Многие из вас, думаю, попадали в ситуацию,
когда стартовую страницу вашего любимого IE
некая сволочная программа меняла на
совершенно левую. Беда была бы маленькой,
если бы все можно было бы вернуть в прежнее
состоянии простыми настройками броузера,
однако чаще всего вредоносные проги
настолько глубоко вгрызаются в вашу ОСь,
что выковырять их оттуда и вернуть свой
любимый about:blank иногда становится довольно
трудной задачей. Обойдя вопрос того, как не
пускать заразу на свой компьютер, мы
сегодня рассмотрим вопрос как все-таки
избавиться от таких программ.
Прежде всего необходимо попробовать в
работе следующие инструменты:
- Spybot - Search &
Destroy - может обнаруживать и удалять spyware. - CWShredder
- программа как раз для борьбы с
угонщиками домашних страниц. - Любой антивирус, тот же AVP.
Если такие утилиты не особо помогут,
следует прибегнуть в ручным процедурам по
удалению 🙂 Перчатки, скальпель, свет!
Рассмотрим Windows XP Home edition Service Pack 1 с IE 6.0,
большинство шагов верны и для других
операционных систем. Для работы в ручном
режиме потребуется:
- Reglite.exe
- Microsoft Recovery Console
- HiJackThis.exe
В системе обычно присутствует две DLL-ки,
одна из которых легко обнаружима
программами, а вторая скрыта и избавиться
от нее затруднительно. Поэтому все
необходимо делать последовательно и
осторожно.
Процедуры:
- С помощью Reglite.exe ищем скрытое имя файла:
в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows\\ ищем AppInit_DLLs и видим там
hidden.dll. Ищем файл на диске и снимаем с него
все атрибуты невидимости и только чтения,
а так же даем права на него на вкладке
прав дабы можно было его удалить. Попытка
удалить файл скорее всего не удастся,
поэтому придется изничтожать его
обходными путями. - Ребутимся и заходим через Windows Recovery Console.
В каталоге System32 проделываем все те же
операции, что и в предыдущем шаге:
attrib -r hidden.dll - снимает атрибут
rename hidden.dll nasty.dll - переименовываем
exit - ребутимся - В reglite.exe убираем DLL-ку из реестра.
- Приступаем ко второму файлу. Запускаем
HiJackThis.exe и ищем записи в реестре:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jheckb.dll/sp.html
(obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\jheckb.dll/sp.html
(obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\jheckb.dll/sp.html
(obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jheckb.dll/sp.html
(obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\jheckb.dll/sp.html
(obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\jheckb.dll/sp.html
(obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
Как видно, название второго файла - jheckb.dll.
Удаляем всю шнягу из реестра. Естественно
в вашем случае и записи в реестре и
название DLL может различаться. В конечном
итоге, удалив из реестра все ненужные
ключи, удаляем и сам файл.
Вот собственно и все. Вполне вероятно, что
в другом случае процесс пойдет несколько по
иному пути. Можно попробовать проиграться с
настройками HijackThis, но все сводится к
удалению внедренных записей в реестр и
самих файлов.
Удачи!
