Путеводитель по сайту

Дело о назойливой рекламе в браузерах Google Chrome и Opera

 

 

***

…Намедни попросили меня разобраться с очередным загадочным сбоем.

 

Пользователи ноутбука (с установленной Windows 7 SP1) жаловались на то, что сразу после запуска веб-браузеров Google Chrome и Opera (невзирая на стартовую страницу!) постоянно загружаются какие-то подозрительные сайты с рекламой сомнительного характера.

Пользователей непрерывно "доставали" всплывающие окна с интернет-рекламой.

Во время работы ноутбук ужасно "тормозил" (вплоть до зависания!).

 

В системе был установлен – регулярно обновляемый! – антивирус Microsoft Security Essentials.

 

Проверка ноутбука утилитой Dr.Web CureIt (со свежими базами!) не выявила зловредов.

 

В директории \Program Files\Google\Chrome\ был обнаружен пакетный файл chrome.bat (122 байт; имел атрибут Скрытый), который содержал одну строку:

start "" /I /B /D "c:\PROGRA~1\google\chrome\APPLIC~1\"  "c:\PROGRA~1\google\chrome\APPLIC~1\chrome.exe" http://searchis.ru

 

В директории \Program Files\Opera\ был обнаружен пакетный файл opera.bat (87 байт; имел атрибут Скрытый), который содержал одну строку:

start "" /I /B /D "c:\PROGRA~1\opera\" "c:\PROGRA~1\opera\opera.exe" http://searchis.ru

 

Дело о назойливой рекламе в браузерах Google Chrome и Opera

 

 

В результате дальнейшего тщательного расследования были обнаружены каталоги с рекламным и шпионским программным обеспечением:

\Program Files\AnyProtectEx\;

\Program Files\Cinemax\;

\Program Files\Supdater\;

\Program Files\WordProser_1.10.0.5\;

\Windows\System32\config\systemprofile\AppData\Local\mbot_ru_26\;

\Windows\System32\config\systemprofile\AppData\Local\IObit installer\;

\Windows\System32\config\systemprofile\AppData\Local\ConvertAd\;

\Users\Имя_пользователя\AppData\Roaming\Homepager\;

\Windows\System32\config\systemprofile\AppData\Roaming\Supdater\;

\Windows\System32\config\systemprofile\AppData\Roaming\ASPackage\;

\Windows\System32\config\systemprofile\AppData\Roaming\AnyProtectEx\;

\Temp\Downloader\.

 

Кроме того, было обнаружено 2 файла-вредоноса:

\Windows\System32\drivers\wpnfd_1_10_0_5.sys (52 736 байт);

\Windows\System32\config\systemprofile\AppData\Local\nsn200D.tmp (628 496 байт).

 

Дело о назойливой рекламе в браузерах Google Chrome и Opera

 

 

Что же происходило?

При запуске веб-браузеров Google Chrome и Opera в фоновом режиме командным интерпретатором обрабатывались вышеуказанные команды пакетных файлов chrome.bat и opera.bat.

 

Далее в браузере автоматически загружался сайт searchis.ru, с которого осуществлялся редирект на так называемую "биржу трафика" – сайт traflabs.ru, с которого осуществлялся очередной редирект на сайт с рекламой (например, goinf.ru, vezunchik.club, slot-portal.com, bloginno.com, topnewsnow.ru и др.).

 

Для загрузки рекламы во время открытого интернет-подключения использовалось содержимое вышеуказанных каталогов.

 

 

 

 

Для лечения ноутбук был отключен от Глобальной сети (на время лечения).

Веб-браузеры Google Chrome и Opera были закрыты.

 

Были удалены каталоги:

\Program Files\AnyProtectEx\;

\Program Files\Cinemax\;

\Program Files\Supdater\;

\Program Files\WordProser_1.10.0.5\;

\Windows\System32\config\systemprofile\AppData\Local\mbot_ru_26\;

\Windows\System32\config\systemprofile\AppData\Local\IObit installer\;

\Windows\System32\config\systemprofile\AppData\Local\ConvertAd\;

\Users\Имя_пользователя\AppData\Roaming\Homepager\;

\Windows\System32\config\systemprofile\AppData\Roaming\Supdater\;

\Windows\System32\config\systemprofile\AppData\Roaming\ASPackage\;

\Windows\System32\config\systemprofile\AppData\Roaming\AnyProtectEx\;

\Temp\Downloader\.

 

Были удалены файлы:

\Program Files\Google\Chrome\chrome.bat;

\Program Files\Opera\opera.bat;

\Windows\System32\drivers\wpnfd_1_10_0_5.sys;

\Windows\System32\config\systemprofile\AppData\Local\nsn200D.tmp.

 

С помощью утилиты AutoRuns была отключена автозагрузка подозрительного и второстепенного программного обеспечения.

 

Дело о назойливой рекламе в браузерах Google Chrome и Opera

 

 

Для предотвращения повторного самозаражения системы был очищен кэш интернет-файлов браузеров.

 

После перезагрузки веб-браузеры Google Chrome и Opera возобновили свою работу в штатном режиме.

 

 

***

Дело об очередном загадочном сбое закрыто…

 

Валерий Сидоров

 

 

***

Раскрывая тайны Windows…

Дело о…

Статьи о ПК и PC

Вирусы vs. антивирусы

Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …

Apps for iPad, iPhone, iPod touch…

 

 

 

 

 

 

Путеводитель по сайту

18+

© Сидоров В.В. 2016. All rights reserved.

Авторство всех материалов сайта http://netler.ru принадлежит Валерию Сидорову и охраняется Законом о защите авторских прав. Использование материалов сайта в offline-изданиях без согласования с автором категорически запрещается. В online-изданиях разрешается использовать материалы сайта при условии сохранения имени и фамилии автора и активной гиперссылки на сайт http://netler.ru.