Вирус goinf.ru в браузере ГУГЛ ХРОМ [not-a-virus:WebToolbar.Win32.Neobar.h ]

[Виктор Заикин]

Подцепил вирус goinf.ru. Пролез вместе с паразитным софтом от mail.ru

При загрузке компьютера без включения браузера выскакивает страница goinf.

Появляется периодически и в процессе работы в браузере.

Способов избавиться испробовал много, ничего не помогло. Помогите, товарищи, очень мешает и раздражает.... Заранее благодарен!

[Info_bot]

Уважаемый(ая) Виктор Заикин, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

1)

Внимание !!! База поcледний раз обновлялась 04.09.2015 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.45.

Пожалуйста, обновите базы и сделайте новые логи.

2) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

3)

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

[Виктор Заикин]

Добрый день, все вроде бы сделал. AdwCleaner создал файл с немного иным именем, видимо потому что я сначала по ошибке запустил сканирование не от имени администратора...

- - - - -Добавлено - - - - -

Сделал.

[regist]

1) 1-й пункт не сделали .

2)
Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\it-m\appdata\roaming\daemon2.exe');
 QuarantineFile('c:\users\it-m\appdata\roaming\daemon2.exe', '');
 DeleteFile('c:\users\it-m\appdata\roaming\daemon2.exe', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Daemon');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

3)

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[Виктор Заикин]

Спасибо! Базы в AVZ точно обновлял!

- - - - -Добавлено - - - - -

Вроде бы всё сделал.

[regist]

Спасибо! Базы в AVZ точно обновлял!

отпечатался, 2-й пункт не сделали - ссылку на отчёт не выложили.

- - - - -Добавлено - - - - -

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

[Виктор Заикин]

Отчет Автокарантин AVZ загрузил через форму "Прислать запрошенный карантин" но не нашел там ссылку, которую можно было бы выложить

[regist]

Отчет Автокарантин AVZ загрузил через форму "Прислать запрошенный карантин" но не нашел там ссылку, которую можно было бы выложить

потому что, просил загрузить через совсем другую форму.

- - - - -Добавлено - - - - -

Расширения от яндекса сами ставили?

+

Код:

C:\USERS\IT-M\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JLGDLOILIECLKEGAFOHACKMHFFBMDPKO\2_0\YULIA BRODSKAYA

это расширение вам знакомо?

- - - - -Добавлено - - - - -

Выполните скрипт в uVS

Код:

;uVS v3.86.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
delall %SystemDrive%\USERS\IT-M\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 5\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_0\ПОИСК MAIL.RU
delall %SystemDrive%\USERS\IT-M\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_0\ПОИСК MAIL.RU
delall %SystemDrive%\USERS\IT-M\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 5\EXTENSIONS\PPOILMFKBPCKODOIFDLKMKEPCAJFJMHL\5.0.1_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delall %SystemDrive%\USERS\IT-M\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PPOILMFKBPCKODOIFDLKMKEPCAJFJMHL\5.0.1_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
zoo %SystemDrive%\USERS\IT-M\APPDATA\ROAMING\DAEMON2.EXE
bl 7179E32AE64C995081FB2DFE751B796C 169648
delall %SystemDrive%\USERS\IT-M\APPDATA\ROAMING\DAEMON2.EXE
delall HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7B046F8D43-3F0E-48B3-A374-CF8FC71091AB%7D&GP=820036
delall HTTP://MAIL.RU/CNT/10445?GP=820031
delall HTTP://SEARCHS-NAILTY.RU/
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.124\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delall %SystemDrive%\USERS\IT-M\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\IFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI\5.0.1_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delall %SystemDrive%\USERS\IT-M\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 5\EXTENSIONS\IFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI\5.0.1_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
czoo
restart

сделайте новый образ автозапуска

[Виктор Заикин]

Карантин прицепил по той форме которую вы указали выше. получил вот такой текст (не знаю что из этого ссылка):
Файл успешно загружен
MD5 карантина: CC37F65AE82B54A13A95568D3A5B57B0
Размер файла: 26854951 байт
Ссылка на результаты анализа:Результаты анализа карантина
Тема для обсуждения результатов анализа: Результаты анализа карантина
Результаты анализа будут доступны через 20-30 минут. Если Вы указали свой email при загрузке, то по указанному адресу при завершении анализа будет выслано информационное сообщение.

- - - - -Добавлено - - - - -

Расширения от яндекса сами ставили?

+

Код:

C:\USERS\IT-M\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JLGDLOILIECLKEGAFOHACKMHFFBMDPKO\2_0\YULIA BRODSKAYA

это расширение вам знакомо?

Расширение от яндекса не ставил. Второе расширение - знакомо, это дизайн гуглхрома.
После выполнения скрипта и перезагрузки гугл хром начал предлагать поменять стартовую страницу на mail.ru и еще несколько предложений.

- - - - -Добавлено - - - - -

Что-то не получается прицепить новый образ автозапуска, похоже объем вложений превысил допустимый? Не могу найти как старые вложения удалить(

[regist]

не знаю что из этого ссылка

Результаты анализа карантина

там кликабельно было и вело сюда http://virusinfo.info/virusdetector/...95568D3A5B57B0 (нашёл по хешу)

Не могу найти как старые вложения удалить(

У меня подписи оглавление на ЧАВО, там есть ответ на этот вопрос. Но пока ещё расширения от яндекса дочистим, а потом уже свежий образ сделайте.

- - - - -Добавлено - - - - -

выполните скрипт

Код:

;uVS v3.86.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
delall %SystemDrive%\USERS\IT-M\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NKCPOPGGJCJKIICPENIKEOGIOEDNJEAC\1.2.538_0\«ВИЗУАЛЬНЫЕ ЗАКЛАДКИ» ОТ ЯНДЕКСА
delall %SystemDrive%\USERS\IT-M\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 5\EXTENSIONS\NKCPOPGGJCJKIICPENIKEOGIOEDNJEAC\2.9.1_0\«ВИЗУАЛЬНЫЕ ЗАКЛАДКИ» ОТ ЯНДЕКСА
zoo %SystemDrive%\USERS\IT-M\APPDATA\LOCAL\TEMP\NKCPOPGGJCJKIICPENIKEOGIOEDNJEAC.CRX
bl 623ECC7C14AF79D192637FD078E583CB 964913
delall %SystemDrive%\USERS\IT-M\APPDATA\LOCAL\TEMP\NKCPOPGGJCJKIICPENIKEOGIOEDNJEAC.CRX
zoo %SystemDrive%\USERS\IT-M\APPDATA\LOCAL\TEMP\MAILRUUPDATER.EXE
bl 5A6117384FF4382300724280401C73CB 5921496
delall %SystemDrive%\USERS\IT-M\APPDATA\LOCAL\TEMP\MAILRUUPDATER.EXE
czoo
restart

затем свежий образ

[Виктор Заикин]

Скрипт выполнил, яндекс больше не шевелился, и goinf.ru вроде бы пока не появлялся.

"У меня подписи оглавление на ЧАВО, там есть ответ на этот вопрос. Но пока ещё расширения от яндекса дочистим, а потом уже свежий образ сделайте."

Прошу прощения за не доходчивость но не смог найти как справится с проблемой загрузки анализа, загрузил на ifolders, если не подходит - буду разбираться)

[regist]

загрузил на ifolders, если не подходит - буду разбираться)

разбирайтесь, потому что нет никакого желания смотреть 30 секунд рекламу и потом вводить капчу, чтобы скачать с барыжного обменника, чтобы помочь вам же.

[Виктор Заикин]

разбирайтесь, потому что нет никакого желания смотреть 30 секунд рекламу и потом вводить капчу, чтобы скачать с барыжного обменника, чтобы помочь вам же.

Резонное замечание. Просто пытался найти решение проблемы, нашел что в некоторых случаях так делают.
Прикрепляю через другую учетную запись. Mail.ru опять просился установиться.

Не получилось, продолжаю разбираться(

- - - - -Добавлено - - - - -

Справился

- - - - -Добавлено - - - - -

...

[regist]

Выполните скрипт в uVS

Код:

;uVS v3.86.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
delall %SystemDrive%\USERS\IT-M\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NKCPOPGGJCJKIICPENIKEOGIOEDNJEAC\2.9.1_0\«ВИЗУАЛЬНЫЕ ЗАКЛАДКИ» ОТ ЯНДЕКСА
delall %SystemDrive%\USERS\IT-M\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\IFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI\5.0.1_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delall %SystemDrive%\USERS\IT-M\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PPOILMFKBPCKODOIFDLKMKEPCAJFJMHL\5.0.1_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delall %SystemDrive%\USERS\IT-M\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_0\ПОИСК MAIL.RU
restart

что с проблемой?

[Виктор Заикин]

При старте гугл хрома после перезагрузки продолжает выскакивать диалоговое окно "Добавлено расширение mail.ru: разрешить/удалить" нажимаю каждый раз при старте "удалить". В процессе работы вроде бы больше никак себя не проявляет.

[regist]

При старте гугл хрома после перезагрузки продолжает выскакивать диалоговое окно "Добавлено расширение mail.ru: разрешить/удалить" нажимаю каждый раз при старте "удалить". В процессе работы вроде бы больше никак себя не проявляет.

попробуйте выполнить такой скрипт

Код:

;uVS v3.86.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
delall HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC
delall HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC
delall HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3DONDEMAND%26UC
restart

после этого опять проверьте проблему.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 26
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\it-m\appdata\roaming\daemon2.exe - not-a-virus:WebToolbar.Win32.Neobar.h