доброго времени суток!
друг захотел поиграть и скачал себе "директ икс". файл подписан ooo narzan. при запуске появляется окно распаковки инсталлятора setup.exe (директ икс). присутствует галосчка для установки браузера амиго. если снять галочку, то он всё равно ставится. так же ставится захар гейм браузер, куча всякого говна от мэйл.ру типа домашней страницы, поиска и т.д.
большая часть этого дерьмица удаляется достаточно легко, в реестре большую часть тоже легко отыскать. в итоге вроде всё в порядке, но постоянно пытается открыться браузер и перейти на страницу (саму страницу не грузил, нахер).

файлик тут: hXXp://rgho.st/87VtxWvHs

другу уже мозг промыл, беседу провёл, но эти окна с открытием сайта реально достают.
возможно помимо этого ещё что-то есть.

кто-нибудь, пожалуйста, гляньте его. на параллелс десктоп копать его тяжко, тупит нереально =(

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula
попробуй установить на том же параллелс с монитором установки --> например этим <--, после перенести записанный лог и удалить по нему

| Сообщение посчитали полезным:

SReg, спасибо, но результат, можно сказать, такой же. да, почистил реестр ручками (правда не все ключи присутствовали из показанных). а папки с уг и без неё видно.

остаётся одна бесячая проблема: постоянно вылезает окошко "какой программой хотите открывать файлы типа http?" и если выбрать один из браузеров, то щемится по редиректам. и потом снова предлагает выбор.

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula, ищи adwcleaner_6.030.exe от известной конторы Malwarebytes. Офигенно выручает с прочисткой браузеров от говна, юзеры часто ловят хрень, которая прописывается в конфигах браузера и начинает редиректить, эта тулза знатно помогает

| Сообщение посчитали полезным:

вы так говорите, как будто малварь это плохо, а ведь она санитар, выпиливает долбаёбов из интернета, так ещё вам и денег даёт за работу ;)

| Сообщение посчитали полезным:

specz, ну как санитар... сначала занесёт всякой шняги, а потом предлагает решения для удаления всякого говна =) с человека, с которым на двоих хату снимешь деньги брать как мерзко

TryAga1n пишет:
adwcleaner_6.030.exe от известной конторы Malwarebytes
на сайте Malwarebytes о такой программе не слышали... видел два сайта с этой прогой (с названием проги в адресе). вот фэйспалм, если одна из них сначала так же извлекает всякое фуфло, а потом будет лечить комп.

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula
Раз - --> Link <--
Два - --> Link <--

С мяском согласен, малварь - санитар леса

| Сообщение посчитали полезным:

TryAga1n, уже нашёл, стянул, проверил. что-то нашёл, включая mail.ru updater, попросил ребут, создал карантин. а проблема осталась. постоянно щемится в браузер =(

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

ну тогда по старинке тебе на virusinfo.info и avz конечно же.

| Сообщение посчитали полезным:

авторансом пересмотри загрузку, все невиндовые записи проверяй на (бес)полезность
если тяжко, то там же сохрани полный список автозагрузки и выложи куда-нибудь
мож у кого и появится мысль где зараза засела

| Сообщение посчитали полезным:

запусти файл на варе под песочницей и посмотри, куда гадит, если лень мониторами отслеживать.

| Сообщение посчитали полезным:

TryAga1n пишет:
С мяском согласен, малварь - санитар леса
вот хз, честно... им (юзверям) похуй становится. комп один хер уже тупит. и начинают вообще забивать на элементарные правила, плодят вирусы у себя и распространяют их на флэшках и через сеть.

-=AkaBOSS=- пишет:
авторансом пересмотри загрузку
статус "Тот ещё Lamer" шутка, уж что-что, а автозагрузка первая на осмотре была.

Gideon Vi пишет:
запусти файл на варе под песочницей
какие песочницы? у меня мак - тут параллелс десктопа хватает только кейген запустить.

проверил утилитой от доктор вэб, адв клинер, малвэрбайтовским авиром (он потом хром залочил почему-то), каспером (установлен, на следующий день узрел в файле гадость). все (кроме вэба) выдали вердикты, лечили, удаляли, просили ребут и т.д. от этой дряни не осталось ни одной папки, ни одного ярлыка, ни одного файла, ни одной записи в реестре, ни одного плагина для браузера. проблема только одна и она очень напрягает - каждые 15-20 минут по два-три раза с перерывом в минуту появляется окно. кино, сука, нормально не посмотреть.

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula, и все же я считаю, что гадость прописана в конфигах браузера. Решение - полный реинсталл браузера с очисткой всех хвостов. Ну и опять же, для проверки скачай любой portable браузер и посмотри кинцо в нем, уверен никакие окна не полезут
p.s.: советую так же проверить DNS серверы, ибо некоторые малвари любят их переписывать

| Сообщение посчитали полезным:

TryAga1n, браузер закрыт, когда эта херня появляется. система пытается запустить файл типа http и спрашивает, в каком приложении его открывать (тупорылые фишки вин 8.1)

смотрел планировщик заданий. либо там всё норм, либо хорошо замаскировали.

вообще есть подозрение, что эта тварь пропатчила один из системных файлов/процессов, но не должен ли был тогда каспер спалить это?

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula пишет:
автозагрузка первая на осмотре была.
не всё сразу хорошо просматривается. некоторая хрень умеет копировать VersionInfo из реальных системных файлов, чтобы не выделяться на их фоне.

Talula пишет:
спрашивает, в каком приложении его открывать (тупорылые фишки вин 8.1)
тупорыло было бы, если бы она их без спросу в браузере открывала.

Talula пишет:
есть подозрение, что эта тварь пропатчила один из системных файлов/процессов
sfc /scannow ?

btw, в безопасном режиме реклама тоже появляется?
а с отключённым интернетом?

я правильно понимаю - после загрузки винды, даже если ничего не нажимать, всё равно начинается самодеятельность?
если так, то я всё же рекомендовал бы выложить список автозагрузки, снятый авторансом.
и заодно полный список процессов в момент появления окна, хотя бы скриншотами.

гадание не помогает, а на виртуалке у меня такого эффекта достичь не удалось.

TryAga1n пишет:
скачай любой portable браузер и посмотри кинцо в нем
хз конешн, как там на самом деле, но не все люди смотрят фильмы в браузерах.

| Сообщение посчитали полезным:

gmer-ом просканте авторан.

-----
vx

| Сообщение посчитали полезным: