09.03.2017 12:53
Vova_Villa 36 3100 Источник
Здравствуйте. Хочу вам рассказать о проблеме, возникшей у меня в ходе повседневной работы за ПК и как я нашел её решение.

Дело было так. Скачивал программу и, то ли не выспался, то ли еще что, но вместо нужного ПО скачал старый-добрый экзешник, устанавливающий много очень классных программ. Не долго думая, запустил его. Когда Windows задал мне вопрос, точно ли я доверяю этому источнику, уже тогда я понял, что скачал что-то не то (название разработчика было совсем не то, на которое я рассчитывал). Нажимаю «отмена» с мыслями, что вовремя успел заметить подвох. Но не тут-то было. Не успел прервать операцию, как увидел на своем рабочем столе и Амиго, и Поиск в Интернете и так далее.

Дело вроде не сложное, зашел в Диспетчер задач, убил все ненужные процессы, деинсталировал все эти замечательные программы и успокоился. Однако, примерно через пол часа сама по себе открылась вкладка с рекламой какого-то казино в Chrome. Закрыл. Через час еще одна.

Проверил все расширения в Chrome — ничего нового, все как было. Скачал CureIt, проверил. Антивирус нашел какие-то проблемы, исправил, но проблема не пропала. В процессах тоже ничего подозрительного. Компьютер я обычно на ночь не выключаю и утром я увидел у себя около 15 открытых вкладок с рекламой.

Проблема оказалась в следующем. Открыл планировщик заданий Windows и обнаружил там задачу
andyounnewsorgthronesm:

image

Задача, в свою очередь, открывала Chrome с параметром andyounnews.org/thronesm:

image

Если удалить задачу из списка, проблема пропадает.

Буду очень рад, если помог кому-нибудь решить подобную проблему.
Поделиться с друзьями
-->

Комментарии (36)


  1. SkazochNik
    09.03.2017 16:15
    #10110240

    Антивирус не панацея.


    1. Vova_Villa
      09.03.2017 16:19
      #10110252

      Не могу сказать точно, справился бы антивирус с этой проблемой на этапе ее появления, потому что никакой антивирус у меня не установлен


      1. rub_ak
        09.03.2017 17:38
        #10110396
        -2

        А как он справиться? создается обычное правило в планировщике открывающие сайт, никакого криминала тут нет.


        1. Pakos
          10.03.2017 10:13
          #10111180

          Если туда кто-то уже отправил этого «обычного устанавливальщика заданий», то справиТСя. Тут главное не быть в первых рядах поймавших (многие создатели вирусов не дураки и тестируют детект своих творений).


          1. rub_ak
            10.03.2017 11:45
            #10111380

            А можно поподробней как он его отлавливать будет: проверять по хэшу, или проверять ссылки из планировщика? Как они вообще называются эти «вирусы »?

            Вон снизу пишут что вся Рекламная дрянь так делает и это не детектируется.

            Я просто не разу на такую фигню не нарывался.
            И честно говоря даже не представляю где люди берут такой софт и что это за софт вообще, где установщики такой ерундой занимаются.

            PS Карму сливать не обязательно.


            1. Pakos
              10.03.2017 13:32
              #10111628

              проверять по хэшу, или проверять ссылки из планировщика
              Делает это какой-то дроппер, который надо отдетектить, в моём случае было нечто в архиве с pdf, ради которого и скачали. а уж как они отдетектят конкретный дроппер — это вопрос к создателям сигнатур. Возможно, по имени добавляемого задания. Найденный послал — добавили, пока вирусописатели не обновят у себя — будет детектиться. Ниже, возможно, имеют в виду что поведенческим анализатором не ловится или что их слишком много и мутируют часто.

              где установщики такой ерундой занимаются
              Встречал скачанный Сафари. Эппл перестал просто раздавать эту версию под Вин и народ «скочать бесплатно» искал, находил, в процессе установки спрашивало номер мобильника. Установка закрывалось и Сафари не ставился, но всякие Амиго уже осели в системе. Ну или приведённый мной случай — pdf с документацией, скачанный людьми, далёкими от ИТ. В конторах с грамотным админом такое поймать сильно сложнее.

              PS Карму сливать не обязательно
              Наверное. это не мне.


              1. rub_ak
                10.03.2017 14:53
                #10111730

                Понятно. Просто у нас в конторе SRP и пользователи нечего поставить не могут, даже админы сидят под пользователями, а если нужно что-то сделать заходят под отдельной утечкой без интернета. А дома я практически софт не ставлю, один набор уже много лет.


              1. rub_ak
                10.03.2017 15:01
                #10111748

                Отстал я от жизни обычных пользователей, без хорошего админа. Вот на предыдущем месте работы, там было в этом смысле лучше, я даже помнил куда блокировщики экрана прописываются наизусть, хост проверял, некоторые рекламные модули в статические роуты себя прописывали и т.д и т.п…


  1. DROS
    09.03.2017 16:26
    #10110264
    +6

    Как я создал сам себе проблему и героически ее решил.


  1. LoadRunner
    09.03.2017 16:31
    #10110270
    +11

    Стандартные процедуры при удалении рекламной дури:
    1. Убивать процессы.
    2. Деинсталлировать с компа (проверив — убились ли папки).
    3. Проверить ярлыки браузеров (в свойствах могут параметров напихать или подменить сами ярлыки).
    4. Проверить автозапуск (лучше через реестр).
    5. Проверить планировщик задач.

    Неужели о таких элементарных вещах стоит писать на Хабре?


    1. Vova_Villa
      09.03.2017 16:33
      #10110278
      -1

      По первым 4 пунктам полностью согласен, но на счет пятого — это не очевидно


      1. LoadRunner
        09.03.2017 16:44
        #10110292
        +1

        А в чём неочевидность? Планировщик — это тот же автозапуск, только позволяет запускать не только при входе в систему, но и при других условиях.


        1. Vova_Villa
          09.03.2017 17:10
          #10110348

          Да, но очень редкие вирусы добавляют задачи в планировщик


          1. LoadRunner
            09.03.2017 17:16
            #10110356

            Рекламная дрянь — вся. Потому что это самый простой способ установиться в систему заново, даже если юзер удалит дистрибутив. И легальный, антивирусами не детектится.


            1. Vova_Villa
              09.03.2017 17:18
              #10110358

              Если кому-то это очевидно, я не имею ничего против. Мне не было очевидно, теперь буду знать. И я решил все это написать для тех, кому не сразу в голову приходит идея проверить планировщик


              1. LoadRunner
                09.03.2017 17:22
                #10110364

                Ну тогда ещё один совет из неочевидного — проверять DNS в сетевых настройках.
                Первым делом — в роутере, если реклама подставляется в любом браузере на любом устройстве.


                1. Vova_Villa
                  09.03.2017 17:26
                  #10110374

                  Спасибо


        1. buggykey
          10.03.2017 10:03
          #10111154

          В свое время в винде была такая известная уязвимость (на сколько я помню, уже давно закрытая), которая позволяла пользователю с минимальными правами добавить в планировщик задачу, выполняемую с админскими правами.


      1. remzalp
        09.03.2017 20:52
        #10110668

        https://technet.microsoft.com/ru-ru/library/bb545021.aspx
        Конкретно Autoruns, Process Explorer


    1. dpr
      09.03.2017 17:25
      #10110370

      Вот абсолютно с вами согласен. Однако, про пятый пункт я узнал именно из этой статьи. Так что статья была полезна как минимум для одного человека =) Спасибо автору.


      1. Nitrofen
        11.03.2017 01:20
        #10112462

        еще кстати полезно проверять убиение папок и файлов в Local который скрыт в юзер фолдере. я обычно там нахожу и добиваю эти заразы


    1. Pakos
      10.03.2017 10:23
      #10111202

      Проверить папки system32&Co и профиль пользователя на наличие новых файлов и изменённых (в том же Far делается элементарно, а выставить дату изменения равную старой не видел чтобы догадывались, дополнительный поток сделать могут, а выставить дату модификации — нет). Помимо запуска ещё и ассоциации файлов неплохо проверить, но CureIt справляется, вроде.
      PS. Про планировщик узнал когда соседи попросили порнобаннеры вычистить с компа — там помимо них непрерывно всякие тулбары ставились. Сначала вычистил — вроде, ок, а потом пришлось дочищать — ассоциации файлов, планировщик, заражённый svchost, который пытался подменять ответы DNS (после лечения DNS переставал работать — откатил из точки восстановления, когда баннеры уже были, но процесс был чист, а с этими разобраться проще).


      1. LoadRunner
        10.03.2017 10:34
        #10111228

        Угу, а ещё hosts до кучи надо проверять.

        Вообще, проверять системные папки на наличие дистрибутивов зловредов надо, но не является обязательным, если убиты все возможности для их автозапуска. Проще как раз по местам автозапуска пройтись и параллельно подчищать места, откуда идёт запуск. Быстрее и эффективнее, чем сначала искать место расположения файлов зловреда, а потом ловить ошибки, что какой-то процесс не может запуститься из-за отсутствия файла или путь не найден.

        А подмена системных файлов вполне лечится через sfc /scannow.


  1. kotmeggot
    09.03.2017 16:31
    #10110272

    Появилась такая проблема после установки Ccleaner, причем качал с офф. сайта, мучался около 30 минут ища проблему, в итоге нашел там же.


  1. mozg1986
    09.03.2017 16:32
    #10110274

    Еще есть смысл проверить ярлыки к браузерам — часто вместо имени файла браузера написан URL


  1. tentakle
    09.03.2017 16:45
    #10110294
    +5

    Статьи для хабра, которые мы заслужили.


  1. Tatooine
    09.03.2017 17:10
    #10110350

    Так вот что это за гадость. Спасибо автор. А то я сам от этого страдал и в итоге снес хром


  1. ArsenAbakarov
    09.03.2017 18:24
    #10110472

    Откройте для себя antimalware
    А по делу… не место этому на хабре, мое мнение


    1. Nitrofen
      10.03.2017 10:02
      #10111148

      это почему же не место? а чему место? если люди выносят пользу из таких вот статей — пусть и не очень несущих какието глубокие мысли, навыки и тд и тп но всетаки статья кое кому да и полезна. не интересно, так не читай. а если начнут говорить хабр уже не тот, то вы заблуждаетесь и причем очень.


      1. LoadRunner
        10.03.2017 10:07
        #10111166

        Предположу, что Хабр считается техническим ресурсом, а статьи в духе «пара советов для чайников как не убить свой комп» больше подходят для околокомпьютерных блогов.
        В текущем виде статья и вправду смотрится неуместно. Можно было бы понять, будь это реальный туториал для новичков — гугл хорошо индексирует статьи с Хабра и помощь от такой статьи была бы очевидна. Но в текущем виде это обычная памятка для тех, кому не надо объяснять, что такое Планировщик задач и где его искать. Если сократить статью и выжать всю воду, получится так: «А ещё проверьте планировщик задач».


        1. Nitrofen
          11.03.2017 01:16
          #10112456

          не хочу спориться, но судя по количеству коментариев тема таки не помоешная…
          вашу точку разделяю, но не до конца и лишь частично. всетаки вариант прочитать и промолчать или не прочитать и пройти мимо актуально на любом ресурсе.


          1. LoadRunner
            11.03.2017 16:56
            #10112808

            Ну молчать не обязательно, можно дополнить и дать пару советов на будущее, чтобы повысить качество будущих статей. Те, кто их ещё не писал, но прочитает комментарии — сделают выводы.


  1. tsklab
    09.03.2017 22:25
    #10110726

    Нажимаю «отмена» с мыслями, что вовремя успел заметить подвох.
    Для справки: подменить текст на кнопках или само окно — два байта переслать.
    Если сомневаетесь в программе — прервать процесс через диспетчер задач.


  1. Dioxin
    10.03.2017 10:02
    #10111150

    А еще бывает в службы прописываются, сам находил.
    Ни один антивирь это не детектил.


  1. datka
    10.03.2017 12:35
    #10111518

    Попробуите AdwCleaner.Спасал меня не раз.


    1. LESHIY_ODESSA
      16.03.2017 10:10
      #10120964

      Поддерживаю, AdwCleaner всегда под рукою. Много родственников :)