СПАЙВАРЕ ру

В настоящее время появляется все больше и больше спайваре (шпионское ПО) которое после заражения компьютера изменяет настройки вашего браузера, осуществляя таким образом подмену вашей домашней страницы или редирект с одного адреса на другой (например редирект результатов поиска на другой сайт, не тот что указан в результатах). Рассмотрим несколько способов удаления такого спайваре.
В первую очередь вы должны попробовать следующие прекрасные бесплатные антиспайваре программы:

• SpyBot (очень рекомендуется)
• AdAware

Если после использования этих программ ваша проблема не решена, значит нужно попробовать удалить это шпионское ПО вручную.

Если спайваре отключило на вашем компьютере возможность редактирования настроек вашего браузера (в контрольной панели нет иконки Свойства Обозревателя), в этом случае вам необходимо найти файл control.ini, для чего воспользуйтесь поиском. Откройте этот файл в блокноте. Вы увидите что-то подобное следующему:

[don't load]
inetcpl.cpl=yes

удалите inetcpl.cpl=yes, запишите и закройте файл. Попробуйте открыть контрольную панель, иконка Свойства Обозревателя должна появиться, если её нет, то перезагрузите компьютер и проверьте контрольную панель еще раз.
В Windows 2000 и Windows XP, чтоб сделать тоже самое, нужно отредактировать реестр. Кликните по кнопке Пуск, далее выберите пункт Выполнить, введите regedit и нажмите Enter. Кликните HKEY_CURRENT_USER далее Control Panel далее don’t load, далее с правой стороны проверьте наличие ключа inetcpl.cpl, если он присутствует, то удалите его. Закройте редактор реестра и перезагрузите компьютер.

Если все более серьезно и выше сказанное вам не помогло, то вам нужно скачать и запустить HijackThis.

• Поставьте галочку напротив каждой из строк, описывающих значения текущих домашней и поисковой страниц (строки с идентификаторами R), которых вы не знаете. Сделайте тоже самое и с строками описывающими файл hosts (строки с идентификатором О1). Так же проверьте строки с идентификаторами О5, О6, О7, но перед удалением этих полей обязательно проконсультируйтесь на техническом форуме.
  Примечание: часть антиспайваре программ, включая SpyBot, могут защищать некоторые настройки вашего браузера от изменений, HijackThis может определить это, и показать в логе, поэтому будьте внимательны при анализе лога, не удалите это случайно. Желательно перед запуском HijackThis отключить все ваши антиспайваре программы.
• HijackThis в своём логе показывает список BHO модулей (строки с идентификатором О3) установленных в вашем браузере. Проверьте эти модули в Интернет, используя поисковую машину google. Если вы найдете что какой-то из модулей является компонентом спайваре, то пометьте эту линию для дальнейшего удаления. Если вы нашли модуль о котором ничего не известно, то лучше спросите о нем на техническом форуме.
• Так же вы должны проверить программы, которые автоматически запускаются, это строки с идентификатором О4. Воспользуйтесь гуглом чтоб проверить все эти программы, пометьте те которые нужно удалить.

После пунктов 1-3 не забудьте нажать кнопку Fix Checked, чтоб HijackThis удалил спайваре которое вы нашли.
Перезапустите компьютер и проверьте, решили ли вы свою проблему. Если нет, то лучше обратиться к специалистам, котрые смогут проанализировать ваш HijackThis лог и помочь вам удалить спайваре.

VundoFix – это бесплатная программа для удаления большинства известных вариантов трояна Vundo, трояна Concook и других подобных троянов.

Обычно на инфицированном этим трояном компьютере очень часто выскакивают всплывающие окна с рекламой WinFixer, Amaena, WinAntiVirus, ErrorSafe, SystemDoctor и DriveCleaner. Вам будет предлагаться загрузить и запустить эти программы чтобы удалить этот троян. Эти программы только имитация антивирусов и антиспайваре продуктов и служат для того чтоб развести вас на деньги. Так что будьте бдительны.
Так же если ваш компьютер стал медлено работать, то возможно вы тоже инфицированы.
Как использовать VundoFix:

• загрузите VundoFix
• дважды кликните по файлу vundofix.exe
• когда VundoFix запуститься, кликните по кнопке Scan for Vundo
• после окончания сканирования, кликните по кнопке Remove Vundo
• будет показан запрос на подтверждение удаления файлов, кликните по кнопке YES
• после этого ваш рабочий стол очиститься и запустится процесс удаления трояна
• когда он закончится, у вас будет запрошено разрешение на перезагрузку компьютера, кликните по кнопке YES

Примечание: возможно что в процессе удаления трояна, VundoFix не сможет удалить ассоциированный с трояном файл, поэтому он попытается его удалить после перезагрузки.

Домашняя страница VundoFix, загрузить VundoFix.

После использования combofix, успешного или нет, необходимо его удалить с компьютера. Для этого:

• Отключите ваш антивирус.
• Кликните по кнопке Пуск.
• Выберите пункт Выполнить.
• Введите combofix /uninstall и нажмите Enter. (Обязательно должен быть пробел между combofix и /u)

Результат будет следующим:

1. удален combofix и ассоциированные с ним файлы и каталоги
2. удалены бэкапы созданные программой VundoFix
3. удалены каталоги C:\Deckard и C:\OtMoveIt, если они присутствуют на диске
4. восстановленны показания системного времени
5. включен режим не отображения расширения файлов, если он был включен
6. включен режим не отображения системных и скрытых файлов, если он был включен

Что такое combofix, где его взять, как использовать

Ccleaner удаляет временные и неиспользуемые файлы, освобождая свободное место на жестком диске. Это позволяет вашей операционной системе быстрее загружаться. И главное отличие ccleaner от подобных программ то, что она делает это очень быстро.

Основные возможности:

• очищает кэш вашего браузера, историю посещений сайтов, cookies, index.dat
• очищает корзину, удаляет временные и лог файлы
• удаляет временные файлы следующих программ: Firefox, Opera, Media Player, eMule, Kazaa, Google Toolbar, Netscape, Office XP, Nero, Adobe Acrobat, WinRAR, WinAce, WinZip
• встроенный редактор и оптимизатор реестра, удаляет неиспользуемые и старые записи реестра
• имеет возможность создать резервную копию реестра
• встроенная утилита редактирования списка загружаемых программ при запуске операционной системы

Примечание: начиная с версии 1.27.260 По умолчанию CCleaner устанавливает Yahoo Toolbar. Чтобы этого не произошло, достаточно убрать соответствующую галочку при инсталляции CCleaner. Так же Yahoo Toolbar не содержат basic и slim версии.

Скачать CCleaner вы можете кликнув по одной из следующих ссылок: ссылка 1, ссылка 2.

ESET онлайн сканер – это легкая в использовании и мощная по функциям онлайн программа. Что значит онлайн ? Это значит вам не нужно скачивать и инсталлировать эту программу, достаточно просто посетить сайт и кликнув по нескольким кнопкам просканировать свой компьютер. Вот так всё просто.
ESET онлайн сканер использует технологию ThreatSence и базу данных вирусов от всем известного антивируса NOD32, и конечно эта же база данных регулярно обновляется.

Как просканировать свой компьютер:

• Кликните по следующей ссылке (русская версия, английская версия) для открытия сайта на котором размещён ESET онлайн сканер
• принять правила использования, поставив галочку возле слова YES, после этого кликнуть на кнопку Start
• в верхней части экрана появиться желтая строка с запросом на установку надстройки OnlineScanner.cab, кликните по ней, в появившемся меню выберите Установить элемент ActiveX
• после успешной загрузки загрузки появиться запрос на подтверждение установки онлайн сканера, кликните по кнопке Установить
• после установки ActiveX кликните по кнопке Start для загрузки базы данных с описаниями вирусов
• не забудьте выбрать режим удаления найденных вирусов и спайваре, поставив галочку напротив пункта Remove found threats
• кликните по кнопке Scan для запуска процесса сканирования

результат сканирования вы увидите на экране, так же будет создан лог файл и сохранен в C:/Program Files/EsetOnlineScanner/log.txt

Обнаружение спайваре
Наличие на вашем компьютере спайваре (рекламного ПО, шпионского ПО) можно определить по нескольким признакам: ваш компьютер загружается и работает медленно, при работе в интернет часто открываются новые окна с различной рекламой (popups), на вашем рабочем столе появились иконки программ которые вы не инсталлировали, в вашем браузере (Internet Explorer или FireFox) появились новые панели инструментов (тулбары). Все это может свидетельствовать о том, что на вашем компьютере есть спайваре.

Откуда появилось спайваре на вашем компьютере
Спросим себя, откуда оно взялось ? Спайваре может проникнуть к вам из различных источников: сайты по обмену файлами, загрузка mp3 с непроверенных сайтов, веб сайты инфицированные различными вредными программами (при посещении такого сайта, ваш компьютер будет заражен), просмотр и запуск фалов которые приходят вам по электронной почте.
Даже если вы имеете на компьютере хороший антивирус и файрвол – это вас может не спасти. Часть спайваре просто отключает такие программы, и вы даже не узнаете об этом. Вам повезет если ваш антивирус сможет распознать такую атаку и удалить спайваре, но в большинстве случаев этого не происходит.

Как удалить спайваре
Существуют бесплатные программы которые могут обнаруживать и удалять спайваре с вашего компьютера. Они сканируют файлы, реестр и сравнивают результат со своими базами данных (БД), в которых перечислены признаки известных спайваре программ. Эти БД обновляются регулярно.
Большинство из этих программ имеют функцию сторожа, то есть их небольшой модуль постоянно расположен в оперативной памяти вашего компьютера и препятствует запуску спайваре. Таким образом имея одну установленную программу (не рекомендуется использовать больше, так как программы могут конфликтовать друг с другом), вы будете защищены от различных спайваре программ.

Как защитить себя от спайваре

• загружайте музыку только с проверенных сайтов, множество сайтов из тех что найдет для вас поисковая машина распространяют спайваре
• не открывайте файлы присоединенные к сообщениям полученных по электронной почте, если вы не знаете того, кто отправил их
• используйте браузер с функцией блокировки всплывающих окон(popups)
• прислушивайтесь к своей интуиции и не посещайте странные и опасные сайты

Выполняя эти не сложные рекомендации вы защитите свой компьютер от спайваре.

Многие шпионские программы (спайваре) блокируют возможность просмотра и поиска скрытых фалов для того чтобы затруднить удаление их с компьютера. Эта блокировка производиться установлением специальных ключей в реестре.

Признаки блокировки показа скрытых файлов:

• в Windows Explorer (окно просмотра дисков и калогов) в меню Сервис нет пункта Свойства папки
• после установки флажка показывать скрытые файлы и папки, они все равно невидимы

Как восстановить возможность показа скрытых файлов:
Для этого вам необходимо запустить блокнот (notepad) и скопировать выделенный ниже тест в него (Если вы опытный пользователь, то можете отредактировать указанные ключи реестра вручную, используя regedit).

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
“NoFolderOptions”=-

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
“NoBrowserOptions”=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
“CheckedValue”=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
“CheckedValue”=dword:00000001

Запишите этот текст в файл с именем fix.reg на ваш Рабочий стол (Не забудьте при выборе типа файла указать – все файлы).
Дважды кликните по созданному вами файлу fix.reg, появиться сообщение с требованием подтвердить внесение изменений в реестр, кликните по кнопке Да.

Перезапустите ваш компьютер. После этого попробуйте заново включить просмотр скрытых файлов.

Кроме описанной выше процедуры, скрытые файлы можно просмотреть используя бесплатную утилиту WinPatrol.

Combofix – это бесплатная антиспайварная программа, которую написал sUBs. Она удаляет SurfSideKick, QooLogic, Look2Me, различные варианты трояна Vundo, а кроме этого и множество других шпионских программ, троянов и поддельных антиспайварных программ.

Combofix может удалять файлы, записи реестра, которые были созданы вредоносными программами. Такими как трояны, черви, спайваре. Эта программа имеет два режима: автоматический и ручной. В первом режиме вам нужно просто ее запустить, программа просканирует ваш компьютер и удалит найденное спайваре. Во втором режиме программе нужно передать специальным образом составленный файл, в котором задаются специфические действия, такие как, удаление файлов, удаление каталогов, удаление сервисов и драйверов и многое другое. По результатам выполнения программы в первом и втором случае будет сгенерирован лог файл по которому в дальнейшем можно провести анализ, заражён компьютер или нет.

Предупреждение: автор не рекомендует запускать Combofix пользователям не обладающими хорошими знаниями в компьютерной области. Эту программу нужно запускать только в случае, если вам её рекомендовал профессионал с компьютерного форума. Причём он проконтролирует процесс лечения вашего компьютера. В случае если ваш компьютер заражён, то лучше обратитесь на наш форум, где вам помогут вылечить компьютер.

Как использовать combofix.

1. Отключите ваш антивирус, так как он может блокировать действие программы.
2. Скачайте Combofix.
Кликните по одной из приведённых ниже ссылок и сохраните программу на вашем рабочем столе.

• Сайт 1 (bleepingcomputer)

3. Установите Recovery console. (Только Windows XP) Если у вас есть установочный диск, то можете пропустить это шаг.

• Определите какая у вас версия Windows XP. Кликните по иконке Мой компьютер, в открывшемся меню выберите Свойства. В открывшемся окне в правом верхнем углу есть краткое описание вашей операционной системы. Запомните эту информацию, в особенности номер установленного сервис пака (Service pack).
• Скачайте с этой странички сайта Microsoft образ установочного диска соответствующий вашему сервис паку Для третьего сервис пака, выберите диск от сервис пака 2. Сохраните выбранный файл на ваш рабочий стол.
• Закройте все программы, включая открытые окна браузера Интернет.
• Перетащите скачанный ранее файл – образ установочного диска на иконку программы Combofix.
• Combofix автоматически установит Recovery console на ваш компьютер. Теперь при запуске компьютера у вас появиться возможность запустить его в режиме восстановления.
• После этого Combofix предложит продолжить работу, кликните по кнопке Да/YES.

3. Запуск Combofix для сканирования и лечения компьютера.

• Запустите Combofix.
• Откроется окно с правилами использования программы. Автор предупреждает о том, что не даёт никакой гарантии. Кликните Да/Yes если вы согласны с правилами и желаете запустить программу.
• Далее Combofix используя программу Erunt создаст копию реестра.
• После этого Combofix попытается определить наличие установленной Recovery console. Если перед вами покажется запрос «Combofix has detected that this machine does not have the Windows Recovery console», то обязательно кликните Да/Yes. Этим вы разрешите программе автоматически установить Recovery console. По окончании установки, вам будет предложено продолжить работу. Кликните по кнопке Да/Yes.
• Запуститься процедура сканирования и лечения компьютера. В процессе работы возможно ваш компьютер будет перезагружен.
• После окончания работы программы будет показан лог файл, в котором будут отражены все действия Combofix и результаты сканирования компьютера.

Примечание: Во время работы программы, не водите мышью, не кликайте по окну combofix иначе возможно зависание программы.

Вопросы и ответы по поводу использования Combofix.

Combоfix мне не помог, что делать дальше.

Команда Spyware-ru попытается помочь вам. Прочитайте эти инструкции. После этого посетите наш антиспайварный форум и создайте топик с описанием вашей проблемы.

Я никому не доверяю, combofix – это вирус.

Многие русскоязычные пользователи никому не доверяют (вспоминаю рекламу МММ), но могу сказать одно, программа действительно полезная, и лишила сотен тысяч долларов производителей антивирусов

При загрузке и запуске Combofix мой антивирус выдает предупреждение.

Часто на различных технических форумах появляются сообщения о том, что combofix опасен для использования, и сам по себе является трояном и тд. По первому пункту можно сказать, да в руках дурака техника мертва, поэтому используйте combofix только в автоматическом режиме, не пытайтесь экспериментировать. По второму пункту, в состав combofix входит модуль который необходим для обнаружения троянов и руткитов – это catchme. Некоторые антивирусы могут ошибочно определять этот модуль как троян, по этому для использования combofix рекомендуется предварительно отключить антивирус.

Combofix мне помог. Компьютер работает прекрасно.

Даже если ваш компьютер стал работать как и до заражения, желательно проанализировать лог файл, который создал Combofix (возможно на вашем компьютере остались компоненты троянов, спаваре, кейлоггеров, которые просто никак себя не проявляют). Поэтому создайте топик на нашем форуме и приложите Combofix лог.

Не могу скачать Combofix.

Возможно спайваре блокирует загрузку программы. В этом случае попробуйте использовать другой компьютер для скачивания файла, после чего скопируйте его на инфицированный компьютер.

Combofix мне больше не нужен, как его удалить.

Прочитайте эту небольшую инструкцию: Как правильно удалить combofix с компьютера.

После запуска Combofix появился каталог QooBox, как его удалить и зачем он нужён.

Каталог QooBox это домашний каталог программы. Он будет удалён автоматически при удалении программы. Смотрите предыдущий вопрос.

После запуска Combofix в командной консоли и во всех DOS программах не корректно отображаются русские буквы (кракозяблы)

Кликните Пуск, Выполнить.
Введите notepad и нажмите Enter.
Вставьте в блокнот следующий текст:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Console]
"CodePage"=dword:00000362

Запишите получившийся файл на ваш рабочий стол под именем fix.reg. При этом в диалоге Сохранить как, не забудьте выбрать тип файлов Все файлы.
Закройте блокнот.
Кликните дважды по созданному вами файлу, появится запрос о подтверждении добавления информации в реестр, кликните Да.

Если у вас возникли вопросы по программе или ваш компьютер заражён и вам необходима помощь в его лечении, то обратитесь на наш компьютерный форум.

Кейлоггер – это программа для записи нажатий на клавиши (keylogger). Почему она опасна:

• кейлоггер может записать ваши пароли, личную информацию, номера ваших кредитных карт и тд
• кейлоггеры не определяются антивирусами
• большинство кейлоггеров распространяются вместе с шпионским ПО (спайваре)
• существуют кейлоггеры, которые могут быть установлены на ваш компьютер дистанционно
• большинство кейлоггеров незаметны, поэтому даже если ваш компьютер работает нормально, это не значит что его нет
• часто кейлоггеры используются вашими друзьями, родственниками и начальниками, чтобы знать, чем вы занимаетесь за компьютером
• все что кейлоггер запишет, он может отправить по электронной почте, так что физический доступ к вашему компьютеру не нужен
• часто на публичных компьютерах (компьютерные салоны, кафе, библиотеки) могут быть установлены кейлоггеры

так что, всегда думайте о безопасности своих личных данных.

Для того чтобы избавиться и защититься от кейлоггера можно использовать следующие бесплатные программы:

1. Kldetector – маленькая программа для защиты от кейлоггеров (eng)
2. SnoopFree Privacy Shield – программа, что информирует вас, если какая-либо другая программа хочет скрытно записать нажатия на клавиши (eng)

SpyBot – Search&Destroy может обнаруживать шпионское программное обеспечение (spyware) различных видов и удалять его с вашего компьютера. Если вы видите новую панель инструментов в вашем браузере, которую вы не иустанавливали сами, если ваш браузер не запускается или если домашняя страница была изменена без вашего ведома, то возможно вы имеете шпионское ПО на вашем компьютере. Даже если эти признаки не проявляются, то все равно возможно ваш компьютер инфицирован, потомучто большое количество шпионского ПО себя никак не проявляют, но собирают различную информацию о вас и вашем компьютере.
Spybot-S&D бесплатен, поэтому ничего страшного не произойдет, если Вы проверите свой компьютер.

Основные возможности:

• Удаление Шпионского и рекламного ПО (adware и spyware)
• Удаление дозвонщиков (dialer)
• Удаление программ записи нажатий на клавиши (keylogger)
• Удаление троянцев (trojan) и прочей погани
• Удаление следов присутствия (usage tracks)
• Пополняемая пользователем база данных
• Надежное удаление опасностей тщательным стиранием
• Резервная копия каждой устраненной проблемы
• Возможность отключения проверки на наличие отдельных проблем
• Постоянное блокирование загрузки опасных ActiveX
• Постоянное блокирование известных шпионских cookies для IE
• Постоянная блокировка опасных закачек в IE
• Управление из командной строки для автоматизации процесса
• Подробная информация о найденных проблемах
• Встроенная функция обновления
• Еженедельные обновления
• Уведомления об обновлениях по почте
• Бесплатная поддержка email-ом и на форуме
• Настройки для автоматического сканирования, удаления и обновления
• Системные отчеты для обнаружения неизвестных угроз

Скачать SpyBot – Search&Destroy вы можете кликнув по этой ссылке