0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как заблокировать открывающийся самопроизвольно сайт

Как справиться с необычным вирусом на Android

Android – сама по себе неплохая операционная система. Она занимает более 80% рынка и является лидером в сегменте мобильных ОС. Удобная, кастомизируемая, с множеством различных функций и неплохим уровнем безопасности. Но иногда недобросовестные разработчики приложений начинают злоупотреблять доверием пользователей. и получается — вирус на смартфоне.

Симптомы

Этот странный вирус начал проявлять себя в начале 2019 года. На смартфонах пользователей под управлением Android появляется реклама во всплывающих окнах в браузере. При этом проявляет вирус себя исключительно при определенных действиях пользователя. Если вы скачивали или обновляли любое приложение в Google Play, по окончании установки у вас открывается окно браузера с длинной ссылкой на сайты appsquare.net/novelcamp.net/h5mone.com/qwer1234.xyz.

Это происходит не каждый раз, а примерно один раз в день. Или один раз в три дня. Какой-то системности не было замечено. При этом окно с рекламой может открыться, когда вы, например, отправляете картинку в WhatsApp.

С такими симптомами столкнулись пользователи разных стран – США, России, Италии, Украины и даже Беларуси. На одном из популярнейших форумов США – reddit.com, именно этому странному вирусу посвящена большая тема (более 250 сообщений). Жалобы поступали от владельцев разных смартфонов: Samsung Galaxy S7, S8, S9, LG G7, Xiaomi Redmi, HTC U11, Huawei Mate 9 и даже планшетов.

Ссылки от вируса перенаправляют на сайты с рекламой подозрительных приложений и игр. Рекламный вирус вроде бы творит безобидные вещи. Но, когда кто-то без твоего ведома на смартфоне открывает ссылки на постоянной основе, это раздражает. Первоначально американские пользователи пытались бороться с ним, устанавливая на смартфоны популярные антивирусы. Но они ничего не находили. А ссылки открывались снова. Причем в разных браузерах: Chrome, Firefox, Samsung Internet Browser. Даже опытные пользователи не могли найти причину и источник вируса. Временно помогала чистка кэша приложений (либо сброс рекламного идентификатора Google). Но спустя пару дней ссылки снова открывались. Это происходило даже на смартфонах с самыми последними обновлениями безопасности Android.

Пользователи обратились за помощью к ведущим антивирусным компаниям – и решение было найдено.

Лечение, поиск причин и удаление «вируса»

Специалисты Лаборатории Касперского отреагировали оперативно и выпустили 2 приложения для перехвата вируса на смартфоне. Эти приложения ведут себя как браузеры и перехватывают ссылки из других приложений. А затем показывают, какое приложение пыталось открыть рекламную ссылку. Если у вас есть симптомы, указанные выше – воспользуйтесь одним из них.

Первое называется Intent Catcher. Скачать его можно здесь (зеркало). После установки нужно его запустить один раз. Затем через него необходимо открывать подозрительные запросы на открытие сайта.

Intent Catcher покажет, какое приложение вызывает запуск сайта и ссылку на которую вирус перенаправляет. После этого по названию пакета вам остается удалить то приложение, которое распространяет рекламу на вашем смартфоне. Вот видео как оно работает.

Второе приложение от Лаборатории Касперского – модифицированный браузер Firefox с логом работы. Скачать его можно здесь (зеркало).

Установите его на смартфон. Затем необходимо дать ему права на запись на карту памяти. Для этого необходимо перейти в Настройки – Приложения – Firefox – Разрешения и там включить возможность записи на Карту памяти.

После этого нужно сделать его браузером по умолчанию. Для этого перейдите в Настройки – Приложения – Приложения по умолчанию – Веб-браузер и выберите там установленный Firefox.

Модифицированный Firefox будет вести лог в файле /sdcard/moz_url_log.txt.
Вот как выглядит лог, в нем можно понять, какое приложение инициировало открытие ссылки.

После применения утилит выше результаты не заставили себя ждать. Спасибо Лаборатории Касперского. Список приложений у пользователей в которых был (прятался) «вирус»:

MIUI Music Player

Screen Stream Mirroring Free

И многие другие…. Этот странный список включил в себя вполне безобидные приложения, как туда попал вирус – чуть ниже. Если у вас проявляется этот вирус и установлено одно из этих приложений – удалите их. Если вы не знаете, в каком конкретно причина – воспользуйтесь утилитами выше.

Если у вас нет возможности удалить вирус, необходимо очистить данные этого приложения. Для этого необходимо перейти в Настройки – Приложения – «Название приложения». Там необходимо сначала его Остановить. Затем перейти в раздел Память и нажать кнопку «Очистить данные».

Также рекомендуется очистить все данные браузера Chrome, описанным выше способом. Кроме этого, в настройках Chrome зайдите в раздел Хранилище и удалите все данные сайтов. И еще наберите в строке браузера:

и отмените регистрацию всех подозрительных JS скриптов.

После этого симптомы вируса должны пропасть навсегда.

Если вы новичок в мире Android или хотите себя дополнительно обезопасить – установите один из бесплатных антивирусов: Malwarebytes, Kaspersky Internet Security, Антивирус Dr.Web, Virustotal.

А был ли «вирус»?

И да, и нет. Это скорее рекламный модуль (или adware), который начал неправильно работать. По данному вопросу провели большую работу антивирусные специалисты из Malwarebytes и Check Point Software Technologies. Они выяснили, что все эти приложения скорее всего объединяет то, что при их разработке использовались инфицированные SDK (Software Development Kit).

Читать еще:  Ошибка 521 при открытии сайта

Как они попали в приложение? Возможно, случайно. Разработчики, использовавшие эти SDK (в основном китайские), возможно, даже не знали, с чем имеют дело.

В обычном состоянии модули должны были просто собирать аналитику и показывать рекламу исключительно в своем приложении.

Но что-то пошло не так… Скомпрометировали себя такие SDK (китайские), как Batmobi, SWAnalytics, RXDrioder.

И, напоследок, несколько советов, тем, кто не хочет словить вирус на смартфоне:

  • Старайтесь не устанавливать приложения не из Google Play.
  • Не переходите на подозрительные/незнакомые вам сайты, не скачивайте оттуда приложения.
  • Всегда проверяйте разрешения, которые запрашивает приложение при установке.
  • Регулярно устанавливайте обновления безопасности Android.
  • Если вы начинающий пользователь Android, установите мобильный антивирус.

Причины проблемы

Даже не подозревая о потенциальной опасности, пользователь может собственноручно согласиться на установку опасного приложения. На сегодня существует три основных пути заражения ПК:

  1. Рекламные баннеры. Если вы случайно кликнули на анимированное окно, после чего открылось несколько вкладок с непонятным содержимым – скорее всего ваш браузер уже заражен. Это рекламный скрипт, который меняет настройки браузера и провоцирует произвольное открытие рекламных вкладок без согласия пользователя.
  2. Бандлинг. Данный способ заражения рассчитан на пользователей, которые не читают пользовательское соглашения перед установкой софта. Владельцы файлообменников «вшивают» в установочные пакеты рекламное ПО, дабы заработать на неопытности людей.

Изменить страницы открывающиеся с открытием браузера Google Chrome

1.Откройте браузер => нажмите на три точки справа вверху => зайдите в «Настройки».

2. Возле «Запуск Chrome» поставьте точку перед нужным: «Новая вкладка», чтобы при открытии браузера открывалась пустая вкладка; «Ранее открытые вкладки» — с открытием браузера будут открываться вкладки, которые были открыты перед его закрытием; «Заданные страницы» — вы можете задать вкладки, которые хотите чтобы открывались при каждом открытии браузера.

3.Выберите «Заданные страницы» => «Добавить страницу» => здесь вы можете добавить любую страницу (или несколько страниц), которые вы хотите чтобы открывались с открытием браузера, также вы можете удалить ненужные нажав на крестик рядом. После внесения изменений нажмите «ОК».

3. Ярлыки программ

Последнее время вирусописатели стали прибегать к хитростям с ярлыками популярных Интернет-проводников. Самый частый пример — добавление ссылки к адресу исполняемого файла:

Поэтому при старте браузера открывается рекламный сайт, прописанный в ярлыке. Удалите адрес из строчки.
В более сложных случаях создаётся фейковый исполняемый файл. Отличить его можно по расширению — .bat:

Чтобы это исправить, Вам надо найти эти файлы ( кликнув по кнопке Расположение файла в свойствах ярлыка) и удалить. Затем нужно удалить сами ярлыки и создать их заново, но уже для настоящих файлов.
Если с этим будут сложности, то просто переустановите браузеры.

Причины произвольного запуска браузера

Вариантов, по которым проводник в интернет становится слишком самостоятельным, немного. Чаще всего это вирусная активность, которая проявляет себя разными способами. Дальше мы будем разбирать способы устранения, но сразу же хотим заметить: они будут перекликаться между собой и нередко являются частями одной общей проблемы. В связи с этим рекомендуем идти по порядку, проверяя разные участки операционной системы на предмет заражения. Даже при успешном обнаружении зловреда в одном из способов для большей уверенности в избавлении от него выполните и остальные инструкции из этой статьи.

Перед тем как переходить к основной теме, стоит отметить, что в некоторых браузерах есть функция автозапуска, как, например, в Яндекс.Браузере. Открыв через меню «Настройки», перейдя в раздел «Системные», вы можете найти параметр, отвечающий за запуск программы вместе со стартом Windows. Причем активен он по умолчанию, сразу после установки приложения.

В остальных популярных браузерах типа Chrome, Firefox, Opera такого нет, однако в менее популярных сборках нечто аналогичное может присутствовать.

Причина 1: Автозагрузка

Избитая тема, которую при этом невозможно не упомянуть. Вы или другой пользователь компьютер могли добавить в автозагрузку Виндовс браузер. Это довольно легко понять — он не отображает никакой рекламы, не запускается сам из закрытого состояния, а просто открывается вместе со стартом системы. Проверьте список автозагрузки, и если обнаружите там обозреватель — просто удалите его оттуда. На работе самой программы действие никак не отразится.

Читайте также: Как отключить автозапуск программ в Windows XP / Windows 7 / Windows 8 / Windows 10

Причина 2: Вирусы

Рекламные вирусы, работающие через веб-обозреватели, действуют немного по другому принципу, нежели обычные компьютерные. Пользователю иногда обнаружить их существенно сложнее, и для этого требуется комплексный подход. Существует немалое количество программ, чье действие направленно именно на поиск вирусных и рекламных программ, которые в том числе могут заставлять браузер запускаться из закрытого состояния. Ознакомиться с ними можете по ссылке ниже.

Очень важно выполнить не только узкопрофильный поиск, но и просканировать компьютер на наличие опасностей целиком. Развернуто об эффективной проверке ПК рассказано в другом нашем руководстве.

Мы кратко опишем поиск рекламы и вирусов в очень популярной и эффективной утилите AVZ.

  1. Скачайте и запустите программу. Установки она не требует.
  2. Первым делом необходимо обновить базу данных. Для этого нажмите кнопку, указанную на скриншоте ниже.

В следующем окне сразу щелкайте на «Пуск».

В блоке «Методика лечения» поставьте галочку рядом с «Выполнять лечение». В «Область поиска» отметьте галочкой тот раздел, куда установлен браузер, практически всегда это С:. Нажмите «Пуск».

Итоги сканирования будут в блоке «Протокол».

AVZ выполнит удаление за вас, если в шаге 3, вы не меняли параметры «Методики лечения».

Рекомендации в статьях по ссылкам гораздо эффективнее, чем ручной поиск вирусов. Но не лишним будет заглянуть в список установленных программ и просмотреть, что вообще находится в Виндовс. Если обнаружите какое-то нежелательное приложение, о действии которого вы ничего не знаете, поищите его название в интернете. Опасные программы незамедлительно стоит удалить и желательно полностью, со всеми «хвостами». По умолчанию Windows удаляет только основные файлы, не трогая реестр и скрытые папки. Поэтому мы советуем воспользоваться сторонними решениями, стирающими все файлы, например, Revo Uninstaller.

Причина 3: Планировщик заданий

Следствием вирусной деятельности, с которой удалось справиться, часто становится добавление задачи в «Планировщик заданий». Она назначает автозапуск браузеру, нередко добавляя туда рекламный сайт. Характерной особенностью наличия вирусного задания в планировщике является запуск программы в определенное время или через точный промежуток времени, например, час.

Обычно антивирусам не удается найти эту проблему, так как в целом инструмент планирования направлен на оптимизацию работы пользователя в Виндовс, но злоумышленники умудряются использовать его в собственных целях.

    Откройте окно «Выполнить» клавишами Win + R и впишите taskschd.msc для запуска инструмента.

Выделите ветку «Библиотека планировщика» и в центральной части окна поищите задание, которое соответствует проблеме браузера. На скриншоте ниже для примера оно называется «Автозапуск браузера», у вас, конечно же, будет не такое очевидное имя. Любую неизвестную задачу с подозрительным названием выделяйте кликом левой кнопки мыши.

Когда ничего не удается отыскать, слева разверните ветку «Библиотека планировщика» >«Microsoft» >«Windows». Просмотрите задачи для всех папок: будьте готовы к тому, что это займет немало времени.

Если у выделенной задачи вы наблюдаете запуск в одно и то же время, например, в определенный час или при включении компьютера, вкладка «Триггеры» поможет сопоставить это с тем, как ведет себя подозрительное задание. Колонка «Состояние» отображает, работает ли на данный момент текущее задание.

На вкладке «Действия» отображено то, что происходит с конкретным заданием. Нежелательные задания, созданные вирусами, обычно имеют тип «Запуск программы». Рядом с этим значением вы видите адрес приложения, которое при этом открывается. Запомните его, а «Планировщик заданий» сверните — он еще понадобится.

Откройте «Проводник» и перейдите по тому пути, что был найден в предыдущем шаге. Возможно, для этого надобится включить отображение скрытых файлов и папок.

Читайте также: Включаем отображение скрытых файлов и папок в Windows 7 / Windows 8 / Windows 10

Отыщите файл, и если это EXE браузера, можете удостовериться в том, что виновато именно он, перейдя в его «Свойства».

Здесь, на вкладке «Ярлык», проверьте конец строчки «Объект». Обычно тут прописан адрес сайта, который открывается при запуске браузера по заданию.

Содержимое (а это набор примитивных команд) файла с расширением CMD, BAT безопасно просматривается через «Блокнот» кликом ПКМ и выбором пункта «Открыть с помощью».
В любом случае найденный файл нужно удалить.

Если вы удаляете модифицированную версию браузера, мы рекомендуем дополнительно заглянуть в список установленных программ на компьютере — часто происходит установка еще одной версии этого же веб-обозревателя, но более старой версии. Ее-то и надо деинсталлировать. Определить, где какая версия, очень просто — нажмите на браузер и посмотрите цифры. Чем они меньше в сравнении с цифрами второго такого же браузера, тем старее версия.

Теперь вернитесь в «Планировщик заданий» и удалите там задачу, связанную с самостоятельным запуском обозревателя.

Подтвердите свое намерение.

Причина 4: Измененный реестр

Опасные программы также могут задействовать реестр. Как правило, это необходимо для отображения рекламы, поэтому данным способом следует пользоваться только если при запуске браузера вы видите какую-то рекламную страницу или попытку открыть новую вкладку с неизвестным сайтом. Запомните или скопируйте этот сайт, отбросив все лишнее, идущее после слэша с доменом (т.е. после .ru/ или ./com).

    Запустите «Редактор реестра», открыв окно «Выполнить» клавишами Win + R и написав там regedit .

Чаще всего зловреды оказываются в ветке «HKEY_USERS», поэтому чтобы сократить время поиска, выделите нее.

Вызовите окно поиска, зажав сочетание клавиш Ctrl + F. Впишите или вставьте туда сайт, который открывает браузер при самостоятельном запуске, и нажмите «Найти далее».

Если поиск успехов не принес, переключите выделение с «HKEY_USERS» на «Компьютер», чтобы искать по всему реестру. Затем повторите предыдущий шаг.
Когда необходимый параметр реестра был найден и вы уверены, что за автозапуск веб-обозревателя отвечает действительно он, произведите удаление. Нажмите ПКМ по файлу и выберите «Удалить».

В окне с предупреждением согласитесь.

Готово. Можете также продолжить поиск и удаление, нажав F3 или снова Ctrl + F, и когда совпадений не будет найдено, рассматриваемой проблемы возникнуть больше не должно.

Заключение

Вероятно, вредоносное ПО изменило и стартовую страницу, поэтому не лишним будет заглянуть в настройки браузера и вернуть ее на нормальную поисковую систему.

Читайте также: Изменение стартовой страницы в Google Chrome / Mozilla Firefox

В редких случаях пользователю не удается избавиться от вируса, тогда ему остается порекомендовать восстановление или сброс системы до заводского состояния (Windows 10).

Надеемся, что вам не пришлось обращаться к радикальному варианту с восстановлением системы, а источник возникновения неполадки был найден без особого труда. В завершение хотим напомнить о том, что после всего крайне желательно очистить кэш браузера, так как там нередко могут продолжать находиться опасные вирусные файлы.

Причины появления

Причина появления такой проблемы проста. Вероятнее всего, вы скачивали в глобальной сети какую-то программу, игру или приложение и запустили установочный пакет. Злоумышленники чаще всего маскируют свои вредоносные «детища» под потенциально полезные программы и это связано в большей степени с тем, чтобы получить доверие пользователя. Множество вредоносных программ устроены так, что их код может быть запущен исключительно вручную. В этом случае, когда мы запускаем установочный пакет, то автоматически генерируем вредоносный код, который может прописываться в тех местах компьютера, где ему необходимо. В зависимости от целей злоумышленника, это могут быть: настройки браузера, системный реестр, параметры автозагрузки компьютера, даже аппаратная часть ПК (ОЗУ).

Что касается автоматически открывающегося вместе с компьютером браузера, то чаще всего, таким образом злоумышленники пытаются увеличить собственную прибыль, путём перемещения пользователя на сайты рекламодателей. В глобальной сети множество сервисов построено на таком принципе, что оплата осуществляется за счёт посещения некоторых страниц и чем больше количество посещений, тем больше прибыль. Также это увеличивает конверсию сайта, его показатели для рекламодателей, соответственно, увеличивает его цену. Не стоит полагать, что такое ПО абсолютно безопасно, ведь вы не знаете, что задумал злоумышленник и внедрил в свой код. Возможно, он добавил функцию автоматической отправки пользовательских данных. В любом случае бороться с такой проблемой нужно.

Почему браузер сам запускается и открывает страницы

Единственная возможная причина, по которой время от времени возникают подобные неполадки – это работа в системе некоего вредоносного программного обеспечения, которое способно обнаруживаться на компьютере в совершенно многообразном виде, например, под видом, казалось бы, нужного вам расширения и тому подобных вещей.

Работа вирусов в браузере

Находясь в системе персонального компьютера, вирус создает установленные в системе процессы, из-за которых браузеры сами открывают страницы. Причем это могут быть совершенно разные веб-браузеры, например, Гугл хром, Яндекс браузер, Мозила или Опера. Для проведения сканирования мы рекомендуем использовать браузер Avast (Рисунок 2).

Проблема может оставаться даже после того, как вы при помощи специальной программы удалите сам вирус.

Примечание: Причиной этому является то, что вредоносное ПО уже внесло определенные коррективы в опции автозагрузки на компьютере.

Поможет ли антивирус?

Браузер открывает самопроизвольно страницы из-за вируса. Логично было бы воспользоваться антивирусом, установленным на ПК, то есть провести глубокое сканирование. Однако антивирусы зачастую не видят подобного рода программы.

Если антивирус найдет вредоносное ПО, то тут же удалит его. Так как наша цель немного другая – убрать рекламу – мы идем дальше.

Если немного последить за поведением компьютера после загрузки, то можно обнаружить, что загружаться он стал медленнее и после загрузки подтормаживает, браузер при этом работает вроде бы нормально, но периодически (каждые 10-20-30-40 минут или с каким-то другим промежутком) в нем сами собой открываются вкладки с рекламой. Сразу же это наводит на подозрения на планировщик задач, идем туда и смотрим список запланированных заданий:

И да, если полистать задания и посмотреть на вкладку «Действия», то можно увидеть что есть несколько заданий в которых запускается Chrome и в качестве параметра ему передается ссылка, которую он и открывает при запуске:

Внимательно проверьте все задания, благо их обычно немного и найдите все, в которых запускается какой-либо браузер, штатно таких заданий в списке быть не должно

Все найденные задания нужно либо отключить, либо сразу удалить, но этого недостаточно, скорей всего через некоторое время в планировщике появятся новые аналогичные задания.

Дело в том что эти задания не возникли сами по себе, их в список добавило какое-то приложение, чаще всего вместе с каким-то из приложений которые вы недавно устанавливали, установилось еще какое-то, которое и добавляет эти задания. Для антивируса такое поведение не выглядит подозрительным, поэтому чаще всего он ничего не находит. Поэтому для полноценного удаления рекламы и нежелательных приложений которые добавляют задания в планировщик и наверняка делают какие-то другие не совсем правильные вещи я рекомендую использовать AdwCleaner и Cureit. Рекомендую использовать обе, с Cureit есть небольшой нюанс, в нем нужно сделать полную проверку, она займет больше времени но зато в результате можно быть уверенным.

Скачиваем Cureit, сохраняем и запускаем. В некоторых случаях на зараженном компьютере скачивание антивирусных утилит может быть заблокировано или у вас будет зависать браузер при этом, тогда есть два варианта скачать — загрузиться в безопасном режиме с поддержкой сети, либо скачать Cureit на другом компьютере и перенести на зараженный на флешке. Затем запускаем Cureit, но проверку не начинаем сразу а жмем на «Выбрать объекты для проверки»:

Тут ставим все галочки и далее жмем на «Щелкните для выбора файлов и папок»

Если есть время, я рекомендую проверить все диски, но если времени мало, то можно ограничиться только проверкой системного диска, обычно это диск С:, ставим галочку напротив него и жмем ОК:

Примерно вот так должен выглядеть список объектов для проверки, жмем «Запустить проверку» и ждем пока она завершится:

По окончании проверки, появится список угроз, жмите кнопку обезвредить (на скрине ниже она уже нажата и процесс вовсю идет)

После окончания вы должны увидеть вот такое окно, иногда с предложением перезагрузиться для полного удаления вирусов, соглашаемся и перегружаем копьютер:

После лечения и перезагрузки на всякий случай можно еще раз проверить планировщик заданий, чтоб убедиться что лечение и удаление рекламы прошло успешно. Если что-то не получилось — пишите в комментариях.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector