*** …Намедни попросили меня разобраться с очередным загадочным сбоем.
Пользователи ноутбука (с установленной Windows 7 SP1) жаловались на то, что сразу после запуска веб-браузеров Google Chrome и Opera (невзирая на стартовую страницу!) постоянно загружаются какие-то подозрительные сайты с рекламой сомнительного характера. Пользователей непрерывно "доставали" всплывающие окна с интернет-рекламой. Во время работы ноутбук ужасно "тормозил" (вплоть до зависания!).
В системе был установлен – регулярно обновляемый! – антивирус Microsoft Security Essentials.
Проверка ноутбука утилитой Dr.Web CureIt (со свежими базами!) не выявила зловредов.
В директории \Program Files\Google\Chrome\ был обнаружен пакетный файл chrome.bat (122 байт; имел атрибут Скрытый), который содержал одну строку: start "" /I /B /D "c:\PROGRA~1\google\chrome\APPLIC~1\" "c:\PROGRA~1\google\chrome\APPLIC~1\chrome.exe" http://searchis.ru
В директории \Program Files\Opera\ был обнаружен пакетный файл opera.bat (87 байт; имел атрибут Скрытый), который содержал одну строку: start "" /I /B /D "c:\PROGRA~1\opera\" "c:\PROGRA~1\opera\opera.exe" http://searchis.ru
В результате дальнейшего тщательного расследования были обнаружены каталоги с рекламным и шпионским программным обеспечением: – \Program Files\AnyProtectEx\; – \Program Files\Cinemax\; – \Program Files\Supdater\; – \Program Files\WordProser_1.10.0.5\; – \Windows\System32\config\systemprofile\AppData\Local\mbot_ru_26\; – \Windows\System32\config\systemprofile\AppData\Local\IObit installer\; – \Windows\System32\config\systemprofile\AppData\Local\ConvertAd\; – \Users\Имя_пользователя\AppData\Roaming\Homepager\; – \Windows\System32\config\systemprofile\AppData\Roaming\Supdater\; – \Windows\System32\config\systemprofile\AppData\Roaming\ASPackage\; – \Windows\System32\config\systemprofile\AppData\Roaming\AnyProtectEx\; – \Temp\Downloader\.
Кроме того, было обнаружено 2 файла-вредоноса: – \Windows\System32\drivers\wpnfd_1_10_0_5.sys (52 736 байт); – \Windows\System32\config\systemprofile\AppData\Local\nsn200D.tmp (628 496 байт).
Что же происходило? При запуске веб-браузеров Google Chrome и Opera в фоновом режиме командным интерпретатором обрабатывались вышеуказанные команды пакетных файлов chrome.bat и opera.bat.
Далее в браузере автоматически загружался сайт searchis.ru, с которого осуществлялся редирект на так называемую "биржу трафика" – сайт traflabs.ru, с которого осуществлялся очередной редирект на сайт с рекламой (например, goinf.ru, vezunchik.club, slot-portal.com, bloginno.com, topnewsnow.ru и др.).
Для загрузки рекламы во время открытого интернет-подключения использовалось содержимое вышеуказанных каталогов.
Для лечения ноутбук был отключен от Глобальной сети (на время лечения). Веб-браузеры Google Chrome и Opera были закрыты.
Были удалены каталоги: – \Program Files\AnyProtectEx\; – \Program Files\Cinemax\; – \Program Files\Supdater\; – \Program Files\WordProser_1.10.0.5\; – \Windows\System32\config\systemprofile\AppData\Local\mbot_ru_26\; – \Windows\System32\config\systemprofile\AppData\Local\IObit installer\; – \Windows\System32\config\systemprofile\AppData\Local\ConvertAd\; – \Users\Имя_пользователя\AppData\Roaming\Homepager\; – \Windows\System32\config\systemprofile\AppData\Roaming\Supdater\; – \Windows\System32\config\systemprofile\AppData\Roaming\ASPackage\; – \Windows\System32\config\systemprofile\AppData\Roaming\AnyProtectEx\; – \Temp\Downloader\.
Были удалены файлы: – \Program Files\Google\Chrome\chrome.bat; – \Program Files\Opera\opera.bat; – \Windows\System32\drivers\wpnfd_1_10_0_5.sys; – \Windows\System32\config\systemprofile\AppData\Local\nsn200D.tmp.
С помощью утилиты AutoRuns была отключена автозагрузка подозрительного и второстепенного программного обеспечения.
Для предотвращения повторного самозаражения системы был очищен кэш интернет-файлов браузеров.
После перезагрузки веб-браузеры Google Chrome и Opera возобновили свою работу в штатном режиме.
*** Дело об очередном загадочном сбое закрыто…
Валерий Сидоров
*** • Дело о… • Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + … • Apps for iPad, iPhone, iPod touch…
|
18+
© 2016. All rights reserved.
Авторство всех материалов сайта https://netler.ru принадлежит Валерию Сидорову и охраняется Законом о защите авторских прав. Использование материалов сайта в offline-изданиях без согласования с автором категорически запрещается. В online-изданиях разрешается использовать материалы сайта при условии сохранения имени и фамилии автора и активной гиперссылки на сайт https://netler.ru.