Ручное удаление вируса, изменяющего домашнюю страницу в браузерах

Внезапное изменение стартовой страницы, причём во всех браузерах, явно свидетельствует о том, что вы стали жертвой вируса. Зловреды этого типа обычно не причиняют пользователям особых бед, но это вовсе не означает, что с ними нужно мириться. Да и как можно быть уверенным, что в один прекрасный день с рекламной страницы на компьютер не проникнет что-нибудь действительно опасное. Антивирус нередко оказывается бессилен, так что остаётся надеяться только на себя.


Сегодня мы рассмотрим ручное удаление такого вируса на примере smartinf.ru. Раньше эта зараза переадресовывала на 2inf.net, завтра или через месяц она будет направлять на другой вредоносный ресурс, но это не так уже и важно, потому что действует вирус почти всегда одинаково — прописывается в реестр и планировщик, копирует исполняемый файл в каталоги пользователя, а также изменяет пути в браузерных ярлыках.

Итак, начнём. Первым делом откройте реестр и разверните ветку HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsCurrentVersion/Run. В правой части окна вы увидите строку cmd /с start http://smartinf.ru. Эта строка указывает на адрес вредоносного сайта, на который вас перебрасывает вирус. Запишите этот URL, он вам еще пригодится.

Кликните по записи правой кнопкой мыши и в контекстном меню выберите «Удалить».

Удалить

Также удалите ключи реестра (их может быть несколько), содержащие пути C:/Users/Имя_пользователя/AppData/Local/Temp к неизвестным вам исполняемым файлам. Названия таких файлов могут быть весьма причудливы, например Dnfjmko545.exe или Awniuwey52g.exe. Перед тем, как удалять записи реестра, запомните, а лучше запишите названия этих файлов, ведь с ними пока ещё не покончено.

Не закрывая реестр, откройте Диспетчер задач или его аналог и отыщите в списке запущенных задач тот самый исполняемый файл, имя которого только что записали. Нажмите по нему правой кнопкой мыши и выберите «Открыть расположение файла». После того как содержащий вирус каталог откроется, завершите процесс, а затем удалите и сам файл вируса.

Диспетчер задач

Удалите и сам файл вируса

Кстати, каталог Temp и вовсе можно очистить, никакого вреда системе это не причинит.

Теперь откройте планировщик задач (Taskschd.msc) и, выделив пункт «Библиотека планировщика заданий», внимательно просмотрите список заданий во вкладке «Действие». Обратите внимание на записи, ведущие к исполняемым файлам в каталоге C:/Users/Имя_пользователя/AppData/Local и его подпапках, записи со странными, ничего не говорящими названиями, а также задания, выполняющиеся при старте Windows и те, которые выполняются очень часто, к примеру, через каждый час. Если обнаружите подозрительный файл, запомните его расположение. Удалите запись планировщика, а затем избавьтесь и от исполняемого файла, на который указывала запись.

Удалите запись планировщика

Кстати, если в папке Local обнаружите каталоги «Войти в Интернет», «Поиск в Интернете» или SystemDirудалите их.

Local

Основная часть работы сделана, теперь осталось подчистить хвосты. Переключитесь на редактор реестра, выберите в левой колонке самый верхний пункт «Компьютер» и нажмите F3. Откроется окошко поиска. Вставьте в него адрес вредоносного сайта (мы его сохранили в самом начале) без http и домена и выполните полный поиск по базе реестра, а затем удалите все записи с таким адресом, если, конечно, таковые будут найдены.

Поиск по базе реестра

И последний шаг. Проверьте настройки браузеров и установите в них нужную вам домашнюю страничку. Заодно проверьте поля «Объект» в свойствах ярлыков браузеров, ведь они тоже могут содержать перенаправления на вредоносные домены.

Объект

Поле «Объект» должно содержать только путь к исполняемому файлу браузера и ничего больше.

Теги: , ,

Предыдущая/следующая

Вам может быть интересно:

Поделиться в соц сетях:

Twitter Facebook Vk Googlepluse Linkedin

Подпишитесь на обновления этого блога по RSSRSS, RSSMAILEmail или TwitterTwitter!

Случайная подборка из рубрики:

5 комментариев

  • олег:

    забрел по цепочке до конца и вижу C Program Files\ESET\NOD 32 и так далее

    0
  • Alex:

    оч полезная статья респект автору, ещё совет, установите проги Adguard и Reg Organizer. В зараженном ярлычке не получится стереть лишнюю байду, поэтому его удаляем и создаём новый из папки program files, где живёт exe вашего любимого браузера, плюс ещё тем, кто качает торрентом, не ведитесь на расширение exe, а то подхватите кучу всяких спутников майл, амиго и прочего хлама!

    0
  • Sergey:

    Проковырялся часа два с Вашими советами по удалению этого гада. Результата никакого. А потом вспомнил о небольшой программке написанной еще где-то в начале 90-х. Называется RegCleaner. Установил, посмотрел что а автозагрузке и сразу нашел там сайт, который за уши притягивает это говно. Удалил, перезагрузил и все. Гад исчез. И не надо ковыряться с командной строкой и реестром вручную. Все проще оказалось. Советую.

    0
  • Валерий:

    Привет! У меня эта зараза smartinf.ru открывалась с Opera при запуске w7. Блин, двое суток не мог удалить, а была на двух буках! Думал уже откатить систему (кстати,тоже вариант), но точек восстановления не было. Всё же удалил эту штуку таким образом — при запуске (не при перезагрузке) системы кликал ESC, в адресной строке вначале появлялась надпись fmav.ru на одном буке и erada.ru на другом буке, кстати, у вас может быть другая надпись, я её быстро копировал в буфер обмена (правой клавишей), далее Win+R и regedit-правка, вставил в строку поиска из буфера копию,обязательно впереди писать http://, далее поиск, нашедшее удалил клавишей DELETE, снова поиск, опять удалил и так 4 раза. Выключил бук и снова запустил в обычном режиме и всё — полёт нормальный,никаких следов этого! Удачи! Буду рад, если помог кому-то.

    0

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Обсуждаемые темы:

Авторизация
*
*
Регистрация
*
*
*
Генерация пароля