Вирус при старте системы

Обновлено: 25.04.2024

Люблю я описывать разные решения, которые проверил на собственном опыте. Когда удалось решить какую-то проблему, и просто делишься этой информацией с другими людьми. Сегодня речь пойдет об очень неприятном вредоносном ПО, которое добавляет рекламу в браузер. После чего, браузер сам запускается при включении компьютера, и в нем открывается сайт с рекламой.

Я столкнулся с проблемой, когда сразу при включении компьютера автоматически открывался браузер Microsoft Edge и в нем загружался сайт exinariuminix.info и gameorplay.info. Где крутилась разная плохая реклама. Причем со звуком. Я разобрался в чем проблема, убрал эту рекламу и сейчас расскажу вам как это сделать.

Обратите внимание, что у вас при загрузке Windows может запускаться другой браузер. Например: Chrome, Firefox, Opera, Internet Explorer. Как я позже выяснил, все зависит от того, какой браузер у вас установлен по молчанию в настройках Windows.

И сайт с рекламой так же может быть другой. Думаю, это не имеет никакого значения.

В моем случае на компьютере установлена Windows 10, и лицензионный антивирус ESET NOD32, который каким-то образом пропустил это вредоносное, или правильнее наверное рекламное ПО.

Как оно может попасть на компьютер? Да как угодно. Скорее всего при установке какой-то программы, которая была изначально заражена. Вариантов очень много. Всегда старайтесь скачивать программы только с официальных сайтов. И внимательно устанавливайте. Убирайте лишние галочки.

Браузер запускается сам и открывается сайт с рекламой

Сейчас покажу как это происходит (конкретно в моем случае). Так сказать обрисую проблему и приступим к решению.

Включаю компьютер. Загружаются все программы, антивирус, и в конце автоматически открывается Microsoft Edge (стандартный браузер в Windows 10). И в нем сразу загружается сайт exinariuminix.info. Вот только антивирус не дает ему загрузится.

Открывается Microsoft Edge с рекламой exinariuminix.info

Ради интереса отключил антивирус и перешел на этот сайт. Вам так делать не советую! Идет перенаправление на другой сайт gameorplay.info, где уже крутится эта ужасная реклама, да еще и со звуком.

Автоматический запуск браузера с сайтом gameorplay.info и рекламой

Вот такая неприятная гадость. Которую мы сейчас будем убирать.

Не могу гарантировать, что описанные ниже действия вам помогут, но в моем случае я полностью убрал рекламу и браузер перестал открываться сам по себе. Просто есть разные варианты этого вредоносного ПО, и прятаться они могут где угодно и как угодно. Ну и скорее всего этим сайтам с рекламой все ровно в каком браузере загружаться. Будь то Internet Explorer, Хром, или Опера. И не важно какая система: Windows 10, Windows 7, или старенькая XP.

Почему при включении компьютера открывается браузер с рекламой?

На первый взгляд, проблема очень простая. Раз браузер открывается при загрузке Windows, то значит он сидит в автозагрузке. А в качестве домашней страницы в нем прописался этот сайт с рекламой. Но все оказалось не совсем так.

В списке автозагрузки я не нашел никаких странных программ и тем более браузера. Но там почему-то был Проводник (explorer.exe). Странно, подумал я. Что делает проводник в автозагрузке. Тем более, что он не открывается при загрузке системы. Посмотрел его свойства, там ничего странного и лишнего нет. Файл explorer.exe запускается из папки C:\Windows. Все как положено.

Решил его отключить.

Запуск браузера с рекламой через explorer.exe в автозагрузке

Как полностью убрать рекламный вирус в Windows?

Чтобы открыть редактор реестра, нажмите сочетание клавиш Win + R , введите команду regedit и нажмите Ok.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Где находится список программ текущего пользователя, которые загружаются при старте компьютера.

explorer.exe http://exinariuminix.info в реестре автозагрузки Windows

Интересное решение. И я подумал, что все можно решить просто удалив этот параметр из реестра. Так и сделал.

Браузер с рекламой в автозагрузке Windows

Перезагрузил компьютер и что вы думаете? Снова открылся браузер Microsoft Edge и в нем эта реклама!

Тут уже становится понятно, что удаление записи в реестре – это не решение. Где-то в системе сидит эта вредоносная программа, которая снова прописывает все параметры, и сайт с рекламой открывается снова. А NOD32 почему-то ничего не замечает. Антивирус то вроде хороший.

Я решил проверить компьютер с помощью антивирусных утилит.

Антивирусные утилиты в борьбе с самостоятельным запуском браузера

Я использовал три сканера: Dr.Web CureIt!, Malwarebytes Free и Malwarebytes AdwCleaner. Сразу скажу, что мне помогла утилита Malwarebytes Free. Там вроде пробная версия на 14 дней. Мне ее хватило.

Минуты через три она мне выдала, что найдено 7 угроз. А в списке отображалось только две, которые я мог очистить. Это: PUP.Optional.Legacy и PUP.Optional.Gameorplay.info. В последнем указан сайт, который загружался в браузере. Я обрадовался, что после очистки проблема исчезнет.

Удаляем gameorplay.info с помощью Malwarebytes AdwCleaner

Дальше скачал Dr.Web CureIt! и запустил проверку. Но он вообще ничего не нашел. То что вы видите на скриншоте ниже, это точно не рекламный вирус.

Как убрать рекламный вирус с помощью Dr.Web CureIt!

Malwarebytes Free поможет убрать запуск браузера с рекламой

После чего утилита Malwarebytes Free запросила разрешение на перезагрузку.

После перезагрузки проблема с автоматическим запуском браузера была полностью решена. Ну и сайт с рекламой соответственно больше не загружается.

Я очень надеюсь, что моя статья вам пригодилась. Если это так, то напишите в комментариях, какой браузер у вас сам запускался при включении компьютера, и какой сайт с рекламой в нем загружался. Так же интересно, какое решение, или какая антивирусная утилита помогла убрать эту рекламу.

Если же вы не смогли избавится от этого вируса, то опишите в комментариях что и когда у вас открывается и в каком браузере. Так же можете скриншот прикрепить. Обязательно постараюсь подсказать решение.

Задав подобный запрос где-нибудь в Google или Яндекс: "Сам открывается браузер с рекламой — как решить?" - вам будет выдаваться тонна ненужной информации с рекламой тех или иных приложений, которые по факту проблему не решают (проверяли неоднократно), но при всем при этом умудряются менять что-то в настройках компьютера и лезут в реестр. А хуже не станет? И В КОНЦЕ ВИДЕО ИНСТРУКЦИЯ (мало ли =)

"Нет ничего более надежного, чем ручная чистка компьютера, при условии, что вы прекрасно понимаете что-где находится, обладаете определенной долей самоуверенности и чем черт не шутит наглости =) и да - под нашим чутким руководством, дабы. не стало хуже? "

Подобные "трояны" пропускаются антивирусами, потому что они по сути вирусами и не являются (данные никуда не сливаются, вы просто получаете набор "партнерских" ссылок - как например информация о той или иной компании, или ссылка на сайт игры в меню пуск. теперь понимаете в чем хитрость* хуже компьютеру не станет - это не вирус! ). Это обычная установка игр или программ и ничего тут не поделать. Главное качайте все с проверенных ресурсов, а если уже подцепили "болячку" - так я ее вам выведу.

Первым делом копируем название сайта (покажу на примере своего ЗПИП - З аболевание П ередающееся И нтернет П утем): http // gmaegames.pro /redirect-from-banner.html - нас интересует только "начало" адреса gmaegames.pro

1) Заходим в реестр (клавиша Windows + английская R одновременно) и набираем текст: "regedit" без кавычек и жмем "OK", открываем поиск (сочетание Ctrl+F одновременно) и набираем следующий текст gmaegames.pro (НАЧАЛО АДРЕСА ВАШЕГО ВРЕДИТЕЛЯ, у вас может быть другой) и ищем. Все записи в реестре, где он встречается удаляем;

2 ) Заходим по следующему пути:

Компьютер\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

И ваша задача найти подозрительные записи в этой ветке - что-нибудь с процессом "explorer" - более подробно в конце статьи в видеоролике, чтобы вы ненароком не удалили что-то нужное;

3 ) Запускаем "Планировщик заданий" Windows (если не знаете что это или где это - ищите через меню Пуск). Здесь необходимо отследить все действия и задания компьютера, которые осуществляются при старте системы, либо при входе пользователя в среду Windows. Для этого сортируем все по разделу "Триггер". И ищем что-нибудь подозрительное. Обычно это команда выполняемая в фоне через терминал, которая заносит обратно в реестр код для запуска "спонсорского" сайта. Опять же. если первое время вам трудно понять, что я от вас хочу - более подробно в конце в видеоролике. После удаления записи снова проверяем ветку реестра: Компьютер\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и если там не появилась "вирусная" запись, то все! Перезагружаем компьютера и никакой рекламы. Рок н ролл.

А тут видео инструкция (5 минут и комп чист!):

Загрузочный вирус (англ. Boot viruses ) — компьютерный вирус, записывающийся в первый сектор гибкого или жесткого диска и выполняющийся при загрузке компьютера.


При включении или перезагрузки компьютера Boot-вирус заменяет собой загрузочный код, и таким образом получает управление ещё до непосредственного запуска операционной системы. Вместо операционной системы загружается вирус, размещая в памяти свое тело, которое хранит в неиспользованных секторах, идущих после MBR, но до первого загрузочного сектора раздела. Перехватив обращения к дискам, вирус продолжает загрузку операционной системы. Размножается вирус записью в загрузочную область других накопителей компьютера.

Простейшие загрузочные вирусы, находясь в памяти зараженного компьютера, обнаруживают в компьютере незараженный диск и производят следующие действия:

  • выделяют некоторую область диска и делают её недоступной операционной системе;
  • замещают программу начальной загрузки в загрузочном секторе диска, копируя корректную программу загрузки, а также свой код, в выделенную область диска;
  • организуют передачу управления так, чтобы вначале выполнялся бы код вируса и лишь затем — программа начальной загрузки.

Алгоритм работы загрузочного вируса

Практически все загрузочные вирусы резидентны. Они внедряются в память компьютера при загрузке с инфицированного диска. При этом системный загрузчик считывает содержимое первого сектора диска, с которого производится загрузка, помещает считанную информацию в память и передает на нее (т.е. на вирус) управление. После этого начинают выполняться инструкции вируса, который:

В дальнейшем загрузочный вирус ведет себя так же, как резидентный файловый: перехватывает обращения операционной системы к дискам и инфицирует их, в зависимости от некоторых условий совершает деструктивные действия или вызывает звуковые или видеоэффекты.

Существуют нерезидентные загрузочные вирусы — при загрузке они заражают MBR винчестера и дискеты, если те присутствуют в дисководах. Затем такие вирусы передают управление оригинальному загрузчику и на работу компьютера более не влияют.

Привет, друзья. В этой публикации будем разбираться с таким делом: при включении компьютера открывается браузер с сайтом, как убрать это. Если вы сами не назначали браузер на автозапуск вместе с Windows и не настраивали в самом браузере открытие при запуске какого-то конкретного сайта, возможно, это сделал кто-то другой из пользователей, кто имеет или имел прежде доступ к компьютеру. Возможно, это работа вредоносного программного обеспечения. А, возможно, у вас в операционной системе болтается внедрённое обманным способом задание на запуск левого сайта вместе с браузером при загрузке компьютера или входе пользователей в систему. Давайте поэтапно разберём все варианты и попробуем устранить проблему.

При включении компьютера открывается браузер с сайтом: как убрать


Автозапуск браузера и левого сайта

Первым делом предлагаю проверить, не кроется ли причина нашей проблемы в связке автозапуска браузера при загрузке Windows и настройке в самом браузере сайта для автоматического открытия.

Далее проверяем настройки запуска браузера, не настроен ли на запуск вместе с ним адрес какой-то страницы в Интернете. Если настроен, меняем на открытие новой вкладки или возобновление с места остановки.



Ещё можете отключить все расширения в браузере и посмотреть, как он себя ведёт. Возможно, перенаправление на левый сайт при запуске браузера осуществляет какое-то расширение, созданное недобросовестными разработчиками.

Антивирусное сканирование

Прежде выполнения дальнейших действий необходимо создать точку восстановления Windows или её резервную копию. Далее мы будем чистить операционную систему от Adware, удалять проблему в планировщике заданий и реестре Windows, а это операции, которые носят определённый риск. Так что вне зависимости от вашего уровня продвинутости в работе с компьютером, друзья, обеспечьте себе возможность отката Windows к текущему состоянию.

AdwCleaner


В идеале AdwCleaner должна отследить настройку левого сайта на автозапуск вместе с браузером. Однако если утилита не справится со своей задачей, такую настройку нам нужно будет искать самим. И искать её надо будет в планировщике заданий Windows или системном реестре.

Планировщик заданий Windows


И здесь смотрим, нет ли каких-то подозрительных задач с триггером запуска при загрузке Windows или входе в неё и с фигурированием в действиях адреса левого сайта.

Если есть, можно для начала отключить эту задачу и проверить, не решилась ли наша проблема. Если решилась, можно задачу удалить. Для отключения и удаления на задаче жмём контекстное меню и выбираем нужный пункт.Но, друзья, в планировщике заданий Windows много задач, можно запутаться. Как по мне, так проще поработать с программой CCleaner, она в числе инструментов запуска компьютера отображает запланированные задачи – задачи на автозапуск вместе с Windows, прописанные в планировщике и реестре. Здесь эти задачи мы сможем наблюдать обособлено, пересмотреть каждую из них, выключить для проверки, не решилась ли наша проблема, а затем и удалить.

Системный реестр Windows


И с помощью поиска редактора поискать параметры реестра, где фигурирует адрес левого сайта.


Если параметры отыщутся, в их контекстном меню можем удалить их.


Но, опять же, друзья, лучше прибегнуть к помощи программы CCleaner. В её запланированных задачах мы сможем если не сразу увидеть параметр реестра на запуск левого сайта, то поочерёдно протестировать выключение всех подозрительных автозагрузок с использованием реестра. И затем, выявив причинный параметр реестра, удалить его.

Читайте также: