Вирус - стартовая страница 2inf.net и goinf.ru

[REDACTED]

Добрый день! Являюсь системным администратором в нескольких субподрядных организациях ООО "Лукойл".

Последние пару месяцев постоянно приходится бороться с вирусом 2inf. Который постоянно скачивает с интернета разные рекламные расширения, а так же открывает браузеры юзера со стартовыми страницами:
2inf.net, goinf.ru, shampinfo.ru, simsimotkroysia.ru. Данный вирус самораспространяется по разным машинам внутри сети, и не удаляется никакими средствами стандартными не стандартными. В данный момент совместно с другими сис. администраторами мы смогли частично найти схему для его удаления.

Сеть пестрит статьями и жалобами на этот вирус:
http://virusinfo.info/showthread.php?t=174263&s=6a39d70e4f5c55151600e53456b61cc0&p=1210177
http://virusinfo.info/showthread.php?t=172586&s=c9d79c33cc7b51021ecf5766bfb51f79
http://otvet.mail.ru/question/172670781
http://vk.com/wall217020907_122
http://subscribe.ru/group/uchimsya-rabotat-v-kompyuternyih-programmah/7766364/
http://otvet.mail.ru/question/168455939


Скачать EXE файл который в частности распространяет данный продукт, можно тут http://tfile.me/forum/viewtopic.php?t=635105 (нажать на ссылку "скачать через загрузчик")

Или по прямой ссылке: http://assemblage.club-shamp.ru/MzY1O2h0dHAlM0ElMkYlMkZ0ZmlsZS5tZSUyRmZvcnVtJTJGZG93bmxvYWQucGhwJTNGaWQlM0Q2NDk1MjYlMjZ1ayUzRDExMTExMTExMTE7bmFtZT1HcmF6aGRhbmluX2dhbnN0ZXJfJTVCdGZpbGUubWUlNUQudG9ycmVudDtzaXplPTE1Mzg3O3R5cGU9dG9ycmVudA==
Ссылки постоянно меняются! Так что лучше качать прямо со страницы.

Причем, не важно, установлены галочки или сняты - все равно идет установка стартовой 2inf

Данная эпидемия судя по статистике li.ru является массовой.
2inf.net - http://counter.yadro.ru/logo;2inf.net?29.1
goinf.ru - http://counter.yadro.ru/logo;goinf.ru?29.1

Всего более пяти миллионов зараженных пользователей, при этом данный вирус не определяется АВ системой Аваст как вредонос. Что несколько затрудняет борьбу с ним на машинах, где уже стоит антивирус.

Просьба как можно скорее разобраться с данной ситуацией! С уважением...

[sergofun]

Здравствуйте lukoiloverseas.dubai, это подфорум пользователей, разработчики avast! сюда редко заглядывают в силу языковых барьеров. Поэтому, если хотите как можно скорее разобраться с данной ситуацией, то нужно обратиться на основной форум "viruses and worms", но общение там на английском языке. Другой вариант, обратиться в центр поддержки avast!: https://support.avast.com/Tickets/Submit [требуется регистрация] Но, опять же, общение на английском (или немецком, испанском, французском, итальянском, португальском, китайском), русскоязычную поддержку обещают восстановить с февраля.

Конечно, это не исключает общения на форуме, но тогда хотелось бы увидеть хотя бы ссылку на результаты сканировая virustotal.com, и при обращении в техподдержку такая ссылка не повредит.

[REDACTED]

Вот результаты virustotal. Картина маслом как говорится https://www.virustotal.com/ru/file/427c9f66444209ee22a8d01327de8a5e4301c6d345a76028d804c3d6d44458f5/analysis/1422467523/ Тоже нарвался на подобный пак с вирусами, на сайте модов к игре WOP. Долго пришлось возится пока все подчистил, обидно, что при этом аваст вообще никак не помог, молчал как рыба))

[sergofun]

Хм, Kaspersky его вирусом не считает, пишет: not-a-virus:Downloader.Win32.LMN.ahf
Возможно и avast! рассматривает его как ПНП (PUP) (потенциально нежелательные программы), при настройках по умолчанию он не блокирует ПНП. Подробнее об этом смотрите тему: https://forum.avast.com/index.php?topic=143623.0