Перейти к содержанию

Sapsan932

Рекомендуемые сообщения

Всем желаю здравствовать! )

 

Браузеры на ноутбуке открывались самопроизвольно при старте системы с псевдо-поисковиком smartinf.ru.  Ничего не мог поделать, убрать и идентифицировать проблему не получалось. Будучи обычным неискушенным пользователем - реально был под гнётом от этой проблемы не один месяц. Сегодня устранил. Но времени, которого не вернуть, убил немеряно. Хочу поделиться опытом. Всё, что ниже - написано в помощь и ориентирована исключительно на таких же, как и я обычных пользователей, которые, возможно, сталкиваются с аналогичной проблемой и не знают, как от неё избавиться.

 

 

Итак. При старте системы браузер запускается по умолчанию с http://smartinf.ru/?utm_source=uoua03&utm_content=41e0287530e854f62a1033bfaead446e&utm_term=C0BBEB51F5E22C738A3ED6700B2B1AEB&utm_d=none

 

Идентифицировать проблему оказалось не просто: запускается во всех браузерах. Изменение домашней страницы не помогает.  Переустановка браузеров не помогает. В обычной автозагрузке через msconfig (чтобы отключить) его не видно. В свойствах ярлыка браузера никаких левых URL в поле объект не наблюдается. Adblock проблему не решает. Через поиск на компе  smartinf-ru – ничего не находится. Очищение папки AppData/Lokal/Temp (может из неё что подгружается) результата не даёт. (В планировщике заданий на вкладке «действия» и нет ничего, что подгружалось бы из папки Temp).

 

Такое антивирусное ПО, как  KIS 2016, Kaspersky Virus Removal Tool, DrWeb Curelt, Norton Power Eraser, Spybot-S&D и т.д. – проблему не решают. Чистильщики типа Norton Utilites16, ССleaner и аналогичные - эту дрянь автоматом тоже не видят и, соответственно, не вычищают.

 

Если зайти regedit вручную, то через поиск в реестре по smartinf находится ровно ноль.

В реестр в автозапуске в папке HKEY_LOKAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run ничего похожего на smartinf-ru тоже нет. Кроме того, в этой папке также нет никакого другого веб адреса, если это перенаправление с другого сайта (а очень на это похоже). Снёс полностью хром, мозиллу, оперу… Оставив лишь IE, который стал тоже самопроизвольно запускаться при старте показывая smartinf.ru.

 

ЛЕЧЕНИЕ

Стал искать ресурс, откуда осуществляется редирект. После перезагрузки системы если успеть нажать Esc в момент самопроизвольного старта браузера, то можно на мгновение мельком увидеть реальный веб-адрес перед открытием smartinf. Запомнил - хорошо. Если не запомнил, то:

 

Чтобы поймать исходный адрес – нужно перезагрузиться с отключенным интернетом, браузер запуститься автоматом и зависнет с реальным адресом.

 

У меня это оказалось: http://ryulano.ru/?utm_source=uoua03&utm_content=41e0287530e854f62a1033bfaead446e&utm_term=C0BBEB51F5E22C738A3ED6700B2B1AEB   (У кого-то, возможно, это может быть любой другой сайт, не обязательно ryulano.ru). В ин-те можно найти, что под smartinf.ru запускаются  foretuned.com, mandami.ru, simsimotkroysia.ru, manlucky.ru, bearblack.ru, ivasta.ru, fmav.ru, mipres.ru, windowsmac.ru, ryadcara.ru, ognime.ru, owebty.ru, staneni.ru

 

Идентифицировав, наконец, угрозу (а это оказалось самое трудное) её можно найти и удалить:

  1. В ручную через поиск в реестре: regidit -  Правка - Найти - ryulano.ru  (находит программу в разделе реестра HKCU:Run под диким названием aosiihzefp). Удаляем запись. (Название программы может быть и иное. Например, попадалось в ин-те инф-ия, что под smartinf.ru был маскировщик bwdxzmdvna).
  2. Или же (если у кого установлен CCleaner), то заходим в нём на вкладку  Сервис (Tools) – автозагрузка – находим строку с программой aosiihzefp – жмакаем «удалить».  Или нажимаем правой кнопкой на строке aosiihzefp - открыть RegEdit – снова попадаем в п.1. – удаляем вручную.
  3. Эту штуку можно также просто отключить из автозапуска. Например, у меня угроза  идентифицировалась Norton Utilities 16 (доступна на оф. сайте с беспл. пробным периодом 30 дней). На вкладке Perfomance в разделе Boost Your Windows Startup находим следующий Path: explorer "http://ryulano.ru/?utm_source=uoua03&utm_content=...  - Напротив него - Applikation Name - видим имя зловредной проги: aosiihzefp. Выключаем из автозагрузки. Проблема с открытием браузера при старте уйдёт. Но для реального удаления из реестра - используем всё же пп. 1, 2.

Просканировал после этого еще прогой для удаления рекламного ПО Malwarebytes AdwCleaner v. 6.041, чтоб быть увереным наверняка, что эта дрянь больше нигде не прописалась. (К слову, adguardInstaller.exe который был в нагрузку с AdwCleaner – я бы лично не рекомендовал ставить). Как по мне - удобство данной утилиты в том, что она очень лёгкая, не требует установки, запускается моментом и сразу показывает путь в реестре, где лежит рекламная дрянь. Мне нашло аж 38 штук типа Kometa, Solvusoft, UBar, TorrentSearch, SlimDrivers и т.д., (треть из которых я был твёрдо уверен, что расправился ранее в свое время безвозвратно удалив).  

 

Вот и всё. Надеюсь, что обычным пользователям, столкнувшимся с аналогичной проблемой smartinf.ru  и редиректа - вышеописанный личный опыт в устранении этой угрозы может оказаться полезным и сэкономит им время. 

 

 

P.S. Ну и напоследок про антирекламный софт. Поставил временно Malwarebytes 3.0.5 – (чисто потестить ноут на возможное наличие аналогичных вещей и  для интереса - понять разницу по эффективности между Malwarebytes и AdwCleaner 6… Раньше их не использовал). На 14 дней им можно бесплатно лечить ноут Premium версией. Прога зависла после первого сканирования так, что пришлось принудительно перезапускать ноут.  По эффективности найденных угроз:  Malwarebytes после AdwCleaner нашел еще дополнительно 6 записей: 3 записи и три раздела в реестре типа: PUP.Optional.StartPage, HKU\S-1-5-21-3703156616-2932603758-3660034294-1001\SOFTWARE\START PAGE|START PAGE (переместил в карантин) и два файла типа PUP.Optional.Spigot находящихся в C:\USERS\... \ROAMING\MOZILLA\FIREFOX\PROFILES\XT64D5K4.DEFAULT-1450609439914\PREFS.JS, которые он не смог ни переместить в карантин ни удалить. Так что, Malwarebytes 3.0.5 можно смело сносить, прирост КПД у него практически нулевой по сравнению с утилитой AdwCleaner, ИМХО, которую можно запускать когда нужно, а эффект тот же. )

Изменено пользователем Sapsan932
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

@Sapsan932, вам сюда: https://forum.kasperskyclub.ru/index.php?showforum=26

Проблема скорее в планировщике задач, нужно найти проблемную задачу и удалить ее: https://technet.microsoft.com/ru-ru/library/cc721931(v=ws.11).aspx

Ссылка на комментарий
Поделиться на другие сайты

@ska79,@Ulquiorra, рекомендую читать внимательно. Пользователь описал свое решение проблемы.

 

А посему тема переместилась в Беседку. 

  • Спасибо (+1) 2
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

@ska79,@Ulquiorra, Пользователь описал свое решение проблемы. А посему тема переместилась в Беседку. 

 

Просьба удалить данную тему с https://forum.kasperskyclub.ru/index.php?showtopic=53785

 

Причина: непонимание принципов работы форума и принятия решений.

 

Обоснование просьбы: я тут новичок, всего пару дней на форуме. Выложил своё успешное решение проблемы удаления smartinf  в разделе "Помощь" - "Компьютерная помощь" с благой целью (как я думал), что другой пользователь с аналогичной, как у меня, проблемой зайдет искать помощи сюда на форум как раз в этот раздел. (Я, например, заходил сперва именно в него, когда искал). По факту, тема о реальном устранении реальной проблемы перенесена в раздел "Общение на свободные темы" в "Беседку" , где беседы о погоде, о «вкусной и здоровой пище» о «смешной всячине» и т.д. Из этого я делаю вывод, что делиться личным опытом - писать статьи  касательно устранения проблем в теме "Помощь" - "Компьютерная помощь" абсолютно не приветствуются. Там, видимо, можно писать только своему узкому сплоченному коллективу гиков и гуру-кодеров.  А цели - размещать подобную тему в разделе, где общение о погоде, о вкусной и здоровой пище и смешной всячине - у меня не было.

 

Благодарю за понимание.

Изменено пользователем Sapsan932
Ссылка на комментарий
Поделиться на другие сайты

Добрый день. Перенеся вашу тему из раздела помощи никто не хотел вас обидеть. Метод предложенный вами действенный и его можно использовать. Одно - для обычного пользователя он трудоёмкий  и не все смогут разобраться в его тонкостях.

На этом форуме есть раздел, где пользователям помогают избавится от вирусов и навязчивой рекламы. Там работают специалисты и пользователю нужно только собрать логи в автоматическом режиме и следовать указаниям специалиста.

Если вы желаете пройти обучение по борьбе с вирусами - обращайтесь, вам подскажут.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

 Метод предложенный вами действенный и его можно использовать. Одно - для обычного пользователя он трудоёмкий  и не все смогут разобраться в его тонкостях.

 Вот это мне и непонятно Если метод действенный - почему перенесен из раздела "Компьтерная помощь"? 

 У кого аналогичная проблема - зашел, нашел, прочитал, разобрался, удалил, сэкономил время на сборе логов и пр. Кто не разобрался - идёт в соседний раздел и делает запрос специалистам. Или я снова не так что-то понимаю?  Главное не цель - "устранение проблемы", а "процесс"? Не подумайте, что я спорю с действиями модератора, нет; просто пытаюсь для себя понять что где писать... А то тут шаг влево - не там написал - сразу выносится строгое предупреждение. Ну да Бог с ним... ) Так то, и так то... )

 

Если вы желаете пройти обучение по борьбе с вирусами - обращайтесь, вам подскажут.

А поподробнее, можно, пожалуйста. Это интересно. Что имеется ввиду под "обучением"?

Изменено пользователем Sapsan932
Ссылка на комментарий
Поделиться на другие сайты

@Sapsan932,

Та тема называется Компьютерная помощь. а не помощь по одному "вашему" конкретному примеру.
Т.е вы заходите, пишите свой уникальный случай.. которого до этого не было, и вам начинают сыпать, много-много людей, разные варианты решения. 
 
А с браузером и рекламой:
И всё гораздо проще, чем у вас здесь написано..  :)
Строгое предупреждение от модератора Soft
Устное предупреждение! Нарушение пункта 20 правил форума. Красный цвет использует только администрация!
Изменено пользователем Soft
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

И всё гораздо проще, чем у вас здесь написано..  :)

А у меня сложно/трудоёмко написано? 1) перезагр. PC при выключенном инете 2) автоматом запустится браузер и зависнет со строкой исходного сайта при редиректе, который нужно скопировать 3) Пуск - выполнить - regidit -  Правка - Найти - вставить скопированный (основу) из п.2 сайт  4) тыц! "удалить" на найденный файл, перезагрузиться. Всё!

 

 

@Sapsan932, тема называется Компьютерная помощь...  вы заходите, пишите свой уникальный случай.. которого до этого не было

Ясно. Но если бы где-то фиксировались, а-ля реестром, все угрозы, прокрыжив которые и не найдя там методом исключения своей, знать, что это "уникальный случай, которого до этого не было" - тогда да... А если случай до этого у кого-то был, но пользователь не знал/не нагуглил/не нашел, тогда что? :acute:

 

А с браузером и рекламой: https://forum.kasperskyclub.ru/index.php?showtopic=47911&hl=smartinf  главное логи делать  :lol:

Значит будем делать логи и учиться с ними работать и анализировать. Стыдно ни не учиться, стыдно не знать. Ну а не ошибается тот - кто ничего не делает. :horse:

Изменено пользователем Sapsan932
Ссылка на комментарий
Поделиться на другие сайты

Компьютерная помощь, это не сборник готовых решений. Компьютерная помощь служит для поиска такого или таких решений. Вы дали свой вариант решения вашей же проблемы, потому он в Беседке.
 
Другими словами помощь - это где оказывают помощь.
Близкой по духу можно отнести тему [Решено для windows 7] ACPI драйвер но те решения, которые предоставленны в первом сообщении, это некий итог их поиска в самой теме. 

Я думаю теперь вы должны понимать, какой раздел на форуме какие функции выполняет и различать их смысл

Ссылка на комментарий
Поделиться на другие сайты

Я бы тоже хотел обучиться, но требуется участие в жизни проекта. Я могу написать Да, но как-то не уверен, что там приживусь.

Это, конечно, другой разговор, но все же.

Ссылка на комментарий
Поделиться на другие сайты

 

 


Я бы тоже хотел обучиться, но требуется участие в жизни проекта. Я могу написать Да, но как-то не уверен, что там приживусь. Это, конечно, другой разговор, но все же.
это не главное требование.
Ссылка на комментарий
Поделиться на другие сайты

 

 


это не главное требование.
ага ... поэтому вас с nk95 мурыжили т.к. у вас было написано поверхностно почему вам это было нужно и задали вопрос: "останетесь ли вы на том форуме" ?
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Ant666
      От Ant666
      Запускается браузер после загрузки Windows.
      CollectionLog-2024.11.17-18.43.zip
    • 123343545646
      От 123343545646
      Здравствуйте. Запускается браузер при загрузке Windows.
      CollectionLog-2024.10.18-20.36.zip
    • John-80
      От John-80
      Добрый день.
      Во время работы, при переходе на некоторые страницы в браузере (яндекс браузер для организаций) происходит переадресация на страницу sweetgain.top
      Проверка машины антивирусом ничего не дает. Собран лог-файл... можете подсказать как удалить лишнее?
      avz_log.txt
    • Andrei93
      От Andrei93
      Здравствуйте. По какой-то причине Яндекс браузер блокируется Kasperskiy Security для Windows Server: 11.0.1.897. Определил отключением службы KAVFS.
      В событиях windows - Kasperskiy event log и Kasperskiy Security ни каких событий нет.
       
      Со стороны сервера отчет показывает, что ни каких проблем нет.
       
      Как понять, в чем проблема ? Как устранить ? Если решается только путем исключения, можете ли Вы подсказать как это сделать ?
       
    • Boltov_
      От Boltov_
      Захотел проверить свой компьютер на наличие вирусного ПО, и заметил что не один сайт с ативирусниками не открывается, скачал доктор веб, просканил все, и заметил что некторые файлы не удаляются, и вылезает самораспаковывающейся архив.
       
      АвтоЛоггер не запускается даже в безопастном режиме, и даже если его переименовать.


×
×
  • Создать...