В Chrome при запуске открывается mystartsearch.com, в IE - smartinf.ru

14 октября, 2015

ОС Windows 7.

В браузере Chrome при запуске открывается mystartsearch.com, в браузере Internet Explorer открывается smartinf.ru.

Проверил Dr.Web Cure It.

Проверить Kaspersky Virus Removal Tool 2015 не получается - очень долго проверяет содержимое архива chrome.7z и в один момент компьютер виснет, а экран покрывается узкими полосам. Путь к архиву в окне программы выводится не полностью, поэтому удалить не могу. В поиске нашел архив с таким именем и удалил, но антивирус все равно его находит.

Запускал последние версии ADW Cleaner, Malwarebytes Anti-Malware, Spybot, Hitman Pro, Windows Malicious Soft Removal Tool.

CollectionLog-2015.10.14-04.45.zip

14 октября, 2015

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico', '');
 DeleteFile('C:\Users\User\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 DeleteFile('C:\Users\User\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.exe', '32');
 DeleteFile('C:\Users\User\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '32');
 DeleteFile('C:\Users\User\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "extsetup" /F', 0, 15000, true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Еще раз:

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

14 октября, 2015

Инструкции выполнил.

Но имя файла не AdwCleaner[s1].txt, а AdwCleaner[s5].txt. Видимо потому, что уже были отчеты от прошлых сканирований. Хоть я их и удалил из папки перед очередным запуском. (Если нужны, то в корзине еще лежат).

AdwCleanerS5.txt

14 октября, 2015

Если нужны

Не нужно.

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки отметьте:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Цифра, вероятно, тоже будет другая.

Подробнее читайте в этом руководстве.

Затем:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

14 октября, 2015

Готово.

[KLAN-3251227581]

Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

Вoйти в Интeрнeт.lnk,
Вoйти в Интeрнeт.ico

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

14 октября, 2015

Spybot - Search & Destroy - деинсталлируйте.

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

start
CreateRestorePoint:
CHR HKU\S-1-5-21-4168283433-3671629389-1657437242-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HomePage: DFLTUSER -> hxxp://www.mystartsearch.com/?type=hp&ts=1443952296&z=6c0c2fd24a1364f1f26a572gezdz9cftaw5o7eftdo&from=cmi&uid=ST9320320AS_5SX54X5JXXXX5SX54X5J
CHR StartupUrls: DFLTUSER -> "hxxp://www.mystartsearch.com/?type=hp&ts=1443952296&z=6c0c2fd24a1364f1f26a572gezdz9cftaw5o7eftdo&from=cmi&uid=ST9320320AS_5SX54X5JXXXX5SX54X5J"
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\akimgimeeoiognljlfchpbkpfbmeapkh [2015-05-25]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\baohinapilmkigilbbbcccncoljkdpnd [2015-05-03]
OPR Extension: (SL Google Chrome™) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhnpmdabjgpimmnbmhefncbghknfegog [2015-06-09]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\dmglolhoplikcoamfgjgammjbgchgjdd [2015-05-20]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\mclkkofklkfljcocdinagocijmpgbhab [2015-04-06]
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\Users\Все пользователи\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\User\AppData\Roaming\edrFkBEABNzWDqeIpwqMNnw
Task: {01A0175C-9105-4115-95D6-98C995D91493} - System32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service => C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe
Task: {0B3A1F13-ACF4-406F-9CC7-B88A229C458B} - System32\Tasks\{CA952602-8015-4104-9CC6-E409990BAF84} => C:\Program Files\Common Files\AppDownloads\{CA952602-8015-4104-9CC6-E409990BAF84}.exe
Task: {48545448-4268-4692-B7CB-8BDC55ABD1E2} - System32\Tasks\Microsoft\Windows\extsetup => C:\Users\User\AppData\Local\Microsoft\Extensions\extsetup.exe
Task: {4FF8B4D9-841A-41A0-A794-E7884BAA66B4} - System32\Tasks\{9DBA8274-0018-4BB2-8F3A-C4A18AC84F9B} => C:\Program Files\Common Files\AppDownloads\{9DBA8274-0018-4BB2-8F3A-C4A18AC84F9B}.exe
Task: {5278C3C1-C7BD-4D74-9F91-DF2BFEB1F04B} - System32\Tasks\{AA79B7A7-54BB-48BD-80B5-C1A69CB05294} => C:\Program Files\Common Files\AppDownloads\{AA79B7A7-54BB-48BD-80B5-C1A69CB05294}.exe
Task: {91A76E54-0C5D-4A57-B1C8-0168A88B2BEE} - System32\Tasks\{0E5B8088-94DE-4609-8096-30AD902FD9F4} => C:\Program Files\Common Files\AppDownloads\{0E5B8088-94DE-4609-8096-30AD902FD9F4}.exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что с проблемой.

Изменено 14 октября, 2015 пользователем Sandor

14 октября, 2015

Большое спасибо! Проблема решена.

В IE smartinf.ru открывался при запуске, пока я не удалил из "Домашняя страница" сайт с которого меня на него переадресовывали. После перезагрузки по новой он туда уже не прописался.

Fixlog.txt

14 октября, 2015

В завершение:

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)

Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.

Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;

Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

Прикрепите этот файл к своему следующему сообщению.

В Chrome при запуске открывается mystartsearch.com, в IE - smartinf.ru

Рекомендуемые сообщения

NickArt

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

NickArt

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

NickArt

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

NickArt

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum