Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу)

RSS

Сообщений: 21

Баллов: 10

Регистрация: 03.04.2017

Размещено 13.12.2017 22:47:33

Здравствуйте. Прошу помочь мне еще раз. Какой скрипт стоит выполнить с учетом вложенных мной отчетов:

1. Malwarebytes report - 2 угрозы поместил в карантин, затем удалил от туда
2. образ автозапуска в uVS
3. AdwCleaner[S7].txt - тут угроз не обнаружено

Заранее очень сильно благодарю за помощь, и за ту, что оказывали ранее!

Прикрепленные файлы

Malwarebytes report.txt (2.54 КБ)
AdwCleaner[S7].txt (1.66 КБ)
PC-MSI_2017-12-13_22-41-31.7z (863.99 КБ)

Ответы

Пред. 1 2

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.12.2017 15:38:59

во всех браузерах запускаются эти страницы?
если у вас доступ в сеть через роутер, пробуйте аппаратно сбросить настройки роутера, и заново настроить роутер для работы в сети, + установить надежный пароль к настройкам роутера.

[ Как создать образ автозапуска? ]

Сообщений: 21

Баллов: 10

Регистрация: 03.04.2017

Размещено 14.12.2017 15:48:28

У меня стоит роутер, да. А пользуюсь я только Хромом.

Ок, попробую сбросить, только позже.

После отпишусь

Сообщений: 21

Баллов: 10

Регистрация: 03.04.2017

Размещено 14.12.2017 17:06:18

Цитата
santy написал: сбросить настройки роутера, и заново настроить роутер для работы в сети, + установить надежный пароль к настройкам роутера.

Скажите, а как это может быть связанно с роутером? У меня мощные пароли стоят везде, и на самом роутере тоже.

После того как сброшу и восстановлю настройки проблема должна исчезнуть или мне нужно будет заново процедуры выполнять выше перечисленные в этой беседе?

Сообщений: 21

Баллов: 10

Регистрация: 03.04.2017

Размещено 14.12.2017 18:40:05

Как бы то ни было, настройки роутера я сбросил, затем восстановил (аппаратно, с помощью мелкой кнопки в углублении корпуса).

И почти тут же загрузилась левая страница. В общем на этот раз проблема никуда не делась. Вирус засел глубоко :cry:

Что посоветуете? Кроме переустановки ОС разумеется, это самый последний и не очень желательный вариант понятное дело.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 14.12.2017 18:40:26

Цитата
Роман Танасиенко написал: Скажите

Проблема связана либо с левыми расширениями браузера, либо с работой роутера.
Если реклама _только в одном браузере - то дело в расширениях браузера.
Если реклама во всех браузерах - то дело в роутере.
-----

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 14.12.2017 18:43:53

Браузер расширения.

В адресной строке браузера пропишите:
для
Яндекс браузер:
browser://extensions/

ХРОМ:
chrome://extensions/

Опера:
opera://extensions

Firefox:
about:addons

nternet Explorer:
Зайти в раздел настроек браузера, выбрать меню "Настроить надстройки":
В открывшемся окне кликните на расширение.

Откроется список расширений браузера.

Отключите все расширения кроме: Flash ( Adobe Systems )
* Если возникнет необходимость потом их можно включить.
Оцените результат.
---------
+
Получение списока расширений с помощью программы ccleaner.
http://pchelpforum.ru/f26/t24207/2/#post1171371
>
Сервис > Автозагрузка.
там
Вкладки: Windows и Запланированные задачи.
>
Сервис > Автозагрузка.

Там есть вкладки браузеров - можно Выключить/удалить все расширения кроме Flash плеера.
И посмотреть как это повлияет на работу браузеров.

Сообщений: 21

Баллов: 10

Регистрация: 03.04.2017

Размещено 14.12.2017 18:58:26

С расширениями я сразу разобрался. Еще до того как сюда писал, действительно были и я их удалил. На данный момент оставил только те, которыми уже давно пользуюсь, лишние удалил.

Но нашел вот какой интересный способ. Суть описана тут: https://www.youtube.com/watch?v=fiYwW_oMH0E

И что вы думаете, я таки нашел у себя подозрительную задачу в планировщике, с другим названием и аргументом, но суть та же, если скопировать его и вставить в адресную строку, то запускаются те самые сайты.

В общем я удалил эту задачу из планировщика и жду теперь, смотрю появится ли проблема снова, ибо не ясно как эта задача туда установилась, и не сможет ли вернуться туда снова.

Прикладываю скрины этой заразы:

Прикрепленные файлы

02.JPG (94.83 КБ)

01.JPG (41.88 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 14.12.2017 19:36:37

Посмотрел логи.
Судя по всему это косяк\недоработка в программе uVS
так, как задача не отображается, как самостоятельная.
------------
А в uVS это прописано как часть данных для хрома.
CmdLine GEEKTO.NET/E5A
Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5785CBF7-80A3-4251-9A37-A660ED4DF63D}\Actions
Ссылка C:\WINDOWS\SYSTEM32\TASKS\GEEKTONETE5A
Actions "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" geekto.net/e5a
-------------
А в FRST она есть.
Task: {5785CBF7-80A3-4251-9A37-A660ED4DF63D} - System32\Tasks\geektonete5a => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" geekto.net/e5a
2017-12-13 18:15 - 2017-12-13 18:15 - 000003666 _____ C:\Windows\System32\Tasks\geektonete5a

Изменено: RP55 RP55 - 14.12.2017 19:47:20

Сообщений: 21

Баллов: 10

Регистрация: 03.04.2017

Размещено 14.12.2017 20:46:46

Ну тогда может на этот раз я вам чем-то помог)))

В любом случае, думаю все наши с вами процедуры были не лишними. Пока вроде все норм, за такой промежуток времени обычно уже вылетало несколько раз что-то, а сейчас все ок.

Спасибо)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 15.12.2017 04:12:30

посмотрите так же содержимое файла task.bat

Цитата
Полное имя C:\PROGRAM FILES\INTEL\SUR\QUEENCREEK\TASK.VBS Имя файла TASK.VBS Тек. статус в автозапуске Сохраненная информация на момент создания образа Статус в автозапуске Размер 175 байт Создан 21.05.2017 в 02:17:44 Изменен 21.05.2017 в 02:17:44 Цифр. подпись Отсутствует либо ее не удалось проверить Доп. информация на момент обновления списка CmdLine //B //NOLOGO "C:\PROGRAM FILES\INTEL\SUR\QUEENCREEK\TASK.VBS" SHA1 9B4C08036116A2E6666AD0E603F02A9CFBB52050 MD5 3F7550A13CA402923655771967CEEC0D #FILE# Set objShell = CreateObject("WScript.Shell") objShell.Run("C:\Windows\system32\cmd.exe /c ""C:\Program Files\Intel\SUR\QUEENCREEK\task.bat"""), 0 Set objShell = Nothing Ссылки на объект Ссылка C:\WINDOWS\SYSTEM32\TASKS\USER_ESRV_SVC_QUEENCREEK Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E84D324D-5B37-40F6-A1C9-F88A6F8BFBDD}\Actions Actions "C:\Windows\System32\Wscript.exe" //B //NoLogo "C:\Program Files\Intel\SUR\QUEENCREEK\task.vbs" Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{E84D324D-5B37-40F6-A1C9-F88A6F8BFBDD}\

Цитата

Полное имя C:\PROGRAM FILES\INTEL\SUR\QUEENCREEK\TASK.VBS
Имя файла TASK.VBS
Тек. статус в автозапуске

Сохраненная информация на момент создания образа
Статус в автозапуске
Размер 175 байт
Создан 21.05.2017 в 02:17:44
Изменен 21.05.2017 в 02:17:44
Цифр. подпись Отсутствует либо ее не удалось проверить

Доп. информация на момент обновления списка
CmdLine //B //NOLOGO "C:\PROGRAM FILES\INTEL\SUR\QUEENCREEK\TASK.VBS"
SHA1 9B4C08036116A2E6666AD0E603F02A9CFBB52050
MD5 3F7550A13CA402923655771967CEEC0D

#FILE# Set objShell = CreateObject("WScript.Shell")
objShell.Run("C:\Windows\system32\cmd.exe /c ""C:\Program Files\Intel\SUR\QUEENCREEK\task.bat"""), 0
Set objShell = Nothing

Ссылки на объект
Ссылка C:\WINDOWS\SYSTEM32\TASKS\USER_ESRV_SVC_QUEENCREEK

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E84D324D-5B37-40F6-A1C9-F88A6F8BFBDD}\Actions
Actions "C:\Windows\System32\Wscript.exe" //B //NoLogo "C:\Program Files\Intel\SUR\QUEENCREEK\task.vbs"

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{E84D324D-5B37-40F6-A1C9-F88A6F8BFBDD}\

возможно, через него выполнялись деструктивные действия.
в образе автозапуска он не виден

+

выполните наши рекомендации по безопасной работе в сети.
https://forum.esetnod32.ru/forum9/topic13764//

[ Как создать образ автозапуска? ]

Пред. 1 2