Smartinf.ru при запуске браузера

[mediator]

Здравствуйте, при запуске браузера (opera, mozilla) открывается страница smartinf.ru. Cureit проблему не решил.

CollectionLog-2015.05.14-11.45.zip

[thyrex]

Выполните скрипт в AVZ

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

 then

  begin

   SearchRootkit(true, true);

   SetAVZGuardStatus(True);

  end;



QuarantineFile('C:\Program Files (x86)\Video Saver\hi_aLWO.exe.exe','');

 QuarantineFile('C:\Users\Просто Мария\AppData\Local\Kometa\Application\kometa.exe','');

 DeleteFile('C:\Users\Просто Мария\AppData\Local\Kometa\Application\kometa.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaLaunchPanel','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');

 DeleteFile('C:\Users\Просто Мария\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','32');

 DeleteFile('C:\Users\Просто Мария\AppData\Local\Kometa\kometaup.exe','32');

 DeleteFile('C:\Program Files (x86)\Video Saver\hi_aLWO.exe.exe','32');

 DeleteFile('C:\Windows\Tasks\Update Service for Video Saver.job','64');

 DeleteFile('C:\Windows\Tasks\Update Service for Video Saver2.job','64');

 DeleteFile('C:\Windows\system32\Tasks\Update Service for Video Saver','64');

 DeleteFile('C:\Windows\system32\Tasks\Update Service for Video Saver2','64');



 BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(false);

end.

Компьютер перезагрузится.

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 

 

Сделайте новые логи по правилам

[mediator]

Новые логи

CollectionLog-2015.05.15-09.48.zip

ClearLNK-15.05.2015_09-28.log

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[mediator]

логи

Addition.txt

FRST.txt

[mike 1]

Включите восстановление системы.

 

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-4252494700-1522237861-2961168827-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
FF NewTab: yafd:tabs
FF Homepage: hxxp://farsila.ru/?utm_source=startpage03&utm_content=7ddef9898cd2bebce229b8ce9479dcd1
CHR Extension: (No Name) - C:\Users\Просто Мария\AppData\Local\Google\Chrome\User Data\Default\Extensions\kneggodalbcmgdkkfhbhbicbbahnacjb [2015-04-30]
CHR Extension: (No Name) - C:\Users\Просто Мария\AppData\Local\Google\Chrome\User Data\Default\Extensions\pdfmhakmnmnlelkmmjjhohokbnlffmam [2015-04-30]
CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://tninewy.ru/index.xml
CHR HKU\S-1-5-21-4252494700-1522237861-2961168827-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://tninewy.ru/index.xml
CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://tninewy.ru/index.xml
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
OPR StartupUrls: "hxxp://baltysya.ru/?utm_source=startpage03&utm_content=ceacbb0e3f6c2dcd4ee77273dc8641fb"
OPR Extension: (Video Saver) - C:\Users\Просто Мария\AppData\Roaming\Opera Software\Opera Stable\Extensions\pdfmhakmnmnlelkmmjjhohokbnlffmam [2015-04-30]
S4 Update Faster Light; "C:\Program Files (x86)\Faster Light\updateFasterLight.exe" [X]
S4 Util Faster Light; "C:\Program Files (x86)\Faster Light\bin\utilFasterLight.exe" [X]
S1 {e02a28a6-3b1b-4db6-97b9-9df9ceaa4aab}Gw64; system32\drivers\{e02a28a6-3b1b-4db6-97b9-9df9ceaa4aab}Gw64.sys [X]
2015-04-30 12:41 - 2015-04-30 12:41 - 00000000 ____D () C:\Users\Просто Мария\AppData\Roaming\Microsoft\Windows\Start Menu\Панель запуска браузера Комета
2015-04-30 12:41 - 2015-04-30 12:41 - 00000000 ____D () C:\Users\Просто Мария\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kometa
2015-04-30 12:40 - 2015-05-14 11:06 - 00000000 ____D () C:\Users\Просто Мария\AppData\Local\Kometa
2015-04-30 12:32 - 2015-05-14 10:42 - 00000258 __RSH () C:\Users\Просто Мария\ntuser.pol
2015-04-30 12:06 - 2015-04-30 12:06 - 00000000 ____D () C:\Users\Просто Мария\AppData\Local\Вoйти в Интeрнет
2015-04-30 12:00 - 2015-04-30 12:00 - 00000000 ____D () C:\Users\Просто Мария\AppData\Roaming\Video Saver
2015-04-30 11:58 - 2015-04-30 11:58 - 00000000 ____D () C:\Users\Просто Мария\AppData\Local\Поиcк в Интeрнете
2015-04-30 11:55 - 2015-05-14 15:03 - 00000000 ____D () C:\Program Files (x86)\Video Saver
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaLaunchPanel]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup]
2015-04-30 12:27 - 2015-05-15 09:28 - 00002266 _____ () C:\Users\Просто Мария\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk
2015-04-30 12:27 - 2015-05-15 09:28 - 00002258 _____ () C:\Users\Просто Мария\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk
2015-04-30 12:27 - 2015-04-30 12:33 - 00002277 _____ () C:\Users\Просто Мария\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
2015-04-30 12:26 - 2015-04-30 12:33 - 00000000 ____D () C:\Users\Просто Мария\AppData\Local\Amigo
2015-05-05 17:27 - 2015-05-15 09:28 - 00000000 ____D () C:\Users\Просто Мария\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

[mediator]

выполнил, проблема пока что осталась.

Fixlog.txt

[mike 1]

В каком браузере проблема?

[mediator]

mozilla, opera

[mike 1]

• Скачайте Check Browsers' LNK и сохраните архив с утилитой на Рабочем столе

Распакуйте архив с утилитой в отдельную папку

Запустите Check Browsers LNK.exe

Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

Да

После окончания работы программы в папке Log будет сохранен отчет Check_Browsers_LNK.log

Прикрепите этот отчет в вашей теме.

[mediator]

 

thyrex, mike 1, спасибо за помощь, продолжу в понедельник, т.к. это один из компов на работе

 

[mediator]

лог

Check_Browsers_LNK.log

[Roman_Five]

повторите логи FRST

[mediator]

сделал

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
FF Homepage: hxxp://farsila.ru/?utm_source=startpage03&utm_content=7ddef9898cd2bebce229b8ce9479dcd1
FF user.js: detected! => C:\Users\Просто Мария\AppData\Roaming\Mozilla\Firefox\Profiles\bva0z5vv.default\user.js [2015-04-30]
2015-05-15 16:06 - 2015-05-15 16:06 - 00000008 __RSH () C:\Users\Просто Мария\ntuser.pol
2015-05-15 16:06 - 2014-12-04 18:06 - 00000008 __RSH () C:\Users\Все пользователи\ntuser.pol
2015-05-15 16:06 - 2014-12-04 18:06 - 00000008 __RSH () C:\ProgramData\ntuser.pol
EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.