Вирус при старте системы
Обновлено: 25.04.2024
Люблю я описывать разные решения, которые проверил на собственном опыте. Когда удалось решить какую-то проблему, и просто делишься этой информацией с другими людьми. Сегодня речь пойдет об очень неприятном вредоносном ПО, которое добавляет рекламу в браузер. После чего, браузер сам запускается при включении компьютера, и в нем открывается сайт с рекламой.
Я столкнулся с проблемой, когда сразу при включении компьютера автоматически открывался браузер Microsoft Edge и в нем загружался сайт exinariuminix.info и gameorplay.info. Где крутилась разная плохая реклама. Причем со звуком. Я разобрался в чем проблема, убрал эту рекламу и сейчас расскажу вам как это сделать.
Обратите внимание, что у вас при загрузке Windows может запускаться другой браузер. Например: Chrome, Firefox, Opera, Internet Explorer. Как я позже выяснил, все зависит от того, какой браузер у вас установлен по молчанию в настройках Windows.
И сайт с рекламой так же может быть другой. Думаю, это не имеет никакого значения.
В моем случае на компьютере установлена Windows 10, и лицензионный антивирус ESET NOD32, который каким-то образом пропустил это вредоносное, или правильнее наверное рекламное ПО.
Как оно может попасть на компьютер? Да как угодно. Скорее всего при установке какой-то программы, которая была изначально заражена. Вариантов очень много. Всегда старайтесь скачивать программы только с официальных сайтов. И внимательно устанавливайте. Убирайте лишние галочки.
Браузер запускается сам и открывается сайт с рекламой
Сейчас покажу как это происходит (конкретно в моем случае). Так сказать обрисую проблему и приступим к решению.
Включаю компьютер. Загружаются все программы, антивирус, и в конце автоматически открывается Microsoft Edge (стандартный браузер в Windows 10). И в нем сразу загружается сайт exinariuminix.info. Вот только антивирус не дает ему загрузится.
Ради интереса отключил антивирус и перешел на этот сайт. Вам так делать не советую! Идет перенаправление на другой сайт gameorplay.info, где уже крутится эта ужасная реклама, да еще и со звуком.
Вот такая неприятная гадость. Которую мы сейчас будем убирать.
Не могу гарантировать, что описанные ниже действия вам помогут, но в моем случае я полностью убрал рекламу и браузер перестал открываться сам по себе. Просто есть разные варианты этого вредоносного ПО, и прятаться они могут где угодно и как угодно. Ну и скорее всего этим сайтам с рекламой все ровно в каком браузере загружаться. Будь то Internet Explorer, Хром, или Опера. И не важно какая система: Windows 10, Windows 7, или старенькая XP.
Почему при включении компьютера открывается браузер с рекламой?
На первый взгляд, проблема очень простая. Раз браузер открывается при загрузке Windows, то значит он сидит в автозагрузке. А в качестве домашней страницы в нем прописался этот сайт с рекламой. Но все оказалось не совсем так.
В списке автозагрузки я не нашел никаких странных программ и тем более браузера. Но там почему-то был Проводник (explorer.exe). Странно, подумал я. Что делает проводник в автозагрузке. Тем более, что он не открывается при загрузке системы. Посмотрел его свойства, там ничего странного и лишнего нет. Файл explorer.exe запускается из папки C:\Windows. Все как положено.
Решил его отключить.
Как полностью убрать рекламный вирус в Windows?
Чтобы открыть редактор реестра, нажмите сочетание клавиш Win + R , введите команду regedit и нажмите Ok.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Где находится список программ текущего пользователя, которые загружаются при старте компьютера.
Интересное решение. И я подумал, что все можно решить просто удалив этот параметр из реестра. Так и сделал.
Перезагрузил компьютер и что вы думаете? Снова открылся браузер Microsoft Edge и в нем эта реклама!
Тут уже становится понятно, что удаление записи в реестре – это не решение. Где-то в системе сидит эта вредоносная программа, которая снова прописывает все параметры, и сайт с рекламой открывается снова. А NOD32 почему-то ничего не замечает. Антивирус то вроде хороший.
Я решил проверить компьютер с помощью антивирусных утилит.
Антивирусные утилиты в борьбе с самостоятельным запуском браузера
Я использовал три сканера: Dr.Web CureIt!, Malwarebytes Free и Malwarebytes AdwCleaner. Сразу скажу, что мне помогла утилита Malwarebytes Free. Там вроде пробная версия на 14 дней. Мне ее хватило.
Минуты через три она мне выдала, что найдено 7 угроз. А в списке отображалось только две, которые я мог очистить. Это: PUP.Optional.Legacy и PUP.Optional.Gameorplay.info. В последнем указан сайт, который загружался в браузере. Я обрадовался, что после очистки проблема исчезнет.
Дальше скачал Dr.Web CureIt! и запустил проверку. Но он вообще ничего не нашел. То что вы видите на скриншоте ниже, это точно не рекламный вирус.
После чего утилита Malwarebytes Free запросила разрешение на перезагрузку.
После перезагрузки проблема с автоматическим запуском браузера была полностью решена. Ну и сайт с рекламой соответственно больше не загружается.
Я очень надеюсь, что моя статья вам пригодилась. Если это так, то напишите в комментариях, какой браузер у вас сам запускался при включении компьютера, и какой сайт с рекламой в нем загружался. Так же интересно, какое решение, или какая антивирусная утилита помогла убрать эту рекламу.
Если же вы не смогли избавится от этого вируса, то опишите в комментариях что и когда у вас открывается и в каком браузере. Так же можете скриншот прикрепить. Обязательно постараюсь подсказать решение.
Задав подобный запрос где-нибудь в Google или Яндекс: "Сам открывается браузер с рекламой — как решить?" - вам будет выдаваться тонна ненужной информации с рекламой тех или иных приложений, которые по факту проблему не решают (проверяли неоднократно), но при всем при этом умудряются менять что-то в настройках компьютера и лезут в реестр. А хуже не станет? И В КОНЦЕ ВИДЕО ИНСТРУКЦИЯ (мало ли =)
"Нет ничего более надежного, чем ручная чистка компьютера, при условии, что вы прекрасно понимаете что-где находится, обладаете определенной долей самоуверенности и чем черт не шутит наглости =) и да - под нашим чутким руководством, дабы. не стало хуже? "
Подобные "трояны" пропускаются антивирусами, потому что они по сути вирусами и не являются (данные никуда не сливаются, вы просто получаете набор "партнерских" ссылок - как например информация о той или иной компании, или ссылка на сайт игры в меню пуск. теперь понимаете в чем хитрость* хуже компьютеру не станет - это не вирус! ). Это обычная установка игр или программ и ничего тут не поделать. Главное качайте все с проверенных ресурсов, а если уже подцепили "болячку" - так я ее вам выведу.
Первым делом копируем название сайта (покажу на примере своего ЗПИП - З аболевание П ередающееся И нтернет П утем): http // gmaegames.pro /redirect-from-banner.html - нас интересует только "начало" адреса gmaegames.pro
1) Заходим в реестр (клавиша Windows + английская R одновременно) и набираем текст: "regedit" без кавычек и жмем "OK", открываем поиск (сочетание Ctrl+F одновременно) и набираем следующий текст gmaegames.pro (НАЧАЛО АДРЕСА ВАШЕГО ВРЕДИТЕЛЯ, у вас может быть другой) и ищем. Все записи в реестре, где он встречается удаляем;
2 ) Заходим по следующему пути:
Компьютер\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
И ваша задача найти подозрительные записи в этой ветке - что-нибудь с процессом "explorer" - более подробно в конце статьи в видеоролике, чтобы вы ненароком не удалили что-то нужное;
3 ) Запускаем "Планировщик заданий" Windows (если не знаете что это или где это - ищите через меню Пуск). Здесь необходимо отследить все действия и задания компьютера, которые осуществляются при старте системы, либо при входе пользователя в среду Windows. Для этого сортируем все по разделу "Триггер". И ищем что-нибудь подозрительное. Обычно это команда выполняемая в фоне через терминал, которая заносит обратно в реестр код для запуска "спонсорского" сайта. Опять же. если первое время вам трудно понять, что я от вас хочу - более подробно в конце в видеоролике. После удаления записи снова проверяем ветку реестра: Компьютер\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и если там не появилась "вирусная" запись, то все! Перезагружаем компьютера и никакой рекламы. Рок н ролл.
А тут видео инструкция (5 минут и комп чист!):
Загрузочный вирус (англ. Boot viruses ) — компьютерный вирус, записывающийся в первый сектор гибкого или жесткого диска и выполняющийся при загрузке компьютера.
При включении или перезагрузки компьютера Boot-вирус заменяет собой загрузочный код, и таким образом получает управление ещё до непосредственного запуска операционной системы. Вместо операционной системы загружается вирус, размещая в памяти свое тело, которое хранит в неиспользованных секторах, идущих после MBR, но до первого загрузочного сектора раздела. Перехватив обращения к дискам, вирус продолжает загрузку операционной системы. Размножается вирус записью в загрузочную область других накопителей компьютера.
Простейшие загрузочные вирусы, находясь в памяти зараженного компьютера, обнаруживают в компьютере незараженный диск и производят следующие действия:
- выделяют некоторую область диска и делают её недоступной операционной системе;
- замещают программу начальной загрузки в загрузочном секторе диска, копируя корректную программу загрузки, а также свой код, в выделенную область диска;
- организуют передачу управления так, чтобы вначале выполнялся бы код вируса и лишь затем — программа начальной загрузки.
Алгоритм работы загрузочного вируса
Практически все загрузочные вирусы резидентны. Они внедряются в память компьютера при загрузке с инфицированного диска. При этом системный загрузчик считывает содержимое первого сектора диска, с которого производится загрузка, помещает считанную информацию в память и передает на нее (т.е. на вирус) управление. После этого начинают выполняться инструкции вируса, который:
В дальнейшем загрузочный вирус ведет себя так же, как резидентный файловый: перехватывает обращения операционной системы к дискам и инфицирует их, в зависимости от некоторых условий совершает деструктивные действия или вызывает звуковые или видеоэффекты.
Существуют нерезидентные загрузочные вирусы — при загрузке они заражают MBR винчестера и дискеты, если те присутствуют в дисководах. Затем такие вирусы передают управление оригинальному загрузчику и на работу компьютера более не влияют.
Привет, друзья. В этой публикации будем разбираться с таким делом: при включении компьютера открывается браузер с сайтом, как убрать это. Если вы сами не назначали браузер на автозапуск вместе с Windows и не настраивали в самом браузере открытие при запуске какого-то конкретного сайта, возможно, это сделал кто-то другой из пользователей, кто имеет или имел прежде доступ к компьютеру. Возможно, это работа вредоносного программного обеспечения. А, возможно, у вас в операционной системе болтается внедрённое обманным способом задание на запуск левого сайта вместе с браузером при загрузке компьютера или входе пользователей в систему. Давайте поэтапно разберём все варианты и попробуем устранить проблему.
При включении компьютера открывается браузер с сайтом: как убрать
Автозапуск браузера и левого сайта
Первым делом предлагаю проверить, не кроется ли причина нашей проблемы в связке автозапуска браузера при загрузке Windows и настройке в самом браузере сайта для автоматического открытия.
Далее проверяем настройки запуска браузера, не настроен ли на запуск вместе с ним адрес какой-то страницы в Интернете. Если настроен, меняем на открытие новой вкладки или возобновление с места остановки.
Ещё можете отключить все расширения в браузере и посмотреть, как он себя ведёт. Возможно, перенаправление на левый сайт при запуске браузера осуществляет какое-то расширение, созданное недобросовестными разработчиками.
Антивирусное сканирование
Прежде выполнения дальнейших действий необходимо создать точку восстановления Windows или её резервную копию. Далее мы будем чистить операционную систему от Adware, удалять проблему в планировщике заданий и реестре Windows, а это операции, которые носят определённый риск. Так что вне зависимости от вашего уровня продвинутости в работе с компьютером, друзья, обеспечьте себе возможность отката Windows к текущему состоянию.
AdwCleaner
В идеале AdwCleaner должна отследить настройку левого сайта на автозапуск вместе с браузером. Однако если утилита не справится со своей задачей, такую настройку нам нужно будет искать самим. И искать её надо будет в планировщике заданий Windows или системном реестре.
Планировщик заданий Windows
И здесь смотрим, нет ли каких-то подозрительных задач с триггером запуска при загрузке Windows или входе в неё и с фигурированием в действиях адреса левого сайта.
Если есть, можно для начала отключить эту задачу и проверить, не решилась ли наша проблема. Если решилась, можно задачу удалить. Для отключения и удаления на задаче жмём контекстное меню и выбираем нужный пункт.Но, друзья, в планировщике заданий Windows много задач, можно запутаться. Как по мне, так проще поработать с программой CCleaner, она в числе инструментов запуска компьютера отображает запланированные задачи – задачи на автозапуск вместе с Windows, прописанные в планировщике и реестре. Здесь эти задачи мы сможем наблюдать обособлено, пересмотреть каждую из них, выключить для проверки, не решилась ли наша проблема, а затем и удалить.
Системный реестр Windows
И с помощью поиска редактора поискать параметры реестра, где фигурирует адрес левого сайта.
Если параметры отыщутся, в их контекстном меню можем удалить их.
Но, опять же, друзья, лучше прибегнуть к помощи программы CCleaner. В её запланированных задачах мы сможем если не сразу увидеть параметр реестра на запуск левого сайта, то поочерёдно протестировать выключение всех подозрительных автозагрузок с использованием реестра. И затем, выявив причинный параметр реестра, удалить его.
Читайте также: