Перейти к содержанию

Автозапуск Хрома с smartinf.ru


Рекомендуемые сообщения

Здрасьте Вам.
С недавних пор при включении компьютера начал автозапускаться Хром с рекламной (псевдопоисковой?) страницей 2inf.net. Почистил реестр, советы в Сети почитал — 2inf.net перестал, за то теперь Хром запускается со страницей h_t_t_p://smartinf.ru/?utm_source=&utm_content=. Что тоже не прибавило радости.

Согласно Вашим новым правилам, сделал логи AutoLogger'а.

Заранее спасибо.

 

Если можно/нужно, перенесите тему в раздел "Уничтожение вирусов". Тоже спасибо.

CollectionLog-2015.02.25-10.25.zip

Изменено пользователем zyablik
Ссылка на сообщение
Поделиться на другие сайты

Попробуйте это http://www.comss.ru/page.php?id=1309

Только осторожней, смотрите в менюшках или отчёте, что предлагает снести.

Изменено пользователем sputnikk
Ссылка на сообщение
Поделиться на другие сайты

Спасибо. Применяю Adwcleaner регулярно.
И сейчас применил. Особо он ничего не нашел. Разве что во вкладке "Files":
adwscreen1.gif
Очистил. Перезагрузил. Ситуация не улучшилась: Хром по-прежнему сам по себе запускается со страницей h_t_t_p://smartinf.ru/...
Отчеты Adwcleaner не прилагаю, т.к. единственная значащая строка там такая:

File Deleted : C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\hxxps_static.olark.com_0.localstorage

Он-то удалил, типа. А результата нет.
Кстати, в реестре нет упоминания smartinf.ru.

Изменено пользователем zyablik
Ссылка на сообщение
Поделиться на другие сайты

В смысле тема по моей ситуации? Попробую.


Лог AVZ по-новой? Он же AutoLogger'е есть (?).

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено пользователем zyablik
Ссылка на сообщение
Поделиться на другие сайты

В смысле тема по моей ситуации? Попробую.

Фиг знает ) В заголовке темы упомянуто smartinf.ru и создана вчера, поэтому спросил

Ссылка на сообщение
Поделиться на другие сайты

я не специалист, но скажу по логу

надо обновить версию продукта

удалить ключь реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, crjyljzsww="cmd /c start http://foretuned.com/"

могу скрипт написать для редактирования реестра. но я незнаю, имею ли я права на публикации скрипта, даже в разделе Компьютерная помощь

надо лечится, у меня под подозрением задание в планировщике, и файлы

C:\WINDOWS\system32\cpldapu\produkey.exe

C:\WINDOWS\storegidfilter.sys

C:\Program Files\аудио и видео скачивание\ie\x86\downloader.dll

Изменено пользователем kmscom
Ссылка на сообщение
Поделиться на другие сайты

@zyablik,  обратитесь в раздел по борьбе с Уничтожением Вирусов: https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Обновите антивирус стандартной переустановкой: http://products.kaspersky-labs.com/products/russian/homeuser/kis2015/kis15.0.2.361ru-ru.exe

Включите обнаружение других угроз: http://support.kaspersky.ru/viruses/solutions/10319#block1

Прочитайте статьи на досуге:
http://blog.kaspersky.ru/adware-toolbar/4733/
http://blog.kaspersky.ru/7-privychek-na-pu...internetu/2965/

Ссылка на сообщение
Поделиться на другие сайты

Удалить ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Runcrjyljzsww="cmd /c start h_t_t_p://foretuned.com/"

Спасибо. Я уже догадался, т.к. при выключенном Интернете пытается грузиться именно fortuned.com. И удалил этот параметр в реестре еще вчера (после обеда не заходил сюда). Более ни smartinf.ru, ни fortuned.com еще не появлялись при загрузке.

Что до C:\WINDOWS\system32\cpldapu\produkey.exe, C:\WINDOWS\storegidfilter.sys, C:\Program Files\аудио и видео скачивание\ie\x86\downloader.dll — справлюсь, возможно, сам.

Тем более "Аудио и видео скачивание" это установленная программа. Удалил только что ее штатным образом. Но, зараза: оставляет за собой файл C:\Program Files\аудио и видео скачивание\ie\x86\crxi.exe. Пришлось удалить папку.

А produkey, по-моему, безобидная вещь.

Что за storegidfilter.sys — не знаю. И в Сети непонятно. А в папке Windows сидит: NetFilter SDK TDI Hook Driver (WPP), внутреннее имя — netfilter2.sys. Что если его просто удалить (если удаляется)?

Не хочется сильно изголяться. Системе жить недолго, для нее куплена давно семерка, но просто пока руки не дошли.

А тэги в заголовок темы уже нельзя добавить (здесь: fortuned.com)?

Изменено пользователем zyablik
Ссылка на сообщение
Поделиться на другие сайты

Сообщение от модератора Roman_Five
Тема перемещена.

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\storegidfilter.sys','');
 QuarantineFile('C:\DOCUME~1\9335~1\APPLIC~1\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Program Files\Аудио и видео скачивание\*','');
 QuarantineFile('C:\WINDOWS\system32\NetSetup.cpl','');
 QuarantineFile('C:\WINDOWS\System32\RestoreC.vbs','');
 QuarantineFile('C:\Program Files\Winsent Messenger Free\winsent.exe','');
 QuarantineFile('C:\Program Files\TrafInsp\Agent\trafinspag.exe','');
 QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\storegid\storegidup.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\storegid\storegid.exe','');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\Quick Launch\Вoйти в Интeрнет 2inf.net.lnk','32');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\storegid\storegid.exe','32');
 DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32');
 DeleteFile('C:\WINDOWS\System32\RestoreC.vbs','32');
 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
 DeleteFile('C:\DOCUME~1\9335~1\APPLIC~1\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\WINDOWS\storegidfilter.sys','32');
 DeleteFileMask('C:\Program Files\аудио и видео скачивание\','*', true, '');
 DeleteDirectory('C:\Program Files\аудио и видео скачивание\',' ');
 DelBHO('11263C8C-874C-47DB-A43A-827EC5C325FB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegid','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegidUpdater','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','chrome5');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','RestoreC');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','RestoreC');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','crjyljzsww');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.
Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.
 
Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;
2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;
3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;
4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;
5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.
Важно: размер архива не должен превышать 15 МБ;
6) В строке EMail укажите адрес своей электронной почты;
7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

 
Полученный через электронную почту ответ сообщите в этой теме.
 
Сделайте новые логи по правилам (только пункт 3).
+
приложите лог AdwCleaner и Farbar Recovery Scan Tool
Ссылка на сообщение
Поделиться на другие сайты

Сообщение от модератора Roman_Five
Тема перемещена.
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Прикрепил.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед .........................
......................................................
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\storegidfilter.sys','');
 QuarantineFile('C:\DOCUME~1\9335~1\APPLIC~1\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Program Files\Аудио и видео скачивание\*','');
 .....................................................
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 

Первый скрипт прошел. Перезагрузилось.

Второй типа "удаляет Qurantine.zip", а новый не создает. Пробовал несколько раз.

ClearLNK-27.02.2015_10-37.log

Изменено пользователем zyablik
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Sapsan932
      От Sapsan932
      Всем желаю здравствовать! )
       
      Браузеры на ноутбуке открывались самопроизвольно при старте системы с псевдо-поисковиком smartinf.ru.  Ничего не мог поделать, убрать и идентифицировать проблему не получалось. Будучи обычным неискушенным пользователем - реально был под гнётом от этой проблемы не один месяц. Сегодня устранил. Но времени, которого не вернуть, убил немеряно. Хочу поделиться опытом. Всё, что ниже - написано в помощь и ориентирована исключительно на таких же, как и я обычных пользователей, которые, возможно, сталкиваются с аналогичной проблемой и не знают, как от неё избавиться.
       
       
      Итак. При старте системы браузер запускается по умолчанию с http://smartinf.ru/?utm_source=uoua03&utm_content=41e0287530e854f62a1033bfaead446e&utm_term=C0BBEB51F5E22C738A3ED6700B2B1AEB&utm_d=none
       
      Идентифицировать проблему оказалось не просто: запускается во всех браузерах. Изменение домашней страницы не помогает.  Переустановка браузеров не помогает. В обычной автозагрузке через msconfig (чтобы отключить) его не видно. В свойствах ярлыка браузера никаких левых URL в поле объект не наблюдается. Adblock проблему не решает. Через поиск на компе  smartinf-ru – ничего не находится. Очищение папки AppData/Lokal/Temp (может из неё что подгружается) результата не даёт. (В планировщике заданий на вкладке «действия» и нет ничего, что подгружалось бы из папки Temp).
       
      Такое антивирусное ПО, как  KIS 2016, Kaspersky Virus Removal Tool, DrWeb Curelt, Norton Power Eraser, Spybot-S&D и т.д. – проблему не решают. Чистильщики типа Norton Utilites16, ССleaner и аналогичные - эту дрянь автоматом тоже не видят и, соответственно, не вычищают.
       
      Если зайти regedit вручную, то через поиск в реестре по smartinf находится ровно ноль.
      В реестр в автозапуске в папке HKEY_LOKAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run ничего похожего на smartinf-ru тоже нет. Кроме того, в этой папке также нет никакого другого веб адреса, если это перенаправление с другого сайта (а очень на это похоже). Снёс полностью хром, мозиллу, оперу… Оставив лишь IE, который стал тоже самопроизвольно запускаться при старте показывая smartinf.ru.
       
      ЛЕЧЕНИЕ
      Стал искать ресурс, откуда осуществляется редирект. После перезагрузки системы если успеть нажать Esc в момент самопроизвольного старта браузера, то можно на мгновение мельком увидеть реальный веб-адрес перед открытием smartinf. Запомнил - хорошо. Если не запомнил, то:
       
      Чтобы поймать исходный адрес – нужно перезагрузиться с отключенным интернетом, браузер запуститься автоматом и зависнет с реальным адресом.
       
      У меня это оказалось: http://ryulano.ru/?utm_source=uoua03&utm_content=41e0287530e854f62a1033bfaead446e&utm_term=C0BBEB51F5E22C738A3ED6700B2B1AEB   (У кого-то, возможно, это может быть любой другой сайт, не обязательно ryulano.ru). В ин-те можно найти, что под smartinf.ru запускаются  foretuned.com, mandami.ru, simsimotkroysia.ru, manlucky.ru, bearblack.ru, ivasta.ru, fmav.ru, mipres.ru, windowsmac.ru, ryadcara.ru, ognime.ru, owebty.ru, staneni.ru
       
      Идентифицировав, наконец, угрозу (а это оказалось самое трудное) её можно найти и удалить:
      В ручную через поиск в реестре: regidit -  Правка - Найти - ryulano.ru  (находит программу в разделе реестра HKCU:Run под диким названием aosiihzefp). Удаляем запись. (Название программы может быть и иное. Например, попадалось в ин-те инф-ия, что под smartinf.ru был маскировщик bwdxzmdvna). Или же (если у кого установлен CCleaner), то заходим в нём на вкладку  Сервис (Tools) – автозагрузка – находим строку с программой aosiihzefp – жмакаем «удалить».  Или нажимаем правой кнопкой на строке aosiihzefp - открыть RegEdit – снова попадаем в п.1. – удаляем вручную. Эту штуку можно также просто отключить из автозапуска. Например, у меня угроза  идентифицировалась Norton Utilities 16 (доступна на оф. сайте с беспл. пробным периодом 30 дней). На вкладке Perfomance в разделе Boost Your Windows Startup находим следующий Path: explorer "http://ryulano.ru/?utm_source=uoua03&utm_content=...  - Напротив него - Applikation Name - видим имя зловредной проги: aosiihzefp. Выключаем из автозагрузки. Проблема с открытием браузера при старте уйдёт. Но для реального удаления из реестра - используем всё же пп. 1, 2. Просканировал после этого еще прогой для удаления рекламного ПО Malwarebytes AdwCleaner v. 6.041, чтоб быть увереным наверняка, что эта дрянь больше нигде не прописалась. (К слову, adguardInstaller.exe который был в нагрузку с AdwCleaner – я бы лично не рекомендовал ставить). Как по мне - удобство данной утилиты в том, что она очень лёгкая, не требует установки, запускается моментом и сразу показывает путь в реестре, где лежит рекламная дрянь. Мне нашло аж 38 штук типа Kometa, Solvusoft, UBar, TorrentSearch, SlimDrivers и т.д., (треть из которых я был твёрдо уверен, что расправился ранее в свое время безвозвратно удалив).  
       
      Вот и всё. Надеюсь, что обычным пользователям, столкнувшимся с аналогичной проблемой smartinf.ru  и редиректа - вышеописанный личный опыт в устранении этой угрозы может оказаться полезным и сэкономит им время. 
       
       
      P.S. Ну и напоследок про антирекламный софт. Поставил временно Malwarebytes 3.0.5 – (чисто потестить ноут на возможное наличие аналогичных вещей и  для интереса - понять разницу по эффективности между Malwarebytes и AdwCleaner 6… Раньше их не использовал). На 14 дней им можно бесплатно лечить ноут Premium версией. Прога зависла после первого сканирования так, что пришлось принудительно перезапускать ноут.  По эффективности найденных угроз:  Malwarebytes после AdwCleaner нашел еще дополнительно 6 записей: 3 записи и три раздела в реестре типа: PUP.Optional.StartPage, HKU\S-1-5-21-3703156616-2932603758-3660034294-1001\SOFTWARE\START PAGE|START PAGE (переместил в карантин) и два файла типа PUP.Optional.Spigot находящихся в C:\USERS\... \ROAMING\MOZILLA\FIREFOX\PROFILES\XT64D5K4.DEFAULT-1450609439914\PREFS.JS, которые он не смог ни переместить в карантин ни удалить. Так что, Malwarebytes 3.0.5 можно смело сносить, прирост КПД у него практически нулевой по сравнению с утилитой AdwCleaner, ИМХО, которую можно запускать когда нужно, а эффект тот же. )
    • Alena09
      От Alena09
      Добрый день
      Установлен лицензионный Kaspersky Internet Security  Базы каждый день обновляются
      При открытии IE вместо начальной страницы открываются сайты с рекламой Антивирус ничего не видит
      Подскажите, пожалуйста, что делать - чтобы их удалить
    • sneguro4ka
      От sneguro4ka
      Здравствуйте, после загрузки компьютера автоматически открывается панель cmd, после чего загружается FireFox и открывается страница 2inf.net. помогите пожалуйста вылечить этот вирус.
      И еще проблема: в Windows Vista на моем компьютере поменялся интерфейс и стал похож на интерфейс windows XP. кнопка Пуск и оформление окон тоже поменялись.
       
      заранее спасибо
    • Galkinforjob@yandex.ru
      От Galkinforjob@yandex.ru
      После запуска системы -- автоматом открывается браузер, настройки браузера слетают. Браузер открывается на странице "2inf.net". Браузер ведёт себя странно (например, всё время выскакивают новые окна).
      CollectionLog-2014.12.26-22.00.zip
×
×
  • Создать...