Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Помогите избавиться от smartinf (http://forum.oszone.net/showthread.php?t=307634)

apik2 06-11-2015 22:32 2572323
Помогите избавиться от smartinf
 
Вложений: 1
Уважаемые участники форума, родственник принес комп с просьбой посмотреть, что с ним. Компьютер был захламлен ужасно, амиго и маил ру и прочий хлам все это благополучно снес. Осталась проблема, при включении компьютера произвольно запускается браузер, открывается браузер с сайтом smartinf.ru. Что только не пробЫвал, реестр смотрел его там нет, скачивал программы типа antimalware тоже не помогли. Не пинайте сильно если уже было. Поиском искал для моего случая решения не нашел.

regist 06-11-2015 23:10 2572331
Здравствуйте!

Код:
Амиго [20150629]-->"C:\Users\Home\AppData\Local\Amigo\Application\42.0.2311.254\Installer\setup.exe" --uninstall
по прежнему в числе установленных :).
Код:
Unity Web Player [2015/09/04 21:00:14]-->C:\Users\Home\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
- уточните у него сами ставили? Если нет, то также деинсталируйте.
А также обязательно деинсталируйте:
Код:
globalupdate Helper [20150629]-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Коmеtа.lnk', '');
 QuarantineFile('C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk', '');
 QuarantineFile('C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Коmеtа (2).lnk', '');
 QuarantineFile('C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Коmеtа.lnk', '');
 QuarantineFile('C:\Users\Home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk', '');
 QuarantineFile('C:\Users\Home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk', '');
 QuarantineFile('C:\Users\Home\AppData\Local\YandexWorking.bat', '');
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat', '');
 QuarantineFile('C:\Users\Home\AppData\Local\kometa.bat', '');
 DeleteFile('C:\Users\Home\AppData\Local\kometa.bat', '');
 DeleteFile('C:\Users\Home\AppData\Local\YandexWorking.bat', '');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat', '');
 DeleteFile('C:\Users\Home\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico');
 DeleteFile('C:\Users\Home\AppData\Local\kometa.bat', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster Scan" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'aoxuwhqtlk');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.


Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.


- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Коmеtа.lnk
C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk
C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Коmеtа (2).lnk
C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Коmеtа.lnk
C:\Users\Home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk
C:\Users\Home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk
C:\Users\Home\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk
C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk
C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk
C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk
C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Gооglе Сhrоmе.lnk
C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе (2).lnk
C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk
C:\Users\Home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
C:\Users\Home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk
C:\Users\Home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk
C:\Users\Home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\vsemposkidki\vsemposkidki.lnk
C:\Users\Home\AppData\Roaming\Microsoft\Windows\Start Menu\Панель запуска браузера Комета\Панель запуска.lnk
C:\Users\Home\AppData\Roaming\Microsoft\Windows\Start Menu\Панель запуска браузера Комета\Удалить панель запуска.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1C\В тылу врага 2\Информация (ReadMe).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1C\В тылу врага 2\Руководство пользователя.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1C\В тылу врага 2\Удалить игру ''В тылу врага 2''.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\application extension\application extension.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Booster 2\Driver Booster 2.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Booster 2\Деинсталлировать Driver Booster 2.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total War Attila\Total War Attila.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total War Attila\Деинсталлировать Total War Attila.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт\Обнови Софт.lnk

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

apik2 07-11-2015 00:29 2572342
Вложений: 2
regist, еще раз проверил директорию C:\Users\Home\AppData\Local\ амиго там нет, невидимые папки включены. Все сделал по вашей инструкции только не понял как удалить : globalupdate Helper [20150629]-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}. После проведения предложенных вами процедур проблемы исчезла.

Sandor 07-11-2015 14:10 2572431
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8/10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Затем:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

apik2 08-11-2015 19:40 2572801
Вложений: 4
Выполнил все как вы сказали только отчет создается С3 вместо С1.

Sandor 08-11-2015 20:07 2572814
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
2015-11-07 00:16 - 2015-07-04 06:46 - 00000000 ____D C:\Users\Home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\vsemposkidki
2015-11-07 00:16 - 2015-07-04 06:46 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\application extension
2015-11-07 00:16 - 2015-07-02 08:31 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Booster 2
2015-10-17 09:00 - 2015-07-02 08:31 - 00002870 _____ C:\Windows\System32\Tasks\Driver Booster SkipUAC (Home)
globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION
Task: {00147DE0-10C8-42F6-803A-A4F6517B6D90} - System32\Tasks\Driver Booster SkipUAC (Home) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Task: {1619AB15-A71A-4359-9C5D-350C38F50C55} - \APSnotifierPP1 -> No File <==== ATTENTION
Task: {284B49B8-78CC-44E9-9332-DB907544E0EC} - \b1215d46-d1cc-4d66-ac02-8a5336e711b7-3 -> No File <==== ATTENTION
Task: {8CEFCA91-8E06-40B1-81F7-950278E505CD} - \APSnotifierPP2 -> No File <==== ATTENTION
Task: {9815B7F8-61E4-4412-9EDE-F4AEE950655B} - \b1215d46-d1cc-4d66-ac02-8a5336e711b7-6 -> No File <==== ATTENTION
Task: {9DD9BB3B-0A26-457D-9642-5F6096A4D19C} - \globalUpdateUpdateTaskMachineCore -> No File <==== ATTENTION
Task: {A09BD683-75AC-494E-805F-17CD0A711005} - \b1215d46-d1cc-4d66-ac02-8a5336e711b7-5 -> No File <==== ATTENTION
Task: {AC51E046-7E64-49F5-9DB7-94211EA7ABBE} - \APSnotifierPP3 -> No File <==== ATTENTION
Task: {BCD0CBA5-9A83-433E-B182-E5A0FFD8E9E6} - \b1215d46-d1cc-4d66-ac02-8a5336e711b7-11 -> No File <==== ATTENTION
Task: {C611F174-DAC2-45D3-81AD-8FD85F2BDFB8} - \globalUpdateUpdateTaskMachineUA -> No File <==== ATTENTION
Task: {C8DB84C8-48F4-407B-BE25-9C36269EE081} - \b1215d46-d1cc-4d66-ac02-8a5336e711b7-7 -> No File <==== ATTENTION
Task: {CD56026B-0122-4E38-AC77-1F2F369960C6} - \Mart Component -> No File <==== ATTENTION
Task: {DF804093-C497-428F-BC7B-74E751490B7D} - \b1215d46-d1cc-4d66-ac02-8a5336e711b7-1-6 -> No File <==== ATTENTION
Task: {F72FE29E-E68D-4708-81B4-8F22BA4341B8} - \b1215d46-d1cc-4d66-ac02-8a5336e711b7-1-7 -> No File <==== ATTENTION
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.



В перечне установленных программ появится
Цитата:
globalupdate Helper
удалите.

apik2 08-11-2015 20:36 2572829
Вложений: 1
Готово

Sandor 09-11-2015 13:51 2573015
В завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.


2. Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
      ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
      exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.


Время: 23:06.

Время: 23:06.
© OSzone.net 2001-