Автозапуск Хрома с smartinf.ru

[zyablik]

Здрасьте Вам.
С недавних пор при включении компьютера начал автозапускаться Хром с рекламной (псевдопоисковой?) страницей 2inf.net. Почистил реестр, советы в Сети почитал — 2inf.net перестал, за то теперь Хром запускается со страницей h_t_t_p://smartinf.ru/?utm_source=&utm_content=. Что тоже не прибавило радости.

Согласно Вашим новым правилам, сделал логи AutoLogger'а.

Заранее спасибо.

 

Если можно/нужно, перенесите тему в раздел "Уничтожение вирусов". Тоже спасибо.

CollectionLog-2015.02.25-10.25.zip

Изменено 25 февраля, 2015 пользователем zyablik

[sputnikk]

Попробуйте это http://www.comss.ru/page.php?id=1309

Только осторожней, смотрите в менюшках или отчёте, что предлагает снести.

Изменено 25 февраля, 2015 пользователем sputnikk

[zyablik]

Спасибо. Применяю Adwcleaner регулярно.
И сейчас применил. Особо он ничего не нашел. Разве что во вкладке "Files":

Очистил. Перезагрузил. Ситуация не улучшилась: Хром по-прежнему сам по себе запускается со страницей h_t_t_p://smartinf.ru/...
Отчеты Adwcleaner не прилагаю, т.к. единственная значащая строка там такая:

File Deleted : C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\hxxps_static.olark.com_0.localstorage

Он-то удалил, типа. А результата нет.
Кстати, в реестре нет упоминания smartinf.ru.

Изменено 25 февраля, 2015 пользователем zyablik

[sputnikk]

Ваша тема? http://virusinfo.info/showthread.php?t=178115&s=9bd6b6d1cf1fa598ada753184663570b

[zyablik]

В смысле тема по моей ситуации? Попробую.

Лог AVZ по-новой? Он же AutoLogger'е есть (?).

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 25 февраля, 2015 пользователем zyablik

[sputnikk]

В смысле тема по моей ситуации? Попробую.

Фиг знает ) В заголовке темы упомянуто smartinf.ru и создана вчера, поэтому спросил

[kmscom]

я не специалист, но скажу по логу

надо обновить версию продукта

удалить ключь реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, crjyljzsww="cmd /c start http://foretuned.com/"

могу скрипт написать для редактирования реестра. но я незнаю, имею ли я права на публикации скрипта, даже в разделе Компьютерная помощь

надо лечится, у меня под подозрением задание в планировщике, и файлы

C:\WINDOWS\system32\cpldapu\produkey.exe

C:\WINDOWS\storegidfilter.sys

C:\Program Files\аудио и видео скачивание\ie\x86\downloader.dll

Изменено 25 февраля, 2015 пользователем kmscom

[Friend]

@zyablik,  обратитесь в раздел по борьбе с Уничтожением Вирусов: https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Обновите антивирус стандартной переустановкой: http://products.kaspersky-labs.com/products/russian/homeuser/kis2015/kis15.0.2.361ru-ru.exe

Включите обнаружение других угроз: http://support.kaspersky.ru/viruses/solutions/10319#block1

Прочитайте статьи на досуге:
http://blog.kaspersky.ru/adware-toolbar/4733/
http://blog.kaspersky.ru/7-privychek-na-pu...internetu/2965/

[zyablik]

Удалить ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, crjyljzsww="cmd /c start h_t_t_p://foretuned.com/"

Спасибо. Я уже догадался, т.к. при выключенном Интернете пытается грузиться именно fortuned.com. И удалил этот параметр в реестре еще вчера (после обеда не заходил сюда). Более ни smartinf.ru, ни fortuned.com еще не появлялись при загрузке.

Что до C:\WINDOWS\system32\cpldapu\produkey.exe, C:\WINDOWS\storegidfilter.sys, C:\Program Files\аудио и видео скачивание\ie\x86\downloader.dll — справлюсь, возможно, сам.

Тем более "Аудио и видео скачивание" это установленная программа. Удалил только что ее штатным образом. Но, зараза: оставляет за собой файл C:\Program Files\аудио и видео скачивание\ie\x86\crxi.exe. Пришлось удалить папку.

А produkey, по-моему, безобидная вещь.

Что за storegidfilter.sys — не знаю. И в Сети непонятно. А в папке Windows сидит: NetFilter SDK TDI Hook Driver (WPP), внутреннее имя — netfilter2.sys. Что если его просто удалить (если удаляется)?

Не хочется сильно изголяться. Системе жить недолго, для нее куплена давно семерка, но просто пока руки не дошли.

А тэги в заголовок темы уже нельзя добавить (здесь: fortuned.com)?

Изменено 26 февраля, 2015 пользователем zyablik

[Roman_Five]

Сообщение от модератора Roman_Five

Тема перемещена.

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\storegidfilter.sys','');
 QuarantineFile('C:\DOCUME~1\9335~1\APPLIC~1\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Program Files\Аудио и видео скачивание\*','');
 QuarantineFile('C:\WINDOWS\system32\NetSetup.cpl','');
 QuarantineFile('C:\WINDOWS\System32\RestoreC.vbs','');
 QuarantineFile('C:\Program Files\Winsent Messenger Free\winsent.exe','');
 QuarantineFile('C:\Program Files\TrafInsp\Agent\trafinspag.exe','');
 QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\storegid\storegidup.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\storegid\storegid.exe','');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\Quick Launch\Вoйти в Интeрнет 2inf.net.lnk','32');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\storegid\storegid.exe','32');
 DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32');
 DeleteFile('C:\WINDOWS\System32\RestoreC.vbs','32');
 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
 DeleteFile('C:\DOCUME~1\9335~1\APPLIC~1\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\WINDOWS\storegidfilter.sys','32');
 DeleteFileMask('C:\Program Files\аудио и видео скачивание\','*', true, '');
 DeleteDirectory('C:\Program Files\аудио и видео скачивание\',' ');
 DelBHO('11263C8C-874C-47DB-A43A-827EC5C325FB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegid','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegidUpdater','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','chrome5');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','RestoreC');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','RestoreC');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','crjyljzsww');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.

Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.

 

Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;

2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;

3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;

4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;

5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.

Важно: размер архива не должен превышать 15 МБ;

6) В строке EMail укажите адрес своей электронной почты;

7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

 

Полученный через электронную почту ответ сообщите в этой теме.

 

Сделайте новые логи по правилам (только пункт 3).

+

приложите лог AdwCleaner и Farbar Recovery Scan Tool

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

[zyablik]

Сообщение от модератора Roman_Five

Тема перемещена.

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

Прикрепил.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед .........................
......................................................
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\storegidfilter.sys','');
 QuarantineFile('C:\DOCUME~1\9335~1\APPLIC~1\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Program Files\Аудио и видео скачивание\*','');
 .....................................................
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Первый скрипт прошел. Перезагрузилось.

Второй типа "удаляет Qurantine.zip", а новый не создает. Пробовал несколько раз.

ClearLNK-27.02.2015_10-37.log

Изменено 27 февраля, 2015 пользователем zyablik