Вирусная программа в браузере

← →
pavelnk © (2016-01-07 09:15) [0]

Словил вирус. Даже не вирус, а что то вставляет рекламные блоки во все страницы в Хроме - http://i016.radikal.ru/1601/2b/a407cd88b56c.png Почитал статьи об этом, везде пишут мол расширения (плагины) несанкционированные. Посмотрел у себя в Хроме, отключил всё лишнее, но это всё осталось. Из этого делаю вывод что всё таки повидимому это какая то сторонняя эхэ программа. Смотрю диспетчер задач, и толком ничего не вижу. Подскажите как действовать. (Антивирусы тоже молчат, что логично, это же не вирус, а программа видно с такими свойствами/задачами).

← →
Игорь Шевченко © (2016-01-07 10:39) [1]

> Подскажите как действовать

А что, там где ты статьи читал, не подсказывают, а отсылают на delphimaster ?

← →
Rouse_ © (2016-01-07 12:48) [2]

Поставь процмон от руссиночича и отследи что грузится после запроса в реестр, я по памяти не помню что за ветка, но лечил девченкам из бухгалтерии именно таким способом. Там библиотека будет, которая в хром грузится

← →
Rouse_ © (2016-01-07 12:50) [3]

Либо второй вариант, берешь процэксплорер от того же руссиновича и смотришь что за библиотеки хром подгрузил, а потом проверь у них цифровухи. Зараза будет без цифры

← →
pavelnk © (2016-01-07 15:15) [4]

> Rouse_ © (07.01.16 12:50) [3]
> Либо второй вариант, берешь процэксплорер от того же руссиновича
> и смотришь что за библиотеки хром подгрузил
Ого, там их штук 30.

← →
pavelnk © (2016-01-07 15:15) [5]

← →
Rouse_ © (2016-01-07 15:45) [6]

А кто сказал что будет легко?

← →
Eraser © (2016-01-07 17:26) [7]

> pavelnk © (07.01.16 09:15)

установи нормальный антивирус.

← →
pavelnk © (2016-01-08 10:32) [8]

> Rouse_ © (07.01.16 15:45) [6]
Цифровая подпись это имеется в виду это? - http://s016.radikal.ru/i337/1601/ea/0f8291c002be.png
Боюсь удалить что нибудь лишнее чтобы у меня Виндовс не завалилась..

← →
Rouse_ © (2016-01-08 11:23) [9]

Угу

← →
sniknik © (2016-01-08 16:42) [10]

> Боюсь удалить что нибудь лишнее
тогда добавь лишнее... FF например, ну и/или Adblock Plus.

+ в FF есть такой пункт меню как "перезапустить без дополнений" и ему начихать явное оно или скрытое, запускает в "чистом виде".
поищи у себя в хроме такое же/аналогичное.

← →
Rouse_ © (2016-01-08 17:09) [11]

Там в процэксплорере кнопка есть типа проверить цифровухи, ручками каждую анализировать не обязательно

← →
pavelnk © (2016-01-08 17:24) [12]

Нашёл я эту дрянь. Через Диспетчер задач Хрома. Она называется расширение - Не хватает на Iphone? Причём конечно этого расширения в списке установленных нет. Точно наверное dll-кой подгружается - http://s019.radikal.ru/i632/1601/4d/69285557a2dd.png

← →
pavelnk © (2016-01-08 18:04) [13]

> Rouse_ © (08.01.16 17:09) [11]
> Там в процэксплорере кнопка есть типа проверить цифровухи,
> ручками каждую анализировать не обязательно
Что то не вижу такую.:(

← →
Rouse_ © (2016-01-08 18:27) [14]

Плохо искал:
http://rouse.drkb.ru/tmp/1.png

Тебе нужны что-то типа "Not Verifyed" у меня таких нет, а по памяти я не помню как они там обзываются.

> Rouse_ © (08.01.16 18:29) [15]
> Тебе нужны что-то типа "Not Verifyed"
Посмотрел dll, там нет не верифицированных.. Все подписаны или Майкрософтом или Гуглом.

Всё, убил я его. Дллку не нашёл, но нашёл его ява скрипты. Напихал туда русских букв и поставил "read only" - "C:\Users\....\AppData\Local\Google\Chrome\User Data\Default\Extensions\lbmokakipianlpbhcacgheileggjpmee"

И напоследок передал в ЕСЕТ НОД 32 для анализа с соответствущими комментариями)

обычно помогает удаление профиля хрома, всей папки

> virex(home) © (10.01.16 14:40) [19]
> обычно помогает удаление профиля хрома, всей папки
Нет, наверное не помогло бы. Ссылку я выше написал. Зараза была в C:\Users\. Причём там были только её скрипты. Что этими скриптами управляло я так и не нашёл. Но удаление скриптов не помогало, они снова появлялись там же.

Вирусная программа в браузере Найти похожие ветки