Kaip atpažinti ir pašalinti WebSearcher reklamines programas iš kompiuterio

WebSearcher – tai reklaminė programinė įranga, kuri į tinklalapius ir paieškos rezultatus įterpia papildomus skelbimus. Naršant paieškos sistemose, reklamos pasirodo viršuje ir šonuose, o kitose svetainėse gali atsirasti perdangos su užrašais „Sponsored“ ar „Trending articles“, užgožiančios tikrąjį puslapio turinį. Tokie skelbimai dažnai veda į sensacingas istorijas ar turinio portalus.

Kaip WebSearcher veikia

Ši reklaminė programa įdiegia vietinį tarpiklį (proxy), kad per jį nukreiptų visą naršyklės srautą ir taip galėtų „įsiūti“ skelbimus į jūsų matomus puslapius. Dažnai tai realizuojama kaip procesas Sniffer.exe ir papildoma paslaugą teikianti tarnyba, kuri pakeičia sistemos tarpinio serverio nustatymus. Kai aptinkamos paieškos užklausos (pvz., paieškos sistemose ar didžiuosiuose portalose), parodomi reklaminiai blokai virš ar šalia rezultatų; kitais atvejais rodomos turinio rekomendacijų perdangos.

Įterpiamos reklamos gali būti rodomos žinomose paieškos platformose ir socialiniuose tinkluose. Svarbu suprasti: patys reklaminiai tinklai nėra kenkėjai – juos gali išnaudoti trečiosios šalys, kurios nelegaliai prikiša skelbimus per jūsų kompiuterį.

Kaip WebSearcher patenka į kompiuterį

Dažniausiai tokia reklaminė programinė įranga platinama kartu su nemokamomis programomis (angl. bundling), kai apie papildomus komponentus aiškiai nepranešama. Įdiegdami bet kokią programą:

• rinkitės Išplėstinį arba Pasirinktą diegimą;
• atžymėkite siūlomas įrankių juostas, naršyklės plėtinius ir „rekomenduojamas“ papildomas programas;
• jei licencijos sąlygose matote, kad bus įdiegiama reklaminė ar nepageidautina programinė įranga, nutraukite diegimą.

Ar ši programa jums naudinga?

WebSearcher egzistuoja vienu tikslu – generuoti pajamas iš reklamų. Realios naudos vartotojui ji nesuteikia, o naršymas tampa lėtesnis ir užgriozdintas skelbimais. Laimei, žemiau rasite detalią instrukciją, kaip ją pašalinti patiems.

Trumpa šalinimo eiga

• 1. Pasiruošimas: perskaitykite instrukciją ir, jei reikia, ją atsispausdinkite.
• 2. Sustabdykite įtartinus procesus, kad jie netrukdytų valymui.
• 3. Pašalinkite nepageidautinas programas per Valdymo skydą.
• 4. Nuskenuokite sistemą su patikima antikenkėjiška priemone (gili analizė).
• 5. Papildomai išvalykite sistemą specialiu adware šalinimo įrankiu.
• 6. Paleiskite „antrą nuomonę“ – kitą skenerį, kad užfiksuotų likučius.
• 7. Atnaujinkite pasenusias ir pažeidžiamas programas, kad panašūs incidentai nepasikartotų.

Išsamus šalinimo vadovas

1. Pasiruošimas: instrukcija ir įrankiai

• Prieš pradėdami peržiūrėkite visą gidą nuo pradžios iki pabaigos.
• Užverkite nereikalingas programas ir atsidarytus langus.
• Jei patogu – atsispausdinkite šiuos žingsnius (valymo metu kai kuriuos langus gali tekti užverti ar perkrauti sistemą).

2. Sustabdykite kenkėjiškus procesus

Naudokite procesų stabdymo įrankį (pvz., RKill ar analogą), kad trumpam užtildytumėte aktyvius kenkėjiškus procesus, kurie galėtų trukdyti šalinimui.

• Atsisiųskite įrankį į darbalaukį iš oficialaus šaltinio.
• Paleiskite jį (dažnai pateikiamos pervadintos versijos, kad kenkėjai jų neblokuotų).
• Palaukite, kol bus sustabdyti įtartini procesai, ir peržiūrėkite ataskaitą.
• Svarbu: neužkraukite kompiuterio iš naujo, kol nebaigsite visų žingsnių – kitaip kenkėjiškos programos vėl įsijungs.

3. Pašalinkite nepageidautinas programas per Valdymo skydą

• Atidarykite Valdymo skydą ir eikite į Programos → Programos ir funkcijos (arba „Pašalinti programą“).
• Peržiūrėkite sąrašą ir pašalinkite įrašus, susijusius su WebSearcher ar kitais nepažįstamais komponentais.
• Vadovaukitės numatytais pašalinimo vedlio langais. Jei prašoma perkrauti, palaukite, kol pašalinsite viską.

4. Gili sistemos analizė su antikenkėjiška priemone

Įdiekite patikimą antikenkėjišką programą ir atlikite išsamų (Deep) skenavimą.

• Įdiekite įrankį nekeisdami numatytų nustatymų ir paleiskite jį.
• Pasirinkite gilųjį skenavimą. Procesas gali užtrukti – neskubėkite.
• Peržiūrėkite aptiktus elementus ir patvirtinkite šalinimą ar taisymą. Jei paprašys uždaryti naršykles – užverkite ir tęskite.
• Įrankis gali sukurti Atkūrimo tašką ir pašalinti aptiktas grėsmes.

5. Papildomas valymas su adware šalinimo įrankiu

Paleiskite specializuotą adware valiklį (pvz., AdwCleaner ar analogą), kuris orientuotas į PUP ir reklaminių modulių likučius.

• Atsisiųskite ir paleiskite įrankį, sutikite su licencijos sąlygomis.
• Spustelėkite „Scan“ ir palaukite, kol bus sudarytas radinių sąrašas.
• Peržiūrėkite rezultatus. Jei randate programą, kurią tikrai norite pasilikti, atžymėkite jos įrašus.
• Pasirinkite „Clean“. Prieš pradedant valymą įrankis paprašys išsaugoti darbus ir užverti programas; vėliau gali automatiškai perkrauti sistemą.
• Po perkrovimo bus parodytas žurnalas su pašalintais failais ir raktiniais įrašais – jį peržiūrėkite ir užverkite.

6. „Antros nuomonės“ patikra

Norint įsitikinti, kad neliko liekanų, verta paleisti kitą patikimą skenerį (pvz., HitmanPro ar kitą vienkartinį tikrintuvą).

• Atsisiųskite versiją, atitinkančią jūsų sistemos architektūrą (32/64 bitų).
• Paleiskite ir pasirinkite vienkartinį skenavimą arba bandomąją versiją.
• Leiskite programai aptikti nepageidaujamas dalis ir patvirtinkite jų pašalinimą.
• Jei paprašys – perkraukite kompiuterį.

7. Atnaujinkite pažeidžiamas programas

Daugelis panašių įsibrovimų įvyksta dėl pasenusių ir pažeidžiamų programų. Nuskaitykite sistemą įrankiu, kuris identifikuoja pasenusias versijas, ir atnaujinkite:

• naršykles ir jų plėtinius;
• operacinę sistemą ir tvarkykles;
• PDF, archyvavimo, multimedijos ir kitas plačiai naudojamas programas.

Dažniausi požymiai, kad sistema užkrėsta

• paieškos rezultatuose staiga atsiranda papildomų reklamų blokų viršuje ar šonuose;
• puslapiuose matote perdangas su užrašais „Sponsored“ ar „Trending“;
• naršyklė lėčiau įkelia puslapius, pasitaiko peradresavimų;
• sistemos tarpinio serverio (proxy) nustatymai pasikeitę be jūsų sutikimo;
• atsirado nauji procesai ar tarnybos, pvz., Sniffer.exe ar Service.exe;
• naršyklės profilyje ar sistemoje įdiegtas neįprastas sertifikatas (pvz., „fiddler-root.cer“).

Prevencija: kaip apsisaugoti ateityje

• Diegdami programas visada rinkitės Išplėstinius nustatymus ir atžymėkite „papildomas rekomendacijas“.
• Naudokite realaus laiko apsaugą ir periodiškai paleiskite „antrą nuomonę“ su kitu skeneriu.
• Reguliariai atnaujinkite operacinę sistemą ir programas.
• Įjunkite naršyklėje funkcijas, ribojančias stebėjimą ir kenkėjiškus peradresavimus, atsakingai elkitės su plėtiniais.
• Atsisiuntimus vykdykite tik iš oficialių šaltinių.

Techninė informacija: galimi pėdsakai sistemoje

Failai ir aplankai

• C:\Program Files (x86)\Mozilla Firefox\browser\components\WEBSService.js
• C:\Program Files (x86)\Mozilla Firefox\browser\components\WEBSService.manifest
• C:\Program Files (x86)\Mozilla Firefox\browser\fiddler-root.cer
• C:\Program Files (x86)\Mozilla Firefox\defaults\pref\proxy-lockdown.js
• C:\Program Files (x86)\Mozilla Firefox\mozilla.cfg
• C:\Program Files (x86)\WebSearcher\
• C:\Program Files (x86)\WebSearcher\bin\
• C:\Program Files (x86)\WebSearcher\bin\config.json
• C:\Program Files (x86)\WebSearcher\bin\fiddler-root.cer
• C:\Program Files (x86)\WebSearcher\bin\FiddlerCore.dll
• C:\Program Files (x86)\WebSearcher\bin\FiddlerCoreWrapper.dll
• C:\Program Files (x86)\WebSearcher\bin\makecert.exe
• C:\Program Files (x86)\WebSearcher\bin\script.js
• C:\Program Files (x86)\WebSearcher\bin\Service.exe
• C:\Program Files (x86)\WebSearcher\bin\Sniffer.exe
• C:\Program Files (x86)\WebSearcher\uninstall.exe

Registras ir paslaugos

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable = 1
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer = 127.0.0.1:9091
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride = <local>
• HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ProxySettingsPerUser = 0
• HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\EnableLegacyAutoProxyFeatures = 1
• HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\Proxy = 1
• HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\AutoConfig = 1
• HKLM\SOFTWARE\Policies\Google\Chrome\ProxyMode = system
• HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WebSearcher Service
• HKLM\SOFTWARE\Wow6432Node\VebaSearch
• HKLM\SYSTEM\CurrentControlSet\Services\Service.exe

Ką daryti, jei reklamos vis dar rodomos

• Pakartokite 2–6 žingsnius: kai kurios grėsmės pasiduoda tik antrą kartą.
• Patikrinkite naršyklių tarpinio serverio nustatymus ir juos atkurkite į numatytuosius.
• Peržiūrėkite naršyklių plėtinius ir pašalinkite nepažįstamus ar nereikalingus.
• Patikrinkite suplanuotas užduotis (Task Scheduler) ir paleisties įrašus – panaikinkite įtartinus.
• Jei reikia, atkurkite naršyklės profilį arba sukurkite naują vartotojo profilį.

Svarbi pastaba

Tai savipagalbos gidas. Viską atlikite atsakingai ir savo rizika. Jei nesate tikri dėl bet kurio žingsnio, pasikonsultuokite su IT specialistu arba pažengusiu vartotoju. Baigę valymą, stebėkite sistemą keletą dienų – jei naršymas normalizuojasi ir nebesimato papildomų reklamų, tikėtina, kad WebSearcher pašalintas sėkmingai.