Программирование
Что делает Yandex.ps1 на ноутбуке ASUS и как удалить?
Скрипт Yandex.ps1 от ASUS запускает Yandex Browser после завершения OOBE и подключения к сети, затем сам удаляется. Как безопасно удалить файл и задачи.
Что делает скрипт Yandex.ps1, найденный в папке C:\Windows\ASUS на новом ноутбуке ASUS, и как безопасно удалить его?
Я купил новый ноутбук ASUS в DNS и обнаружил в системе файл Yandex.ps1 в папке C:\Windows\ASUS. Скрипт выглядит как PowerShell‑скрипт, создающий задачу планировщика для запуска Yandex Browser. Ниже приведён сам скрипт:
powershell
spoiler[CmdletBinding()]
param (
[Parameter(Mandatory = $true)]
[string] $_Arg = ""
)
$MethodDefinition = @"
[DllImport("kernel32")]
public extern static bool OOBEComplete(ref bool isOOBEComplete);
[DllImport("wininet")]
public extern static bool InternetGetConnectedState(ref UInt32 lpdwFlags, UInt32 dwReserved);
"@
$Kernel32 = Add-Type -MemberDefinition $MethodDefinition -Name 'Kernel32' -Namespace 'Win32' -PassThru
$_TaskName = "Yandex Browser"
$_PS1File = "Yandex.ps1"
$_TargetFolder = "C:\\Windows\\ASUS"
if ($_Arg -ieq "/Add")
{
# Copy ps1 file
if (-not (Test-Path $_TargetFolder))
{
New-Item -ItemType "directory" -Path "$$_TargetFolder"
}
Copy-Item "$((Split-Path $PSCommandPath))\$_PS1File" -Destination "$$_TargetFolder"
Copy-Item "$((Split-Path $PSCommandPath))\AsusLauncher.exe" -Destination "$$_TargetFolder"
# Create task
$_Trigger = New-ScheduledTaskTrigger -AtLogOn
$_PPrincipal = New-ScheduledTaskPrincipal -GroupId "S-1-5-32-544" -RunLevel Highest
$_Settings = New-ScheduledTaskSettingsSet -Compatibility Win8 -DontStopIfGoingOnBatteries -AllowStartIfOnBatteries -DontStopOnIdleEnd -RestartCount 3 -RestartInterval (New-TimeSpan -Minutes 10)
$_Description = $_TaskName
$_Action = New-ScheduledTaskAction -Execute "$$_TargetFolder\AsusLauncher.exe" -Argument "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe -WindowStyle Hidden -ExecutionPolicy Unrestricted $$_TargetFolder\$$_PS1File '/Run'"
$_Task = New-ScheduledTask -Description $_Description -Action $_Action -Principal $_PPrincipal -Trigger $_Trigger -Settings $_Settings
Register-ScheduledTask -Force $_TaskName -InputObject $_Task
[xml]$_TaskXML = Export-ScheduledTask -TaskName $_TaskName
# Modify task attribute
$_Author = $_TaskXML.CreateElement("Author", $_TaskXML.Task.RegistrationInfo.NamespaceURI)
$_Author.InnerXml = "ASUSTeK COMPUTER INC."
$_TaskXML.Task.RegistrationInfo.AppendChild($_Author)
Unregister-ScheduledTask -Confirm:$false -TaskName $_TaskName
Register-ScheduledTask -Force $_TaskName -Xml $_TaskXML.OuterXml
Disable-ScheduledTask -TaskName $_TaskName
}
elseif ($_Arg -ieq "/Run")
{
[Bool] $IsOOBEComplete = $false
while ($Kernel32::OOBEComplete([ref]$IsOOBEComplete))
{
if ($IsOOBEComplete -eq $true)
{
Start-Sleep -Seconds 3600
[UInt32] $lpdwFlags = 0
[UInt32] $dwReserved = 0
while (-not ($Kernel32::InternetGetConnectedState([ref]$lpdwFlags, $dwReserved)))
{
Start-Sleep -Seconds 300
}
if ((Get-ScheduledTaskInfo -TaskName "Обновление Браузера Яндекс").TaskName -eq "Обновление Браузера Яндекс")
{
}
else
{
# Execute Yandex Win32 App
& 'C:\\Program Files (x86)\\Yandex\\YandexBrowser\\Application\\browser.exe'
}
# Remove task
Unregister-ScheduledTask -Confirm:$false -TaskName $_TaskName
# Delete files
Remove-Item -Path "$$_TargetFolder\$$_PS1File"
Remove-Item -Path "$$_TargetFolder\AsusLauncher.exe"
break;
}
else
{
Start-Sleep -Seconds 300
}
}
}
Вопросы
- Что именно делает этот скрипт?
- Какие действия он выполняет при запуске с параметром
/Addи/Run? - Зачем он создаёт задачу планировщика и какие программы запускает?
- Какие действия он выполняет при запуске с параметром
- Нужно ли удалять его?
- Есть ли риск, что скрипт будет автоматически запускаться и обновлять браузер?
- Как безопасно удалить все связанные файлы и задачи планировщика?
- Как проверить, что ноутбук не содержит других подобных скриптов?
- Какие инструменты можно использовать для сканирования системы на наличие скрытых задач и автозагрузки?
- Что делать, если ноутбук подключён к интернету и скрипт пытается подключиться?
- Как предотвратить нежелательные сетевые соединения?
Я не подключал ноут к интернету, но скрипт пытается подключиться. Что это за риск и как удалить его без повреждения системы?
Ответ
Скрипт Yandex.ps1 — это «троян‑хелпер» от ASUS, который после завершения первоначальной настройки (OOBE) и подключения к Интернету автоматически запускает Yandex Browser, затем сам удаляется. Он создаёт задачу планировщика, копирует себя и лаунчер AsusLauncher.exe, запускает браузер один раз и удаляет все следы.
Содержание
- Что делает скрипт?
- Нужно ли удалять его?
- Как безопасно удалить скрипт и связанные файлы
- Проверка на наличие подобных скриптов и авто‑загрузок
- Как предотвратить нежелательные сетевые соединения
- Заключение
Что делает скрипт?
| Шаг | Что происходит | Как это выглядит |
|---|---|---|
| /Add | 1. Создаёт каталог C:\Windows\ASUS (если его нет). 2. Копирует сам скрипт и AsusLauncher.exe в этот каталог. 3. Создаёт задачу планировщика «Yandex Browser», которую запускает при входе пользователя. 4. В задаче запускается скрытый PowerShell‑скрипт с аргументом /Run. |
New-ScheduledTaskTrigger -AtLogOn + New-ScheduledTaskAction |
| /Run | 1. Ожидает завершения OOBE (проверяет Kernel32::OOBEComplete). 2. Ждёт подключения к Интернету ( InternetGetConnectedState). 3. Если задача «Обновление Браузера Яндекс» не найдена, запускает browser.exe из каталога Yandex. 4. Удаляет задачу планировщика, а затем сам удаляет собственные файлы. |
Start-Sleep, Get-ScheduledTaskInfo, & 'C:\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe' |
Важно: скрипт запускается только один раз, после того как пользователь впервые входит в систему и есть интернет‑подключение. После выполнения он удаляется, поэтому в обычном использовании он не будет мешать системе.
Нужно ли удалять его?
- Риск автоматического запуска – скрипт будет стартовать только один раз, но если вы не хотите пользоваться Yandex Browser, удаление избавит от нежелательного ПО.
- Утилиты, которые могут быть поставлены вместе –
AsusLauncher.exeможет быть частью фирменного ПО ASUS; однако он не используется после выполнения скрипта. - Сетевой риск – скрипт подключается к серверам Yandex для запуска браузера. Это не вредоносная активность, но если вы предпочитаете полностью изолировать устройство, удаление всё равно безопасно.
Рекомендация: если вы не планируете использовать Yandex Browser, удалите скрипт и связанные файлы. Если вы хотите оставить браузер, просто оставьте всё как есть – он будет запускаться только один раз.
Как безопасно удалить скрипт и связанные файлы
-
Удалить задачу планировщика
powershellUnregister-ScheduledTask -TaskName "Yandex Browser" -Confirm:$false -
Удалить каталог
powershellRemove-Item -Recurse -Force "C:\Windows\ASUS"Если каталог недоступен из-за прав, запустите PowerShell от имени администратора.
-
Проверить наличие других задач
powershellGet-ScheduledTask | Where-Object {$_.TaskName -like "*Yandex*"}Удалите найденные задачи аналогичным способом.
-
Проверить автозагрузку
- В меню «Пуск» → «Выполнить» →
shell:startup - В реестре:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunиHKLM\Software\Microsoft\Windows\CurrentVersion\Run
Удалите записи, относящиеся к Yandex или ASUS.
- В меню «Пуск» → «Выполнить» →
-
Перезапустить компьютер – гарантирует, что все процессы завершены.
Проверка на наличие подобных скриптов и авто‑загрузок
| Инструмент | Что ищет | Как использовать |
|---|---|---|
| Autoruns (Sysinternals) | Все автозагрузки, службы, реестровые ключи, планировщик задач | Скачайте с официального сайта Microsoft и запустите от имени администратора. Отключите ненужные запуски. |
| PowerShell Get‑ScheduledTask | Все задачи планировщика | `Get-ScheduledTask |
| Windows Defender/Microsoft Defender Antivirus | Обычные и скрытые угрозы | Полный системный скан. |
| Process Explorer | Запущенные процессы и их родительские процессы | Позволяет увидеть, откуда запускается browser.exe или AsusLauncher.exe. |
| Файл журналов | C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp |
Проверка наличия ярлыков. |
Если после проверки остаются только известные вам утилиты, система считается «чистой» от скрытых скриптов.
Как предотвратить нежелательные сетевые соединения
-
Блокировка IP/URL через брандмауэр
- Откройте «Брандмауэр Windows» → «Правила для входящих подключений» → «Создать правило» → «Блокировать подключение».
- Добавьте адреса Yandex (например,
*.yandex.ru,*.yandex.net).
-
Выключить доступ к интернету
- Включите «Режим полета» или отключите сетевой адаптер.
- Это полностью остановит любые сетевые запросы от скрипта.
-
Изменить параметры PowerShell
- Запретить удалённые вызовы:
Set-ExecutionPolicy Restricted. - Это не остановит локальный запуск, но блокирует внешние запросы из скрипта.
- Запретить удалённые вызовы:
-
Проверка сетевых запросов
- Используйте
netstat -ano | findstr :80иfindstr :443для поиска активных соединений. - Если видите подключение к
*.yandex.ru, можно отследить PID и завершить процесс через Task Manager.
- Используйте
Заключение
- Скрипт Yandex.ps1 — это одноразовый автозапускаемый модуль от ASUS, который устанавливает Yandex Browser после завершения OOBE и подключения к интернету.
- Если вы не планируете использовать браузер, удалите задачу планировщика и каталог
C:\Windows\ASUS. - Для полной уверенности проверьте систему с помощью Autoruns, PowerShell и брандмауэра.
- Блокировка сетевых запросов к
*.yandex.ruобеспечит отсутствие ненужной активности даже при оставлении скрипта. - После удаления системы не будет повреждена, а вы избежите нежелательных подключений и автоматического запуска браузера.