url.exe в TEMP [VHO:Trojan.Win32.SelfDel.gnwr, Trojan-PSW.Win64.Seikooc.b]

Добрый день.

Шаги:

1. Скачал троян, а то и не один (как выяснилось). Ссылку могу дать, если надо.

2. Malwarebytes и GridinSoft Anti-Malware больше ничего не находят.
Вычистили сколько-то мусора сразу, но осталось это...
Также ничего не нашли EmsisoftEmergencyKit и EsetOnline.

3. При каждой загрузке запускается стантдартный браузер (Opera) и открывается страница
[URL]http://count.b12.fun/jump.php[/URL]
Она, редиректом, ведёт на сайт [URL]http://www.15s0.com[/URL].
Якобы, некая поисковая система Fierce.

4. Убрал Оперу из ProgramFiles. Получил ошибку при загрузке.
Некий файл c:\Windows\Temp\url.exe пытается открыть сайт, но не может.

Картинку и файл url.exe с изменённым расширением в архиве прилагаю.
Kaspersky его называет "Trojan.Win32.SelfDel.gnwr".

Также прилагаю логи стандартные +
логи утилиты Farbar Recovery Scan, TDSSKiller и "SecurityCheck by glax24 & Severnyj".
Полный образ загрузки из Universal Virus Sniffer: [URL="https://yadi.sk/d/q5aUHnW8HAiXEQ"]https://yadi.sk/d/q5aUHnW8HAiXEQ[/URL]
GMER падает (а то и BSOD даёт) через ~4 минуты работы. Лог до этого приложил.

Собственно, вопрос в том, что же порождает этот самый url.exe.
Запускал autoruns, ничего подозрительного не нашёл.

Удаление файла url.exe не помогает. Он создаётся при каждом запуске системы.
Временное решение - ручное создание пустышки, файла url.exe с признаком ReadOnly.
Но надо бы изловить злодея, а то мало ли, что он ещё делает...

Уважаемый(ая) [B]DmitryOlenin[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ из папки Autologger
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('c:\windows\temp\url.exe');
QuarantineFile('c:\windows\temp\url.exe','');
DeleteFile('c:\windows\temp\url.exe','32');
DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code][list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин [/b][/u][/color] [b]над первым сообщением[/b] темы.

[b][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. [/color][/b]

Добрый день. Спасибо. Сделал.

При обычной загрузке quarantine.zip получается пустой.
Потому что [B]url.exe[/B] сам удаляется после выполнения...

Сделал тот же трюк, убрал оперу, чтобы в процессе запуска url.exe он вылетел с ошибкой.
Не стал жать "ОК", запустил скрипт. Карантин прилагаю.
Впрочем, этот же url.exe уже есть в первом сообщении темы, ну да ладно.

Пока что ничего не поменялось. Ещё раз собрал логи. Тоже прилагаю.

[QUOTE=DmitryOlenin;1493885]Впрочем, этот же url.exe уже есть в первом сообщении темы, ну да ладно.[/QUOTE]
[ATTENTION]Вот и не ладно, не нужно трояны в открытый доступ выкладывать[/ATTENTION]

...но я же его назвал url.ex_ как раз для того, чтобы никто случайно не запустил.

Кстати, как мне кажется, проблема, всё-таки, не в самом самоудаляющемся файле url.exe,
а в программе, которая этот фал при каждой загрузке создаёт и запускает.

Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Файлы [b]FRST.txt[/b] и [b]Addition.txt[/b] заархивируйте (в [b]один общий архив[/b]) и прикрепите к сообщению.

Сделал. В прошлый раз делал без галок внизу...
Прикладываю.

Делал без запущенного процесса url.exe.

Может, какие-то проверки из первого сообщения помогут?

Выполните скрипт в AVZ:[CODE]begin
TerminateProcessByName('c:\windows\temp\url.exe');
QuarantineFile('C:\WINDOWS\A11027F2E978.sys', '');
QuarantineFile('c:\windows\temp\url.exe', '');
DeleteFile('C:\WINDOWS\A11027F2E978.sys', '64');
DeleteFile('c:\windows\temp\url.exe', '');
DeleteService('A11027F2E978');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
RebootWindows(false);
end.[/CODE]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог такой версией [URL="https://yadi.sk/d/7dgjMleO3E3E9b"]Autologger[/URL].

Сообщите, что с проблемой.

Сделал. Даже дважды.
Потому что удивился, что файл 'C:\WINDOWS\A11027F2E978.sys' не удаляется.
Но он так и не удалился. Его держит процесс System.

Удалить его не смог и LockHunter. Возможно, стоит загрузиться с флешки, удалить извне...

В целом, ничего не поменялось.

Карантин прилагаю. Логи тоже. Спасибо.

[URL=https://support.microsoft.com/ru-ru/help/12376/windows-10-start-your-pc-in-safe-mode]Загрузите Windows 10 в безопасном режиме[/URL] и повторите выполнение скрипта в AVZ.

Если и после этого файл не удалится - сделайте лог по инструкции ниже, причина понятна, почистим через UVS.
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].

Сейчас в SafeMode попробую убить заразу.
Забавно, что среди проверок VirusTotal почти никто вирусом/трояном этот файл не считает.

Файл удалился. Malwarebytes при загрузке на url.exe не ругнулся, значит его никто не создал.
Спасибо большое!

Я могу быть уверенным, что больше следов в системе не осталось?
Каких-нибудь кейлогеров или криптомайнеров...


[B]P.S.[/B]
[QUOTE=Vvvyg;1493978][url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].[/QUOTE]
Так я уже качал и уже делал.
И даже выкладывал его в первом сообщении темы.
[QUOTE=DmitryOlenin;1493868]
Полный образ загрузки из Universal Virus Sniffer: [URL="https://yadi.sk/d/q5aUHnW8HAiXEQ"]https://yadi.sk/d/q5aUHnW8HAiXEQ[/URL]
[/QUOTE]

Мне интересен был свежий образ, после выполнения скрипта в AVZ, чтобы увидеть, что осталось. Ладно, почистим по образу трёдневной давности.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
sreg

addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2A5F19A629BD809397CA573E559D492B80849F109140FA7D9FE87255DAB02C2D77A42FC7062273 27 Trojan ( 0049ee0a1 ) [K7GW] 7
addsgn 1A93739A5583D38FF42B254E3143FE84C9A2FFF689595F49C5C34CB16CE7314CAA02FB667E5514541FB1C49FCF2379CB3DDF614F79EBF02C4BFBB177F6462215 8 Trojan.Win32.SelfDel.gnwr [Kaspersky] 7

chklst
delvir

deltmp
apply

areg[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сделал ещё один образ загрузки до чистки: [url]https://yadi.sk/d/fQoHI6oZ82wIhw[/url]

Сейчас выполню скрипт.
Получил в процессе выполнения ошибку.
Приложил логи работы UVs.

Судя по логу выполнения скрипта в UVS, вирус уже удалён. И по образу чисто.

Спасибо большое!

Скажите, пожалуйста, если это в рамках темы, конечно, как так вышло, что этот файл
"A11027F2E978.sys" не видели почти никакие системы? Какая-то новая модификация чего-то?

И второй вопрос, что он, собственно, делал.
Ведь, наверняка, не только создавал url.exe и открывал сайт при запуске системы...

[url]https://www.virustotal.com/ru/file/b5f7144dbf48f2578de93592436f9a8e72ce305478e042b218cb3d809adac6f3/analysis/1545825922/[/url] - пока мало кто определяет, что делает - там в комменте есть. Похоже, скачивает этот url.exe, который в браузере пытается открывать страницы.

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

[QUOTE=Vvvyg;1494067][url]https://www.virustotal.com/ru/file/b5f7144dbf48f2578de93592436f9a8e72ce305478e042b218cb3d809adac6f3/analysis/1545825922/[/url] - пока мало кто определяет, что делает - там в комменте есть. [/QUOTE]
Ну, что мало кто определяет, я как раз и удивляюсь. Я даже чуть выше скрин с вирустотала прикладывал. Почему так?
А насчёт комментария... Ну, я тоже так написать могу.
Не уверен, что там человек с квалификацией писал, который разбирается в теме хотя бы лучше меня :)


В общем-то, я эти логи уже делал. И они, опять же, в первом сообщении :)
[QUOTE=DmitryOlenin;1493868]Также прилагаю логи стандартные +
логи утилиты Farbar Recovery Scan, TDSSKiller и "SecurityCheck by glax24 & Severnyj".[/QUOTE]

Сейчас сделал ещё раз. Прикладываю.
Построчно сравнил старый и новый файлы. Фактически, ничего не поменялось.

Это крайне желательно обновить:[QUOTE]7-Zip 18.01 (x64) v.18.01 [color=red][b]Внимание! [url=https://www.7-zip.org/download.html]Скачать обновления[/url][/b][/color]
Adobe Flash Player 29 PPAPI v.29.0.0.171 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ppapi.exe]Скачать обновления[/url][/b][/color][/QUOTE]

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]3[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]8[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] c:\windows\temp\url.exe - [B]Trojan.Win32.SelfDel.gnwr[/B][/LIST][/LIST]