Всплывающие окна не дают работать, стартовая страница сменилась без вашего ведома, а поисковые запросы перенаправляются на сомнительные сайты?
Скорее всего у вас Adware и Browser Hijacker!
❗Предупреждение
В этой статье есть элементы, где нужно работать с командной строкой, реестром и так далее. Соблюдайте верные шаги, будьте аккуратны и выполняйте только то, что сказано в данной статье.
Если у вас есть сомнения — обратитесь за помощью к специалисту или знакомому, разбирающемуся в компьютерах.
Перед любыми действиями создайте точку восстановления Windows и сделайте бэкап важных данных на флешку.
Что такое Adware и Browser Hijacker?
Adware — программное обеспечение для показа рекламы на ПК, смартфонах, планшетах. Показывает всплывающие окна с рекламой, перенаправляет из поиска на монетизируемые страницы и может передавать персональные данные третьим лицам.
Browser Hijacker (угонщик браузера) - вредоносное ПО, которое изменяет настройки браузера без ведома пользователя. Часто относится к категории рекламного ПО (Adware). Он умеет меняет поисковую систему и стартовую страницу, перенаправляет поисковые запросы на нежелательные сайты, устанавливает нежелательные расширения и панели инструментов.
Примерно таким же является и Troywell VPN
Самое основное, что Adware фокусируется на показе рекламы и сборе данных для монетизации, а Browser Hijacker — на изменении настроек браузера и перенаправлении трафика для увеличения посещаемости определённых сайтов.
В этой статье будут даны советы как почистить свой компьютер от этих зловредов
Советы
1. Читайте политику конфиденциальности, лицензионное соглашение, публичную оферту.
Это касается программ и расширений. В них могут содержаться те пункты, которые чётко и понятно указывают на то, что приложение (или расширение) передаёт третьим лицам или хранит долго ваши персональные данные, настраивают сумму возврата в случае неприятных ситуаций (Troywell как раз имеет этот пункт), а также включает в себя установку различных тулбаров (или показ банеров).
Если вы видите такие формулировки — подумайте дважды, действительно ли вам нужно это приложение.
2. Обратите внимание на разрешения расширения и отзывы
Чтобы посмотреть разрешения приложения, нужно перейти
Яндекс %LOCALAPPDATA%\Yandex\YandexBrowser\User Data\Default\Extensions\[ID]\[версия]
Гугл %LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions\[ID]\[версия]
Это пример двух браузеров
Далее обратите внимание на файл manifest.json
Самое главное обращайте каким является сервис и что у него за расширения (в малоизвестных расширениях, например scripting и cookies могут быть опасными
- Разрешение scripting позволяет расширению выполнять JavaScript‑код на страницах сайтов: внедрять собственные скрипты, изменять содержимое (текст, изображения, элементы интерфейса), перехватывать данные из форм (включая логины, пароли и платёжную информацию), отслеживать действия пользователя (клики, прокрутку, заполнение форм), а также взаимодействовать с другими расширениями и API браузера. Может использоваться в майнерах (майнеры не всегда отдельные программы), помощь создание ботнетов и выполнение вредоносных скриптов.
- Разрешение cookies небольшим данным о посещении сайтов (сессионные токены, логины, настройки, товары в корзине и т. д.). С ним расширение может читать все куки (в т. ч. защищённые с флагом HttpOnly), создавать, изменять и удалять их, отслеживать сессии авторизации. Как бы вы не защищали свой аккаунт почтой, надёжным паролем или двухфакторной аутентификацией украв сессию злоумышленник зайдёт на ваш аккаунт.
Если более обобщенно, то не давайте, чтобы расширение имело доступ "выполнению скриптов на всех сайтах", чтение всех данных на всех сайтах и управление вкладками и историей.
Но всегда зависит от самого расширение. То есть если оно авторитетное и с гарантиями, то тогда ничего страшного.
3. Просматривайте скрипты и анализируйте их, ищите разборы
В манифесте также указываются какие JavaScript привязаны, найдите их и также можете проанализировать
Рекомендую проверять JS код, закинув его например на Virustotal (проверит наличие небезопасных функций)
4. Заподозрили - отключайте и удаляйте
Просмотрите все ваши расширения (название браузера//extensions/) и удалите те, которые считаете подозрительными.
Действия для очистки
1. MalwareBytes AdwCleaner 8.8.1
Malwarebytes AdwCleaner — бесплатная утилита от компании Malwarebytes (США) для поиска и удаления рекламного ПО (adware), потенциально нежелательных программ (PUP), панелей инструментов, расширений браузеров и hijacker‑утилит.
Скачайте её и запустите от имени администратора. Данная программа имеет цифровую подпись.
Хэш-сумма
MD5: 94d193c0e9de9800a82bc70caf5c31c7
SHA-1: ac37e67a148cf50c1ce38ff228b2d1160fd1f631
SHA-256: 7108ed065682eaa24b007c54fd994648c868bfe86a0a61648319e9707da73965
По поводу детектов на VirusTotal: 3 антивируса из 60+ (DeepInstinct, Skyhigh, Trellix) пометили утилиту как "подозрительную". Это ложные срабатывания, потому что AdwCleaner глубоко проникает в систему для удаления вирусов. Файл безопасен. Сравните хэши, проверьте что цифровая подпись имеется, и что вы скачали из безопасного источника.
Затем зайдите в параметры (Settings) и включите те опции, которые представлены будут ниже:
- Удаление ключей IFEO (Image File Execution Options) — помогает устранить вредоносные записи, которые заставляют программы запускаться при старте системы.
- Удаление ключей Tracing — убирает следы отслеживания, которые могут использоваться для сбора данных о действиях пользователя.
- Удаление файлов Prefetch — очищает кэш Prefetch, который ускоряет запуск программ, но может содержать следы вредоносного ПО.
- Сброс Winsock — восстанавливает настройки сетевого стека Windows, которые могли быть изменены вредоносным ПО (например, для перехвата трафика).
- Сброс файлов Hosts — очищает или восстанавливает файл hosts, который злоумышленники могут использовать для перенаправления трафика на вредоносные сайты.
В случае если вирусы захватили Chrome или Internet Explorer, то вы можете сбросить их политики.
Затем выберите информационная панель (Dashboard) и нажмите "Запустить проверку" (Scan now)
Затем если были обнаружены угрозы, то вы можете отправить их в Карантин или Пропустить.
Если программа отказывается запускаться, то тогда:
Откройте «Пуск» → «Параметры» (или нажмите Win + I).
- Перейдите в «Обновление и безопасность» → «Восстановление» (Windows 10) или «Система» → «Восстановление» (Windows 11).
- Далее где написано Особые варианты загрузки нажимайте на кнопку «Перезагрузить сейчас»
- После этого нажимайте Поиск и устранение неисправностей → Дополнительные параметры → Параметры загрузки и нажимаете перезагрузить
После этого рекомендую вам после перезапуска где предложат варианты запуска нажать либо на F4 (безопасный режим) и когда загрузились, то запустите её.
2. Autoruns от Sysinternals
AutoRuns - бесплатная утилита для Windows (32 и 64 разрядных версий), разработанная компанией Sysinternals, позже приобретённой Microsoft. Программа предназначена для управления автозагрузкой компонентов системы: программ, сервисов, модулей, драйверов и других элементов.
Рекомендую посмотреть всё (лучше всего смотрите Internet Explorer, Image Hijacks, Scheduled Tasks, Services). Но если у вас майнер или вирус RAT, то перейдите на наши другие посты.
Далее если вы нашли подозрительную автозагрузку, то нажмите по ней правой кнопкой мыши и удалите.
3. Очищаем DNS-настройки
Нажмите Win+R и напишите в строке "cmd" и зажмите Ctrl+Shift и нажмите OK (чтобы запустить её в режиме командной строки). После этого Ctrl и Shift можно отпустить.
Затем выполните в ней команды по порядку:
- ipconfig /flushdns
- ipconfig /release
- ipconfig /renew
- netsh int ipv4 reset
У вас должно быть это:
А затем обязательно выполните перезагрузку
Проверьте, что после перезагрузки:
- нет навязчивой рекламы, всплывающих окон;
- стартовая страница не изменена (осталась заданной вами, а не подозрительного сайта);
- поисковые запросы работают корректно (не перенаправляют на рекламные страницы);
- вкладки и закладки не появились "сами собой".
Если этого нет, поздравляю - вы очистили свой браузер от Adware и Browser Hijacker.
4. Очистка Cookies и политику браузера
Если вы подозреваете, что у вас могли украсть уже Cookies, тогда нажмите в браузере Ctrl+Shift+Del (работает во всех браузерах) и выберите "Файлы Cookie и другие данные сайтов" (или примерно такая же формулировка)
Тогда после очистки cookie злоумышленники не смогут использовать старую сессию для доступа к вашим учётным записям.
Если у вас браузер на базе Chromium (Chrome, Yandex или Edge), то наберите в адресной строке название браузера://policy
Если вы нашли подозрительные политики (а сейчас аккуратнее), то нажмите Win+R, введите regedit, нажмите Enter — откроется редактор реестра. Перейдите к:
HKEY_CURRENT_USER\SOFTWARE\Policies\Yandex\Browser
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Yandex\Browser
Или если Chrome
HKEY_CURRENT_USER\SOFTWARE\Policies\Google\Chrome
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome
Если вы нашли там папки - удалите их, а после этого перезагрузите браузер. Если у вас стоял вирус как расширение - проверьте, что он тоже удалён.
И теперь если всё у вас нормально, то вы избавились от вируса
А что в итоге-то:
Adware и Browser Hijacker — это типы вредоносного ПО, которые нарушают работу браузера и собирают данные пользователя с целью получения прибыли или распространения других угроз. Примером такой угрозы является Troywell VPN. Они часто распространяются вместе и имеют схожие механизмы заражения, но выполняют разные функции. Однако и этот тип вируса тоже можно удалить, и чем раньше вы это сделаете, тем меньше вреда он нанесёт вашему устройству.
Не давайте злоумышленникам свои cookie, следите за вашими расширениями, и будьте бдительны!
А вы что думаете насчёт этого вируса? Пишите свои комментарии
👇👇👇
#ThreatBit #Adware #BrowserHijacker