В настоящее время получило распространение спайваре, которое после заражения вашего компьютера прописывает себя в автозагрузку и затем при запуске браузера открывается не ваша домашняя страница, а сайты softwarereferral.com, safewebnavigate.com и safenavweb.com. Так же возможен редирект и на другие сайты, суть от этого не меняется. Кроме того могут часто выскакивать всплывающие окна с различной рекламой, показываться предупреждения о том, что ваш компьютер заражен и предлагаться купить определенную программу для лечения вашего компьютера. Эта программа является муляжом, который нужен только для того чтоб выманить ваши деньги.
Чтобы определить заражен ваш компьютер или нет скачайте программу HijackThis. В случае заражения в результатах сканирования вы увидите строчки подобные этим:
R0 — HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=111&mid=MjI6Oaa5&lid=2
O21 — SSODL: skdfkss- {919071FA-540C-4492-BE14-79F7E72B24A1} — C:\WINDOWS\skdfkss dll
Этот вид спайваре довольно легко удаляется вручную, для этого в большинстве случаев хватит только HijackThis. Но я так же советую скачать следующие программы SmitfraudFix, ComboFix и Ccleaner. Первые две подчистят то, что вы не удалите вручную, а последняя удалит все временные файлы (среди них могут быть компоненты спайваре).
Перезагрузите ваш компьютер в безопасном режиме. Читайте здесь — как запустить ваш компьютер в безопасном режиме и что делать если это не получается.
Запустите HijackThis.
Просканируйте компьютер и поставьте галочки напротив строчек подобных приведенным выше. Причем строчек с идентификатором O21 в большинстве случаев бывает две. Так что будьте внимательны. В результате сканирования могут присутствовать и записи полезных программ, так что не ставьте галочки везде, если не уверенны, то используйте гугл, он вам поможет.
Так же это спайваре инсталлирует различные тулбары и обьекты BHO, это строки с идентификаторами O2 и O3, Проверьте их и поставьте галочку напротив тех строк, которые определяют не нужные вам компоненты. Вот примеры таких строчек:
O2 — BHO: MSVPS System — {480538DD-AE28-48B7-82F7-6ADDA1AA6B66} — C:\WINDOWS\ntspkfxt.dll
O2 — BHO: (no name) — {FDD3B845-8D59-4ffb-8758-209B6AD74ACC} — (no file)
O3 — Toolbar: The htu3ni1stock — {C58A9487-4C2E-45E4-9E3A-52B3A23CC396} — C:\WINDOWS\htu3ni1stock.dll
Так же проверьте строки с идентификатором O4, не всегда, но в отдельных случаях спайваре прописывается и сюда.
Далее просто закройте все открытые окна, кроме самой программы HijackThis и кликните по кнопке Fix Checked.
Можете перезагрузить компьютер в нормальный режим.
То что вы выделили будет удалено из реестра системы. Но это не значит что вы физически удалили сами файлы – компоненты спайваре. Их нужно удалить вручную или специальной программой, например используя Avenger. Скачайте её и распакуйте на свой рабочий стол, после чего запустите. В открывшемся окне наберите скрипт подобный этому:
Files to delete:
C:\WINDOWS\file1.exe
C:\WINDOWS\file2.exe
В этом скрипте первая строчка – это директива на удаление файлов которые перечислены ниже. Таким образом составьте свой скрипт и кликните по кнопке Execute. Программа запуститься, затем будет перезагружен ваш компьютер и при его загрузке будут удалены все перечисленные в скрипте файлы.
Далее запустите SmitfraudFix, а затем ComboFix, эти программы подчистят то, что вы не удалили вручную.
Закончите лечение вашего компьютера запуском программы Ccleaner.