При установке различных бесплатных программ мы часто забываем снимать, порой отлично замаскированные, галочки установки различных тулбаров и других совершенно ненужных программ: менеджеров мобильных телефонов, расширений для браузера, якобы улучшающих результаты поиска, подсказывающие «более низкие цены на товары в сети» (а на самом деле встраивающие рекламу в веб-страницы).

В результате могут наблюдаться следующие симптомы:

• Показывается слишком много рекламы в браузерах, особенно на тех сайтах, где ее раньше не было.
• Реклама вне браузеров.
• На компьютер установлены «левые» браузеры, чего вы сами не делали. Они часто устанавливаются рекламными программами, а создатели последних получают вознаграждение от разработчиков браузеров. Зачем таким порталам, как, например, mail.ru, нужны собственные браузеры? Для популяризации своих служб поиска.
• Компьютер подвисает.
• Установлены другие программы, которых раньше не было.

К сожалению, далеко, очень далеко не все антивирусы предотвращают такие изменения в системе. Но давайте называть вещи своими именами – это уже вредоносное программное обеспечение. Зачем хакерам зарабатывать деньги на шифровальщиках и винлоках, когда можно просто получать комиссионные с систем показа рекламы? Эффективно и статью подобрать практически невозможно, да и кто будет ради поимки таких мелких хулиганов это делать?

Статья  проиллюстрирована скриншотами, сделанными во время лечения системы с установленным Kaspersky Small Office Security 2, с  постоянным подключением к интернету. По своему опыту  могу сказать, что такие ПНП хорошо обнаруживают Dr.Web,  ESET, Cezurity. Остальные, к сожалению, детектируют либо далеко не все, либо вообще не считают такие вещи нужными для обнаружения.

Удаляем нежелательные программы

Если вы наблюдаете один из описанных выше симптомов, то вам нужно провести процедуру лечения компьютера.  Предлагаю следующую схему:

1. Создать точку восстановления системы: Пуск – Все программы – Стандартные – Служебные – Восстановление системы. Или просто введите «Восстановление системы» в строку поиска в меню «Пуск». Если что-то пойдет не так, то можно будет откатить систему до исходного состояния. Для восстановления запустите Windows в безопасном режиме и откройте ту же программу восстановления системы.

2. Проверьте, какие программы установлены на компьютере. Пуск – Панель управления – Программы и компоненты. Внимательно просмотрите все отображаемые там программы.  Какие там могут быть программы?

• Браузеры
• Тулбары («Спутник mail.ru», Элементы Яндекса и т.д.)
• Бессмысленные небольшие приложения (Guard Mail.Ru, Яндекс-Менеджер браузеров, SaveByClick, «Тут не дорого» и др.)
• Оптимизаторы системы, которые вы не устанавливали и которые взялись непонятно откуда; обычно такие программы никаких действий, кроме запугивания пользователя сообщениями об ошибках, бесплатно не выполняют
• Прочие «левые» программы.

Бывает так, что вы удаляете программу, а через какое-то время она появляется снова или вместо нее устанавливается другая. Так, недавно я столкнулся с таким случаем: был установлен англоязычный «оптимизатор системы», его удаляю, а потом появляется некая система резервного копирования на испанском языке. Удаляю ее – появляется оптимизатор, и так по кругу. Это говорит о том, что в системе работает вредоносный скрипт.

Для наилучшего удаления программ рекомендую использовать деинсталляторы, например, IObit Uninstaller, которые выполняют поиск остатков программ. Однако, в некоторых случаях при удалении в таком режиме могут возникать ошибки. Тогда попробуйте обычное удаление.

3. Отключите защиту в реальном времени у установленного антивируса.

4. Выполните проверку компьютера с помощью UnHackMe. Логика работы этой программы такая:

• Производится проверка системы на наличие потенциально-нежелательных программ. В случае их обнаружения они удаляются стандартным деинсталятором. К сожалению, если удаление не удастся, то придется оставить программу и удалить ее на следующих этапах лечения системы.
• Выполняется поиск нежелательных настроек поиска в браузере. Часто вместо стандартных Яндекса, Google, Bing, Mail.ru встраиваются совершенно «левые» поисковые службы, которые обычно отображают на своих сайтах результаты выдачи Google или Яндекса. Вместе с этим имеется куча рекламы, или, что еще хуже, результаты поиска ведут на вредоносные сайты. UnHackMe делит все найденные элементы на следующие категории: вредоносные, подозрительные, неизвестные и хорошие. Последние помечаются зелеными галочками, это известные безопасные параметры. А вот под подозрительными или неизвестными иногда могут скрываться нераспознанные вредоносные элементы. Их тоже следует удалить.  Часто это ссылки на домены, маскирующиеся под известные поисковики, например, Yamdex, Yanbex, Googie, а также просто что-то типа livewebsearch.
• Расширения для браузеров.  Именно они встраивают стороннюю рекламу на сайты, тормозят работы браузера. Опять же – проверьте весь их список вручную, не все могут быть детектированы как вредоносные.
• Далее проверяем на наличие посторонних программ в автозапуске.
• Вредоносные службы, берегитесь!
• И, наконец, нежелательные файлы – мусор, оставленный всем нами удаленным хламом.
• Далее программа предложит выполнить тщательную проверку (Comprehensive scan) с использованием встроенной утилиты RegRun Reanimator. Здесь нужно быть очень осторожным, так как можно удалить нужные ключи реестра, отличающиеся от стандартных.

  Стоит отметить, что для утилиты RegRun Reanimator есть бесплатная помощь в удалении вирусов (инструкция на официальном сайте, обращаться можно на русском языке).

5. Теперь нужно проверить компьютер другим антивирусным программным обеспечением.  Начнем с HitmanPro. Все потенциально нежелательные программы он обозначает серым щитом вместо красного с белым крестом. Перед выполнением очистки проверьте, чтобы ко всем элементам ПНП были выставлены действия «Карантин» или «удалить». В случае, если к множеству объектов по умолчанию выставлено действие «игнорировать», то нажмите на него правой кнопкой мыши и выберите «Применить ко всем…». Так вы выставите одно и то же действие для всех объектов с одним именем (на скриншоте – Rocketfuel, например).

6. Проверяем компьютер с помощью Malwarebytes Anti-Malware. Программа находит как вредоносные файлы, так и изменения в реестре. Особых ложных срабатываний не замечено. В старой версии 1.0 к объектам, названия которых начинаются с PUP – potentially unwanted program, потенциально нежелательная программа), автоматически выставлялось действие «Игнорировать». Такие объекты тоже нужно удалять. Лучше отправлять в карантин: в таком случае и файл удаляется, и его резервная копия остается. Быстрой проверки в целом достаточно для удаления работающих в системе вредоносных приложений, однако, для удаления их следов выполните полную проверку.

7. Этого обычно достаточно, но если остались сомнения, то выполните проверку с помощью Dr.Web CureIT! (выборочная проверка – отметить все локальные диски для полной проверки системы) и Cezuity. Также можно использовать Comodo Cleaning Essentials и ESET Online Scanner, однако в большинстве случаев максимум, что они смогут найти после проделанной нами работы, - найти безобидные остатки. Так как проверка будет выполняться долго, то можно ее запустить на ночь. Две и более проверки выполнять одновременно не рекомендуется – будут наблюдаться «тормоза» и подвисания.

Для защиты системы от установки мусора установите маленькую программу UnChecky, которая будет автоматически снимать галочки при установке других приложений. Но внимательность никто не отменит, ибо снимание галочек в 100% случаев никто не гарантирует. Также помните, что заразиться всегда можно и другими способами.