• Партнер

  • Многие из вас, думаю, попадали в ситуацию,
    когда стартовую страницу вашего любимого IE
    некая сволочная программа меняла на
    совершенно левую. Беда была бы маленькой,
    если бы все можно было бы вернуть в прежнее
    состоянии простыми настройками броузера,
    однако чаще всего вредоносные проги
    настолько глубоко вгрызаются в вашу ОСь,
    что выковырять их оттуда и вернуть свой
    любимый about:blank иногда становится довольно
    трудной задачей. Обойдя вопрос того, как не
    пускать заразу на свой компьютер, мы
    сегодня рассмотрим вопрос как все-таки
    избавиться от таких программ.

    Прежде всего необходимо попробовать в
    работе следующие инструменты:

    • Spybot - Search &
      Destroy
      - может обнаруживать и удалять spyware.
    • CWShredder
      - программа как раз для борьбы с
      угонщиками домашних страниц.
    • Любой антивирус, тот же AVP.

    Если такие утилиты не особо помогут,
    следует прибегнуть в ручным процедурам по
    удалению 🙂 Перчатки, скальпель, свет!
    Рассмотрим Windows XP Home edition Service Pack 1 с IE 6.0,
    большинство шагов верны и для других
    операционных систем. Для работы в ручном
    режиме потребуется:

    В системе обычно присутствует две DLL-ки,
    одна из которых легко обнаружима
    программами, а вторая скрыта и избавиться
    от нее затруднительно. Поэтому все
    необходимо делать последовательно и
    осторожно.

    Процедуры:

    1. С помощью Reglite.exe ищем скрытое имя файла:
      в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
      NT\CurrentVersion\Windows\\ ищем AppInit_DLLs и видим там
      hidden.dll. Ищем файл на диске и снимаем с него
      все атрибуты невидимости и только чтения,
      а так же даем права на него на вкладке
      прав дабы можно было его удалить. Попытка
      удалить файл скорее всего не удастся,
      поэтому придется изничтожать его
      обходными путями.
    2. Ребутимся и заходим через Windows Recovery Console.
      В каталоге System32 проделываем все те же
      операции, что и в предыдущем шаге:
      attrib -r hidden.dll - снимает атрибут
      rename hidden.dll nasty.dll - переименовываем
      exit - ребутимся
    3. В reglite.exe убираем DLL-ку из реестра.
    4. Приступаем ко второму файлу. Запускаем
      HiJackThis.exe и ищем записи в реестре:
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jheckb.dll/sp.html
      (obfuscated)
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\jheckb.dll/sp.html
      (obfuscated)
      R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\jheckb.dll/sp.html
      (obfuscated)
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jheckb.dll/sp.html
      (obfuscated)
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\jheckb.dll/sp.html
      (obfuscated)
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\jheckb.dll/sp.html
      (obfuscated)
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
      Как видно, название второго файла - jheckb.dll.
      Удаляем всю шнягу из реестра. Естественно
      в вашем случае и записи в реестре и
      название DLL может различаться. В конечном
      итоге, удалив из реестра все ненужные
      ключи, удаляем и сам файл.

    Вот собственно и все. Вполне вероятно, что
    в другом случае процесс пойдет несколько по
    иному пути. Можно попробовать проиграться с
    настройками HijackThis, но все сводится к
    удалению внедренных записей в реестр и
    самих файлов.

    Удачи!

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии