Usuwanie browser hijackera na przykładzie V9.com

Dziś pokażę jak walczyć z browser hijackerami (takimi jak V9.com). Są to niewielkie aplikacje (instalowane najczęściej nieświadomie przez użytkownika wraz z innym programem), które zmieniają podstawowe ustawienia naszej przeglądarki internetowej – stronę główną i wybraną wyszukiwarkę domyślną. Czasem pojawiają się także w przeglądarce tzw. toolbary, czyli dodatkowe paski narzędziowe oraz dodatki (rozszerzenia). Co najgorsze – browser hijackery czynią przywrócenie poprzednich ustawień bardzo uciążliwym, spowalniają przeglądanie internetu, szpiegują naszą aktywność online, raczą nas pop-upami.

Omawiając usunięcie V9.com pokażę złośliwe techniki, które stosują takie programy, tak żeby tutorial ten znalazł zastosowanie również w przypadku infekcji innymi niż tytułowy hijackerami. Nie będę tym razem w ogóle używał programów anti-malware, po prostu przeprowadzę nas ręcznie przez najczęściej stosowane w systemie techniki infekowania przeglądarek i pokażę sposoby naprawy szkód. Rozumiejąc naturę zagrożenia już nigdy nie damy się długo prześladować tego typu programom. Zatem do dzieła.

Krok 1 → Odinstalowanie niechcianych programów z systemu

Proces naprawy należy koniecznie rozpocząć od znalezienia i odinstalowania złośliwych programów wykonywalnych. Nie ma sensu łapać się za oczyszczanie preferencji przeglądarek czy rejestru systemowego, ponieważ wciąż znajdujący się w systemie program przy każdym uruchomieniu i tak przywróci złośliwe ustawienia i wpisy. Udajemy się do panelu sterowania, do listy zainstalowanych aplikacji. Złośliwe oprogramowanie odnajdujemy po nazwie (v9) albo jeszcze wygodniej według daty zainstalowania:

W moim przypadku chodziło o dwie aplikacje. W dodatku jedna z nich (Desk 365) jak gdyby nigdy nic udaje użyteczny program, podpięła się też samodzielnie do paska startowego. Nawet ikonka do złudzenia przypomina tą znaną z Google Chrome, a aplikacja posiada własne menu kontekstowe (rzecz jasna bez opcji „Odepnij ten program od paska zadań”). Używając np. narzędzia msconfig zapisuję gdzieś na kartce miejsca na dysku, gdzie te programy rezydują. Po odinstalowaniu obu aplikacji i restarcie komputera upewniam się jeszcze, czy na liście procesów uruchamianych wraz z systemem (oraz na dysku) na pewno nie ma już po nich najmniejszego śladu:

Krok 2 → Przywracanie ustawień przeglądarek sprzed infekcji

Teraz pora wyłączyć dodatki/rozszerzenia w naszej przeglądarce, na powrót ustawić także właściwą stronę domową i (jeśli trzeba, w moim przypadku nie) na nowo wybrać domyślną wyszukiwarkę. Pokazuję gdzie znaleźć najważniejsze ustawienia na przykładzie Chrome’a, Firefoxa i IE, ale całkiem analogicznie wygląda to w Operze, Safari czy Midori.

Krok 3 → Czyszczenie rejestru systemowego

Wykonaliśmy już sporo pracy, niemniej jednak V9 wciąż wyświetla się po uruchomieniu przeglądarki. Cierpliwości, jeszcze tylko dwa ostatnie kroki naprawcze do przeprowadzenia. Pora wyczyścić rejestr Windowsa, najlepiej z użyciem po prostu edytora regedit. W moim przypadku szukam każdego wystąpienia ciągu znaków V9.com (bo tam zawsze prowadzi przekierowanie) i naprawiam bądź ewentualnie kasuję każdy znaleziony z użyciem klawisza F3 wpis:

Krok 4 → Naprawienie skrótów w systemie

Usunęliśmy niechciane programy, naprawiliśmy preferencje w przeglądarkach i wyczyściliśmy rejestr, tymczasem przy uruchomieniu przeglądarki, oprócz strony domowej nadal uruchamia się v9.com. Cóż, pora poznać ostatnią z technik stosowaną przez to oprogramowanie. Otóż okazuje się, że zmodyfikowane zostały ścieżki docelowe we wszystkich skrótach do przeglądarek w systemie – to już ostatnia rzecz do zrobienia:

Gratuluję, Twoja przeglądarka jest oficjalnie wyleczona :-) Ewentualnie można jeszcze poszukać jakichś szczątkowych pozostałości typu np. ustawień xml czy zmian w plikach defaultowych w katalogu „Dane aplikacji” usera w Windows (jeżeli czujesz się niepewnie samodzielnie, to możesz do tego użyć jakiegokolwiek programu anti-malware). Tak czy inaczej znasz już podstawowe metody hijackowania przeglądarki internetowej. Bogu ducha winny użytkownik jest atakowany aż na czterech frontach:

  • Procesy uruchamiane wraz ze startem systemu;
  • Zmienione preferencje w przeglądarce, odtwarzane jeśli nie usuniemy z sytemu tych wspomnianych wyżej programów;
  • Wpisy w rejestrze m.in. dotyczące uruchamiania złośliwego linka zamiast pustej karty lub strony domowej (również odtwarzane przez zainstalowane programy);
  • Modyfikacja ścieżki docelowej skrótów przeglądarek (też przywracane na bieżąco przez szkodliwe procesy).

Nic dziwnego, że można na dłuższą chwilę wplątać się w zastawioną pułapkę i zdenerwować przy usuwaniu tego typu malware. Mam nadzieję, że po przeczytaniu tego tutoriala już zawsze poradzisz sobie z zagrożeniem, na spokojnie analizując objawy infekcji i po kolei je usuwając. A może znasz jeszcze jakieś sposoby hijackowania przeglądarek internetowych, o których nie wspomniałem w tym artykule?

Blog informatyczny Mirosława Zelenta © Dziękuję za wizytę na blogu! Autor: Mirosław Zelent | 2013 - 2014
Don't compare yourself to others. The only person you should try to be better than is the person you were yesterday