [url]http://baymaleti.net/-64800SQRL/3b7O?rndad=2960134681-1545692553[/url]. Некая поисковая система Fierce.
Просмотрел реестр на предмет данных слов, ничего нет. msconfig автозагрузка и Autorun ничего нет.
Удалил Chrome. Получил ошибку при загрузке. Запускается cmd.exe и окошко в стиле Windows говорит, что что [url]http://count.b12.fun/jump.php[/url] не сопоставлена программа для открытия (браузер деинталирован, а IE не по умолчанию, пользуюсь portable Chrome).
Некий файл c:\Windows\Temp\url.exe пытается открыть сайт, но не может.


Удаление файла url.exe не помогает. Он создаётся при каждом запуске системы.
Временное решение - ручное создание пустышки, файла url.exe с признаком ReadOnly.

Уважаемый(ая) [B]EVD316[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\temp\url.exe');
StopService('BD143FEA71CD');
QuarantineFile('C:\Windows\BD143FEA71CD.sys', '');
QuarantineFile('c:\windows\temp\url.exe', '');
DeleteFile('C:\Windows\BD143FEA71CD.sys', '32');
DeleteFile('c:\windows\temp\url.exe', '');
DeleteService('BD143FEA71CD');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(10);
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

И решите, где будете лечиться, здесь, или на kasperskyclub.