Как удалить баннер в браузере. Случай №3

Случай №3. Все браузеры загружают начальную страницу hi.ru

Эту заразу я подхватил, когда попытался установить свежую версию UltraISO. Все браузеры начинались со страницы http://hi.ru/?20. Необходимо было найти источник, который перенаправляет мои запросы на ненужный сайтбраузеры загружают начальную страницу hi.ru spydevices.ru

Итак, мои действия:

1. Проверить расширения в браузере (Google Chrome) – новых нет.

2. Проверить страницу запуска браузера – всё в порядке (yandex.ru).

3. Проверить файл hosts (C:\Windows\System32\drivers\etc\) – не изменён.

4. Проверить запущенные процессы. Это действие можно выполнять, имея некоторый опыт. Новичкам все процессы в диспетчере задач кажутся одинаковыми. Но и там ничего подозрительного выявлено не было.

5. Прочистить компьютер с помощью программы Ccleaner – результата не дало.

Все вышеперечисленные процедуры расписаны подробнее здесь и здесь.

Очевидно, что перебрасывание вызвано не работой каких-либо программ, а чем-то более простым. И тогда я решил проверить с самого начала – с ярлыков.браузеры загружают начальную страницу hi.ru spydevices.ru

6. Проверить сам ярлык браузера – вот тут-то и нашлась подмена. Для всех ярлыков браузеров были созданы копии, отправляющие на ненужную страницу. Эти подменные ярлыки запускают файл exe.erolpxei.bat, и переправляют нас на http://hi.ru/?20.браузеры загружают начальную страницу hi.ru spydevices.ru

браузеры загружают начальную страницу hi.ru spydevices.ru

браузеры загружают начальную страницу hi.ru spydevices.ru

Перед тем, как запустить поиск файла exe.erolpxei.bat, в свойствах папок убираю галочки «Скрывать защищённые системные файлы» и «Скрывать расширения для зарегистрированных типов файлов», иначе файлы я не увижу.

Пуск → Панель управления → Параметры папок → Вид

Также нужно проверить пункт «Показывать скрытые файлы, папки и диски».браузеры загружают начальную страницу hi.ru spydevices.ru

Итак, нахожу этот файл в папке C:\Users\Admin\AppData\Roaming\Browsers. Я вижу, что одновременно с этим файлом появились файлы exe.emorhc.bat и exe.resworb.bat. Скорее всего, ничего хорошего они не делают, поэтому удаляю все три файла.браузеры загружают начальную страницу hi.ru spydevices.ru

Возвращаюсь к подменённым ярлыкам браузеров. Сами запускаемые файлы изменены не были, и первоначальные ярлыки в порядке, поэтому просто удаляю все подменные копии.

Ну, и плюс ко всему, меняю стартовую страницу для Internet Explorer, где прописался http://hi.ru. Больше нигде стартовая страница не изменилась.

В итоге предательские файлы и подменённые ярлыки были удалены, а нужные восстановлены. Всё работает!spydevices.ru

(Visited 240 times, 1 visits today)

Вам понравиться

Добавить комментарий