Здравствуйте, друзья!
Помогите удалить вирус или троян или не понятно что это. :help:

По порядку: Не могу сказать как я эту фигню подхватил, но у меня такая проблема...
Теперь во всех моих браузерах (Chrome, Explorer и т.д.) запускается стартовая страница YamKex.ru. Но ещё прикол в том, что при запуске Windows 7 Pro автоматически и самостоятельно запускается браузер Chrome с этой стартовой страницей?
Когда я в браузере Хром сижу посещаю другие сайты или в поисковике, при клике на ссылки иногда появляются рекламные страницы сторонних сайтов, кликаю на ссылку 2-ой раз, перехожу нормально.
YamKex никак не удаляется удалить!!!!!!!!!!!!!!!!!!!!!!!

Я достаточно опытный пользователь, но уже всю голову сломал, не могу удалить эту стартовую страницу (проблема похожа типо с Welbata)
Что делал и ничего не помогло вычислить и грохнуть:
1) Настройки Хром - нет следов и инфы
2) Host - чистый
3) Автозагрузках Windows - нет
4) В службах Windows - нет
5) В реестрах Windows - нет
6) В логах - нет
7) Ccleaner - нет данных
8) Куках - нет
9) drWeb Cureit - не нашёл
10) Panda - не нашёл
11) 4-е программы антитроянов (типо как SUPERAntiSpyware Free Edition) - не нашли !!!
12) Восстановление системы - не помогло
13) На сайтах антивирусных компаний - нет данных

Короче все мои знания исчерпаны! Но проблема осталась прежней?
Есть ещё варианты? Может это новейшие неизученные технологии вируса? :sorry: :o :help: :help: :help:

igor.savelyev.1@fb, привет.

Думаю мы поможем, но сначала помогите собрать все необходимые логи - Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему. (http://forum.oszone.net/thread-98169.html) 1-е сообщение темы по ссылке выполните всё в точности по инструкции.

Благодарен за помощь!
Во вложении отчёт логов.

Здравствуйте!

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\POLY\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('D:\PROGRAMS\NeoSpy\nspl.dll','');
DeleteFile('C:\Program Files\Internet Explorer\iexplore.url','32');
DeleteFile('C:\Program Files\Yandex\Punto Switcher\punto.url','32');
DeleteFile('C:\Users\Игорян\AppData\Local\Yandex\YandexBrowser\Application\browser.url');
DeleteFile('C:\Users\POLY\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\DSite','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится.

2. После перезагрузки, выполните такой скрипт:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. Пофиксите в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: Html5 geolocation provider - {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O4 - Startup: Punto Switcher.lnk = C:\Program Files\Yandex\Punto Switcher\punto.url
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - (no file)
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - (no file)

4. Для полной очистки от вебальты:
В меню AVZ - Сервис - Поиск данных в реестре.
В поле 'Образец' впишите webalta, нажмите 'Пуск'.
После окончания сохраните протокол и выложите сюда.
Поиск не закрывайте.

5.
Скачайте AdwCleaner (by Xplode) (http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве (http://safezone.cc/forum/showthread.php?t=22250).

+ Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (http://data.mbamupdates.com/tools/mbam-rules.exe).

Извиняюсь на поздний ответ! На работе в последнее время задерживаюсь.
Пока сделал рекомендации Katharsis.
Во вложении отчёт. Ничего не удалял.

webalta »
Пункт 1 - выполнил
Пункт 2 - отправил на почтовый ящик
Пункт 3 - профиксил
Пункт 4 - прилагаю отчёт Export.txt
Пункт 5 - прилагаю отчёт AdwCleaner[R0].txt

Вроде смотрю по отчётам, подозрительных программ пока не вижу. Большинство программ знаю, свои.

Посмотрел отчёты, ничего не нашёл со словом "YamKex".
Но зараза Chrome так и запускается автоматически сам с этой стартовой страницей. Даже полное удаление и переустановка Хрюши не помогло.
Вот блин! :o :sorry:

Оп-па! Нашёл упоминания "YamKex" в отчёте SITLog.txt, что отправлял на почту Sandor по пункту 2 quarantine.zip :biggrin: :lol: :cool: :)

C:\Users\...\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [C:\Program Files\Internet Explorer\iexplore.url (http://yamkex.ru/) (27.10.2013 22:54:09 43 байт)]
C:\Users\...\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk [C:\Program Files\Internet Explorer\iexplore.url (http://yamkex.ru/) (27.10.2013 22:54:09 43 байт)]
C:\Users\...\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk [C:\Users\Игорян\AppData\Local\Yandex\YandexBrowser\Application\browser.url (http://yamkex.ru/) (27.10.2013 22:54:09 43 байт)]
C:\Users\...\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk [C:\Program Files\Yandex\Punto Switcher\punto.url (http://yamkex.ru/) (27.10.2013 22:54:09 43 байт)]

igor.savelyev.1@fb, все утилиты лечения следует запускать правой кнопкой - от имени администратора.

На результатах поиска AVZ щелкните правой кнопкой - Выделить все - Удалить отмеченные ключи.

Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите только:
Обнаруженные ключи в реестре: 5
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\Software\Systweak\RegClean Pro (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 1
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры: -> Действие не было предпринято.

Объекты реестра обнаружены: 1
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.

Обнаруженные файлы:
C:\Windows\System32\roboot.exe (PUP.Optional.PCPerformer.A) -> Действие не было предпринято.
Лог после удаления покажите.

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
По окончанию сканирования снимите галочки со следующих строк:
***** [ Files / Folders ] *****

File Found : C:\Users\POLY'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Qtrax Player.lnk
File Found : C:\Users\POLY'\Desktop\Qtrax Player.lnk
Folder Found C:\Users\POLY'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Qtrax
Folder Found C:\Users\POLY'\Qtrax
Нажмите кнопку "Clean" и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве (http://safezone.cc/forum/showpost.php?p=157088&postcount=2).

Повторите п.3 из этого сообщения (http://forum.oszone.net/post-2257098-4.html), на этот раз запустив Hijackthis от имени администратора.

Повторите комплект логов по правилам.

Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите только: »
- ВЫПОЛНИЛ
Но в этот раз после сканирования не обнаружил вот это:
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
2-а вложения: 1-е после сканирования - удаление, что писал Sandor (пункт 2), 2-е ещё раз пересканировал, т.к. не нашёл 1 параметр в реестре.

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan". »
- ВЫПОЛНИЛ
Во вложении отчёт!

Повторите п.3 из этого сообщения, на этот раз запустив Hijackthis от имени администратора. »

Профиксил только:
O2 - BHO: Html5 geolocation provider - {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} - (no file)
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - (no file)
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - (no file)

другие пункты R1, O3, O4 - не обнаружил?
Прилагаю отчёт перед фиксом.

отчёт перед фиксом...

Друзья!
Стартовая страницв Yamkex.ru вроде не подгружается в Хроме :)
При старте Винды Хром тоже не автозапускается самостоятельно :yahoo:

Не уж-то грохнули заразу!!! :up

Не уж-то грохнули заразу!!! »Если будут проблемы - отпишитесь. А пока раз не беспокоит, значит грохнули. :)

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 (http://safezone.cc/resources/25/download?version=47), когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Придерживайтесь рекомендаций (http://forum.oszone.net/post-1838507-9.html).

Security Check by glax24 version 0.2.4.59 rc1
WebSite: www.safezone.cc
DateLog: 25.11.2013 14:16:02
Run directory: C:\Users\Игорян\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
FileVersionInet: 6.4
__________________________________________________

Windows 7 (6.1.7601) Service Pack 1 (x86) Professional Lang: Russian(0419)
Дата установки ОС: 22.10.2011 21:51:38
Статус лицензии: Windows(R) 7, Professional edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [150.3 Гб] Занято: [50.7 Гб] Свободно: [99.6 Гб]
Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.exe
-------------Windows------------------------------
Internet Explorer 9.10.9200.16721 Внимание! Скачать обновления (http://windows.microsoft.com/ru-RU/internet-explorer/downloads/ie-9/worldwide-languages)
Контроль учётных записей пользователя включен
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2013-11-03 13:52:25
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Microsoft Security Essentials
Сканирование отключено
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Windows Defender
Microsoft Security Essentials
-------------AntiVirusFirewallInstall-------------
Microsoft Security Essentials v.4.3.219.0
-------------OtherUtilities-----------------------
CCleaner v.4.07
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Java---------------------------------
Java 7 Update 45 v.7.0.450
Java Auto Updater v.2.1.9.8
-------------AppleProduction----------------------
Bonjour v.3.0.0.10
Служба Bonjour (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.9.900.117 Внимание! Скачать обновления (http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_11_active_x.exe)
Adobe Flash Player 11 Plugin v.11.9.900.117 Внимание! Скачать обновления (http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_11_plugin.exe)
Adobe Reader XI (11.0.03) v.11.0.03 Внимание! Скачать обновления (http://get.adobe.com/reader/)
-------------Browser------------------------------
Google Chrome v.31.0.1650.57 [+]
Mozilla Firefox 16.0.1 (x86 ru) v.16.0.1 Внимание! Скачать обновления (http://www.mozilla.org/ru/firefox/fx)
Yandex v.25.0.1364.22076 Внимание! Скачать обновления (http://browser.yandex.ru/?from=cont_spec)
-------------RunningProcess-----------------------
C:\Program Files\Google\Chrome\Application\chrome.exe v.31.0.1650.57
C:\Program Files\Internet Explorer\iexplore.exe v.10.0.9200.16720
-------------EndLog-------------------------------

С П А С И Б О !!! :bow: :rupor: :clap: :jump2: