Многие из вас, думаю, попадали в ситуацию,
когда стартовую страницу вашего любимого IE
некая сволочная программа меняла на
совершенно левую. Беда была бы маленькой,
если бы все можно было бы вернуть в прежнее
состоянии простыми настройками броузера,
однако чаще всего вредоносные проги
настолько глубоко вгрызаются в вашу ОСь,
что выковырять их оттуда и вернуть свой
любимый about:blank иногда становится довольно
трудной задачей. Обойдя вопрос того, как не
пускать заразу на свой компьютер, мы
сегодня рассмотрим вопрос как все-таки
избавиться от таких программ.

Прежде всего необходимо попробовать в
работе следующие инструменты:

  • Spybot — Search &
    Destroy
    — может обнаруживать и удалять spyware.
  • CWShredder
    — программа как раз для борьбы с
    угонщиками домашних страниц.
  • Любой антивирус, тот же AVP.

Если такие утилиты не особо помогут,
следует прибегнуть в ручным процедурам по
удалению 🙂 Перчатки, скальпель, свет!
Рассмотрим Windows XP Home edition Service Pack 1 с IE 6.0,
большинство шагов верны и для других
операционных систем. Для работы в ручном
режиме потребуется:

В системе обычно присутствует две DLL-ки,
одна из которых легко обнаружима
программами, а вторая скрыта и избавиться
от нее затруднительно. Поэтому все
необходимо делать последовательно и
осторожно.

Процедуры:

  1. С помощью Reglite.exe ищем скрытое имя файла:
    в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    NT\CurrentVersion\Windows\\ ищем AppInit_DLLs и видим там
    hidden.dll. Ищем файл на диске и снимаем с него
    все атрибуты невидимости и только чтения,
    а так же даем права на него на вкладке
    прав дабы можно было его удалить. Попытка
    удалить файл скорее всего не удастся,
    поэтому придется изничтожать его
    обходными путями.
  2. Ребутимся и заходим через Windows Recovery Console.
    В каталоге System32 проделываем все те же
    операции, что и в предыдущем шаге:
    attrib -r hidden.dll — снимает атрибут
    rename hidden.dll nasty.dll — переименовываем
    exit — ребутимся
  3. В reglite.exe убираем DLL-ку из реестра.
  4. Приступаем ко второму файлу. Запускаем
    HiJackThis.exe и ищем записи в реестре:
    R1 — HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jheckb.dll/sp.html
    (obfuscated)
    R1 — HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\jheckb.dll/sp.html
    (obfuscated)
    R1 — HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\jheckb.dll/sp.html
    (obfuscated)
    R1 — HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jheckb.dll/sp.html
    (obfuscated)
    R1 — HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\jheckb.dll/sp.html
    (obfuscated)
    R0 — HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\jheckb.dll/sp.html
    (obfuscated)
    R1 — HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    Как видно, название второго файла — jheckb.dll.
    Удаляем всю шнягу из реестра. Естественно
    в вашем случае и записи в реестре и
    название DLL может различаться. В конечном
    итоге, удалив из реестра все ненужные
    ключи, удаляем и сам файл.

Вот собственно и все. Вполне вероятно, что
в другом случае процесс пойдет несколько по
иному пути. Можно попробовать проиграться с
настройками HijackThis, но все сводится к
удалению внедренных записей в реестр и
самих файлов.

Удачи!

Оставить мнение

Check Also

Антиотладка. Теория и практика защиты приложений от дебага

К методам детектирования отладки прибегают многие программисты: одни хотели бы уберечь сво…