Как удалить рекламу. Боремся с Malware.

Как удалить рекламу из браузера Яндекс Хром Опера или Боремся с Malware

От   04 января 2016

Чума 21-го века — Malware

В этой статье мы рассмотрим восстановление операционной системы после действия вредоносного ПО, такого как Malware. Что это такое, и как это слово расшифровывается, Вы без труда сможете узнать набрав соответствующий запрос в любой поисковой системе.

Но если сказать своими словами, Malware — это разновидность вредоносных программ, которые используют алгоритмы работы, отличные от привычных нам троянов и вирусов.

Эти программки, на раз проходят защиту антивирусов и фаерволов. Умеют их отключать. Затем разворачивают бурную деятельность на вашем компьютере.

В этой статье мы рассмотрим, как удалить рекламу из браузера Яндекс, Google Chrome, Opera — одно из последствий заражения.

Также, мы узнаем, как восстановить систему от других последствий Malware, и продлить ей жизнь.

Как Malware попадает к нам?

Очень просто — есть спрос, есть предложение. Т.е. Малваре мы получаем, скачивая необходимый нам файл с сомнительного ресурса (сайта).

Пример — человек, который не искушен еженощным шаманством с компьютером — не хочет тратить время на то, чтобы разбираться в том, что такое реестр, автозагрузка, папки TEMP и так далее, сталкивается с ошибкой 0xc00000ba. Такой человек, не станет искать инструкцию. Он станет искать, так называемую «Волшебную кнопку» (аналогия с Волшебной лампой Алладина).

И вот, пролистав несколько страниц непонятных инструкций, и не найдя ответа на свой вопрос, он натыкается на нечто такое:

Подложный сайт

Переходит по ссылке, и видит следующее. Девушка просит помощи у форумчан, в поиске «волшебного» файла, который устранит ошибку 0xc00000ba. На форуме ей тут же дают ссылку на скачивание этого файла.

podlojniy-sayt-2

В некоторых случаях, топикстартер «слегка сомневается», но жители форума, тут же ее успокаивают: качай — не бойся, мы скачали, там все хорошо и т.п. Обязательно находится кто-то, кто говорит: «О, супер! Я тоже скачаю.»

podlojniy-sayt-3

Совет: увидели такой сайт или форум, бегите без оглядки. На таких сайтах можно что-нибудь «подцепить» даже ничего не скачивая.

Здесь показан довольно старый пример, т.к. он просто первое, что попалось под руку. На самом деле технология распространения вредоносного ПО с каждым днем лишь становиться изощреннее и умнее (надо отдать должное умным людям).

Как правило, люди умеющие бороться с Малваре, осторожны, и мало кто из них воочию видел сам процесс заражения. Спрашивать хозяев ноутбука бесполезно, ответ будет — «оно само сломалось».

Именно поэтому многие до сих пор точно не знают, каким способом (откуда) Malware попадает на компьютер.

Известно точно, что:

  • При попытке найти какой-нибудь трек, не зная его точного названия;
  • При попытке найти реферат, документ, инструкцию, книгу, не зная точного названия;
  • При попытке скачать еще не вышедший фильм, игру;
  • При попытке скачать «лекарство», серийный номер, кейген — генератор ключей к программе;

В большинстве случаев к поисковому запросу при этом добавляется «скачать бесплатно».

Могу сказать одно: если на всем известном и популярном сайте, откуда можно безопасно скачать файлы — нет той модной мелодии, крутой песни, композиции, нового фильма, программы, игры, что у всех на слуху —  просто подождите пока она на нем появится. Это лучше чем поиск по сомнительным сайтам.

Начинаем борьбу.

Итак, имеем компьютер с операционной системой Windows 7, антивирусом Comodo, подключением к Интернету, рекламой в браузере, общей нестабильностью работы, подтормаживанием, самопроизвольным запуском и установкой программ.

Предполагается, что компьютер был заражен двумя днями ранее и выключен. На следующее утро, имеем симптомы:

  1. Windows загружается намного дольше обычного.
  2. Браузеры при запуске открывают непонятные страницы типа «Деньги в сети», сайты казино и т.п.
  3. Реклама лезет со всех углов и мешает нормально просматривать страницы.
  4. Браузеры подолгу открываются.
  5. Устанавливается различный ненужный софт.
  6. Антивирус отключен.

Необходимые инструменты, которые желательно скачать на «чистом» ПК, так как на зараженном, может быть заблокирован доступ к антивирусным сайтам, да и не очень удобно продираться сквозь дебри рекламы и всплывающих окон:

  1. MalwareBytes Anti-Malware — просто незаменимая программа.
  2. Dr.Web CureIT! — ветеран на рынке автономных вирусных сканеров.
  3. CCleaner — универсальный инструмент для очистки и удаления, всего ненужного.

Компьютер попавший к нам в руки, практически не дает ничего сделать, произвольно запускается Opera сразу с 5-6 вкладками, автоматически устанавливается на наших глазах браузер от Mail.Ru Амиго, он же Интернет, практически он же Комета и т.д.

Как очистить браузер. Установка Амиго

Установка и запуск Malwarebytes

Пробиваемся через заслон рекламы, закрывая все подряд, используя диспетчер задач.

Наша мышь не устанавливается, приходится справляться горячими клавишами и тачпадом.

Как очистить браузер. Назойливая реклама.

Пробившись, запускаем установщик Malwarebytes. Вроде все хорошо, программа установилась. Запускаем и начинаем сканирование.

К сожалению, скриншоты всего процесса установки настройки делать было не реально. Каждую минуту, что-то открывалось и мешало работать. Но процесс шел.

Проверка на Malware

После сканирования, видим результат: 1020 — общее количество обнаруженных угроз. Нажимаем на кнопку <Удалить выбранное> и ждем сообщение, которое скажет о необходимости перезагрузить компьютер.

Проверка на Malware. Результат.

Перезагружаемся. Получаем несколько ничего не значащих ошибок об отсутствующих файлах. И тишина. Это говорит лишь о том, что программка справилась с большей частью зловредов, которые должны были запуститься вместе с Windows.

Теперь можно работать спокойно.

Устанавливаем и запускаем CCleaner

Установим CCleaner, и после установки обязательно запустим от имени Администратора.

Запуск ccleaner от имени Администратора

Удаление ненужных (непонятных) программ

Как только он запустится, идем в раздел «Сервис», затем «Удаление программ».

Здесь нам нужно осмотреться:

Нужно деинсталлировать то, что нам точно не нужно, и мы это не ставили. Будьте внимательны и осторожны — если программа Вам неизвестна, это не значит что она не нужна. Но как правило, позже ее можно установить, даже если это был какой либо драйвер.

Итак, выбираем подозрительные строки по очереди, и для каждой по отдельности нажимаем кнопку <Деинсталляция>.

На удаление некоторых программ, CCleaner может ругаться и сообщать, что программы как таковой уже нет, и лишь осталась запись в реестре. Это означает, что Malwarebytes уже добралась до нее раньше, и удалила принудительно, без деинсталляции.

Вам остается лишь точно так же поступить с оставшейся от нее строчкой, т.е. нажать на кнопку <Удалить>. Стоит отдельно обратить ваше внимание на браузер «Интернет» aka «Амиго». Его удаление не ограничивается Деинсталляцией. Но об этом, чуть позже.

Деинсталляция ненужных программ.

Просматриваем список тщательнее и находим еще парочку.

Деинсталляция ненужных программ 2

Теперь, после того, как мы удалили и деинсталлировали все, что нам не нужно, мы можем перейти к чистке раздела автозагрузки. Именно в нем, «сидят» команды, которые выдали ошибки об отсутствующих файлах (вредных), которые уже были удалены при помощи AntiMalware.

Чистим автозагрузку Windows, браузеров, и запланированные задачи

Идем в «Сервис» => «Автозагрузка» => «Windows».

Здесь сразу бросается в глаза первая строчка — она при загрузке пытается изменить атрибуты файла групповых политик, да еще и скопировать его куда-то. Удаляем без суда и следствия. Далее идет запуск самого CCleaner`а. Можете оставить, а можете удалить если не хотите чтобы он все время висел в трее. Третья строчка запускает программу Мегафон Модем. Оставляем.

Ну а последний пункт, тоже весьма подозрительный. Вроде как команда на очистку папки временных файлов Temp. Может быть тот же CCleaner уже запланировал эту задачу. Но рисковать не будем — удалим. Мы все равно доберемся до этой папки позже.

Чистим автозагрузку.

С автозагрузкой Windows разобрались. Теперь переключимся на соседнюю вкладку — Internet Explorer. Даже если мы и не пользуемся этим браузером, лишнее в нем, нам все равно не нужно. Поэтому точно так же проанализируем содержимое этой вкладки.

Чистим автозагрузку браузеров

Оба пункта не вызывают особой радости и доверия. Поэтому, удаляем. Переходим на следующую вкладку — Firefox. В этой системе его никогда не было, поэтому идем дальше — Google Chrome.

Чистим автозагрузку браузеров 3

Тут можно снести все. Исключением могут быть Google Документы и еще какие-нибудь расширения, которые вам известны, например блокировщик рекламы.

Пытаемся удалить и получаем ошибку, которую хорошо видно на снимке выше. Что ж, удалим их чуть позже из самого браузера.

Во вкладке Opera, пытаемся проделать тоже самое, и получаем такую же ошибку. Тоже откладываем на потом.

И последняя необходимая нам вкладка — Запланированные задачи.

Удаляем Запланированные задачи.

А вот здесь по истине глаза разбегаются. Несмотря на то, что большинство приложений подписано Microsoft, мы их удаляем. На самом деле подписано только приложение pcalua.exe, а с его помощью запускается то, что не подписано ничем.

Вообще, все данные списки, можно сравнить с такими же списками «чистых» систем. Там везде будет почти пусто. Так что не боясь, смело удаляем все подозрительное. Те программы, которым нужны запланированные задачи, сами снова добавят их в этот список.

На этом чистка автозагрузки пока завершена.

Удаление ненужных файлов и автоматическая чистка реестра

Перейдем к очистке диска от лишнего хлама. Кстати, эта опция, очистит и все папки Temp, о которых мы говорили выше. В них очень любят прятаться установочные файлы с Malware, вирусы и т.п.

Перейдем в раздел «Очистка» и нажмем кнопку <Очиститка>.

Внимание: данная опция, может и скорее всего собьет, все сохраненные пароли в браузерах.

Очистка диска на предмет ненужных файлов

Помимо очистки с целью очистить папки временных файлов, мы высвободили приличное количество дискового пространства — 17202 Мб.

Результат очистки диска. Как удалить рекламу из браузера.

Теперь очистим реестр. Доверимся все тому же CCleaner. Перейдите в раздел «Реестр» и запустите <Поиск проблем>. Утилита выдаст вам список. Он может быть большим или не очень.

Автоматическая чистка реестра

Нажмите кнопку <Исправить>. В ответ, система спросит — желаете ли вы предварительно сохранить данные реестра, которые подвергнуться изменениям. Согласитесь, и сохраните файлик куда нибудь поближе к корню. Например просто в D:\

Продолжите исправление. Сканирование можно сделать пару раз, пока список проблем не останется пустым после поиска.

Закройте CCleaner — сегодня он нам вряд ли уже пригодится.

Ручная чистка реестра

Помните, мы просили Вас обратить внимание на браузер «Амиго», он же «Интернет»? Так вот, после всех проделанных выше действий, этот браузер хоть и исчез из нашей системы, но его элементы остались в реестре. Есть огромная вероятность, что он в один прекрасный день появится снова.

Для того, чтобы избавиться от него окончательно, нужно удалить его при помощи редактора реестра.

Чтобы его запустить, нажмите на клавиатуре комбинацию клавиш <WIN> + <R> и в появившемся окне введите команду:

 
regedit

и нажмите на кнопку <Enter> или <OK> в окошке.

Запуск regedit

Запустится программа Regedit. Идем в меню «Правка» и щелкаем на «Найти…».

Поиск по реестру 1

В открывшемся окне поиска вводим слово amigo и нажимаем <Enter> или <Найти далее>.

Поиск по реестру 2

Regedit нашел искомую фразу в параметре. Правой кнопкой мыши на нем — удалить. Далее нажимаем на <F3> и программа ищет следующий параметр или куст реестра, содержащий в себе слово amigo.

Каждый найденный результат выделяется подсвечиванием и нам нужно удалить их все.

Внимание! Работа с реестром, требует внимательности и аккуратности. Неосторожность и невнимательность могут повлечь за собой неприятные последствия вплоть до «слета» Windows. Делайте все внимательно, так как вы это делаете на свой страх и риск.

Поиск по реестру 3

Ярлыки запуска браузеров и удаление расширений

Бывает так, что Malware модифицируют ярлык запуска браузера. Если открыть его свойства, можно увидеть, что в конце команды дописан url-адрес, который будет открываться при каждом запуске браузера.

А что еще хуже, вместо пути к самому файлу браузера, может быть прописан путь к *.bat файлу, в котором может быть прописано что угодно, так как с помощью таких файлов, можно практически писать исполняемые скрипты.

Пример такого ярлыка с другого компьютера:

 

"Зараженный" ярлык

«Зараженный» ярлык

 

 

Как с этим бороться? Просто удалить все модифицированные ярлыки. И с панели задач тоже. А затем создать их по новой «вытянув» на рабочий стол из папок, где лежит браузер.

Создаем заново ярлык браузера

Также, с большой вероятностью, ваши старые ярлычки, могут лежать там, где и были всегда — на рабочем столе. Только с атрибутом «Скрытый».  Если вы добрались до этого места, то вам не составит труда их достать.

Ну и финальный штрих. Помните расширения браузеров, которые не смог удалить CCleaner? Удалим их в ручную.

Откроем каждый браузер по отдельности и введем в адресной строке:

  • для Chrome, Opera — chrome://extensions
  • для Яндекс.Браузера — browser://extensions

и нажмем <Enter>.

В браузере откроется страница с расширениями, на которой будет именно то расширение, которое мы не смогли удалить — Coprofit.

Удаляем расширение браузера Яндекс

А в Opera сидит какое-то отключенное, но другое. Его тоже снесем.

Удаляем расширение браузера Opera

Теперь, со спокойной душой перезагрузитесь. Если после приветствия увидите черный экран на котором не будет ничего кроме курсора мыши — это нормально. Подождите немного и процесс explorer загрузится.

При следующей перезагрузке, черный экран уже не появится, или очень быстро проскочит.

В целом компьютер будет загружаться намного быстрее чем при заражении, но медленнее чем до него.

Следует понимать, что система получила хорошую встряску и мы лишь залатали некоторые дыры. Ждать хорошего не приходится, но ваша Windows 7 или 8 еще побегает.

P.S. В пределах одной статьи, очень трудно рассказать все. Да и не возможно. Ежедневно появляются все новые и новые методы проникновения этого ПО на компьютер. Места где они находятся, все тщательней скрываются. Функциональность их, поражает.

В статье многого не описано: китайские антивирусы и браузеры, которые сложно удалить ввиду незнания китайского языка. Нет описания файлов, которые заблокированы от удаления. Нет описания как восстановить поврежденную кодировку (кракозябры). «Заражение» роутера. Много чего нет еще.

Эта статья не пособие по удалению Malware, а лишь краткий список мер, которые можно предпринять, и то только в течении нескольких дней после заражения.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

:smile: 
:bye: 
:up: 
:negative: 
:mail: 
:blush: 
:bravo: 
:crazy: 
:dance: 
:dance2: 
:bomb: 
:drink: 
:eyes: 
:good2: 
:devil: 
:jokingly: 
:glass: 
:kiss: 
:kissed: 
:laugh: 
:kissing: 
:macho: 
:music: 
:no: 
:pardon: 
:ok: 
:pitchup: 
:tsss: 
:D: 
:(: 
:sick: 
:sorry: 
:stop: 
:sos: 
:strong: 
:think: 
:tired: 
:tongue: 
:unknown: 
:wassup: 
:wink: 
:wonder: