Главная > Заметки, Проблемы / ошибки > Проблема: при включении ноутбука запускается браузер и переходит на какой-то сайт

Проблема: при включении ноутбука запускается браузер и переходит на какой-то сайт

Принесли на днях ноутбук с такой проблемой: “Пишет, что найден вирус, я ничего не могу сделать, и раньше у меня основной страницей был Google, а теперь… (не важно кто, но другой сайт), и он сам запускается как только я включаю ноут”. Мало понятного да, но опытные коллеги подтвердят, что зачастую пользователи именно так описывают свои проблемы.

Провёл стандартную процедуру лечения: прогнал через пару портативных антивирусов, удалил кучу рекламного софта, и всякие левые “обновлялки”, “защищалки” и прочие “улучшалки”, а также посмотрел через Autoruns. Не найдя больше ничего подозрительного отдал пациента. К слову сказать никаких сообщений про вирус, о которых говорил хозяин ноутбука не увидел.

На следующий день вновь принесли его со словами: “А у меня ничего не поменялось”.

Начал всю процедуру заново и не нашёл ничего подозрительного. Уже начал подумывать над адекватностью пользователя, как во время очередной перезагрузки глаз зацепился за одну делать, на которую раньше внимания не обращал: запущенный Google Chrome (в прошлый раз подумал, что это я его зацепил, запустил по привычке/нечаянно). Да, я знаю, что Хром грузится при старте системы, но он не показывает окно, а тут открылось окно и Хром попытался перейти на какой-то сайт. Так как я его в инет не пустил, естественно, что у меня ничего не загрузилось, а у человека он сразу цепляется к Wi-Fi, ну и дальше всё понятно – кидает на какой-то сайт, где человека заваливают страшными сообщениями о вирусах и настойчивых советах купить “лучший в мире антивирус”. Осталось только найти откуда эта зараза лезет.

Ещё раз внимательно просмотрев через Autoruns, ничего подозрительного не заметил. Даже при исключении “здорового” ярлыка Хрома из автозагрузки ситуация не изменилась.

Значит, подумал, он запускается не сам, кто-то ему помогает – запускает другой процесс. Но и здесь мимо: Process Explorer “родителя” не нашёл.

Procexp - non-existent Process

В тот день возится не было ни времени, ни желания, поэтому с согласия пользователя решил переустановить Хром, предположив, что Хром это на самом деле не Хром, а один из его многочисленных клонов. Удалил, почистил следы на диске и в реестре… Какого же было моё удивление, когда после перезагрузки запустился Internet Explorer и попытался перейти всё на тот же сайт. Стало ясно, что проблема вовсе не в Хроме, а где-то глубже.

Тогда решил действовать самым кардиальным путём (хотя нет – самый кардинальный это всё же переустановка системы ;)) – посмотреть процесс загрузки через Process Monitor.

Среди прочих возможностей у Procmon, есть возможность запустить его в самом начале загрузки системы, до начала загрузки других программ (и даже большинства драйверов). В этом случае Procmon регистрирует всю активность системы в файле %windir%\Procmon.PMB, вплоть до выключения, или до тех пор, пока снова не запустить Procmon. Это делается при помощи установки галочки в меню Options | Enable Boot Logging.

При запуске Procmon проверяет наличие сгенерированного, но не сохраненного журнала загрузки. Если находит, то спрашивает нужно ли его сохранить, и если да, то где. После чего открывается сохраненный журнал.

Проделав эту операцию и получив журнал загрузки, принялся его изучать.

Рассматривать полученный журнал можно бесконечно – в моём случае в журнале было более 2 млн. строк. Но к счастью это и не нужно. Можно было поиграться с фильтрами (о том, как работать с фильтрами в Procmon я уже рассказывал), но я сразу вбил в окно поиска (которое вызывается из меню Edit | Find… или сочетанием клавиш Ctrl+F) адрес сайта, на который пытались зайти оба браузера и практически сразу получил результат:

Procmon - Event Properties

Кстати, при подключённом интернете сразу перекидывает на другой сайт, тот самый, который открывался у пользователя.

Теперь стало понятно откуда у этой заразы ноги растут: ключ реестра в одной из ветвей, отвечающих за автозагрузку.

Перейдя по данной ветви реестра (это легко сделать прямо из Procmon, для этого достаточно нажать на нужной записи правую кнопку мышки, и в появившемся меню выбрать Jump To…, или сочетанием клавиш Ctrl+J) действительно увидел заразу.

Regedit - ...Run

Ещё раз внимательно посмотрел, через Autoruns, и ничего похожего не нашёл. Может быть плохо искал, а может быть действительно не было. Но как бы там ни было виновник найден.

Удалил этот ключ, проверил, чтобы он вновь не появился. После перезагрузки всё стало в норме.

Вот так инструменты Sysinternals уже в который раз помогают помогают излечить компьютеры от всякой нечисти.

Реклама
  1. 16/06/2017 в 17:54

    Хороший вариант, а есть ли готовые программы/утилиты, которые подобного рода рекламные сайты ловят по факту наличия в реестре и т.п.?

    • 19/06/2017 в 09:34

      Думаю, что есть, я подобным вопросом не задавался. Мне проще описанным способом вычислить, чем искать программу 🙂

  1. No trackbacks yet.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: