Как удалить funday24.ru и smartinf.ru
Если сразу после включения компьютера у вас запускается браузер с открытой страницей funday24.ru (с 2016-го) или smartinf.ru (раньше — 2inf.net) или же после запуска браузера вам открывается стартовая страница с тем же адресом, в этой пошаговой инструкции будет подробно описано, как удалить funday24.ru или smartinf.ru с компьютера полностью и вернуть нужную стартовую страницу в браузере. Внизу будет также видео о том, как избавиться от данного вируса (оно поможет, если из описания осталось что-то не ясным).
Насколько я понял, адрес, открываемый этой заразой меняется (было 2inf.net, стало smartinf.ru, потом funday24.ru) и не исключено, что через какое-то время после написания этого руководства адрес будет новый. В любом случае, способ удаления, думаю, сохранится актуальным и в случае чего я буду обновлять эту статью. Проблема может возникнуть с любым браузером — Google Chrome, Яндекс, Mozilla Firefox или Opera и в любых ОС — Windows 10, 8.1 и Windows 7. И, в общем-то, не зависит от них.
Обновление 2016: вместо smartinf.ru теперь у пользователей стал открываться такой же сайт funday24.ru. Суть удаления та же самая. В качестве первого из шагов рекомендую следующее. Посмотрите, какой сайт октрывается в браузере перед перенаправлением на funday24.ru (увидеть его можно, если включить компьютер с отключенным интернетом, например). Запустите редактор реестра (клавиши Win+R, ввести regedit), после чего в левой части вверху выберите «Компьютер», а затем — в меню Правка — Найти. Введите имя этого сайта (без www, http, просто сайт.ru) и нажмите «Найти». Там, где найдется — удалите, потом снова нажмите в меню Правка — Найти далее. И так, пока не удалите сайты, перенаправляющие на funday24.ru во всем реестре.
Для окончательного удаления funday24.ru может потребоваться пересоздание ярлыков браузеров: удаление их с панели задач и рабочего стола, создание из папок с браузерами в Program Files (x86) или Program Files, при этом это должен быть не .bat файл, а .exe файл браузера. В файлах с расширением .bat также прописывается запуск этих сайтов. Дополнительная, более подробная информация, в том числе с решениями, предложенными читателями — далее.
Шаги, чтобы убрать funday24.ru или smartinf.ru
Итак, если у вас запускается funday24.ru (smartinf.ru) сразу после входа в систему в вашем стандартном браузере, то чтобы избавиться от него, следует начать с запуска редактора реестра Windows.
Для запуска редактора реестра можно нажать клавиши Windows (с эмблемой) + R на клавиатуре, ввести в окне «Выполнить» regedit и нажать Enter.
В левой части редактора реестра вы увидите «Папки» — разделы реестра. Откройте HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run и посмотрите в правую часть.
Если вы увидели там (в столбце «Значение»):
- cmd /c start + любой адрес сайта (там вероятнее всего будет не smartinf.ru, а другой сайт, перенаправляющий на него, такой как manlucky.ru, simsimotkroysia.ru, bearblack.ru и др.) — запомните этот адрес (запишите), после чего нажмите правой кнопкой мыши по этой же строке, но в столбце «Имя» и выберите пункт «Удалить».
- Путь к файлам exe, начинающийся с C:\ Users \ Имя_пользователя \ AppData \ Local \ Temp при этом само имя файла странное (набор букв и цифр), запомните расположение и имя файла или запишите его (скопируйте в текстовый документ) и, так же, как и в предыдущем случае, удалите это значение из реестра.
Внимание: если в указанном разделе реестра вы не нашли подобного пункта, то в меню редактора выберите Правка — Поиск и найдите cmd /c start — то, что найдется, это оно и есть, только в другом месте. Остальные действия остаются те же.
Обновление: в последнее время funday24 и smartinf прописывается не только через cmd, но и другими способами (через explorer). Варианты решения:
- Из комментариев: Когда запускается браузер, быстро нажать Esc, посмотреть в адресной строке, с какого сайта идет перенаправление на smartinf.ru, искать в реестре по имени сайта. (Можно также попробовать с помощью кнопки Назад в браузере).
- Отключить интернет и посмотреть, какая страница пытается открыться в браузере, искать в реестре по имени сайта.
- Выполнить поиск в реестре по слову http — результатов найдется много, выяснить, какие выполняют перенаправление (просто вводя адрес в браузере, обычно это домены .ru), работать с ними.
- Проверьте значение параметра Start Page в разделе реестра HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main
- Найдите в реестре фразу utm_source — затем удалите значение, содержащее адрес сайта, после которого идет utm_source. Повторите поиск, пока не найдете все записи в реестре. Если такой пункт не найден, попробуйте просто найти utm_ (судя по комментариям, появились другие варианты, но тоже начинаются с этих букв, например, utm_content).
Не закрывайте редактор реестра (можно свернуть, он нам потребуется в конце), и зайдите в диспетчер задач (в Windows 8 и Windows 10 через меню, вызываемое клавишами Win+X, а в Windows 7 — через Ctrl+Alt+Del).
В диспетчере задач Windows 7 откройте «Процессы», в Windows 8 и 10 нажмите «Подробнее» внизу и выберите вкладку «Подробности».
После этого по порядку выполните следующие шаги:
- Найдите в списке имена файлов, которые вы запомнили во втором пункте при предыдущем действии.
- Кликните по такому файлу правой кнопкой мыши, выберите пункт «Открыть расположение файла».
- Не закрывая открывшуюся папку, вернитесь в диспетчер задач, еще один раз кликните по процессу и выберите пункт «Снять задачу».
- После того, как файл исчезнет из списка процессов, удалите его из папки.
- Проделайте это для всех таких файлов, если их несколько. Содержимое папки AppData \ Local \ Temp можно удалить полностью, это не опасно.
Закройте диспетчер задач. И запустите планировщик заданий Windows (Панель управления, в которой включен режим просмотра в виде значков — Администрирование — Планировщик заданий).
В планировщике заданий выберите слева пункт «Библиотека планировщика заданий» и обратите внимание на список заданий (см. скриншот). Под ним выберите вкладку «Действие» и пройдитесь по всем заданиям. Вас должны смутить те, которые выполняются каждый час или при входе систему, носят либо странные имена, либо nethost task, и у которых в поле «Действие» указан запуск программы, находящейся в папках C:\ Users \ Имя пользователя \ AppData \ Local (и ее подпапках).
Запомните, какой файл и в каком расположении запускается в этом задании, кликните по заданию правой кнопкой мыши и удалите его (С помощью него в реестр вносятся изменения, вследствие чего у вас открывается funday24.ru или smartinf.ru).
После этого зайдите в папку с указанным файлом и удалите его оттуда (по умолчанию эти папки обычно являются скрытыми, так что включите показ скрытых файлов и папок или вводите их адрес вручную вверху Проводника, если не ясно, как, посмотрите в конце инструкции в видео).
Также, если в C:\ Users \ Имя_пользователя \ AppData \ Local вы видите папки с именами SystemDir, «Войти в Интернет», «Поиск в Интернете» — смело удаляйте их.
Осталось два последних шага, чтобы окончательно удалить smartinf.ru с компьютера. Помните, мы не закрывали редактор реестра? Вернитесь к нему и в левой панели выберите верхний пункт «Компьютер».
После этого в главном меню редактора реестра выберите «Правка» — «Поиск» и введите часть имени сайта, который мы запоминали в самом начале, введите ее без http и текста после точки (ru, net и т.д.). При нахождении любых значений реестра (те, что справа) или разделов (папок) с такими именами, удаляйте их с помощью контекстного меню по правому клику мыши и нажимайте F3 для того, чтобы продолжить поиск по реестру. На всякий случай таким же способом поищите smartinf в реестре.
После того, как все такие пункты были удалены, закройте редактор реестра.
Примечание: почему я рекомендую именно такой порядок действий? Нельзя ли в самом начале найти в реестре сайты, которые перенаправляют на smartinf.ru и т.д.? Просто по моим прикидкам, указанный порядок шагов минимизирует вероятность того, что во время удаления вами вируса с компьютера сработает задача в планировщике заданий и в реестре снова появятся указанные записи (а вы этого и не заметите, а просто напишете, что инструкция не работает).
Обновление из комментариев, для браузера Mozilla Firefox:- Зараза эволюционирует, теперь по мимо всего прочего если все описанное выше нужно проверить наличие здесь: C:\Users \ Ваше имя \ AppData \ Roaming \ Mozilla \ Firefox \ Profiles \ 39bmzqbb.default (может быть другое имя) файлика с названием типа user.js (расширение должно быть JS)
- В нем будет JS код наподобие: user_pref(«browser.startup.homepage», «orbevod.ru/?utm_source=startpage03&utm_content=13dd7a8326acd84a9379b6d992b4089c»); user_pref(«browser.startup.page», 1);
Смело удаляйте этот файл, его задача подсовывать вам левую стартовую страницу.
Возвращаем нормальную стартовую страницу в браузере
Осталось убрать страницу smartinf.ru из браузера, потому как с большой вероятностью она там осталась. Для этого рекомендую сначала просто удалить ярлыки на ваш браузер из панели задач и с рабочего стола, после чего кликнуть правой кнопкой мыши по пустому месту рабочего стола — создать — ярлык и указать путь к браузеру (обычно, где-то в папке Program Files).
Также вы можете кликнуть по имеющемуся ярлыку браузера правой кнопкой и выбрать пункт «Свойства» и если во вкладке «Ярлык» в поле «Объект» увидите любые символы и Интернет-адреса после пути к браузеру, удалите их оттуда и примените изменения.
Ну и, наконец, вы можете запустить ваш браузер и поменять настройки начальной страницы в его настройках, больше они измениться без вашего ведома не должны.
Дополнительно может иметь смысл проверить компьютер на вредоносное ПО одним из способов, описанных в статье Как избавиться от рекламы в браузере.
Видео: как избавиться от funday24.ru и smartinf.ru
Ну а теперь видео, в котором по порядку показаны все действия, которые были описаны в инструкции. Возможно, так вам проще будет удалить данный вирус, чтобы никакие сайты не открывались без вашего ведома в браузере.
Надеюсь, смог вам помочь. По-моему, не забыл никаких нюансов. Пожалуйста, если у вас обнаружились собственные способы удалить funday24.ru и smartinf.ru, делитесь ими в комментариях, возможно, вы сможете многим помочь.
Volodya
У меня перенаправлялся с сайта drimde.ru. Пришлось повозиться.Спасибо автору за все советы,грамотно описано.
Ответить
Дмитрий
спасибо огромное.. в моём случае сайт был «bsemiwe.ru»
Ответить
Alip
Большое спасибо! Сайт был rewriwo.ru
Ответить
Alex
Спасибо. нашел процесс с именем «yjxxcpcifa»
Ответить
александр
BCSSync «C\ Program Files\ Microsoft Offiсe 14\ BCSSync подскажите это можно удалить в значениях реестра у меня кроме каспера лаб.каспер. и не назначено ничего нет а smartinf загружается при 1-м вкл. хрома? спасибо! в папке темп пусто вообщем чайнику трудновато!
Ответить
Dmitry
Ну это не то, явно. А вы пробовали так: отключить интернет, запустить браузер, посмотреть что там открывается (там будет скорей всего не smartinf, выполнить поиск по реестру по адресу сайта, лучше даже не полному, а частичному, только сам домен)?
Еще один вариант — удалить ярлык хрома и заново его создать из папки с браузером, файл должен быть chrome.exe, не bat.
Ответить
александр
огромное спасибо автору сайта и всем кто оказывал помощь! с вашей помощью завалил трояна!
Ответить
илья
спасибо! было два сайта
irbeli.ru и 2inf.net
Ответить
Стас
Dmitry спасибо огромное, все получилось без танца с бубном. с первого раза. сайт был (убрано администратором) плюс еще какая что-то типа плеера все удалил.
еще раз спасибо. PS зараза была в зип архиве, при этом все ставилось как раз через планировщик
От администратора: убрал адрес сайта, так как он либо перепутан автором комментария, либо сознательно указан не перенаправляющий куда-либо.
Ответить
Alexandr
Удалил самым простым способом: при запуске браузера нажал Esc и скопировал адресную строку. Затем вставил ее в поиск regedit и нашел ссылки на smartinf, которые и удалил, их было 2.
Ответить
Neo
У меня было перенаправление на сайт ntorigi.ru Наверно можно содать программу для отслеживания таких сайтов?
Ответить
Dmitry
Наверное, можно. Но я не особенный программист, только учусь.
Ответить
Ольга
Спасибо огромное автору!
У меня по первому варианту не получилось, так как в реестре RUN не было ни одного подозрительного адреса. А вот ESC при запуске браузера и получение нужного сайта, затем поиск в реестре, принесли результат. В той же папке RUN и был найден адрес. Странно, хотя просто при открытии этой папки этого странного адреса точно не было…
Ответить
Михаил
Спасибо, получилось. Проделал весь «курс» удаления.
Ответить
Ирина
Спасибо большое! Очень помогла Ваша инструкция, я полный дилетант в таких манипуляциях, но справилась. У меня smartinf был прописан не через cmd, а explorer.
Ответить
Николай
Найти сайт легко, в мозиле подвести курсор к квадратику интернет и подождать он сам и подсветит адресс, у меня это nevcev.ru. В реестре более менее понятно. У меня smartinf уже не запускает браузер больше месяца, но до конца его убить не реально. У меня 7-я виндовс и планировщика задач нету. Так и живет эта зараза, хоть пока и не беспокоит но ни силен я в этом, прийдется винду сносить.
Ответить
Николай
Кстати, я думал что победил его месяц как, много по удалял в реестре как описано тут и реально помогло. Изначально адресс подсветился в explorer. Оттуда все и нашел. А сегодня с мозилой нашел его опять. Хоть он и сам и невылазит с рекламой и тд. Но тупо как неудаляемая закладка вшитая в firefox.
Ответить
Юлия
Спасибо огромное за статью! У меня было так: при загрузке винды автоматом запускался Гугл Хром и открывались эти самые oxsavus.ru или smartinf, по-разному, в реестре нашла по поиску utm_source, все почистила, удалила папку Темп, в планировщике заданий ничего лишнего не было, в процессах тоже. В Мазиле был вообще бардак полный, удалила js файлик, все отлично!
Ответить
Денис
Спасибо огромное автору сайта и комметариям! Удалил по названию сайта по поиску в реестре! Успехов всем!
Ответить
Анастасия
Спасибо огромное! Все получилось, ура! Автор, вы очень подробно и грамотно все описали, даже для таких профанов как я Еще раз спасибо вам!
Ответить
Денис
Ура! У меня все получилось. Огромная благодарность за лайфхак
Ответить
Татьяна
Единственная запись в реестре, с ссылкой C:\ Program Files\ NVIDIA Corporation\ Update Core\ NvBackend.exe
сомневаюсь, что это то, что надо и поэтому пока ничего не сделала. Подскажите пожалуйста, может, я просто не понимаю…
Ответить
Dmitry
Нет, это не то. Прежде всего попробуйте в редакторе реестра свернуть все папки слева, выбрать самый верхний уровень там, а потом поиск — «utm_» (без кавычек). Если найдет что-то, то это оно, удаляем и ищем дальше. Если ничего, то это могут быть проблемы с ярлыком браузера также, пересоздайте.
Ответить
Юлия
Спасибо! Уже второй раз все это проделываю, опять подцепила ерунду. В этот раз дополнительно обнаружила следующее. По всем ярлыкам запуска Мазилы, включая и меню Пуск в свойствах для запуска прописан такой путь C:\ ProgramData\ OZsXcXJrzZEVrxk\ C4.bat. Грохнула эту папку, поудаляла все ярлыки отовсюду, создала один нормальный для запуска Мазила из своей папки в Programm Files. Но в этой папке ProgramData еще есть папки с кракозябрами подобные, в которых тоже эти файлы bat запускаются, только вот какие ярлыки их запускают — искать конечно муторно, но поищу. Что это вообще за файлы? Может грохнуть и все?
Ответить
Dmitry
Они могут запускаться из планировщика заданий еще. Ну и ярлык Mozilla конечно пересоздайте (я так понял сделали уже). А заодно попробуйте проверить с помощью AdwCleaner, может упростит вам задачу (или месторасположения некоторых штук покажет).
Ответить
zlatko
Спасибо вам большое. У меня было два сайта, скопировал ссылки в regedit и когда нашел удалил оттуда и пока все нормально.
Ответить
сергей
избавился от заразы был ocherus.ru большое спасибо
Ответить
Валерий
Даже не верится, что избавился от этого яда! Спасибо огромное (помогло далеко не первое оружие, но главное — что помогло!).
Ответить
Иван
Все вышеизложенное не помогло. Первоначальный сайт gfidev.ru. В реестре его не нашел. Сканировал различными программами, проблема осталась
Ответить
Ivan
Спасибо огромное за столь побробное руководство. Помогло.
Ответить
NADI
НИКАК… в редакторе реестра — «по умолчанию» и «значение не присвоено». То есть поисковик находит его, но как его убрать? Прописалось вот это — globte.ru
С него идет перенаправление. настройки изменить не могу — не получается
Ответить
Dmitry
а как это выглядит, что-то из вашего описания не совсем ясно, такое ощущение, что вы что-то не то удалять пробуете.
Ответить
ismoil
вбиваю в поиск в реестре (в моем случае zuborun.ru) идет поиск долгий, не дожидаюсь и останавливаю. почему так?
Ответить
Dmitry
Попробуйте поиск utm_ и набраться терпения.
Ответить
ismoil
попробовал, жду и ничего. попробовал с другого ПК и быстро нашел
Ответить
Igor
Перепробовал все, не помогает к сожалению, перенаправление идет с (адрес сайта убран администратором, т.к. при заходе на него перенаправление не обнаружено, а сайт вроде нормальный).
Ответить
Dmitry
а поиск по слову utm во всем редакторе реестра пробовали? Ярлыки браузеров смотрели?
Ответить
Igor
Нашёл я эту заразу, только я так и не понял почему ее не было сразу, она появилась потом в папке run в реестре, а в автозагрузке значилась как Daemon спасибо! всех с наступающим Новым Годом!
Ответить
Igor
Да, ничего подобного не находит нигде
Ответить