Почему происходит самопроизвольный запуск браузера с рекламой в открытых вкладках

Самопроизвольно запускаться может только один браузер, или сразу несколько браузеров, если на компьютере установлено несколько обозревателей интернета. Это зависит от степени воздействия вредоносного программного обеспечения.

Злоумышленнику нужно показать в браузере определенные веб-страницы, на которых размещена реклама. Для этого, он использует вредоносное ПО, которое проникает на компьютер жертвы тем или иным способом, а затем выполняет необходимые действия для изменения параметров запуска браузера.

Запуск браузера с открытой страницей, на которой показывают рекламу, вызывается разными способами:

• изменение свойств ярлыка браузера;
• при выполнении пакетного «.bat» или командного «.cmd» файла;
• выполнение задачи в Планировщике заданий.

Что делать в первом и во втором случаях, я подробно описал в статьях на моем сайте. В первом случае, реклама открывается после запуска браузера пользователем. При втором способе заражения, могут быть различные варианты запуска браузера.

В этой статье мы рассмотрим третий вариант воздействия вредоносного ПО: использование Планировщика Windows и запуск браузера из автозагрузки.

Механизм проникновения и использования вируса на ПК, примерно следующий:

1. На компьютер попадает вирус, который создает в Планировщике заданий Windows одно или несколько заданий для запуска браузера, с определенными условиями (после запуска операционной системы или запуск с заданной периодичностью).
2. Вирус прописывает в свойствах исполняемого файла браузера аргумент, для открытия определенной страницы, сразу после запуска браузера.
3. После включения ПК и загрузки системы, браузер сам открывается и показывает рекламу.

Жертвой злоумышленника может стать любой популярный браузер: Google Chrome, Яндекс Браузер, Mozilla Firefox, Opera. В зависимости от параметров вредоносного программного обеспечения, запускается браузер по умолчанию или злоумышленник выбирает браузер, который будет запускаться с рекламой на зараженном компьютере.

Перед выполнением работ создайте точку восстановления системы, чтобы у вас была возможность вернуть компьютеру рабочее состояние на момент совершения изменений, если вы совершите неверные действия.

Что делать, если открывается браузер с рекламой

Для ликвидации последствий подобного заражения, нам потребуется самостоятельно обнаружить запланированную задачу в Планировщике Windows, выполняющее запуск браузера с заданными параметрами (открытие вкладки с рекламой).

Сначала необходимо войти в планировщик заданий:

1. Нажмите одновременно на клавиши «Win» + «R».
2. В диалоговом окне «Выполнить» введите команду: «taskschd.msc» (без кавычек), а затем нажмите на «ОК».
3. На компьютере откроется окно оснастки «Планировщик заданий».

Теперь нам нужно найти в планировщике задание на запуск браузера, выполняемое по определенным условиям.

1. В дереве консоли войдите в Библиотеку планировщика заданий (левое меню).
2. Просмотрите по очереди все задания в списке.

Запуск рекламы в браузере может маскироваться под внешне полезную задачу: обновление системы или приложений, запуск драйвера и т. п., поэтому необходимо тщательно просмотреть все запланированные задачи.

Я специально создал вредоносную задачу для запуска браузера Google Chrome, в главном окне которого откроется реклама. Задание имеет внешне безобидное название «ChromeBrowser».

Выделите задание, войдите во вкладку «Триггеры» для просмотра условий выполнения задачи. Обратите внимание на то, как выполняется задача: при запуске, при входе в систему, с какой периодичностью запускается задача.

Откройте вкладку «Действие», в параметре «Подробности» указан путь к исполняемому файлу «chome.exe», а дальше находится адрес сайта для автоматического открытия в окне браузера. Мы видим, что здесь находится «левый» сайт.

URL-адрес сайта добавляемый к исполняемому файлу браузера свидетельствует о том, что это задание создано вредоносным программным обеспечением. Исключение: если только пользователь не создал эту задачу самостоятельно.

В обычных случаях, к исполняемому файлу браузера не добавляют аргументы в виде адреса сайта, потому что выбрать сайт, открывающейся в окне браузера, можно из настроек браузера.

Выделите задание, созданное вредоносным программным обеспечением, щелкните по нему правой кнопкой мыши, в контекстном меню выберите «Удалить». Тоже самое можно сделать из меню «Действие» после выделения ненужного задания: в опции «Выбранный элемент» нажмите на «Удалить».

В окне с предупреждением, подтвердите удаление задания.

После этого, браузер перестанет самостоятельно запускаться и открывать страницы с назойливой или вызывающей рекламой.

Поиск запуска рекламы в браузере из автозагрузки Windows

Некоторые системные службы, драйвера и приложения запускаются со стартом Windows, потому что они необходимы для обеспечения работы операционной системы. Программы от сторонних производителей, также любят добавлять себя в автозагрузку, при установке на компьютер.

В некоторых случаях это оправданно, потому что приложение для выполнения необходимых функций должно работать в фоновом режиме. В большинстве случаев, автозапуск многих программ ничем не оправдан, эти приложения напрасно потребляют системные ресурсы без всякой пользы.

Пользователь имеет возможности для самостоятельного запуска нужного приложения, когда оно ему понадобится.

Для поиска параметров автозапуска страниц с рекламой, нам потребуется войти в системный реестр, потому что из стандартной автозагрузки Windows (вход в Диспетчере задач Windows 10, Windows 8.1, Windows 8 или в утилите «msconfig» Windows 7) мы не сможем увидеть все данные запускаемой программы.

1. Нажмите на клавиши «Win» + «R».
2. В окне «Выполнить» введите команду: «regedit» (без кавычек) для запуска редактора реестра.
3. В окне «Редактор реестра» пройдите по пути:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Посмотрите внимательно на имеющиеся параметры, находящиеся в автозапуске.

Если вы обнаружили явно подозрительную запись, удалите ее. Выделите параметр, нажмите правую кнопку мыши, в контекстном меню выберите «Удалить».

После совершенных действий, в большинстве случаев, реклама перестанет вас беспокоить. Если ничего не помогло, придется искать другие способы решения проблемы.

Как исправить ситуацию

Чтобы исправить самопроизвольное открытие браузера потребуется удалить те системные задания, которые вызывают это открытие. В настоящий момент времени чаще всего запуск происходит через планировщик заданий Windows.

Для исправления проблемы, выполните следующие действия:

1. Нажмите клавиши Win+R на клавиатуре (где Win — клавиша с эмблемой Windows), введите taskschd.msc и нажмите Enter.
2. В открывшемся планировщике заданий, слева, выберите «Библиотека планировщика заданий».
3. Теперь наша задача — найти те задания, которые вызывают открытие браузера в списке.
4. Отличительные особенности таких заданий (по названию их найти не получится, они стараются «маскироваться»): они запускаются раз в несколько минут (можно, выбрав задание открыть вкладку «Триггеры» внизу и посмотреть частоту повтора).
5. Они запускают какой-либо сайт, при этом не обязательно тот, который вы видите в адресной строке новых окон браузера (могут быть перенаправления). Запуск происходит с помощью команд cmd /c start https://адрес_сайта или путь_к_браузеру https://адрес_сайта.
6. Увидеть, что именно запускает каждое из заданий, вы можете, выбрав задание, на вкладке «Действия» внизу.
7. Для каждого подозрительного задания нажмите по нему правой кнопкой мыши и выберите пункт «Отключить» (лучше не удалять, если вы не уверены на все 100 процентов, что это именно вредоносное задание).

После того, как все нежелательные задания отключены, посмотрите была ли решена проблема и продолжает ли браузер сам запускаться. Дополнительная информация: есть программа, которая также умеет искать сомнительные задания в планировщике заданий — RogueKiller Anti-Malware.

Еще одно расположение, в случае если браузер запускается сам при входе в Windows — автозагрузка. Там также может быть прописан запуск браузера с нежелательным адресом сайта, способом, аналогичным тому, что описан в пункте 5 выше.

Проверьте список автозагрузки и отключите (удалите) подозрительные пункты. Способы сделать это и различные расположения автозагрузки в Windows подробно описаны в статьях: Автозагрузка Windows 10 (подойдет и для 8.1), Автозагрузка Windows 7.