Browser highjacker

[ny_quant]

Жена подцепила какую-то дрянь, которая иногда вгоняет комп в кому и выбрасывает рамочку с предложением позвонить за помощью якобы в Microsoft Windows Defender support потому что на компе якобы завелся Zeus virus. Временно лечится перезагрузкой или даже убийством браузера через Task Manager.

Вопрос: надо ли тратить силы на то чтобы это удалить с корнем или если да то как?

Comments

[hirelingofnato.livejournal.com]

Проще всего было бы откатить систему (https://youtu.be/GvHzA6mAEfw). В подавляющем большинстве случаев помогает.

[eugene naumovich (from livejournal.com)]

http://www.spyware-techie.com/fake-windows-defender-alert-zeus-virus-removal-guide
Похоже, что это остатки убитого ботнета.

[ny-quant.livejournal.com]

Даже по ссылке я не понял, то ли достаточно to reset the browser, то ли все же надо пускаться во все тяжкие.

[ny-quant.livejournal.com]

Да, не очень сложно, спасибо. Может быть так и сделаю.

[eugene naumovich (from livejournal.com)]

На моё имхо лучше во все тяжкие. А антивируса у супрюги не стоит?
Я в своё время этим https://www.safer-networking.org/ гонял такую каку.

[ny-quant.livejournal.com]

Стоит Касперский.на одном и Windows Defender на другом.

[1master.livejournal.com]

Скомпрометированную машину можно только полностью переставить, всё остальное может неприятно аукнуться.

[1master.livejournal.com]

Как кратковременное действо я бы поставил malwarebytes

[ny-quant.livejournal.com]

Да, я уже видел такой совет.

[brmail]

я делаю три шага. Первым запустить вот это бесплатное- https://toolslib.net/downloads/viewdownload/1-adwcleaner/
запусть , дать ей почистить что найдет - рестарт . Если не помогло, то совет откатить систему на несколько недель назад совсем не плох. Если и это не прокатит, то проще не пытаться лечить, а переставить систему. Кстати после установки и настройки системы сразу сделать на внешний диск копию диска через ghost или акронис, и потом процесс восстановления системы из любой жопы будет забирать 30-50 минут

[sydorov47.livejournal.com]

Прежде всего - чистить надо. Что оно там еще делает - никто не знает.
То ли у вас деньги ворует, то ли под видом русских хацкеров берет власть в ... где там выборы на очереди... Германии, то ли порнуху с лилипутами раздает.

Как я понимаю - Касперским диск чистили? Сделайте бекап информации с диска. Пристелить броузер. Если не IE - uninstall с чисткой кеша и куков. Затем если есть возможность вынуть диск - вынуть, подключить через USB (и переходник) к другому компу Comp2 (загруженому со своего чистого диска) и проверить зараженый диск. Почистить все что найдет. Отключить диск от Comp2. Перегрузить Comp2, повторить подключение диска и проверку. Если все чисто - подключить обратно.

Или после бекапа все нахрен переставить.

[ny-quant.livejournal.com]

Спасибо. Прогнал там где Касперский. Найдено 350 угроз - как-то трудно поверить.

[brmail]

350 это как то слишком дохрена - надо смотреть. Но из личного опыта, если проблема не решилась как я написал выше в первые два шага, то лучше поставить систему по новой.

[ny-quant.livejournal.com]

На другом компе эта штука удалила фолдер с 6 .txt файлами и один ключ из регистратуры:
Key deleted: HKLM\SOFTWARE\Classes\CLSID\{8BF0126F-A5B7-4720-ABB2-2414A0AF5474}
Плюс:
*************************
:: "Tracing" keys deleted
:: Winsock settings cleared
*************************
Всё.

[ny-quant.livejournal.com]

Откатил, год это тоже заведомо не поможет, т.к. единственная удаленная программа это flash player. Возможно, просто ничего и нет. Или, если есть, то надо полностью переустановить систему.

[ny-quant.livejournal.com]

Попытки найти врага успехом не увенчались.

[brmail]

anyway, удачи.
Ну а если не повезет - то переустанавливай, и сразу после установки всего софта гхостом сделай образ диска на будущее
http://nnmclub.to/forum/viewtopic.php?t=1137689

[sydorov47.livejournal.com]

Вы пробовали проверять снятый диск на другом, чистом, компе?

[ny-quant.livejournal.com]

Чистых у нас больше нет :(

[d-white1967.livejournal.com]

Ой. А она там для скачивания предлагает файл с расширением .exe.
Так должно быть? А то я такие файлы ужасно не люблю. Это программа (тогда нормально) или самораспаковывающийся архив?

[brmail]

за несколько лет пользования проблем не было

[brmail]

Это программа , файл называется примерно так - adwcleaner_6.047.exe

[eugene naumovich (from livejournal.com)]

Касперский прощёлкал эту хрень?
Я когда-то её предка задушил вот этим:
http://z-oleg.com/secur/avz/download.php

Ещё такое есть: http://antiviruslivecd.4mlinux.com/

[ny-quant.livejournal.com]

Не удалось. Получил сообщение об ошибке "потому что работает ати-вирус".

[hirelingofnato.livejournal.com]

Так завершите его процесс в диспетчере задач. Не поможет - откатывайте из безопасного режима (http://pk-help.com/workstation/safe-mode-windows7/). И это не поможет - откатывайте из безопасного режима через командную строку (http://ipmnet.ru/~sadilina/Common%20problems%20windows/200.html). И это не поможет - ну тогда я не знаю, проще будет переустановить вообще всё.

[ny-quant.livejournal.com]

Можно попробовать, но я не понимаю что это даст. Как я понимаю, цель отката это удалить вредную программу. Но Windows заранее говорят, что ничего кроме последнего flash player не удалят.

[hirelingofnato.livejournal.com]

И не надо. Программы удаляются в настройках, "пуск-параметры-система-приложения". А у вас проблема не в том, что какая-то программа установилась и вредит. Хорошо было бы, если бы малвары представляли собой некую программу, которая запускалась бы сама от, допустим, прописи в автозагрузке, и имела бы свой процесс, отключаемый в менеджере задач. У вас проблема в том, что некий вредоносный вирус слегка изменил некие системные файлы (браузера, наверно), которые теперь, работая нормально, выдают то, что есть. Тут полная аналогия с природными вирусами: сами по себе они даже живыми не являются. Они всего лишь довольно сложные молекулы, состоящие из кислорода, водорода, углерода и кислород в основным. Хорошие такие молекулы, большие, издалека даже на органическое соединение похожие - вот только собственно жизни в них не больше, чем в компьютерной мыше, которую вы сейчас держите в руке. И внутри человеческого организма они не живут в полном смысле этого слова - а просто, работая агентами/катализаторами/ингибиторами, слегка изменяют обычный человеческий метаболизм. И попытка бороться с этим теми же антибиотиками, служащими в данном случае аллегорией средства установки и удаления программ... попробуйте скормить своей компьютерной мыше лошадиную дозу стрихнина для иллюстрации.

И цель отката - вернуть эти слегка измененные системные файлы в прежнее состояние. Это, как правило, помогает. Я этих вымогателей с их "для разблокировки пошлите СМС на короткий номер..." в свое время повидал. И насчет откака, включая из безопасного режима с командной строкой - это из личного опыта.

[ny-quant.livejournal.com]

Спасибо, попробую.