Удалить угонщик браузера key-find.com
В статье речь пойдет об угонщиках браузеров, которые Вы можете установить, сами того не желая, на компьютер. Он может открывать окна с рекламой на просматриваемой странице, затрудняя просмотр, или перебрасывать Вас на рекламируемый сайт.
С точки зрения антивирусов ничего предосудительного такой угонщик может не совершать, т.е. не перехватывать прерывания, не лезть в пароли и т.п. поэтому антивирус на них может не реагировать
(Но далеко не факт что экземпляр который попался вам, не крадет пароли или не совершает какие-либо другие деструктивные действия).
Наиболее часто угонщики браузеров устанавливаются через различные дополнения, или программы которые обещают Вам удобные возможности при работе и необходимый функционал. Установив такое дополнение или программу, Вы можете получить навязчивую рекламу. Справедливости ради надо сказать, что часто в надстройках есть расширенный режим установки, просто мы редко обращаем на это внимание.
Предлагаем Вам универсальный подход который подойдет для обнаружения и удаления большей части браузер угонщиков (чуть ниже приведен конкретный пример удаления). Коротко метод можно разбить на следующие шаги:
- Заходим в Панель управления и внимательно смотрим программы на предмет появления новых. Если замечаем надстройку с подозрительным именем – удаляем, запускаем браузер.
- Проверяем Свойства ярлыков. Дополнительные пути удаляем.
- Открываем редактор реестра и в поле поиска вписываем адрес (адреса), надоедливого сайта. Найденные значения удаляем (здесь нужно быть аккуратнее, лучше предварительно создать образ для восстановления системы, если что-то пойдет не так).
- Разбираемся с «Надстройками» браузера.
- Удаляем файлы из папок «Temp», «Prefetch».
Еще универсальные варианты:
Запустить браузер в безопасном режиме, если возможно. Высока вероятность того что это поможет и браузер запустится нормально. В этом случае отключите все надстройки и плагины, а потом включайте их по порядку, пока не найдете зараженный модуль.
Создать новый профиль. Некоторые браузеры (FireFox, Chrome, Opera) позволяют создавать новый профиль, что часто является решением проблемы с угонщиками.
Удалить браузер, но это связано с потерей паролей, закладок и т.д., впрочем, если Вам их не жалко этот способ тоже может подойти.
Удалим браузер-угонщик на конкретном примере:
Примечание. Перед началом всех действий рекомендую на всякий случай сделать бэкап системы с помощью образа для восстановления, либо иным способом, позволяющим восстановить систему если что-то пойдет не так.
Для примера я заразил свою ОС (Операционную систему) типичным угонщиком «key-find.com», но это может быть любой другой — FLVtube, webalta.ru, apeha.ru, какая-то другая страничка или же сразу несколько. На все предложения инсталлятора скачанной программы с подозрительного сайта тупо соглашался и в результате получил заражение ОС.
На машине стоят 5 браузеров: IE 11, Firefox, Chrome, Opera и Pale Moon. Заразились все кроме Pale Moon (аналог Firefox). Последний избежал заражения вероятно ввиду своей «экзотичности», что позволяет надеяться на то, что если Вы используете малоизвестный браузер, то вероятность заражения намного ниже.
На «Рабочем столе» появилось 2 ярлыка и непонятный значок на панели задач с символикой IE. При загрузке браузеров сразу открывались страницы с адресом
http://www.key-find.com/какойто_URL
Что будем делать?
Прежде всего стоит зайти в «Панель управленияУдаление программ» и посмотреть не появилась ли там какая-либо новая надстройка или программа. И если появилась удалить ее.
В случае с «key-find.com» она появилась и даже предлагает удалить себя (uninstall).
Пробуем удалить. Программа просит ввести «капчу» — вводим текст с картинки (reaction), жмем «continue».
Далее предлагается непонятно что восстановить перед деинсталляцией (по идее стартовую страницу браузера). Жмем «continue».
В компонентах для удаления выбираем «Shortcut» и щелкаем «continue».
Видим, что программа пропала из списка установленных программ. Перезагружаемся и запускаем браузеры.
Заходим в свойства браузера (каждого) и пробуем установить нужную стартовую страницу, например, пустую.
В Mozilla Firefox и IE это удается сразу.
При изучении настроек Chrome в «При запуске открывать«->»Заданные страницы» был обнаружен наш навязчивый сайт и удален.
Opera продолжает «капризничать». Открываем свойства ярлыка Оперы и видим путь в окне «Объект»
«C:Program Files (x86)Operaopera.exe» http://www.key-find.com/какой-то_URL
Убираем все что после «C:Program Files (x86)Operaopera.exe» и Opera стартует нормально.
Хотя мы восстановили «нормальный» запуск браузеров и «штатно» удалили «key-find» мусор от нее остался в IE 11, Chrome и Firefox. Так в IE остались непонятные записи в службах поиска, а в Firefox и в Chrome добавилась поисковая машина «key-find».
Для удаления в IE откройте «Управление надстройками», щелкните «Найти другие службы поиска» и установите Bing Search, например. Сделайте ее службой «по умолчанию» и удалите все службы поиска. Затем переустановите заново. Впрочем, мне это не удалось. Все время настойчиво появлялось «key-find», но об этом позже.
В Firefox выберите поисковую систему по умолчанию и удалите из списка «key-find», удалите историю и куки.
В Chrome откройте настройки или в адресной строке наберите chrome://settings, щелкните «Управление поисковыми системами», удалите «key-find».
Итак, с браузерами разобрались.
Щелкаем по ярлыку (описан на 1 скриншоте) в панели задач и видим окно из которого понятно, что приложение предназначено для защиты от изменения поисковой системы.
Жмем «About» и нас отсылает на сайт v9.com. В поисковиках полно советов как избавиться от этого сайта. Избавимся и мы.
Прежде всего необходимо убить сам процесс. Для этого я использовал утилиту procexp с оф.сайта https://technet.microsoft.com/ru-ru/bb896653.aspx
(Запускаем с правами администратора)
Из утилиты стало понятно, что процесс запускает файл C:Program Files (x86)XTabProtectService.exe, который стартует из ветки реестра HKLMSystemCurrentControlSetServicesIHProtect Service. (Кроме того, утилита показывает еще массу полезных сведений которые нас в данный момент не интересуют)
Жмем «Kill Process» и иконка исчезает с панели задач. Процесс убит, и защита снята. Теперь необходимо удалить все что было связано с этой программой.
Прежде всего убираем «Автозапуск». Можно использовать редактор реестра, но мне удобнее использовать утилиту AVZ — http://z-oleg.com/secur/avz/download.php.
ВНИМАНИЕ: Перед исправлением ключей в реестре обязательно сделайте бэкап системы либо иной другой отходной путь для восстановления к изначальному состоянию, т.к. неверное редактирование может привести к «краху» системы.
Выбираем в ней вкладку «Сервис», «Поиск данных в реестре». В поле «Образец» вписываем «IHProtect», запускаем и ждем пока она все найдет. Затем отмечаем все найденные ключи и удаляем.
Находим в проводнике папку «XTab» и удаляем ее. Далее делаем скрытые файлы видимыми и проверяем диск «С» на наличие файлов в имени, которых встречается «XTab» и «HProtect Service». Total Commander мне нашел еще 2 файла.
Удаляем и их. Теперь, когда мы сняли защиту от смены поисковой машины можно вернуться к IE и установить надстройки для поиска как было описано выше. Все стало ставиться без проблем.
Из директории c:WindowsPrefetch удаляем все файлы. Также удаляем все временные файлы из папок «Temp».
Проверяем остались ли файлы с подозрительным текстом. В Total Commander задаем текст для поиска «v9.com», «key-find».
Как видим «мусор» все же остался, но он никак не влияет на работу браузеров и занимает мизерное место поэтому копаться в этих файлах нет уже особого смысла.
Перезагружаем компьютер и убеждаемся в «нормальной» работе браузеров.
Удаление угонщика завершено.
И в конце обязательно на всякий случай проверяем всю файловую систему на наличие вирусов, например каким-нибудь DrWeb Cureit или Kaspersky Virus Removal Tool или иным антивирусом.
Спасибо, только ваше руководство помогло. Вывел всю эту заразу. Порой даже интересно, что за «талантливый» человек написал этот вирус/троян — уж очень быстро заразил систему.