Вредоносный скрипт от gate.com запускается при запуске — не могу найти, откуда он взялся: chrome =reddit.com/r/chrome=

Вредоносный скрипт от gate.com запускается при запуске — не могу найти, откуда он взялся Устранение неполадок | Windows ( self.chrome )

отправлено 16 минут назад пользователем Bluendie

Я заметил, что мой браузер автоматически открывает https://gate.com/uvu7/script-002.htm каждый раз, когда я запускаю свою систему, и я никогда не создавал учетную запись на Gate.com. Вот полный список того, что я проверил и сделал, чтобы исследовать и исправить проблему.

1. Файл HOSTS

  • Открыто: C:WindowsSystem32driversetchosts
  • Проверено, что не было никаких перенаправлений или поддельных записей для gate.com

2. Папки автозагрузки

  • Проверил оба:
    • shell:startup (папка автозагрузки пользователя)
    • shell:common startup (общесистемная папка автозагрузки)
  • Ничего не найдено, указывающего на URL

3. Расширения Chrome

  • Открыто chrome://extensions/
  • Проверены все установленные расширения
  • Нашел одно подозрительное расширение: Scripty – Javascript Injector
    • Был настроен только один пользовательский скрипт (безопасный, область действия — mail.yahoo.com)
    • Несмотря на это, расширение, скорее всего, незаметно внедряло URL-адрес
    • Я удалил это

4. Планировщик задач

  • Открыто taskschd.msc
  • Просмотрены все запланированные задачи в библиотеке планировщика задач.
  • Никаких незнакомых или запускающих браузер задач не было.

5. Приложения для автозагрузки

  • Проверил Диспетчер задач > вкладка Автозагрузка
  • Проверено, что все приложения известны и не связаны с проблемой.

6. Обзор сценария Scripty

  • Единственный скрипт внутри Scripty:
    • Нацелено только на mail.yahoo.com
    • Удалены рекламные элементы без внешних сетевых вызовов
  • В сценарии нет упоминания gate.com
  • Тем не менее, Scripty был удален в качестве меры предосторожности.

7. Параметры запуска Chrome

  • Проверено, что chrome://settings/onStartup не включает gate.com в качестве стартовой страницы

8. Ярлык Chrome

  • Проверенные свойства > Целевое поле в ярлыках Chrome
  • Не было добавлено ни одного URL-адреса.

9. Реестр Windows (ключ «Выполнить»)

  • Проверено: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
  • Записи о запуске браузера или URL не найдены.

10. Проверка политики Chrome

  • Посетил chrome://policy
  • Подтверждено отсутствие политики принудительного использования расширений или URL-адресов запуска

Хотя я удалил расширение Scripty – Javascript Injector (которое казалось наиболее вероятной причиной), я все еще не совсем уверен, было ли это единственным фактором. Скрипт на https://gate.com/uvu7/script-002.htm постоянно загружался при запуске системы, хотя я никогда не посещал Gate.com и не создавал там учетную запись.

Я проверил все очевидные векторы — папки автозагрузки, планировщик заданий, настройки Chrome, автозапуски реестра и политики — и не нашел ничего, что напрямую указывало бы на этот URL. Единственным потенциальным виновником было расширение Scripty, хотя мой настроенный скрипт внутри него был чистым и распространялся только на Yahoo Mail.

На данный момент я не уверен:

  • Scripty был скомпрометирован и загружал скрипты в фоновом режиме,
  • Или есть ли что-то еще в моей системе или в Chrome, что я пропустил.

Нужна помощь или идеи о том, откуда еще это может исходить — есть ли что-то более глубокое, что мне следует проверить?

Гифка поведения:

https://imgur.com/a/VQIrkWa

Источник

Leave a Reply

Your email address will not be published. Required fields are marked *