Удаление зараженных файлов браузера
Сразу после того, как пользователь запустит браузер, откроется домашняя страница браузера. К сожалению, бывает так, что после запуска браузера, ничего не подозревающего человека, может ожидать неприятный сюрприз.
Вместо стартовой страницы браузера будет открыта страница с агрессивной рекламой. Такие рекламные страницы бесконечно генерируются: то открываются бесчисленные Блоги Ксении Стриженко, то на мониторе замелькает казино «Вулкан» и т.п. Все они хотят тебе что-то продать или навязать.
Попытка перезапуска браузера ни к чему не приведет. Это происходит от того, что на компьютер пользователя проникает, так называемая программа хайджекер (угонщик), которая изменяет порядок запуска браузера, меняя стартовую страницу, на свою страницу с рекламой.
Антивирусные программы не считают хайджекеров вирусами. Так как вреда компьютеру данные программы не наносят, то антивирусы считают их нежелательным рекламными программами. По их мнению, пользователь сам должен бороться с таким видом софта. Поэтому для удаления последствий хайджекеров используют специализированные антивирусные программы, предназначенные для борьбы с рекламным ПО.
Я уже писал о том, как вручную можно удалить ссылки на рекламу из свойств ярлыка браузера. В той статье рассматривался самый простой способ заражения. Очень часто встречаются более тяжелые случаи, когда бывает необходимо удалить не только добавленную ссылку, но и другие файлы, которые автоматически запускают нежелательную рекламу.
В этой статье мы разберем случай с использованием файла bat, для запуска нежелательной рекламы в браузере.
Действия по нейтрализации этой угрозы, будут происходить в несколько этапов:
- поиск зараженных файлов
- удаление зараженных файлов
- создание новых ярлыков браузеров
Так называемый, текстовый пакетный файл (batch file — пакетный файл), содержит определенную последовательность команд. После запуска пакетного файла, программа-интерпритатор (cmd.exe) читает данный файл, а затем выполняет команды из этого файла. Это, своего рода, выполнение автоматических команд командной строки. Таким образом, будет обеспечен автоматический запуск программ, или выполнение каких-либо действий.
Также бывает, что в виде bat файлов, используют вирусы, которые автоматически запускаются на компьютере.
Пример изменения свойства ярлыка браузера
В рассматриваемом случае, программа хайджекер, каким-либо образом проникла на компьютер, и изменила свойства ярлыков браузеров, установленных на компьютере. После этого, на компьютере пользователя были созданы файлы с именем браузера, имеющие расширение «.bat», и пакетный файл «bat» для запуска программы.
На этом изображении, вы можете увидеть, что изменились свойства ярлыка браузера Яндекс.Браузер. Вместо файла «browser.exe», здесь находится файл «browser.bat», к которому добавлена ссылка на страницу с рекламой.
Вы кликаете по ярлыку для запуска браузера. А так как, свойства ярлыка уже были изменены, то произойдет запуск bat файла, который откроет в браузере страницу с рекламой, которую вы увидите вместо стартовой страницы.
Запуск страницы с рекламой происходит примерно так: вы кликаете по ярлыку браузера, сразу после этого начинает свою работу пакетный файл с расширением «.bat», он дает команду на запуск файла браузера, который также имеет расширение «.bat», который непосредственно запускает веб-страницу с рекламой.
Если для удаления этого файла, вы откроете расположение файла при помощи кнопки «Расположение файла», то вы можете не увидеть данный файл. Это произойдет потому что, файл с именем «название_браузера.bat», в некоторых случаях, может быть скрытым.
Для того, чтобы увидеть этот файл, вам необходимо будет в операционной системе Windows, сделать видимыми невидимые файлы и папки.
В данном случае, были созданы два файла: приложение «browser.bat» и пакетный файл «browser» с расширением .bat. Это скрытые файлы, поэтому они отображены в Проводнике в полупрозрачном виде.
Эти файлы вам необходимо будет удалить со своего компьютера. Так как, в большинстве случаев, заражению подвергаются все браузеры, установленные на компьютере, то подобную операцию необходимо будет проделать в отношении всех браузеров.
На этом изображении, можно увидеть, что непосредственно на диске «С:» был создан файл с расширением .bat для запуска браузера Mozilla Firefox.
Проблема понятна, что можно будет сделать?
Самый простой способ решения проблемы
Самым радикальным и одновременно самым простым решением этого вопроса, будет восстановление системы до того состояния, когда данной проблемы на вашем компьютере не существовало. При восстановлении Windows вам нужно будет выбрать соответствующую точку восстановления на нужную дату.
Подробнее о процессе восстановления системы:
К сожалению, не всегда пользователь может воспользоваться таким способом, потому что необходимых точек восстановления на компьютере может и не быть. Этому могут помешать и какие-либо другие причины. Поэтому давайте рассмотрим процесс ручного поиска и удаления с компьютера вредоносных файлов браузера.
Где искать файлы браузера с расширением bat?
Для большинства браузеров, местом расположения подобных файлов будет диск «С:». Такие файлы могут находиться непосредственно в корне диска, а также в папке Program Files, или в папке браузера.
У браузеров Яндекс.Браузер и Амиго путь для поиска будет несколько иной, так как эти браузеры установлены в профиле пользователя:
Далее нужно будет искать файлы для удаления, в папках по имени браузера. Вы найдете их по названию браузера и по расширению «.bat». Удалите найденные файлы.
Но это еще не все…
Поиск других ярлыков браузера
После удаления вредоносных файлов, удалите с компьютера все ярлыки, которые имеют в своих свойствах это расширение, или приписку с именем сайта.
Так как ярлык браузера на компьютере существует не в единственном экземпляре, то вам необходимо будет удалить со своего компьютера и другие зараженные ярлыки. Такие ярлыки могут находиться в списке программ меню «Пуск», а также они могут быть закреплены на Панели задач.
Сначала открепите и удалите ярлыки из Панели задач. Эти ярлыки будут заражены с вероятностью близкой к 100%. Затем проверьте ярлыки браузеров, которые расположены в списке программ меню «Пуск». Ярлыки браузеров могут быть расположены отдельно, или в папках по имени браузера. Если свойства ярлыков были изменены, удалите зараженные ярлыки со своего компьютера.
Не забудьте, в списке программ из меню «Пуск» посмотреть на еще одно расположение ярлыка браузера Internet Explorer. Путь к этому файлу будет таким: «Все программы» => «Стандартные» => «Служебные». Там вы найдете ярлык Internet Explorer (без надстроек).
Если на вашем компьютере установлен Яндекс.Браузер, то я вам рекомендую также проверить ярлыки других программ Яндекса: Яндекс,Диск, Punto Switcher и т.д. Потому что есть вероятность того, что ярлыки этих программ также могут быть заражены, так как папки этих программ расположены в одной папке, вместе с папкой браузера.
Создание новых ярлыков браузеров
После удаления вредоносных ярлыков, вам необходимо будет создать новые ярлыки для запуска браузеров. Как это сделать?
Новый ярлык можно будет создать из файла «Приложение» соответствующего браузера. Подробнее об этом вы можете прочитать здесь .
Файл «Приложение» браузера Яндекс.Браузера, с которого нужно будет создать ярлык, находится в профиле пользователя, в скрытой папке. Вот путь к этой папке:
Сначала поместите на Рабочий стол вновь созданные ярлыки для браузеров. Далее вы можете скопировать, или переместить ярлыки браузеров в список программ, и, если это необходимо, закрепить ярлыки на Панели задач.
Путь к папке списка программ:
Путь к папке Панели задач:
Далее можно будет запустить браузер и убедиться, что Блога Ксении Стриженко, казино «Вулкан» и других нехороших сайтов, на стартовой странице уже нет.
После завершения этой работы, не забудьте отключить отображение скрытых папок на своем компьютере.
Это еще один из способов борьбы с последствиями действий программ хайджекеров. Сначала мы удаляем с компьютера зараженные файлы, а затем восстанавливаем ярлыки браузера.
С уважением, Василий Прохоров
Прочитайте похожие статьи:
Firefox настолько хорош в плане настроек, что там можно всё перенастроить как душе угодно и даже если вирус что то изменит, можно все перенастроить как надо. В менюшке about:config есть параметры отвечающие какую страницу показывать при запуске, какую показывать в каждой открываемой вкладке и т.д. А чаще всего эти так называемые » хайджекеры» легко находятся в списке установленных программ и удаляются. Например «Спутник Mail.Ru», «Yahoo» и т.д.
В случае, появления bat файла, настройки главной страницы в Firefox не меняются, а изменяется порядок запуска браузера. Все равно, открывается страница с рекламой.
Сейчас хайджекеры стали более изощренными, по сравнению с которыми «Спутник Mail.Ru» — детский сад.
Не только. Я из этой статьи почерпнула много ещё чего. Я хочу обратиться к Вам с вопросом, который напрямую не связан с темой, но всё же касается удаления всякой дряни. Если найдётся время, ответьте, пожалуйста. Я неоднократно инсталировала и убирала программу Malwarebytes. Дело в том, что дальше первого пункта — Предварительная проверка операций (не поняла,что это значит) — сканирование не продвинулось после 6-ти часов работы. Оставляла и на ночь, но почему-то отразилось всего 16 минут. Где-то я прочитала, что сканирование длилось 23 часа. Но ведь это сумасшедший дом! Каково Ваше мнение? Может я где-то нарушаю или что-то ноутбуку не нравится? Я постоянно пользуюсь CCleaner, Defraggler, Spyware Terminator (он ничего не находит).
Вера, проверка компьютера антивирусом может продолжаться довольно долго. Это зависит от величины занимаемого данными дискового пространства.
По поводу Malwarebytes Anti-Malware не знаю, почему у вас останавливается проверка. Вообще, это антивирусная программа второго эшелона. Главную работу осуществляет, установленный на компьютере антивирус. Если есть подозрения на заражение, то тогда используют подобные антивирусные сканеры. Можно попробовать использовать другие сканеры.
Василий, я долго искал эту тварь на диске С, зная ее имя, но только после прочтения твоей статьи я нашел и удалил эту тварь!
На радостях я обнял жену и дочь и нажал поделиться во все сети! То есть, выделил зараженный ярлык Оперы, правой кнопкой мыши в меню -> расположение файла, и дальше эта мразь, в корзину ее. Потом находишь папку Опера на диске С, выделяешь в ней Launcher -> создать ярлык -> невозможно создать в той же папке -> отправить на, но для кого-то это жизненно важно, теперь я знаю как помочь другу. У него много вкладок открывает при запуске.
Спасибо автору, что делится знаниями!
— Ни одна рекомендованная программа не помогла. В эту же категорию попадают CCleaner и антивирусы (KIS, NOD32 и Panda)
— с помощью Total Commander нашла и удалила броузеры (у меня стоит одна главная Мазила и остатки файлов Оперы), нужно ли так же удалять Internet Explorer?
— Total Commander не нашел ни одного файла формата .bat, в ручную так же не нашла
— после удаления браузеров чистила реестр CCleaner и прогоняла антивирусом + AdwCleaner
— переустановила Мазилу. В свойствах и расположении папок все нормально: Mozilla Firefoxfirefox.exe
— поиск в реестре никаких результатов нет. Пишет: поиск завершен и все. Я не представляю что где и как искать
— при открытии браузера заметила, что в строке появляется один адрес сайта, 2-3 секунды и я уже на казино Вулкан
— появляется в Program Files одна и та же папка с набором букв. Удаляю, но она уже так раза 3 точно возвращалась
— Malwarebytes Anti-Malware, угроз не нашел, теперь открывается с браузер с это программой: Malwarebytes Anti-Malware
has blocked a potentially malicious website. Блокирует, но не удаляет.
Так же нет возможности восстановления системы, ибо просто нет ранних точек (не создавала их).
И вот уже 3 дня, как все безуспешно.
Мария, у вас тяжелый случай. Очевидно, что после запуска системы, запускается командный файл, от действий которого все это происходит.
В браузере посмотрите расширения, удалите все. Измените главную страницу браузера, чтобы не открывался сайт Malwarebytes.
Посмотрите файл hosts, нет ли там «левой» записи (об этом есть статья на сайте). Попробуйте еще эти программы: SpyHunter, HitmanPro, FixerBro, Ultra Adware Killer, Adware Removal Tool, UnHackMe.
FixerBro нашел зараженные ярлыки IE. Удалила. Удалила расширения, прогнала сканерами. Мой файл hosts был пуст, потому я создала новый по умолчанию и удалила старый. Как итог — не помогло. Я так чувствую, надо переустанавливать систему.
Мария, если ещё актуально, удалите все папки с именем типа «NgTRUjnN» в основном они из восьми символов в папке C:Program Data и C:Usersимя_пользователяAppDataLocal, затем удаляем папку Defsoft из Program Files. Перезагружаемся, и теперь ставим Malwarebytes Anti-Malware и делаем полную проверку. После проверки ставим браузеры, перезагружаемся, браузеры не запускаем, проверяете папки C:Program Data и C:Usersимя_пользователяAppDataLocal на наличие всё тех же «KhyBhgJK» белебердашных папок, если их нет, пробуем запустить браузеры.
Добрый день. У меня Windows Server 2008 R2. Нашел батники, удалил, проблема не решилась. Прогнал тремя антивирусами и прогами по выявлению автозапуска. Вычистил в ручную реестр. Ни чего не помогло.
В итоге начал играться с Диспечером задач под сэйв модом и обычным режимом. Нашел процесс wn.exe который клонировался в 4 процесса, процесс вел на прогу CleanerBrouser. Грохнул, проблему решил. Сейчас правда вылезает маленькая ошибка при старте винды, ну думаю чистка реестра руками приведет к чему нибудь полезному.
