Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Самопроизвольное открытия браузера

Spartak

Автор Spartak
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Spartak Новичок

Spartak

Опубликовано
Опубликовано (изменено)

Здравствуйте! При запуске windows 10, открывается браузер FireFox и с ним сайт Zodiac-game, в автозагрузке и реестре ничего подозрительного нет, а вот программа HijackThis нашла сайт Kb-ribaki.org, после чего я удалил его, но через некоторое время появляется командная строка и этот сайт снова прописывается в реестр. Пересканировал уже 5 разными программами и ничего не нашёл. Какая-то программа или бат файл прописывают этот сайт в реестр заново. Помогите пожалуйста!

Изменено пользователем Spartak
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Spartak');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты
Spartak Новичок

Spartak

Опубликовано
  • Автор
Опубликовано (изменено)

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Spartak');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

Проблема вроде-бы решилась, но тему закрывать не буду, вдруг опять пропишется в реестр.

Изменено пользователем Spartak
Ссылка на комментарий
Поделиться на другие сайты
Spartak Новичок

Spartak

Опубликовано
  • Автор
Опубликовано

@Spartak, я ведь прошу не из любопытства, а для того, чтобы увидеть результат работы скрипта. Так что выполняйте.

Пока делал второй лог опять появилась командная строка и прописала в реестр этот сайт.

CollectionLog-2016.07.12-15.56.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Spartak Новичок

Spartak

Опубликовано
  • Автор
Опубликовано (изменено)

Готово.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Addition.txt

FRST.txt

Shortcut.txt

Изменено пользователем Spartak
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2667480974-3513049559-1065408366-1001\...\Run: [MediaGet2] => C:\Users\Spartak\AppData\Local\MediaGet2\mediaget.exe [13007648 2016-05-18] (MediaGet LLC)
HKU\S-1-5-21-2667480974-3513049559-1065408366-1001\...\Run: [Spartak] => explorer.exe hxxp://kb-ribaki.org
2016-07-09 11:51 - 2016-07-12 15:13 - 00001170 _____ C:\Users\Spartak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet.lnk
2016-07-09 11:51 - 2016-07-12 15:13 - 00000000 ____D C:\Users\Spartak\AppData\Local\MediaGet2
2016-07-09 11:51 - 2016-07-09 11:51 - 00000000 ____D C:\Users\Spartak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2
2016-07-09 11:51 - 2016-07-09 11:51 - 00000000 ____D C:\Users\Spartak\AppData\Local\Media Get LLC
Task: {44265832-CF2D-4913-86E4-AAA263940789} - System32\Tasks\Spartak => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Spartak /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" <==== ATTENTION
FirewallRules: [TCP Query User{8CE2A21A-8AB9-49B2-B15B-F0ECC4D611E0}C:\users\spartak\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\spartak\appdata\local\mediaget2\mediaget.exe
FirewallRules: [UDP Query User{8FC00732-089B-4FCB-823B-33763CC3822B}C:\users\spartak\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\spartak\appdata\local\mediaget2\mediaget.exe
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Spartak Новичок

Spartak

Опубликовано
  • Автор
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2667480974-3513049559-1065408366-1001\...\Run: [MediaGet2] => C:\Users\Spartak\AppData\Local\MediaGet2\mediaget.exe [13007648 2016-05-18] (MediaGet LLC)
HKU\S-1-5-21-2667480974-3513049559-1065408366-1001\...\Run: [Spartak] => explorer.exe hxxp://kb-ribaki.org
2016-07-09 11:51 - 2016-07-12 15:13 - 00001170 _____ C:\Users\Spartak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet.lnk
2016-07-09 11:51 - 2016-07-12 15:13 - 00000000 ____D C:\Users\Spartak\AppData\Local\MediaGet2
2016-07-09 11:51 - 2016-07-09 11:51 - 00000000 ____D C:\Users\Spartak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2
2016-07-09 11:51 - 2016-07-09 11:51 - 00000000 ____D C:\Users\Spartak\AppData\Local\Media Get LLC
Task: {44265832-CF2D-4913-86E4-AAA263940789} - System32\Tasks\Spartak => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Spartak /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" <==== ATTENTION
FirewallRules: [TCP Query User{8CE2A21A-8AB9-49B2-B15B-F0ECC4D611E0}C:\users\spartak\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\spartak\appdata\local\mediaget2\mediaget.exe
FirewallRules: [UDP Query User{8FC00732-089B-4FCB-823B-33763CC3822B}C:\users\spartak\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\spartak\appdata\local\mediaget2\mediaget.exe
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Готово.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Spartak Новичок

Spartak

Опубликовано
  • Автор
Опубликовано

Проблема решена?

Не знаю, командная строка появлялась примерно через 10-15 минут после перезагрузки компьютера, нужно подождать.

Проблема решена?

Всё тема закрыта, проблема решена, спасибо вам большое!

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • korenis
      браузер закрывается сам по себе
      Автор korenis
      Скачал установщик адоб премьера с левого сайта, в итоге появился вирус, который закрывает браузер и устанавливает расширение. Антивирусы удаляют эти расширения, но при следующем запуске браузера всё возвращается. Логи и фото прикрепляю.CollectionLog-2025.07.02-12.07.zip
    • PiGeMa
      Не открывается защищенный режим браузера Firefox
      Автор PiGeMa
      Перестал включаться защищенный режим браузера Firefox. Появляется сообщение "couldn't load xpcom".
    • Kaross
      Процессор в последнее время стал загружаться в 100% даже на простом открытии браузера
      Автор Kaross
      Процессор в последнее время стал загружаться в 100% даже на простом открытии браузера, вентиляторы все время шумят и работают на 100% ,чистил ноутбук ,менял термопасту ничего не помогло ,подскажите что может быть,может вирус?
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • Jacket45
      При запуске компьютера и браузера самостоятельно скачивается ablock
      Автор Jacket45
      Проблему заметил вчера, в истории ютуба появились видео, которые я никогда не смотрел с 22 июня. Проверил пк drweb-ом, выявил один троян-удалил, поменял пароли, удалил устройство Android с Бангладеша. На протяжении около недели после запуска браузера он закрывался, сегодня заметил что он после закрытия устанавливал adblock, который я удалял. Проверил компьютер drweb-ом, на этот раз ничего не было выявлено. Не уверен что это будет полезно, но уже около полугода у меня запускалось окно cmd.exe и писало что программа успешно запущена. Антивирусники на постоянке никакие не включены, только скачиваю периодически бесплатный разовый drweb. 
      CollectionLog-2025.07.09-11.57.zip
    • KL FC Bot
      Защита истории посещений в браузерах | Блог Касперского
      Автор KL FC Bot
      В апреле, с выходом Google Chrome 136, наконец решена проблема приватности, которая есть во всех крупных браузерах и о которой широко известно с 2002 года. Причем еще 15 лет назад зарегистрирована ее массовая эксплуатация недобросовестными маркетологами. Это угрожающее описание имеет известная и, казалось бы, безобидная функция, элемент удобства: когда вы посетили какой-то сайт, ссылку на него ваш браузер начинает показывать другим цветом.
      «А хотите, я его кликну? Он станет фиолетовым в крапинку…»
      Менять цвет ссылки на посещенные сайты (по умолчанию — с синего на фиолетовый) придумали 32 года назад в браузере NCSA Mosaic, и оттуда эту удобную для пользователя практику заимствовали практически все браузеры девяностых. Затем она вошла и в стандарт стилизации веб-страниц, CSS. По умолчанию такое перекрашивание работает во всех популярных браузерах и сегодня.
      Еще в 2002 году исследователи обратили внимание, что этой системой можно злоупотреблять: на странице можно разместить сотни или тысячи невидимых ссылок и с помощью JavaScript проверять, какие из них браузер раскрашивает, как посещенные. Таким образом, посторонний сайт может частично раскрыть историю веб-браузинга пользователя.
      В 2010 году исследователи обнаружили, что этой технологией пользуются на практике: нашлись крупные сайты, шпионящие за историей веб-браузинга своих посетителей. В их числе были YouPorn, TwinCities и еще 480 популярных на тот момент сайтов. Услугу анализа чужой истории предлагали сервисы Tealium и Beencounter, а против рекламной фирмы interclick, внедрившей эту технологию для аналитики, был подан судебный иск. Суд фирма выиграла, но производители основных браузеров изменили код обработки ссылок, чтобы считывать состояние посещенности ссылок «в лоб» стало невозможно.
      Но развитие веб-технологий создавало новые обходные пути для подглядывания за историей посещений сайтов, хранимой браузером. Исследование 2018 года описало четыре новых способа проверять состояние ссылок, причем к двум из них были уязвимы все протестированные браузеры, кроме Tor Browser, а один из дефектов, CVE-2018-6137, позволял проверять посещенные пользователем сайты со скоростью до 3000 ссылок в секунду. Новые, все более сложные атаки по извлечению истории веб-браузинга, продолжают появляться и сейчас.
       
      View the full article
×
×
  • Создать...