Как удалить баннер в браузере. Случай №3

Эту заразу я подхватил, когда попытался установить свежую версию UltraISO. Все браузеры начинались со страницы http://hi.ru/?20. Необходимо было найти источник, который перенаправляет мои запросы на ненужный сайт

Итак, мои действия:

1. Проверить расширения в браузере (Google Chrome) – новых нет.

2. Проверить страницу запуска браузера – всё в порядке (yandex.ru).

3. Проверить файл hosts (C:WindowsSystem32driversetc) – не изменён.

4. Проверить запущенные процессы. Это действие можно выполнять, имея некоторый опыт. Новичкам все процессы в диспетчере задач кажутся одинаковыми. Но и там ничего подозрительного выявлено не было.

5. Прочистить компьютер с помощью программы Ccleaner – результата не дало.

Все вышеперечисленные процедуры расписаны подробнее здесь и здесь.

Очевидно, что перебрасывание вызвано не работой каких-либо программ, а чем-то более простым. И тогда я решил проверить с самого начала – с ярлыков.

6. Проверить сам ярлык браузера – вот тут-то и нашлась подмена. Для всех ярлыков браузеров были созданы копии, отправляющие на ненужную страницу. Эти подменные ярлыки запускают файл exe.erolpxei.bat, и переправляют нас на http://hi.ru/?20.

Перед тем, как запустить поиск файла exe.erolpxei.bat, в свойствах папок убираю галочки «Скрывать защищённые системные файлы» и «Скрывать расширения для зарегистрированных типов файлов», иначе файлы я не увижу.

Пуск → Панель управления → Параметры папок → Вид

Также нужно проверить пункт «Показывать скрытые файлы, папки и диски».

Итак, нахожу этот файл в папке C:UsersAdminAppDataRoamingBrowsers. Я вижу, что одновременно с этим файлом появились файлы exe.emorhc.bat и exe.resworb.bat. Скорее всего, ничего хорошего они не делают, поэтому удаляю все три файла.

Возвращаюсь к подменённым ярлыкам браузеров. Сами запускаемые файлы изменены не были, и первоначальные ярлыки в порядке, поэтому просто удаляю все подменные копии.

Ну, и плюс ко всему, меняю стартовую страницу для Internet Explorer, где прописался http://hi.ru. Больше нигде стартовая страница не изменилась.

В итоге предательские файлы и подменённые ярлыки были удалены, а нужные восстановлены. Всё работает!

Источник: spydevices.ru

Понравилась статья? Поделиться с друзьями:
55 БИТ
Добавить комментарий