Многие из вас, думаю, попадали в ситуацию, когда стартовую страницу вашего любимого IE некая сволочная программа меняла на совершенно левую. Беда была бы маленькой, если бы все можно было бы вернуть в прежнее состоянии простыми настройками броузера, однако чаще всего вредоносные проги настолько глубоко вгрызаются в вашу ОСь, что выковырять их оттуда и вернуть свой любимый about:blank иногда становится довольно трудной задачей. Обойдя вопрос того, как не пускать заразу на свой компьютер, мы сегодня рассмотрим вопрос как все-таки избавиться от таких программ.
Прежде всего необходимо попробовать в работе следующие инструменты:
- Spybot - Search & Destroy - может обнаруживать и удалять spyware.
- CWShredder - программа как раз для борьбы с угонщиками домашних страниц.
- Любой антивирус, тот же AVP.
Если такие утилиты не особо помогут, следует прибегнуть в ручным процедурам по удалению :) Перчатки, скальпель, свет! Рассмотрим Windows XP Home edition Service Pack 1 с IE 6.0, большинство шагов верны и для других операционных систем. Для работы в ручном режиме потребуется:
- Reglite.exe
- Microsoft Recovery Console
- HiJackThis.exe
В системе обычно присутствует две DLL-ки, одна из которых легко обнаружима программами, а вторая скрыта и избавиться от нее затруднительно. Поэтому все необходимо делать последовательно и осторожно.
Процедуры:
- С помощью Reglite.exe ищем скрытое имя файла: в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\ ищем AppInit_DLLs и видим там hidden.dll. Ищем файл на диске и снимаем с него все атрибуты невидимости и только чтения, а так же даем права на него на вкладке прав дабы можно было его удалить. Попытка удалить файл скорее всего не удастся, поэтому придется изничтожать его обходными путями.
- Ребутимся и заходим через Windows Recovery Console.
В каталоге System32 проделываем все те же
операции, что и в предыдущем шаге:
attrib -r hidden.dll - снимает атрибут
rename hidden.dll nasty.dll - переименовываем
exit - ребутимся - В reglite.exe убираем DLL-ку из реестра.
- Приступаем ко второму файлу. Запускаем
HiJackThis.exe и ищем записи в реестре:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jheckb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\jheckb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\jheckb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jheckb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\jheckb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\jheckb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
Как видно, название второго файла - jheckb.dll. Удаляем всю шнягу из реестра. Естественно в вашем случае и записи в реестре и название DLL может различаться. В конечном итоге, удалив из реестра все ненужные ключи, удаляем и сам файл.
Вот собственно и все. Вполне вероятно, что в другом случае процесс пойдет несколько по иному пути. Можно попробовать проиграться с настройками HijackThis, но все сводится к удалению внедренных записей в реестр и самих файлов.
Удачи!
Разделы: