Shmokiads.com вирус (был, да пропал)

@MarkoFirst · Регистрация: 27.10.2016

Author24 — интернет-сервис помощи студентам

Всем прув.
Было постоянное перенаправление с "незащищенных" сайтов, на подобии torrent-games.net и тд. на shmokiads.com.

Просто включил безопасный режим загрузки, сбросил настройки хрома и перезагрузил систему. И перенаправление пропало.

И еще WiFi начал подлагивать на ноуте.

На долго ли? И что желательно сделать еще?

@GoodWeather · 28.02.2017, 13:48

Что такое "с незащищенных сайтов"?
Я чаще всего встречаю вирусы, которые "засовывают" в любые web-страницы один простенький js-скрипт, который собственно и шалит.

Как это проверить:

Запускаете Хром;
Нажимаете F12 (должно открыться "Панель Инструменты Разработчиков");
Открываете на этой панели вкладку "Network";
Переходите на сайт "ya.ru" (или жмёте F5 если уже оно открыто);
Смотрите какие ресурсы подкачиваются, с каких сайтов/доменов, ищите чужеродное...

Откуда это может лезть:

Процесс вируса, например довольно часто обнаруживается навроде такого: "C:\Program files\Zaxar\ZaxarGames.exe";
DLL-файл-вирус, путь к которому указан в реестре как "AppInit_DLLs" (правда там может быть указана и нормальная либа, от типа Adobe или Nero);
Хитрые модификации внутри текстовых файлов Хрома и его плагинов (xml, js, xul, итп);
Иные пакости...

Так что сперва проверьте запущенные процессы и реестр (всё от админа), потом полное сканирование Dr.Web, можно с LiveCD например.

@MarkoFirst · 28.02.2017, 15:24 **[ТС]**

Dr.Web ничего не находит.

В Network тоже все чисто.

Папки Zaxar вообще не существует.

Что именно смотреть я не понимаю, вообще в регистре тугодум:
https://www.cyberforum.ru/atta... 1488284267

И постоянно глючит вифи, хотя на других устройствах все норм (драйвера обновил -- не помогло).

Что такое "с незащищенных сайтов"?
https://www.cyberforum.ru/atta... 1488284267
https://www.cyberforum.ru/atta... 1488284267
это имел в виду.

Вот ДЗ:
https://www.cyberforum.ru/atta... 1488284601
https://www.cyberforum.ru/atta... 1488284601
https://www.cyberforum.ru/atta... 1488284601

Огромное спасибо за помощь!

@GoodWeather · 28.02.2017, 18:12

Сообщение от MarkoFirst

Папки Zaxar вообще не существует.

Это было просто как пример, имелось ввиду любые незнакомые процессы и программы.
Чтот многовато у вас "svchost"... Это при простое, или что-то этакое запустили?

Вот вы знаете что такое:

PresentationFontCache.exe
RuntimeBroker.exe
SearchUI.exe
unsecapp.exe
smartscreen.exe
ZeroConfigService.exe

Например про RuntimeBroker можно тут кое-что прочесть, но тоже пишут:

Некоторые вредоносные программы маскируют себя как RuntimeBroker.exe

Проверить бы всё подозрительные, например этим: VirusTotal
А ещё в хорошем пакете программ Sysinternals Suite (вики-описание) есть Process Explorer и AutoRuns, лучше ими смотреть инфу.

Кстати логи бы пригодились: Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@MarkoFirst 0 / 0 / 0 Регистрация: 27.10.2016 Сообщений: 4
		1
	Shmokiads.com вирус (был, да пропал) 28.02.2017, 13:15. Показов 755. Ответов 3 Метки нет (Все метки) Всем прув. Было постоянное перенаправление с "незащищенных" сайтов, на подобии torrent-games.net и тд. на shmokiads.com. Просто включил безопасный режим загрузки, сбросил настройки хрома и перезагрузил систему. И перенаправление пропало. И еще WiFi начал подлагивать на ноуте. На долго ли? И что желательно сделать еще? 0

@GoodWeather 884 / 586 / 179 Регистрация: 28.02.2017 Сообщений: 2,359 Записей в блоге: 1
	28.02.2017, 13:48	2
	Что такое "с незащищенных сайтов"? Я чаще всего встречаю вирусы, которые "засовывают" в любые web-страницы один простенький js-скрипт, который собственно и шалит. Как это проверить: Запускаете Хром; Нажимаете F12 (должно открыться "Панель Инструменты Разработчиков"); Открываете на этой панели вкладку "Network"; Переходите на сайт "ya.ru" (или жмёте F5 если уже оно открыто); Смотрите какие ресурсы подкачиваются, с каких сайтов/доменов, ищите чужеродное... Откуда это может лезть: Процесс вируса, например довольно часто обнаруживается навроде такого: "C:\Program files\Zaxar\ZaxarGames.exe"; DLL-файл-вирус, путь к которому указан в реестре как "AppInit_DLLs" (правда там может быть указана и нормальная либа, от типа Adobe или Nero); Хитрые модификации внутри текстовых файлов Хрома и его плагинов (xml, js, xul, итп); Иные пакости... Так что сперва проверьте запущенные процессы и реестр (всё от админа), потом полное сканирование Dr.Web, можно с LiveCD например. 0

@MarkoFirst 0 / 0 / 0 Регистрация: 27.10.2016 Сообщений: 4
	28.02.2017, 15:24 [ТС]	3
	Dr.Web ничего не находит. В Network тоже все чисто. Папки Zaxar вообще не существует. Что именно смотреть я не понимаю, вообще в регистре тугодум: https://www.cyberforum.ru/atta... 1488284267 И постоянно глючит вифи, хотя на других устройствах все норм (драйвера обновил -- не помогло). Что такое "с незащищенных сайтов"? https://www.cyberforum.ru/atta... 1488284267 https://www.cyberforum.ru/atta... 1488284267 это имел в виду. Вот ДЗ: https://www.cyberforum.ru/atta... 1488284601 https://www.cyberforum.ru/atta... 1488284601 https://www.cyberforum.ru/atta... 1488284601 Огромное спасибо за помощь! Миниатюры 0

@GoodWeather 884 / 586 / 179 Регистрация: 28.02.2017 Сообщений: 2,359 Записей в блоге: 1
	28.02.2017, 18:12	4
	Сообщение от MarkoFirst Папки Zaxar вообще не существует. Это было просто как пример, имелось ввиду любые незнакомые процессы и программы. Чтот многовато у вас "svchost"... Это при простое, или что-то этакое запустили? Вот вы знаете что такое: PresentationFontCache.exe RuntimeBroker.exe SearchUI.exe unsecapp.exe smartscreen.exe ZeroConfigService.exe Например про RuntimeBroker можно тут кое-что прочесть, но тоже пишут: Некоторые вредоносные программы маскируют себя как RuntimeBroker.exe Проверить бы всё подозрительные, например этим: VirusTotal А ещё в хорошем пакете программ Sysinternals Suite (вики-описание) есть Process Explorer и AutoRuns, лучше ими смотреть инфу. Кстати логи бы пригодились: Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0