Главная » Статьи » Компьютерные тонкости » Инструкции

Ручное удаление вируса, изменяющего домашнюю страницу в браузерах

Сегодня мы рассмотрим ручное удаление такого вируса на примере smartinf.ru. Раньше эта зараза переадресовывала на 2inf.net, завтра или через месяц она будет направлять на другой вредоносный ресурс, но это не так уже и важно, потому что действует вирус почти всегда одинаково — прописывается в реестр и планировщик, копирует исполняемый файл в каталоги пользователя, а также изменяет пути в браузерных ярлыках.

Итак, начнём. Первым делом откройте реестр и разверните ветку HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsCurrentVersion/Run. В правой части окна вы увидите строку cmd /с start http://smartinf.ru. Эта строка указывает на адрес вредоносного сайта, на который вас перебрасывает вирус. Запишите этот URL, он вам еще пригодится.

Кликните по записи правой кнопкой мыши и в контекстном меню выберите «Удалить».

Также удалите ключи реестра (их может быть несколько), содержащие пути C:/Users/Имя_пользователя/AppData/Local/Temp к неизвестным вам исполняемым файлам. Названия таких файлов могут быть весьма причудливы, например Dnfjmko545.exe или Awniuwey52g.exe. Перед тем, как удалять записи реестра, запомните, а лучше запишите названия этих файлов, ведь с ними пока ещё не покончено.

Не закрывая реестр, откройте Диспетчер задач или его аналог и отыщите в списке запущенных задач тот самый исполняемый файл, имя которого только что записали. Нажмите по нему правой кнопкой мыши и выберите «Открыть расположение файла». После того как содержащий вирус каталог откроется, завершите процесс, а затем удалите и сам файл вируса.

Кстати, каталог Temp и вовсе можно очистить, никакого вреда системе это не причинит.

Теперь откройте планировщик задач (Taskschd.msc) и, выделив пункт «Библиотека планировщика заданий», внимательно просмотрите список заданий во вкладке «Действие». Обратите внимание на записи, ведущие к исполняемым файлам в каталоге C:/Users/Имя_пользователя/AppData/Local и его подпапках, записи со странными, ничего не говорящими названиями, а также задания, выполняющиеся при старте Windows и те, которые выполняются очень часто, к примеру, через каждый час. Если обнаружите подозрительный файл, запомните его расположение. Удалите запись планировщика, а затем избавьтесь и от исполняемого файла, на который указывала запись.

Кстати, если в папке Local обнаружите каталоги «Войти в Интернет», «Поиск в Интернете» или SystemDir — удалите их.

Основная часть работы сделана, теперь осталось подчистить хвосты. Переключитесь на редактор реестра, выберите в левой колонке самый верхний пункт «Компьютер» и нажмите F3. Откроется окошко поиска. Вставьте в него адрес вредоносного сайта (мы его сохранили в самом начале) без http и домена и выполните полный поиск по базе реестра, а затем удалите все записи с таким адресом, если, конечно, таковые будут найдены.

И последний шаг. Проверьте настройки браузеров и установите в них нужную вам домашнюю страничку. Заодно проверьте поля «Объект» в свойствах ярлыков браузеров, ведь они тоже могут содержать перенаправления на вредоносные домены.

Поле «Объект» должно содержать только путь к исполняемому файлу браузера и ничего больше.

Источник: http://www.white-windows.ru/ruchnoe-udalenie-virusa-izmenyayushhego-domashnyuyu-stranitsu-v-brauzerah/
Категория: Инструкции | Добавил: ivanchay071 (25.03.2015)
Просмотров: 707 | Теги: защита, зримо