Дело было так. Скачивал программу и, то ли не выспался, то ли еще что, но вместо нужного ПО скачал старый-добрый экзешник, устанавливающий много
Дело вроде не сложное, зашел в Диспетчер задач, убил все ненужные процессы, деинсталировал все эти замечательные программы и успокоился. Однако, примерно через пол часа сама по себе открылась вкладка с рекламой какого-то казино в Chrome. Закрыл. Через час еще одна.
Проверил все расширения в Chrome — ничего нового, все как было. Скачал CureIt, проверил. Антивирус нашел какие-то проблемы, исправил, но проблема не пропала. В процессах тоже ничего подозрительного. Компьютер я обычно на ночь не выключаю и утром я увидел у себя около 15 открытых вкладок с рекламой.
Проблема оказалась в следующем. Открыл планировщик заданий Windows и обнаружил там задачу
andyounnewsorgthronesm:
Задача, в свою очередь, открывала Chrome с параметром andyounnews.org/thronesm:
Если удалить задачу из списка, проблема пропадает.
Буду очень рад, если помог кому-нибудь решить подобную проблему.
Комментарии (36)
LoadRunner
09.03.2017 16:31+11Стандартные процедуры при удалении рекламной дури:
1. Убивать процессы.
2. Деинсталлировать с компа (проверив — убились ли папки).
3. Проверить ярлыки браузеров (в свойствах могут параметров напихать или подменить сами ярлыки).
4. Проверить автозапуск (лучше через реестр).
5. Проверить планировщик задач.
Неужели о таких элементарных вещах стоит писать на Хабре?
Vova_Villa
09.03.2017 16:33-1По первым 4 пунктам полностью согласен, но на счет пятого — это не очевидно
LoadRunner
09.03.2017 16:44+1А в чём неочевидность? Планировщик — это тот же автозапуск, только позволяет запускать не только при входе в систему, но и при других условиях.
Vova_Villa
09.03.2017 17:10Да, но очень редкие вирусы добавляют задачи в планировщик
LoadRunner
09.03.2017 17:16Рекламная дрянь — вся. Потому что это самый простой способ установиться в систему заново, даже если юзер удалит дистрибутив. И легальный, антивирусами не детектится.
Vova_Villa
09.03.2017 17:18Если кому-то это очевидно, я не имею ничего против. Мне не было очевидно, теперь буду знать. И я решил все это написать для тех, кому не сразу в голову приходит идея проверить планировщик
LoadRunner
09.03.2017 17:22Ну тогда ещё один совет из неочевидного — проверять DNS в сетевых настройках.
Первым делом — в роутере, если реклама подставляется в любом браузере на любом устройстве.
buggykey
10.03.2017 10:03В свое время в винде была такая известная уязвимость (на сколько я помню, уже давно закрытая), которая позволяла пользователю с минимальными правами добавить в планировщик задачу, выполняемую с админскими правами.
remzalp
09.03.2017 20:52https://technet.microsoft.com/ru-ru/library/bb545021.aspx
Конкретно Autoruns, Process Explorer
dpr
09.03.2017 17:25Вот абсолютно с вами согласен. Однако, про пятый пункт я узнал именно из этой статьи. Так что статья была полезна как минимум для одного человека =) Спасибо автору.
Nitrofen
11.03.2017 01:20еще кстати полезно проверять убиение папок и файлов в Local который скрыт в юзер фолдере. я обычно там нахожу и добиваю эти заразы
Pakos
10.03.2017 10:23Проверить папки system32&Co и профиль пользователя на наличие новых файлов и изменённых (в том же Far делается элементарно, а выставить дату изменения равную старой не видел чтобы догадывались, дополнительный поток сделать могут, а выставить дату модификации — нет). Помимо запуска ещё и ассоциации файлов неплохо проверить, но CureIt справляется, вроде.
PS. Про планировщик узнал когда соседи попросили порнобаннеры вычистить с компа — там помимо них непрерывно всякие тулбары ставились. Сначала вычистил — вроде, ок, а потом пришлось дочищать — ассоциации файлов, планировщик, заражённый svchost, который пытался подменять ответы DNS (после лечения DNS переставал работать — откатил из точки восстановления, когда баннеры уже были, но процесс был чист, а с этими разобраться проще).LoadRunner
10.03.2017 10:34Угу, а ещё hosts до кучи надо проверять.
Вообще, проверять системные папки на наличие дистрибутивов зловредов надо, но не является обязательным, если убиты все возможности для их автозапуска. Проще как раз по местам автозапуска пройтись и параллельно подчищать места, откуда идёт запуск. Быстрее и эффективнее, чем сначала искать место расположения файлов зловреда, а потом ловить ошибки, что какой-то процесс не может запуститься из-за отсутствия файла или путь не найден.
А подмена системных файлов вполне лечится через sfc /scannow.
kotmeggot
09.03.2017 16:31Появилась такая проблема после установки Ccleaner, причем качал с офф. сайта, мучался около 30 минут ища проблему, в итоге нашел там же.
mozg1986
09.03.2017 16:32Еще есть смысл проверить ярлыки к браузерам — часто вместо имени файла браузера написан URL
Tatooine
09.03.2017 17:10Так вот что это за гадость. Спасибо автор. А то я сам от этого страдал и в итоге снес хром
ArsenAbakarov
09.03.2017 18:24Откройте для себя antimalware
А по делу… не место этому на хабре, мое мнениеNitrofen
10.03.2017 10:02это почему же не место? а чему место? если люди выносят пользу из таких вот статей — пусть и не очень несущих какието глубокие мысли, навыки и тд и тп но всетаки статья кое кому да и полезна. не интересно, так не читай. а если начнут говорить хабр уже не тот, то вы заблуждаетесь и причем очень.
LoadRunner
10.03.2017 10:07Предположу, что Хабр считается техническим ресурсом, а статьи в духе «пара советов для чайников как не убить свой комп» больше подходят для околокомпьютерных блогов.
В текущем виде статья и вправду смотрится неуместно. Можно было бы понять, будь это реальный туториал для новичков — гугл хорошо индексирует статьи с Хабра и помощь от такой статьи была бы очевидна. Но в текущем виде это обычная памятка для тех, кому не надо объяснять, что такое Планировщик задач и где его искать. Если сократить статью и выжать всю воду, получится так: «А ещё проверьте планировщик задач».Nitrofen
11.03.2017 01:16не хочу спориться, но судя по количеству коментариев тема таки не помоешная…
вашу точку разделяю, но не до конца и лишь частично. всетаки вариант прочитать и промолчать или не прочитать и пройти мимо актуально на любом ресурсе.LoadRunner
11.03.2017 16:56Ну молчать не обязательно, можно дополнить и дать пару советов на будущее, чтобы повысить качество будущих статей. Те, кто их ещё не писал, но прочитает комментарии — сделают выводы.
tsklab
09.03.2017 22:25Нажимаю «отмена» с мыслями, что вовремя успел заметить подвох.
Для справки: подменить текст на кнопках или само окно — два байта переслать.
Если сомневаетесь в программе — прервать процесс через диспетчер задач.
Dioxin
10.03.2017 10:02А еще бывает в службы прописываются, сам находил.
Ни один антивирь это не детектил.
SkazochNik
Антивирус не панацея.
Vova_Villa
Не могу сказать точно, справился бы антивирус с этой проблемой на этапе ее появления, потому что никакой антивирус у меня не установлен
rub_ak
А как он справиться? создается обычное правило в планировщике открывающие сайт, никакого криминала тут нет.
Pakos
Если туда кто-то уже отправил этого «обычного устанавливальщика заданий», то справиТСя. Тут главное не быть в первых рядах поймавших (многие создатели вирусов не дураки и тестируют детект своих творений).
rub_ak
А можно поподробней как он его отлавливать будет: проверять по хэшу, или проверять ссылки из планировщика? Как они вообще называются эти «вирусы »?
Вон снизу пишут что вся Рекламная дрянь так делает и это не детектируется.
Я просто не разу на такую фигню не нарывался.
И честно говоря даже не представляю где люди берут такой софт и что это за софт вообще, где установщики такой ерундой занимаются.
PS Карму сливать не обязательно.
Pakos
Встречал скачанный Сафари. Эппл перестал просто раздавать эту версию под Вин и народ «скочать бесплатно» искал, находил, в процессе установки спрашивало номер мобильника. Установка закрывалось и Сафари не ставился, но всякие Амиго уже осели в системе. Ну или приведённый мной случай — pdf с документацией, скачанный людьми, далёкими от ИТ. В конторах с грамотным админом такое поймать сильно сложнее.
Наверное. это не мне.
rub_ak
Понятно. Просто у нас в конторе SRP и пользователи нечего поставить не могут, даже админы сидят под пользователями, а если нужно что-то сделать заходят под отдельной утечкой без интернета. А дома я практически софт не ставлю, один набор уже много лет.
rub_ak
Отстал я от жизни обычных пользователей, без хорошего админа. Вот на предыдущем месте работы, там было в этом смысле лучше, я даже помнил куда блокировщики экрана прописываются наизусть, хост проверял, некоторые рекламные модули в статические роуты себя прописывали и т.д и т.п…