Нужна ПОМОЩЬ! Прилипла стартовая страница Yamkex в браузерах
 

Здравствуйте, друзья!
Помогите удалить вирус или троян или не понятно что это. :help:

По порядку: Не могу сказать как я эту фигню подхватил, но у меня такая проблема...
Теперь во всех моих браузерах (Chrome, Explorer и т.д.) запускается стартовая страница YamKex.ru. Но ещё прикол в том, что при запуске Windows 7 Pro автоматически и самостоятельно запускается браузер Chrome с этой стартовой страницей?
Когда я в браузере Хром сижу посещаю другие сайты или в поисковике, при клике на ссылки иногда появляются рекламные страницы сторонних сайтов, кликаю на ссылку 2-ой раз, перехожу нормально.
YamKex никак не удаляется удалить!!!!!!!!!!!!!!!!!!!!!!!

Я достаточно опытный пользователь, но уже всю голову сломал, не могу удалить эту стартовую страницу (проблема похожа типо с Welbata)
Что делал и ничего не помогло вычислить и грохнуть:
1) Настройки Хром - нет следов и инфы
2) Host - чистый
3) Автозагрузках Windows - нет
4) В службах Windows - нет
5) В реестрах Windows - нет
6) В логах - нет
7) Ccleaner - нет данных
8) Куках - нет
9) drWeb Cureit - не нашёл
10) Panda - не нашёл
11) 4-е программы антитроянов (типо как SUPERAntiSpyware Free Edition) - не нашли !!!
12) Восстановление системы - не помогло
13) На сайтах антивирусных компаний - нет данных

Короче все мои знания исчерпаны! Но проблема осталась прежней?
Есть ещё варианты? Может это новейшие неизученные технологии вируса? :sorry: :o :help: :help: :help:

igor.savelyev.1@fb, привет.

Думаю мы поможем, но сначала помогите собрать все необходимые логи - Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему. 1-е сообщение темы по ссылке выполните всё в точности по инструкции.

Благодарен за помощь!
Во вложении отчёт логов.

Здравствуйте!

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Компьютер перезагрузится.

2. После перезагрузки, выполните такой скрипт:
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. Пофиксите в HijackThis следующие строчки:
4. Для полной очистки от вебальты:
В меню AVZ - Сервис - Поиск данных в реестре.
В поле 'Образец' впишите webalta, нажмите 'Пуск'.
После окончания сохраните протокол и выложите сюда.
Поиск не закрывайте.

5.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

+ Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Извиняюсь на поздний ответ! На работе в последнее время задерживаюсь.
Пока сделал рекомендации Katharsis.
Во вложении отчёт. Ничего не удалял.

Пункт 1 - выполнил
Пункт 2 - отправил на почтовый ящик
Пункт 3 - профиксил
Пункт 4 - прилагаю отчёт Export.txt
Пункт 5 - прилагаю отчёт AdwCleaner[R0].txt

Вроде смотрю по отчётам, подозрительных программ пока не вижу. Большинство программ знаю, свои.

Посмотрел отчёты, ничего не нашёл со словом "YamKex".
Но зараза Chrome так и запускается автоматически сам с этой стартовой страницей. Даже полное удаление и переустановка Хрюши не помогло.
Вот блин! :o :sorry:

Оп-па! Нашёл упоминания "YamKex" в отчёте SITLog.txt, что отправлял на почту Sandor по пункту 2 quarantine.zip :biggrin: :lol: :cool: :)

C:\Users\...\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [C:\Program Files\Internet Explorer\iexplore.url (http://yamkex.ru/) (27.10.2013 22:54:09 43 байт)]
C:\Users\...\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk [C:\Program Files\Internet Explorer\iexplore.url (http://yamkex.ru/) (27.10.2013 22:54:09 43 байт)]
C:\Users\...\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk [C:\Users\Игорян\AppData\Local\Yandex\YandexBrowser\Application\browser.url (http://yamkex.ru/) (27.10.2013 22:54:09 43 байт)]
C:\Users\...\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk [C:\Program Files\Yandex\Punto Switcher\punto.url (http://yamkex.ru/) (27.10.2013 22:54:09 43 байт)]

igor.savelyev.1@fb, все утилиты лечения следует запускать правой кнопкой - от имени администратора.

На результатах поиска AVZ щелкните правой кнопкой - Выделить все - Удалить отмеченные ключи.

Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите только:
Лог после удаления покажите.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
• По окончанию сканирования снимите галочки со следующих строк:
  
  Код:

  ---

  ***** [ Files / Folders ] *****

File Found : C:\Users\POLY'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Qtrax Player.lnk
File Found : C:\Users\POLY'\Desktop\Qtrax Player.lnk
Folder Found C:\Users\POLY'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Qtrax
Folder Found C:\Users\POLY'\Qtrax

  ---

• Нажмите кнопку "Clean" и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Повторите п.3 из этого сообщения, на этот раз запустив Hijackthis от имени администратора.

Повторите комплект логов по правилам.

- ВЫПОЛНИЛ
Но в этот раз после сканирования не обнаружил вот это:
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
2-а вложения: 1-е после сканирования - удаление, что писал Sandor (пункт 2), 2-е ещё раз пересканировал, т.к. не нашёл 1 параметр в реестре.

- ВЫПОЛНИЛ
Во вложении отчёт!

Профиксил только:
O2 - BHO: Html5 geolocation provider - {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} - (no file)
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - (no file)
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - (no file)

другие пункты R1, O3, O4 - не обнаружил?
Прилагаю отчёт перед фиксом.

отчёт перед фиксом...

Друзья!
Стартовая страницв Yamkex.ru вроде не подгружается в Хроме :)
При старте Винды Хром тоже не автозапускается самостоятельно :yahoo:

Не уж-то грохнули заразу!!! :up

Если будут проблемы - отпишитесь. А пока раз не беспокоит, значит грохнули. :)

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Придерживайтесь рекомендаций.

Security Check by glax24 version 0.2.4.59 rc1
WebSite: www.safezone.cc
DateLog: 25.11.2013 14:16:02
Run directory: C:\Users\Игорян\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
FileVersionInet: 6.4
__________________________________________________

Windows 7 (6.1.7601) Service Pack 1 (x86) Professional Lang: Russian(0419)
Дата установки ОС: 22.10.2011 21:51:38
Статус лицензии: Windows(R) 7, Professional edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [150.3 Гб] Занято: [50.7 Гб] Свободно: [99.6 Гб]
Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.exe
-------------Windows------------------------------
Internet Explorer 9.10.9200.16721 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2013-11-03 13:52:25
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Microsoft Security Essentials
Сканирование отключено
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Windows Defender
Microsoft Security Essentials
-------------AntiVirusFirewallInstall-------------
Microsoft Security Essentials v.4.3.219.0
-------------OtherUtilities-----------------------
CCleaner v.4.07
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Java---------------------------------
Java 7 Update 45 v.7.0.450
Java Auto Updater v.2.1.9.8
-------------AppleProduction----------------------
Bonjour v.3.0.0.10
Служба Bonjour (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.9.900.117 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.9.900.117 Внимание! Скачать обновления
Adobe Reader XI (11.0.03) v.11.0.03 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.31.0.1650.57 [+]
Mozilla Firefox 16.0.1 (x86 ru) v.16.0.1 Внимание! Скачать обновления
Yandex v.25.0.1364.22076 Внимание! Скачать обновления
-------------RunningProcess-----------------------
C:\Program Files\Google\Chrome\Application\chrome.exe v.31.0.1650.57
C:\Program Files\Internet Explorer\iexplore.exe v.10.0.9200.16720
-------------EndLog-------------------------------

С П А С И Б О !!! :bow: :rupor: :clap: :jump2: