| English version | Распечатать |
***
…Намедни попросили меня разобраться с очередным загадочным сбоем.
Пользователи ноутбука (с установленной Windows 7 SP1) жаловались на то, что сразу после запуска веб-браузеров Google Chrome и Opera (невзирая на стартовую страницу!) постоянно загружаются какие-то подозрительные сайты с рекламой сомнительного характера.
Пользователей непрерывно "доставали" всплывающие окна с интернет-рекламой.
Во время работы ноутбук ужасно "тормозил" (вплоть до зависания!).
В системе был установлен – регулярно обновляемый! – антивирус Microsoft Security Essentials.
Проверка ноутбука утилитой Dr.Web CureIt (со свежими базами!) не выявила зловредов.
В директории \Program Files\Google\Chrome\ был обнаружен пакетный файл chrome.bat (122 байт; имел атрибут Скрытый), который содержал одну строку:
start "" /I /B /D "c:\PROGRA~1\google\chrome\APPLIC~1\" "c:\PROGRA~1\google\chrome\APPLIC~1\chrome.exe" http://searchis.ru
В директории \Program Files\Opera\ был обнаружен пакетный файл opera.bat (87 байт; имел атрибут Скрытый), который содержал одну строку:
start "" /I /B /D "c:\PROGRA~1\opera\" "c:\PROGRA~1\opera\opera.exe" http://searchis.ru
В результате дальнейшего тщательного расследования были обнаружены каталоги с рекламным и шпионским программным обеспечением:
– \Program Files\AnyProtectEx\;
– \Program Files\Cinemax\;
– \Program Files\Supdater\;
– \Program Files\WordProser_1.10.0.5\;
– \Windows\System32\config\systemprofile\AppData\Local\mbot_ru_26\;
– \Windows\System32\config\systemprofile\AppData\Local\IObit installer\;
– \Windows\System32\config\systemprofile\AppData\Local\ConvertAd\;
– \Users\Имя_пользователя\AppData\Roaming\Homepager\;
– \Windows\System32\config\systemprofile\AppData\Roaming\Supdater\;
– \Windows\System32\config\systemprofile\AppData\Roaming\ASPackage\;
– \Windows\System32\config\systemprofile\AppData\Roaming\AnyProtectEx\;
– \Temp\Downloader\.
Кроме того, было обнаружено 2 файла-вредоноса:
– \Windows\System32\drivers\wpnfd_1_10_0_5.sys (52 736 байт);
– \Windows\System32\config\systemprofile\AppData\Local\nsn200D.tmp (628 496 байт).
Что же происходило?
При запуске веб-браузеров Google Chrome и Opera в фоновом режиме командным интерпретатором обрабатывались вышеуказанные команды пакетных файлов chrome.bat и opera.bat.
Далее в браузере автоматически загружался сайт searchis.ru, с которого осуществлялся редирект на так называемую "биржу трафика" – сайт traflabs.ru, с которого осуществлялся очередной редирект на сайт с рекламой (например, goinf.ru, vezunchik.club, slot-portal.com, bloginno.com, topnewsnow.ru и др.).
Для загрузки рекламы во время открытого интернет-подключения использовалось содержимое вышеуказанных каталогов.
Для лечения ноутбук был отключен от Глобальной сети (на время лечения).
Веб-браузеры Google Chrome и Opera были закрыты.
Были удалены каталоги:
– \Program Files\AnyProtectEx\;
– \Program Files\Cinemax\;
– \Program Files\Supdater\;
– \Program Files\WordProser_1.10.0.5\;
– \Windows\System32\config\systemprofile\AppData\Local\mbot_ru_26\;
– \Windows\System32\config\systemprofile\AppData\Local\IObit installer\;
– \Windows\System32\config\systemprofile\AppData\Local\ConvertAd\;
– \Users\Имя_пользователя\AppData\Roaming\Homepager\;
– \Windows\System32\config\systemprofile\AppData\Roaming\Supdater\;
– \Windows\System32\config\systemprofile\AppData\Roaming\ASPackage\;
– \Windows\System32\config\systemprofile\AppData\Roaming\AnyProtectEx\;
– \Temp\Downloader\.
Были удалены файлы:
– \Program Files\Google\Chrome\chrome.bat;
– \Program Files\Opera\opera.bat;
– \Windows\System32\drivers\wpnfd_1_10_0_5.sys;
– \Windows\System32\config\systemprofile\AppData\Local\nsn200D.tmp.
С помощью утилиты AutoRuns была отключена автозагрузка подозрительного и второстепенного программного обеспечения.
Для предотвращения повторного самозаражения системы был очищен кэш интернет-файлов браузеров.
После перезагрузки веб-браузеры Google Chrome и Opera возобновили свою работу в штатном режиме.
***
Дело об очередном загадочном сбое закрыто…
Валерий Сидоров
***
• Дело о…
• Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …
• Apps for iPad, iPhone, iPod touch…