Уровень сложности
Средний
Время на прочтение
6 мин
Количество просмотров 3.8K
Основной задачей, которую необходимо решить вредоносному файлу сразу после запуска является закрепление в системе, то есть обеспечение возможно постоянной работы данного процесса в системе. То есть, злоумышленнику необходимо, чтобы процесс, с помощью которого он может получить доступ в систему (троян, бэкдор и т. д.) запускался бы автоматически при загрузке системы и работал во время всего сеанса работы системы. Существует несколько методов закрепиться в системе. В этой статье мы рассмотрим наиболее распространенные способы закрепления в ОС Windows, а также посмотрим, как некоторые из этих техник выглядят в отладчике. Будем считать, что для запуска нужного процесса злоумышленнику так или иначе необходимо запустить выполнимый файл.
Ветка Run
Начнем с наиболее известного места, где можно прописать автоматический запуск приложения при старте системы — реестра Windows. И прежде всего приложения, желающие стартовать вместе с ОС прописывают себя в ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Для первого варианта нам необходимы права локального администратора. Для того, чтобы прописать автоматический запуск файла, необходимо добавить новое значение в ветку Run.
Однако, важно понимать, что манипуляции с данными ветками реестра также отслеживают и средства защиты. Так антивирус будет очень внимательно следить за тем, какие приложения собираются прописать свои файлы в эти ветки реестра. И попытка неизвестного ранее приложения прописаться в ветку Run может привести к срабатыванию антивируса.
Также, если вам необходимо один раз выполнить какой-либо файл. Например, вам необходимо прописать в системе сервис, то можно воспользоваться ключом RunOnce.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Если мы хотим выполнить файл один раз для конкретного пользователя, то необходимо прописать файл в ветке:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Однако, этими, наиболее известными ветками реестра возможности спрятаться в автозагрузку не ограничиваются. Так, за автозагрузку в профиле текущего пользователя отвечают ветки реестра показанные ниже.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Shared Tools\Msinfo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Shared Tools\Msinfo
Посмотрим, как код, правящий реестр выглядит в отладчике.
Конечно, любой здравомыслящий вредонос постарается максимально скрыть от отладки как разделы памяти в которых указаны ветки реестра и записываемые значения, так и сами вызовы функций для работы с реестром. Но в представленном на скриншоте примере мы видим обращения к реестру: RegOpenKeyEx, RegCreateKey, RegCloseKey. По вызовам этих функций можно понять, что приложение в принципе работает с реестром. В случае, если вносятся правки в представленные выше ветки, то вероятнее всего мы имеем дело с вредоносом.
Сервисы в реестре
Еще одним способом поселиться в автозагрузку является использование системных служб – сервисов. Сервис (служба) – это приложение, автоматически исполняемое системой при запуске операционной системы Windows и выполняющиеся вне зависимости от статуса пользователя.
Существует несколько режимов для служб:
-
запрещён к запуску;
-
ручной запуск (по запросу);
-
автоматический запуск при загрузке компьютера;
-
автоматический (отложенный) запуск;
-
обязательная служба/драйвер (автоматический запуск и невозможность (для пользователя) остановить службу).
Соответственно, для того, чтобы осуществить автоматический запуск какого-либо выполнимого файла, нам необходимо прописать его как сервис. И здесь кроются некоторые сложности. Дело в том, что сервис – это, не совсем обычный выполнимый файл. Для его запуска недостаточно просто создать exe файл и запустить его. Вместо этого нам необходимо зарегистрировать сервис в системе и только потом его можно запускать.
На скриншоте ниже представлен фрагмент кода, в котором формируется набор значений в стеке (в том числе имя выполняемого файла и самого сервиса) и затем все это передается функции CreateService для создания сервиса.
После того, как сервис зарегистрирован в системе его можно запустить с помощью вызова функции OpenService.
Помимо использования функций ОС предназначенных непосредственно для работы с сервисами, для регистрации и запуска сервиса можно воспользоваться командой sc. В примере ниже мы создаем процесс, который запускает команду sc start NewServ. CreateProcess не единственная функция для запуска процессов. В одной из предыдущих статей по реверсингу мы использовали функцию WinExec для запуска калькулятора при реализации переполнения буфера.
В общем, не стоит забывать про такой простой способ работы с сервисами, как консольные команды.
И еще с сервисами можно работать через реестр. Для этого предназначена ветка
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\
В ней находятся разделы, описывающие работу каждого из сервисов, зарегистрированных в операционной системе.
На скриншоте показаны параметры сервиса DHCP. Как видно, в этой ветке имеются параметры, отвечающие за параметры запуска сервиса, аккаунт, от которого он запускается и собственно сам путь к выполнимому файлу. Таким образом, работу с сервисами можно организовать с помощью манипуляций с реестром.
Скрытый отладчик
Представленные выше способы регистрации в автозагрузке в большей или меньшей степени видны пользователю системы. Так запущенные сервисы можно легко увидеть в соответствующей оснастке, а ветки Run хорошо всем известны, и можно без труда проверить их содержимое.
Однако, в реестре есть менее известные ветки, в которые тоже можно подселить выполнимый файл. В данном случае речь пойдет не совсем об автозагрузке как таковой, но при желании здесь тоже можно организовать автозапуск.
Разработчики из Майкрософт очень любят оставлять себе лазейки в виде недокументированных возможностей. В частности, они предусмотрели функционал по автоматическому запуску отладчика для заданного приложения. Работает это следующим образом: в ветке реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options\
Мы создаем раздел с именем запускаемого приложения, а в этом разделе создаем параметр Debug в котором уже указываем выполнимый файл, запускаемый в реальности.
То есть, в примере на скриншоте при попытке запуска калькулятора у нас запустится некий prog.exe. Таким образом можно под видом одного приложения запустить другое. Можно к примеру подменить экранную клавиатуру (osk.exe) на командную строку (cmd.exe). В результате можно будет на заблокированном компьютере вызывать клавиатуру и получать командную строку, причем с правами System!
Небезопасные обновления
Продолжая тему реестра и размещения приложений в нем, мы можем поправить команды, которые выполняются при обновлении тех или иных компонентов. В ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\
Указаны GUID установленных компонентов и для многих из них можно найти параметры StubPath и Version. Далее процитируем официальную документацию Майкрософт:
При входе пользователя система сравнивает содержимое разделов HKLM\Software\Microsoft\Active Setup\Installed Components и HKCU\Software\Microsoft\Active Setup\Installed Components. Для каждого раздела в HKLM должна быть копия с тем же GUID в HKCU. Дальше есть три варианта развития событий:
1. Если копии нет, то выполняется команда, указанная в StubPath, после чего в HKCU создается раздел с тем же GUID и прочими параметрами.
2. Если копия есть, то сравнивается значение параметра Version. Если версия в HKCU младше, чем в HKLM, то задание отрабатывает повторно, после чего номер версии в HKCU обновляется.
3. Если же раздел с одинаковым GUID есть и в HKLM и в HKCU и номер версии у них совпадает, то значит компонент уже отработал для данного пользователя и запускать его не требуется.
Таким образом мы можем поиграться со значением StubPath и версиями для того, чтобы в итоге выполнить то, что нам нужно. По сути, здесь тоже можно реализовать автозагрузку.
Переселяем папки
Также с помощью реестра можно “перепрятать” разделы из меню Пуск. В ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
Размещаются пути к различным компонентам, включая меню Автозагрузка. Соответственно, здесь мы тоже можем поменять значения параметров для того, чтобы запускать файлы из другого каталога.
Планировщик задач
Помимо реестра мы можем попробовать прописать свое приложение в XML файлы с описанием задач. В каталоге %WINDIR%\System32\Tasks находятся XML файлы в которых прописано выполнение тех или иных действий и расписание, по которому эти действия выполняются.
Помимо прочего, в них можно найти и те команды, которые должны выполняться в рамках этой задачи.
Таким образом мы получаем еще один вектор для закрепления в системе.
Заключение
В этой статье мы рассмотрели основные методы размещения выполнимых файлов в системе для автозагрузки. Знание этих методов может помочь в выявлении подозрительных активностей злоумышленников в системе.
О других инструментах для обеспечения безопасности можно узнать у экспертов в области ИБ, например на онлайн-курсах. Перед стартом обучения проходят открытые уроки от преподавателей курсов, на которых можно узнать об актуальных технологиях и задать интересующие вопросы экспертам.
Привет друзья! Сегодня утром мне попался интересный случай. Ноутбук моего клиента долго загружался и конечно первым делом я исследовал автозагрузку Windows 10, в которой обнаружил вредоносную программу, но что интересно, ни отключить вирус из автозапуска, ни открыть расположение файла зловреда я не смог, так как подобное действие в диспетчере было недопустимо. Читаем подробности.
Как в Диспетчере задач отобразить путь к файлу или вредоносной программе, находящейся в автозагрузке Windows 10
Итак, началось всё с того, что один молодой человек пожаловался мне на долгую загрузку и сильные зависания операционной системы, кроме того, установленный на ноутбуке антивирус Avast всё время удалял какой-то файл и просил произвести перезагрузку компьютера, но после перезагрузки всё повторялось.
- Большая часть наших читателей знает, что чем больше программ вы устанавливаете на свой ПК, тем дольше он будет загружаться. Происходит это потому, что многие приложения прописывают себя в автозагрузку и стартуют вместе с Windows. Не исключение и вредоносные программы. Иногда в автозапуске так много приложений, что пользователь даже не помнит, когда устанавливал некоторые из них и сомневается в их необходимости. Лечение здесь одно, исключить ненужные программы из автозагрузки (а некоторые даже удалить), после этого OS будет загружаться быстрее. К вирусам применяем немного другой подход — исключаем из автозапуска, перезагружаемся и удаляем, если удалить не получается (выходит ошибка, что файл используется системой), то также с помощью Диспетчера задач останавливаем процессы вредоносной программы и удаляем её.
Я включил ноут пострадавшего и первым делом запустил Диспетчер задач,
затем проследовал в автозагрузку. Сразу отметил для себя файл с именем «Amigo», который задерживал загрузку системы на целых 10 секунд, увидеть это было можно, включив в диспетчере столбец «Влияние на ЦП при запуске». Я щёлкнул на файле правой кнопкой мыши, вызвав меню, но к сожалению отключить или узнать месторасположение вируса система не давала.
Да, существует браузер с таким именем и надо сказать не самого лучшего качества, но в нашем случае файл был заражён вредоносной программой, так как три процесса вируса создавали нагрузку на процессор 99% и именно его пытался удалить антивирус Avast.
Я перешёл на вкладку «Процессы» и снял задачу с вредоносных процессов.
Ноутбук сразу пришёл в норму.
Затем я стал вручную искать вредоносный файл, но поиск длился ужасно долго, поэтому я прибегнул к такому хитрому способу.
Я вернулся в Диспетчер задач и опять перешёл на вкладку «Автозагрузка», щёлкнул правой кнопкой мыши на столбце «Состояние» (можно «Издатель») и в выпадающем меню отметил пункт «Командная строка»,
в результате в столбце «Командная строка» диспетчер задач стал показывать точное местоположение (путь) ко всем программам, находящимся в автозагрузке. Вирус находился в папке:
C:\Users\Max\AppData\Local\Amigo\Application
Оставалось только пройти по этому пути и удалить вирус.
Думаю вам будет интересно прочитать: Удаляем все вирусы на компьютере с помощью Zemana AntiMalware
- Что это?
- Что делать?
- Заключение
Приветствую друзья! Сегодня будем разбираться с одной записью в автозагрузке — Обработчик команд Windows, в принципе это может быть как системный компонент, так и вирус.
Запись, запускающая работу командой строки, которая в свою очередь может выполнять определенные команды.
В большинстве случаев запись не является драйвером, важным компонентом или важной программой. То есть для эксперимента ее можно спокойно попробовать отключить.
Часто эта запись — вирус, рекламное ПО или даже майнер.
Например под названием Обработчик команд Windows существует вирус, который Касперский определяет как Trojan.BAT.Starter.jf или Trojan.BAT.Miner.ev , последний явно майнер. Что за майнер? Это тип вируса, который добывает криптовалюту за счет ресурсов вашего ПК. Такой вирус может грузить ПК без явной причин.
Еще существует вирус Trojan.BAT.Bitmin.t, который тоже маскируется под это название и судя по названию самого вируса — вроде тоже майнер.
Второй вариант — рекламный вирус. При этом после включения ПК может запускаться например браузер Microsoft Edge и показывать рекламу. Кроме этого вирус может блокировать запуск программ CCleaner (чистилка от мусора, также показывает содержимое автозагрузки, планировщика), AutoLogger (сборщик логов на ПК для дальнейшего анализа зараженной системы и ее восстановления), regedit.exe (редактор реестра).
Вот еще пример, когда запись возможно и не вирус:
Что еще важно — запись запускает процесс cmd.exe, это совсем не вирус, а командная строка, которая может выполнять уже команды. Хотя, не исключаю что возможно и под cmd.exe может маскироваться вирус.
Пример как процесс может грузить ПК:
Что делать?
Я находил комментарии в интернете об этой записи в автозагрузке, комментарии были написаны еще пару лет назад и во всех случаях — рекомендуют проверить ПК антивирусными утилитами, а точнее Dr.Web CureIt!. Поэтому если это вирус, то Dr.Web CureIt! скорее всего уже об этом знает и умеет его удалять.
Да, может и не вирус. Но все равно рекомендую проверить ПК антивирусными утилитами.
Алгоритм действий:
- Отключите в автозагрузке запись Обработчик команд Windows. Откройте диспетчер задач (правой кнопкой по панели задач), активируйте вкладку Автозагрузка и отключите. PS: в Windows 7 — зажмите Win + R > команда msconfig > вкладка Автозагрузка.
- Проверка антивирусными утилитами. Настоятельно советую сканировать не одной утилитой, а всеми тремя, это даст максимальный эффект — будут удалены как опасные вирусы, так и рекламные.
- Лишнее ПО. Также желательно удалить программы, которые скорее всего вам не нужны, например Driverupdater, DllKitPRO, DriverPack Solution и подобные, которые лично вы — не устанавливали. Откуда они берутся? Они ставятся с другими прогами, которые вы как раз качали, но с сомнительных сайтов.
РЕКЛАМА
Антивирусные утилиты, которыми нужно проверить ПК (настаиваю чтобы проверили всеми тремя):
- Dr.Web CureIt! — мощная утилита против опасных вирусов, например трояны, ботнеты, майнеры. Скачивается уже с антивирусными базами, поэтому вес может быть примерно 100 мб. Сканирует весь диск, длительность зависит от количества файлов и обьема диска. Если вы используете SSD, то проверка выполнится быстрее.
- AdwCleaner — утилита против рекламного/шпионского ПО. Эффективно находит рекламные вирусы в расширениях браузеров, ярлыках, в планировщике, сканирует автозапуск программ, реестр. Перед сканированием качает антивирусные базы. Быстро сканирует.
- HimanPro — качественная утилита против таких угроз как руткиты, трояны, ботнеты, майнеры и другие. Легко удаляет рекламное и шпионское ПО. Присутствует антишпионский облачный сканер, использующий для проверки сигнатурные базы Emsisoft, Ikarus, G Data и Dr.Web. Проверяет шустро. Утилита платная, но присутствует бесплатный режим проверки. Ищет угрозы в автозагрузке, планировщике, реестре, в папках браузеров, проверяет все места где может присутствовать вирус.
После сканирования, для полного удаления часто нужна перезагрузка.
Важно! При использовании утилиты Dr.Web CureIt! нужно нажать на Выбрать обьекты для проверки:
Потом ставим галочки на всех обьектах:
Далее справа есть кнопка-ключик, нажмите ее и установите галочку Автоматически применять действия угрозам:
Для анализа автозагрузки рекомендую бесплатную прогу AnVir Task Manager. Позволяет просмотреть автозагрузку обычную, из реестра, задания планировщика, также отображает службы (сервисы). Еще подсказывает что опасное, а что нет.
Заключение
- Обработчик команд Windows — запись в автозагрузке, запускающая командную строку, в которой могут выполняться неизвестные команды.
- Запись спокойно может быть как опасным вирусом — майнер, троян, ботнет, так и рекламным/шпионским ПО. Поэтому проверить ПК антивирусными утилитами — обязательно.
Надеюсь информация пригодилась, удачи и добра, до новых встреч друзья!
Автоматически открывается браузер с сайтом и рекламой. Как убрать?
Люблю я описывать разные решения, которые проверил на собственном опыте. Когда удалось решить какую-то проблему, и просто делишься этой информацией с другими людьми. Сегодня речь пойдет об очень неприятном вредоносном ПО, которое добавляет рекламу в браузер. После чего, браузер сам запускается при включении компьютера, и в нем открывается сайт с рекламой.
На самом деле, таких вирусов (если можно их так назвать) сейчас очень много. Ведут они себя по-разному и открывают разные сайты и рекламу. Но в любом случае, это сильно мешает и раздражает. Бывает, что в браузере просто открывается новая вкладка с рекламой в то время, когда вы смотрите другие сайты. Или открывается какой-то сайт с рекламой при запуске браузера. Причем, эта гадость может поселится практически в любом браузере: Opera, Chrome, Microsoft Edge, Mozilla Firefox, Internet Explorer и т. д. Очень часто автоматически открывается сайт с рекламой вулкан. Кстати, я уже писал о том, как удалить «Вулкан» из браузера. Если у вас проблема именно с сайтом «Казино Вулкан», то можете перейти по ссылке и применить решения.
Я столкнулся с проблемой, когда сразу при включении компьютера автоматически открывался браузер Microsoft Edge и в нем загружался сайт exinariuminix.info и gameorplay.info. Где крутилась разная плохая реклама. Причем со звуком. Я разобрался в чем проблема, убрал эту рекламу и сейчас расскажу вам как это сделать.
Обратите внимание, что у вас при загрузке Windows может запускаться другой браузер. Например: Chrome, Firefox, Opera, Internet Explorer. Как я позже выяснил, все зависит от того, какой браузер у вас установлен по молчанию в настройках Windows.
И сайт с рекламой так же может быть другой. Думаю, это не имеет никакого значения.
В моем случае на компьютере установлена Windows 10, и лицензионный антивирус ESET NOD32, который каким-то образом пропустил это вредоносное, или правильнее наверное рекламное ПО.
Как оно может попасть на компьютер? Да как угодно. Скорее всего при установке какой-то программы, которая была изначально заражена. Вариантов очень много. Всегда старайтесь скачивать программы только с официальных сайтов. И внимательно устанавливайте. Убирайте лишние галочки.
Браузер запускается сам и открывается сайт с рекламой
Сейчас покажу как это происходит (конкретно в моем случае). Так сказать обрисую проблему и приступим к решению.
Включаю компьютер. Загружаются все программы, антивирус, и в конце автоматически открывается Microsoft Edge (стандартный браузер в Windows 10). И в нем сразу загружается сайт exinariuminix.info. Вот только антивирус не дает ему загрузится.
Ради интереса отключил антивирус и перешел на этот сайт. Вам так делать не советую! Идет перенаправление на другой сайт gameorplay.info, где уже крутится эта ужасная реклама, да еще и со звуком.
Кстати, если закрыть эту вкладку с рекламой и заново запустит браузер, то сайт «Страница спонсоров» уже не открывается. Только при включении компьютера.
Вот такая неприятная гадость. Которую мы сейчас будем убирать.
Не могу гарантировать, что описанные ниже действия вам помогут, но в моем случае я полностью убрал рекламу и браузер перестал открываться сам по себе. Просто есть разные варианты этого вредоносного ПО, и прятаться они могут где угодно и как угодно. Ну и скорее всего этим сайтам с рекламой все ровно в каком браузере загружаться. Будь то Internet Explorer, Хром, или Опера. И не важно какая система: Windows 10, Windows 7, или старенькая XP.
Почему при включении компьютера открывается браузер с рекламой?
На первый взгляд, проблема очень простая. Раз браузер открывается при загрузке Windows, то значит он сидит в автозагрузке. А в качестве домашней страницы в нем прописался этот сайт с рекламой. Но все оказалось не совсем так.
Открываем список автозагрузки. В Windows 10 и Windows 8 достаточно нажать сочетание клавиш Ctrl + Alt + Del выбрать «Диспетчер задач» и перейти на вкладку «Автозагрузка».
А в Windows 7 нажимаем сочетание клавиш Win + R, вводим команду msconfig, Ok и открываем вкладку «Автозагрузка».
В списке автозагрузки я не нашел никаких странных программ и тем более браузера. Но там почему-то был Проводник (explorer.exe). Странно, подумал я. Что делает проводник в автозагрузке. Тем более, что он не открывается при загрузке системы. Посмотрел его свойства, там ничего странного и лишнего нет. Файл explorer.exe запускается из папки C:\Windows. Все как положено.
Решил его отключить.
Отключил. Перезагрузил компьютер и браузер уже не загрузился! И на этом уже можно было закончить эту статью, но я решил разобраться до конца. Не очень хотелось оставлять этот «Проводник» в автозагрузке. Пусть и в отключенном состоянии. Но я уже точно знал, что проблем именно в нем.
Как полностью убрать рекламный вирус в Windows?
Решил я проверить папки «Автозагрузка». Но там ничего не нашел. Тогда решил проверить все в редакторе реестра.
Чтобы открыть редактор реестра, нажмите сочетание клавиш Win + R, введите команду regedit и нажмите Ok.
И в ветке:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Где находится список программ текущего пользователя, которые загружаются при старте компьютера.
Я увидел очень интересный параметр с именем текущего пользователя. Где был прописан запуск проводника Windows с сайтом на котором загружалась реклама. Выглядит это как: «explorer.exe http://exinariuminix.info».
Все очень просто! Запускается проводник и в нем автоматически открывается сайт exinariuminix.info. Но так как это сайт (с http://), то он не может быть открыт в проводнике и автоматически открывается в браузере, который установлен в системе по умолчанию! Можете попробовать набрать адрес любого сайта в проводнике. Он откроется в браузере.
Интересное решение. И я подумал, что все можно решить просто удалив этот параметр из реестра. Так и сделал.
Перезагрузил компьютер и что вы думаете? Снова открылся браузер Microsoft Edge и в нем эта реклама!
Тут уже становится понятно, что удаление записи в реестре – это не решение. Где-то в системе сидит эта вредоносная программа, которая снова прописывает все параметры, и сайт с рекламой открывается снова. А NOD32 почему-то ничего не замечает. Антивирус то вроде хороший.
Я решил проверить компьютер с помощью антивирусных утилит.
Антивирусные утилиты в борьбе с самостоятельным запуском браузера
Я использовал три сканера: Dr.Web CureIt!, Malwarebytes Free и Malwarebytes AdwCleaner. Сразу скажу, что мне помогла утилита Malwarebytes Free. Там вроде пробная версия на 14 дней. Мне ее хватило.
Но начинал я с Malwarebytes AdwCleaner. Скачал и запустил ее. Установка не требуется. Просто запускам и нажимаем на кнопку «Сканировать».
Минуты через три она мне выдала, что найдено 7 угроз. А в списке отображалось только две, которые я мог очистить. Это: PUP.Optional.Legacy и PUP.Optional.Gameorplay.info. В последнем указан сайт, который загружался в браузере. Я обрадовался, что после очистки проблема исчезнет.
Очистил, перезагрузил компьютер, но проблема осталась. Снова «красивая» реклама сразу после загрузки Windows 10. Не знаю почему это не помогло. При повторном сканировании утилита ничего не обнаружила.
Дальше скачал Dr.Web CureIt! и запустил проверку. Но он вообще ничего не нашел. То что вы видите на скриншоте ниже, это точно не рекламный вирус.
В итоге скачал Malwarebytes Free. Запустил и начал наблюдать за процессом сканирования. Было найдено три угрозы «Вредоносное ПО» (Adware.StartPage) и две «Потенциально нежелательные программы». Выделил только «Вредоносное ПО» и отправил в карантин.
После чего утилита Malwarebytes Free запросила разрешение на перезагрузку.
После перезагрузки проблема с автоматическим запуском браузера была полностью решена. Ну и сайт с рекламой соответственно больше не загружается.
В редакторе реестра ключ с параметром «explorer.exe http://exinariuminix.info» исчез и больше не появляется. Точно так же как и «Проводник» в окне «Автозагрузка».
Я очень надеюсь, что моя статья вам пригодилась. Если это так, то напишите в комментариях, какой браузер у вас сам запускался при включении компьютера, и какой сайт с рекламой в нем загружался. Так же интересно, какое решение, или какая антивирусная утилита помогла убрать эту рекламу.
Если же вы не смогли избавится от этого вируса, то опишите в комментариях что и когда у вас открывается и в каком браузере. Так же можете скриншот прикрепить. Обязательно постараюсь подсказать решение.
Приветствую. Разбираемся с непонятным элементом в автозагрузке — Program, название конечно банальное, под ним может скрываться что угодно: от вируса до системного компонента от Microsoft. На заметку: старайтесь не качать софт с сомнительных сайтов, торрентов — легко подцепить рекламный вирус, удалить который не всегда просто.
Program в автозагрузке — что это такое?
Недействительная запись запуска программы после включения ПК. Причина — какая-то программа была некорректно удалена. В теории это может быть дело рук вирусов.
На форуме Microsoft советуют скачать утилиту AutoRuns — будет идти в виде архива zip. Нужно распаковать, желательно в папку AutoRuns > запустить внутри файл AutoRuns.exe от имени администратора. Строчка Program будет выделена желтым, нужно снять галочку, после этого Program должна в автозагрузке диспетчера исчезнуть. Потом можно в AutoRuns удалить строчку — правой кнопкой > Delete. Данный совет размещен на офф сайте Microsoft, помог многим людям.
Стало интересно что за запись такая. Нашел такую картинку — здесь в колонке Командная строка видим — приложение запускается процессом Abcde.exe (само название странное):
C:\Program Files\Abcde\Abcde.exe
Если нет колонки Командная строка — нажмите правой кнопкой по названию любой колонки > появится менюшка — выберите самый нижний пункт:
Удивительно — оказывается название Abcde является официальным для случаев, когда запись есть, а программы по факту нет. Ведь запись что должна делать? Должна запускать указанную программу после включения ПК. Однако программа отсутствует, поэтому вместо нее отображается название Abcde. Почему так случилось? Скорее всего была удалена программа, создатели которой не позаботились о корректном удалении, в итоге запись в автозагрузке осталась. Поэтому Windows заменила название отсутствующей проги на Abcde (просто состоит из первых букв английского алфавита). Почему так делает Windows — вопросы к разработчикам операционки Windows.
Строчек Program может быть вообще несколько.
Что еще сделать стоит?
Чтобы сделал на вашем месте:
- Установил (если нету) утилиту AnVir Task Manager. Ней можно мониторить автозагрузку, показывает все что там есть, в том числе и автозагрузку реестра, планировщик задач. Также подскажет на что стоит обратить внимание.
- Почистить ПК бесплатной утилитой CCleaner, она может сама удалить записи Program, так как они неработающие.
- При подозрениях на вирусы — просканировать ПК тремя лучшими утилитами: Dr.Web CureIt!, AdwCleaner, HitmanPro. Первая — против опасных вирусов Malware (трояны, черви, ботнеты). Две остальные — против рекламных вирусов, шпионского ПО (Adware).
При отсутствии антивируса — можете установить например Avast (неплохой). Но я лично советую Kaspersky Free — бесплатная версия, не тормозит (если конечно проверка не запущена), обновляет антивирусные базы, защищает отлично.
Заключение
- Program в автозагрузке Windows 10 — недействительная запись, оставшаяся от удаленной программы.
- Можно спокойно удалить, упоминание Abcde в строке — указывает на несуществующую программу.
- Не лишним будет проверить ПК на вирусы, особенно когда непонятных записей в автозагрузке — много.
Удачи.
На главную!
06.03.2020