Исправлено: Браузер открывается сам с рекламными вкладками или как удалить vive-m.com и fitqer.com и другую рекламу

Браузер запускается сам и открывает рекламные вкладки

Недавно принесли ноутбук с Windows 10, несмотря на нормальную конфигурацию он тормозил и периодически браузер (Chrome, но может быть и любой другой) запускался самостоятельно и сразу же загружал вкладку с рекламой, через некоторое время добавлялось еще несколько вкладок с рекламой. На сайты с рекламой очевидно стояла пере-адресация с какого-то другого ресурса, для определения с какого достаточно отключить интернет. В моем случае браузер открывал страницы с сайтов vive-m.com и fitqer.com, на которых установлен какой-то скрипт который делает редирект на рекламные страницы.

Причины запуска браузера с рекламой

Ниже я расскажу как решить эту проблему, суть ее в том что в планировщике заданий, есть задания запускающие браузер с определенными параметрами, таких заданий может быть несколько, они могут быть с разными параметрами, но суть их всегда одна — они запускают браузер и передают ему какую-либо ссылку в качестве параметра, браузер открывает эту ссылку и в итоге вы видите что браузер сам запускается и сам открывает какие-то левые сайты с рекламой.

Способы исправления самостоятельного запуска браузера и удаления рекламы

Если немного последить за поведением компьютера после загрузки, то можно обнаружить, что загружаться он стал медленнее и после загрузки подтормаживает, браузер при этом работает вроде бы нормально, но периодически (каждые 10-20-30-40 минут или с каким-то другим промежутком) в нем сами собой открываются вкладки с рекламой. Сразу же это наводит на подозрения на планировщик задач, идем туда и смотрим список запланированных заданий:

И да, если полистать задания и посмотреть на вкладку «Действия», то можно увидеть что есть несколько заданий в которых запускается Chrome и в качестве параметра ему передается ссылка, которую он и открывает при запуске:

remove_vive-m.com_and_fitqer.com_and_other_adware

Внимательно проверьте все задания, благо их обычно немного и найдите все, в которых запускается какой-либо браузер, штатно таких заданий в списке быть не должно

remove_vive-m.com_and_fitqer.com_and_other_adware

Все найденные задания нужно либо отключить, либо сразу удалить, но этого недостаточно, скорей всего через некоторое время в планировщике появятся новые аналогичные задания.

remove_vive-m.com_and_fitqer.com_and_other_adwareДело в том что эти задания не возникли сами по себе, их в список добавило какое-то приложение, чаще всего вместе с каким-то из приложений которые вы недавно устанавливали, установилось еще какое-то, которое и добавляет эти задания. Для антивируса такое поведение не выглядит подозрительным, поэтому чаще всего он ничего не находит. Поэтому для полноценного удаления рекламы и нежелательных приложений которые добавляют задания в планировщик и наверняка делают какие-то другие не совсем правильные вещи  я рекомендую использовать AdwCleaner и Cureit. Рекомендую использовать обе, с Cureit есть небольшой нюанс, в нем нужно сделать полную проверку, она займет больше времени но зато в результате можно быть уверенным.

Скачиваем Cureit, сохраняем и запускаем. В некоторых случаях на зараженном компьютере скачивание антивирусных утилит может быть заблокировано или у вас будет зависать браузер при этом, тогда есть два варианта скачать — загрузиться в безопасном режиме с поддержкой сети, либо скачать Cureit на другом компьютере и перенести на зараженный на флешке. Затем запускаем Cureit, но проверку не начинаем сразу а жмем на «Выбрать объекты для проверки»:

Тут ставим все галочки и далее жмем на «Щелкните для выбора файлов и папок»

Если есть время, я рекомендую проверить все диски, но если времени мало, то можно ограничиться только проверкой системного диска, обычно это диск С:, ставим галочку напротив него и жмем ОК:

Примерно вот так должен выглядеть список объектов для проверки, жмем «Запустить проверку» и ждем пока она завершится:

По окончании проверки, появится список угроз, жмите кнопку обезвредить (на скрине ниже она уже нажата и процесс вовсю идет)

После окончания вы должны увидеть вот такое окно, иногда с предложением перезагрузиться для полного удаления вирусов, соглашаемся и перегружаем копьютер:

После лечения и перезагрузки на всякий случай можно еще раз проверить планировщик заданий, чтоб убедиться что лечение и удаление рекламы прошло успешно. Если что-то не получилось — пишите в комментариях.

Расшифровка файлов после XData Ransomware

После успешной атаки вируса WannaCry, почти незаметной прошла аналогичная атака XData Ransomware которая почему-то затронула в основном территорию Украины и совсем немного соседей, страны СНГ и Европу.

Карта заражения XData Ransomware:Расшифровка файлов после XData Ransomware

Вирус создан по такому же принципу и использовать ту же самую уязвимость в протоколе SMB v1.  XData Ransomware шифровал пользовательские файлы и вымогал за их расшифровку деньги, но в отличии от WannaCry в котором судя по всему не предусмотрен механизм расшифровки, создатели XData такой механизм предусмотрели. Атака XData Ransomware продлилась около недели, видимо из боязни быть пойманными создатели этого вируса выложили приватный ключ, с помощью которого любой пострадавший пользователь сможет расшифровать свои файлы, а специалисты из Лаборатории Касперского выпустили новую версию дешифровщика файлов.

Расшифровка файлов после XData Ransomware
Папка с зашифрованными файлами выглядит вот так:Расшифровка файлов после XData Ransomware

В конец имени всех зашифрованных файлов дописано ~xdata~

Перед запуском расшифровщика, необходимо убедиться что нет запущенных процессов Xdata, откройте диспетчер задач и просмотрите список запущенных процессов, необходимо завершить процессы msdns.exe, mssql.exe, или mscom.exe:
Расшифровка файлов после XData Ransomware
Загрузите, распакуйте и запустите RakhniDecryptor:
Расшифровка файлов после XData Ransomware
Убедитесь что используете версию 1.20.1.0 или более новую, кликните на About в левой нижней части окна и проверьте номер версии:
Расшифровка файлов после XData Ransomware
Жмите Start Scan и выберите один из зашифрованных файлов, не перепутайте его с текстовым файлом в котором вирус размещает инструкции по расшифровке:
Расшифровка файлов после XData Ransomware
Начнется процесс сканирования и расшифровки всех зашифрованных файлов, в зависимости от производительности компьютера и количества файлов он может занять довольно много времени:
Расшифровка файлов после XData Ransomware

После завершения сканирования отчет будет доступен по ссылке details:
Расшифровка файлов после XData Ransomware

Список расшифрованных файлов:
Расшифровка файлов после XData Ransomware
После завершения работы, папка с файлами должна выглядеть так:Расшифровка файлов после XData Ransomware
Слева расшифрованный файл, справа зашифрованный. После расшифровки все зашифрованные файлы можно удалить, проще всего это сделать запустив поиск по расширению файла, а затем убедившись что найдено именно то что нужно — переместить все в корзину.

Уязвимость в SMB или как обезопасить свою сеть от шифратора вымогателя WCry (WannaCry или WannaCryptor) и его разновидностей

В начале весны была обнаружена уязвимость в протоколе SMB v1, она позволяет выполнять злоумышленнику на уязвимой машине произвольный код. Практически сразу же появился патч от Майкрософта и вирус-вымогатель, который шифрует файлы пользователя и требует деньги за дешифрование.  Обезопасить свой компьютер и сеть можно установив соответствующий патч или запретив в найстройках системы использование SMB v1, а лучше сделать и то и другое.  Эти меры защитят Ваш компьютер от заражения по сети, но если Вы сами скачаете и запустите вирус то они не помогут.

Тут на английском подробно про уязвимость: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx, ссылки на патчи в конце статьи, если Ваш компьютер не заражен, листайте ниже и устанавливайте патчи (если включено автоматическое обновление, то вероятно патч уже установлен, но лучше перестраховаться и проверить).

Если Ваш компьютер заражен, то на данный момент удалить WannaCryptor можно разными способами:

  1. Первым делом установите патч закрывающий уязвимость (ссылки ниже), если этого не сделать возможно повторное заражение
  2. В Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008 использование уязвимого протокола SMB v1 можно запретить командой:
    Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» SMB1 -Type DWORD -Value 0 -Force
    Для этого запустите PowerShell от имени администратора, скопируйте выделенное жирным и кликните правой кнопкой на окне PowerShell, затем нажмите Enter, после необходимо перезагрузить компьютер для применения изменений.Команда для Windows 8 and Windows Server 2012 выглядит иначе:

    Set-SmbServerConfiguration -EnableSMB1Protocol $false

  3. Используйте утилиту MalwareBytes (по отзывам помогает)
  4. Используйте AdwCleaner (так же есть подтвержденные случаи успешного лечения)
  5. Лечение просто удаляет вирус, но зашифрованные файлы так и остаются зашифрованными.
  6. Так же не лишним будет проверить компьютер бесплатной антивирусной утилитой Cureit 
  7. Учитывая масштабы атаки весьма вероятно появления утилиты для дешифровки в обозримом будущем, пока не ясно, можно ли расшифровать файлы если заплатить вымогателям.

Ссылки на патчи:

Несмотря на прекращение поддержки Windows XP для нее и WIndows Server 2003 так же выпустили обновление закрывающее уязвимости в протоколе SMB v1:

Windows Server 2008
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
Windows 8.1
Windows 8.1 for 32-bit Systems
Windows 8.1 for 32-bit Systems
Windows 8.1 for x64-based Systems
Windows 8.1 for x64-based Systems
Windows Server 2012 and Windows Server 2012 R2
Windows Server 2012
Windows Server 2012
Windows Server 2012 R2
Windows Server 2012 R2
Windows 10
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1511 for 32-bit Systems
Windows 10 Version 1511 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows Server 2016
Windows Server 2016 for x64-based Systems
Server Core installation option
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2012 (Server Core installation)
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016 for x64-based Systems [3](Server Core installation)

UPD На начало июня расшифровщика нет, но весьма вероятно он будет, так что зашифрованные файлы можно не спешить удалять. Для тех кто только заразился и еще не перезагружал компьютер есть возможность расшифровать файлы WannaCry.

Как полностью удалить антивирус Avast и удалить Аvast upgrade utility

После удаления антивируса Avast, при каждой перезагрузке появляется окно с предложение его обновить, так как перегружаюсь я редко, то не обращал внимания на него, а тут решил разобраться, в этой статье я расскажу как полностью удалить Аваст и сопутствующие утилиты.

Можно использовать штатное удаление, но в результате некоторые части Avast и записи в реестре могут сохраниться, что сделает невозможным установку другого антивируса и приведет к появлению всплывающих окон. Для полного удаления Avast рекомендуется использовать соответствующую утилиту от производителя:

  1. Скачайте и запустите avastclear.exe на ваш компьютер, далее следуйте подсказкам картинки могут отличаться, но смысл будет примерно тот же (скрины актуальны на весну 2017 года)
  2. Удаление рекомендуется проводить в безопасном режиме, утилита удаления Аваста предложит перезагрузить операционную систему в безопасном режиме, рекомендуем согласиться с ее предложением, если у Вас нет такого окна, следует перезагрузиться в безопасный режим вручную:
  3. как полностью удалить антивирус Avast Если антивирус был установлен в каталог по умолчанию то здесь ничего менять не нужно, если же нет, то укажите путь к папке вручную, ошибаться не стоит так как папка и все ее содержимое будет удалено:как полностью удалить антивирус Avast
  4. После завершения процесса удаления необходимо перезагрузить компьютер:как полностью удалить антивирус Avast

После этого Avast будет полностью удален с Вашего компьютера.

Если Avast Вы уже удалили и Вас беспокоит всплывающее окно при каждой загрузке операционной системы:

Как удалить всплывающее окно с Avast upgrade utulity

то для удаления Аvast upgrade utility необходимо проделать следующее:

  1. Откройте планировщик задач и найдите там папку с задачами Avast software, затем отключите или удалите все задачи. Обратите внимание на путь к запускаемым файлам, нужно открыть проводник, пройти по указанному пути и удалить все ненужные папки с файлами

Как удалить всплывающее окно с Avast upgrade utulity

Перегружаемся и проверяем — больше всплывающее окно нас не побеспокоит и Avas удален полностью вместе с Avast upgrade utility.

Где Avast хранит карантин?

Понадобилось тут залезть в карантин Avast и посмотреть не отправил ли он туда по ошибке полезные файлы, несколько минут потратил на изучение интерфейса и таки нашел. В принципе у Avast неплохой интерфейс, но вот с карантином как-то неудачно вышло, если не знаешь где — не найдешь.

Есть два способа попасть в карантин Avast, быстрый (работает в новых версиях) и обычный — работает и в новых и в старых версиях.

  1. Быстрый способ просмотреть карантин Avast:
    Где аваст хранит карантин, как просмотреть карантин аваст
  2. Так же можно попасть в папку с карантином из интерфейса программы. Нужно выбрать сканирование — сканирование на вирусы и внизу окна будет ссылка на карантин:
    как просмотреть карантин avast

Карантин представляет собой список файлов с указанием места расположения, времени помещания в карантин и названием вируса который заражен файл, по правой кнопке мыши доступно меню в котором есть список возможных действий с файлом в карантине:где аваст хранит карантин

Как видите, ничего сложного.