Во всех браузерах после загрузки страницы, открывается непонятный сайт. Как удалить вирус открывающий сайты?

Question

[Pan Propan]

ОСЬ Windows 10, включен защитник Виндовс.
После загрузки практически любого сайта в любом браузере на моем компьютере, происходит загрузка какого то непонятного сайта. В статусной строке браузере вижу что грузится домен taobao.com.
Анализ html - кода страницы показал что на каждой странице в браузере присутствует фрейм:

<iframe width=&quot;1&quot; height=&quot;1&quot; frameborder=&quot;0&quot; src=&quot;http://gotu.haiwaitao.in/click/r.php?target=http%3A%2F%2Fwww.16bingtuan.com%2Fcha oshi.php%3Ffrom%3D1451812653872&quot;></iframe>

ADWCleaner ничего не нашел, Касперский 2015 тоже. Компьютер мой, к установкам программ отношусь очень скрупулезно. Буду рад любой помощи.

Comments

[Аскар А]

Сталкивался с таким на работе. В разных компах разные сайты, были и клоны легальных сайтов (дизайн точно как у поисковика, а домен хер пойми). Тут нужно несколько неудобных телодвижений сделать (имхо):
1. Удалить все непонятные расширения.
2. Удалить все непонятные программы
3. Почистить кэш браузера
4. В момент открытия левого сайта постараться его запомнить (к примеру site.ru)
5. В браузере указать жестко стартовую страницу
6. В свойствах ярлыка браузера найти путь к программе, скорее всего путь ведет к .bat файлу в папке пользователя (С\Виндоус\Пользователи\ВасяПупкин\Апп.Дата\Хром\Хром.dat --примерный путь)
7. удалить на хер все .дат файлы.
8. Открыть реестр и ввести в поиск название сайта (site.ru --см.4 пункт)
9. Все что найдете - удалить к чертям собачим.
10. Также возможно придется кое-какие настройки сделать в том же самом реестре. (осторожно, опасно для жизни компьютера).
Вроде все.
Прошу прощения за сумбурный текст.

Answer 1

[GavriKos]

Проверьте свойства ярлыков браузеров, с которых запускаете. Скорее всего там путь будет не к браузеру, а к какому нибудь батнику, зарытому в недрах системы.

Обычно что в таких случаях надо сделать:
1) Снести все подозрительное. Не стандартным анинсталлером, а чем то помощнее.
2) Проверить автозагрузку. Все подозрительное - под корень, сносить именно exe.
3) Проверить службы. Сделать все как в п2.
Если что то не удаляется - Unlocker вам в помощь.

Answer 2

[artanets1]

у меня такое же было. переставил Windows

Comments

[Аскар А]

)))

Answer 3

[seratehi]

Попробуйте ЕГО: https://ru.malwarebytes.org/
Бесплатной версии вполне хватит.
В своё время он меня очень выручил там, где Касперский оказался бессилен.

Comments

[Pan Propan]

Я уже начинаю отчаиваться) Пока ничего не помогает
Щас попробую отпишусь.

Answer 4

[Дмитрий Евграфович]

Как вариант, может днс сервера в винде или роутере кто-то поменял? Или файл hosts попортил.

Comments

[Pan Propan]

Постом выше посмотрите в комментариях. frame внедряется в код страницы

[Pan Propan]

то есть точно не dns

[Дмитрий Евграфович]

Pan Propan: неточно. Если вы запрашиваете с моего сервера какой-либо сайт, то мне ничто не помешает отдать вам страницу с того сайта с внедренным в нее кодом.

[Pan Propan]

Дмитрий Евграфович: хм. кажись вы правы, этот же сайта теперь выскакивает при просмотре страниц в браузере через iphone

Answer 5

[Valery Maroz]

Касперский 2015 - это KVRT или персональный продукт?
Если персональный, желательно перейти на 2016 версию антивируса Касперского и включить в нём детект ПНП, если не включён.
Настройки - дополнительно - параметры угроз и исключений - обнаруживать другие программы, запустите обновление баз и по его окончании перезагрузите компьютер; запустите полную проверку на вирусы.

Если проблема сохранится - обратитесь в раздел "Борьба с вирусами" официального форума Лаборатории Касперского, где приложите требуемые по правилам логи.

Answer 6

[SquareWheel]

Смотрите хосты, днсы(и на роутере тоже).
Поубивайте левые службы, всякую всячину из автозапуска.
Посмотрите правильно ли прописаны пути к exe'шникам бразуеров, и нет ли там замены латиницы на кирилицу(для этого проще всего переписать пути руками). Проскантесь avz-ом, а не тем что тут советуют.