Kaip atpažinti ir pašalinti NSBlock potencialiai nepageidaujamą programą iš kompiuterio

NSBlock – tai potencialiai nepageidaujama programa. Jos deklaruojama paskirtis – blokuoti žinomus kenkėjiškus ar kenkėjišką turinį platinančius tinklalapius. Vis dėlto testuojant pastebėta nerimą kelianti veikla: NSBlock priverstinai įrašo neįvardytą „Google Chrome“ plėtinį per „Windows“ grupės strategijos failą (gpt.ini). Be to, šis plėtinys neturi piktogramos, todėl naršyklėje nematyti, kad jis įdiegtas. Kode aptiktos užkoduotos nuorodų eilutės rodo, kad plėtinys gali būti naudojamas reklamai rodyti (pvz., minimas failas „…/adsc.js“). Dėl šių priežasčių daugeliui vartotojų saugiau pašalinti NSBlock ir su juo susijusį plėtinį.

Kaip NSBlock patenka į sistemą

Dažniausiai NSBlock įdiegiama kartu su nemokamomis programomis, kai diegimo metu apie papildomą programinę įrangą tik miglotai užsimenama arba jos įdiegimas slepiamas numatytuosiuose nustatymuose. Norint to išvengti, diegiant bet kokią programą:

• rinkitės Išplėstinį arba Pasirinktinį diegimą;
• atžymėkite siūlomus įrankių juostų, plėtinių ir reklaminės programinės įrangos pasiūlymus;
• jei licencijos sąlygose minima reklama, įrankių juostos ar kita PNP (angl. PUP) – atšaukite diegimą.

Kaip pašalinti NSBlock: paprastas planas

• Pašalinkite įtartinas programas per „Windows“ Valdymo skydą.
• Sustabdykite aktyvius kenkėjiškus procesus su Rkill.
• Pilnai nuskaitykite sistemą su Malwarebytes (įjungus rootkit paiešką).
• Pašalinkite reklamines programas su AdwCleaner.
• Atstatykite naršyklių nustatymus į gamyklinius.
• Atlikite papildomą patikrą su HitmanPro.
• Patikrinkite, ar sistemoje nėra pažeidžiamų, pasenusių programų.

Prieš pradedant

• Perskaitykite visus veiksmus iki pabaigos.
• Parsisiųskite reikalingus įrankius į darbalaukį.
• Jei reikia, atsispausdinkite instrukciją – kai kurie žingsniai gali užverti naršyklę ar pareikalauti perkrauti kompiuterį.

1 žingsnis. Pašalinimas per Valdymo skydą

NSBlock kartais turi veikiančią šalinimo (Uninstall) funkciją. Pirmiausia išbandykite ją:

• Atidarykite Valdymo skydą (Control Panel).
• „Windows XP“: pasirinkite „Add or Remove Programs“. „Windows Vista/7/8/10“: „Programs and Features“ arba „Uninstall a program“.
• Sąraše raskite su NSBlock susijusias programas ir pasirinkite Pašalinti. Vadovaukitės vedlio nurodymais. Kompiuterio dar neperkraukite, kol nebaigėte visų pašalinimų.

2 žingsnis. Sustabdykite kenkėjiškus procesus su Rkill

Rkill trumpam išjungia aktyvius kenkėjiškus procesus, kad jie netrukdytų šalinimui:

• Atsisiųskite Rkill į darbalaukį (rinkitės failo variantą, pvz., iExplore.exe).
• Du kartus spustelėkite atsisiųstą failą. Palaukite, kol programėlė sustabdys įtartinas užduotis ir atvers žurnalo langą.
• Neperkraukite kompiuterio, kol nepabaigsite kitų žingsnių – priešingu atveju nepageidaujamos programos vėl suaktyvės.

3 žingsnis. Pilnas patikrinimas su Malwarebytes

• Atsisiųskite ir įdiekite Malwarebytes į kompiuterį.
• Atidarykite programą ir atverkite Nustatymus (Settings).
• Skiltyje Saugumas (Security) įjunkite „Scan for rootkits“.
• Grįžkite į pagrindinį ekraną ir paleiskite visos sistemos skenavimą.
• Baigus, pažymėkite rastus elementus ir pasirinkite „Quarantine“. Jei paprašys – sutikite perkrauti kompiuterį.

4 žingsnis. Išvalymas su AdwCleaner

• Atsisiųskite AdwCleaner ir paleiskite.
• Leiskite programai patikrinti sistemą dėl PNP ir reklaminės programinės įrangos.
• Peržiūrėkite rezultatus. Jei matote įrašus, kuriuos būtina išsaugoti, nuimkite varnelę šalia jų.
• Spustelėkite „Clean“ (arba „Quarantine“) ir sutikite su perkrovimu, jei paprašys.

5 žingsnis. Atkurkite naršyklių numatytuosius nustatymus

Jei problema išlieka, atstatykite naršykles į pradinius parametrus. Tai pašalins plėtinius, įrankių juostas ir pritaikymus, bet išsaugos žymes.

• Chrome: atidarykite Nustatymai > Išplėstiniai > Atkurti nustatymus į pradinius.
• Internet Explorer: Nustatymai (krumpliaračio piktograma) > Internet Options > Advanced > Reset. Pažymėkite „Delete personal settings“ ir patvirtinkite.
• Firefox: Help > More Troubleshooting Information > Refresh Firefox.
• Safari: Nustatymai ir privatumas – išvalykite istoriją ir svetainių duomenis. Jei reikia, rankiniu būdu pašalinkite nepageidaujamus plėtinius (Safari > Preferences > Extensions).

6 žingsnis. Papildomas patikrinimas su HitmanPro

• Atsisiųskite HitmanPro (atitinkantį jūsų „Windows“ architektūrą: 32 arba 64 bitų) ir paleiskite.
• Pasirinkite vienkartinį patikrinimą arba bandomąją versiją ir vykdykite sistemos skenavimą.
• Pažymėkite rastus nepageidaujamus elementus ir pašalinkite. Jei paprašys – perkraukite kompiuterį.

7 žingsnis. Patikrinkite programų pažeidžiamumus

Daug nepageidaujamų programų patenka per senų programų spragas. Pasitelkite pažeidžiamumų tikrintuvą (pvz., programinę įrangą, kuri aptinka pasenusias versijas) ir atnaujinkite rastas programų versijas.

Kas kelia nerimą dėl NSBlock

• Priverstinis „Chrome“ plėtinio įdiegimas naudojant „Windows“ grupės strategijos failą (gpt.ini).
• Plėtinio piktogramos nėra – vartotojas nepastebi, kad plėtinys aktyvus.
• Komponentuose aptiktos užkoduotos eilutės, panašios į reklamos įkrovimo scenarijus (pvz., minimas adsc.js failas domeno pavyzdyje pagead3aw[.]httpsweb[.]com).

Rankinė patikra: failai ir aplankai, kuriuos verta peržiūrėti

• C:\Program Files (x86)\NSBlock\
• C:\Program Files (x86)\NSBlock\NSBlockTray.exe
• C:\Program Files (x86)\NSBlock\uninst.exe
• C:\Program Files (x86)\{173A3BF4-F3B3-40E7-97EF-323B6FE10BC2}\
• C:\Program Files (x86)\{173A3BF4-F3B3-40E7-97EF-323B6FE10BC2}\config.json
• C:\Program Files (x86)\{173A3BF4-F3B3-40E7-97EF-323B6FE10BC2}\def.bin
• C:\Program Files (x86)\{173A3BF4-F3B3-40E7-97EF-323B6FE10BC2}\{C8233C0D-182D-49DE-BC4C-4DFCD8532BBE}.bin
• C:\ProgramData\ntuser.pol
• C:\Windows\Installer\{F44A1FA2-7C6A-4573-8B7B-FE69395CDE78}\cdjpnokfocckkpfjmgeebiahabhnaonfhrx.crx
• C:\Windows\SysWOW64\GroupPolicy\gpt.ini
• C:\Windows\SysWOW64\Wldap32d.dll
• C:\Windows\System32\ns.block
• C:\Windows\System32\NSBlockA.dll
• C:\Windows\System32\NSBlockB.dll
• %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\djpnokfocckkpfjmgeebiahabhnaonfh
• %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\djpnokfocckkpfjmgeebiahabhnaonfh\2.3.0_0
• %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\djpnokfocckkpfjmgeebiahabhnaonfh\2.3.0_0\config.json
• %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\djpnokfocckkpfjmgeebiahabhnaonfh\2.3.0_0\dpl.js
• %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\djpnokfocckkpfjmgeebiahabhnaonfh\2.3.0_0\g.js
• %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\djpnokfocckkpfjmgeebiahabhnaonfh\2.3.0_0\icon128.png
• %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\djpnokfocckkpfjmgeebiahabhnaonfh\2.3.0_0\icon48.png
• %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\djpnokfocckkpfjmgeebiahabhnaonfh\2.3.0_0\jquery.min.js
• %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\djpnokfocckkpfjmgeebiahabhnaonfh\2.3.0_0\manifest.json
• %UserProfile%\AppData\Local\DnsBlock
• %UserProfile%\cdjpnokfocckkpfjmgeebiahabhnaonfhrx\
• %UserProfile%\cdjpnokfocckkpfjmgeebiahabhnaonfhrx\config.json
• %UserProfile%\cdjpnokfocckkpfjmgeebiahabhnaonfhrx\dpl.js
• %UserProfile%\cdjpnokfocckkpfjmgeebiahabhnaonfhrx\g.js
• %UserProfile%\cdjpnokfocckkpfjmgeebiahabhnaonfhrx\icon128.png
• %UserProfile%\cdjpnokfocckkpfjmgeebiahabhnaonfhrx\icon48.png
• %UserProfile%\cdjpnokfocckkpfjmgeebiahabhnaonfhrx\jquery.min.js
• %UserProfile%\cdjpnokfocckkpfjmgeebiahabhnaonfhrx\manifest.json
• %UserProfile%\cdjpnokfocckkpfjmgeebiahabhnaonfhrx.crx
• %UserProfile%\xdjpnokfocckkpfjmgeebiahabhnaonfhml

Pastaba dėl kelių

%UserProfile% – tai jūsų naudotojo profilio aplankas. Pagal nutylėjimą jis dažniausiai yra C:\Users\JūsųVardas (Windows Vista/7/8/10) arba C:\Documents and Settings\JūsųVardas (Windows 2000/XP). „Windows NT“ aplinkoje – c:\winnt\profiles\JūsųVardas.

Registro raktai, susiję su NSBlock

• HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\NSBlock – C:\Program Files (x86)\NSBlock\NSBlockTray.exe
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{e512339c-40d8-42ea-9749-c8ddb8cf39d2}\DisplayName – NSBlock

Ką daryti, jei problema išlieka

• Pakartokite skenavimus atnaujinę programų duomenų bazes.
• Patikrinkite naršyklių plėtinius ir pašalinkite viską, ko neatpažįstate.
• Kreipkitės į patikimą IT saugumo bendruomenę ar specialistą – ypač jei sistemoje galioja grupės strategijos taisyklės, kurios atstato plėtinius automatiškai.

Prevencija ateičiai

• Diegdami programinę įrangą visada rinkitės Pasirinktinius nustatymus ir atžymėkite papildomas siūlomas programas.
• Laikykite operacinę sistemą, naršykles ir plėtinius atnaujintus.
• Naudokite patikimą apsaugos sprendimą ir periodiškai atlikite visos sistemos skenavimus.
• Stebėkite grupės strategijos pakeitimus (ypač įmonės aplinkose) – netikėti nustatymai gali reikšti nepageidaujamą veiklą.

Atsakomybės apribojimas

Ši instrukcija – savipagalbos gidas. Viską atliekate savo rizika. Jei nesate tikri dėl žingsnių, kreipkitės į kvalifikuotą specialistą. Įdiegus naujinius ir atlikus visus veiksmus, jūsų kompiuteris turėtų būti išvalytas nuo NSBlock ir su juo susijusių komponentų.