ANYFlix reklaminės programos atpažinimas ir pašalinimas iš kompiuterio

ANYFlix – tai reklaminę programinę įrangą platinanti grėsmė, priklausanti Adware.CloudGuard grupei. Ji keičia jūsų kompiuterio nustatymus ir į svetaines bei paieškos rezultatus įterpia papildomas reklamas, kurių įprastai ten neturėtų būti. Ši programa žada „atrakinti užblokuotas svetaines“ ir „pagreitinti DNS“, tačiau realybėje ji apsunkina naršymą ir gali sekti interneto srautą.

Kaip atpažinti ANYFlix

• Matote įterptas reklamas, pažymėtas užrašais: ANYFlix Ads, Ads by ANYFlix, Ad by ANYFlix.
• Paieškos rezultatuose atsiranda žymos: RocketTab powered by ANYFlix.
• Be jūsų žinios pakeičiami DNS serveriai į 82.163.143.189 ir 82.163.142.189, todėl reklamos apeina naršyklės nustatymus.
• Programa paleidžiama automatiškai per suplanuotas užduotis (pvz., DNSINWOOD, DNS Monitoring) – net jei ją užveriate, ji vėl įsijungia.
• Naršyti tampa sudėtinga: puslapiai „užkraunami“ skydeliais, iššokančiais langais ir klaidinančiais skelbimais.

Kodėl ANYFlix pavojinga

ANYFlix perima DNS užklausas – tai leidžia keisti reklamos srautus ir matyti, kokias svetaines lankote. Tokie pakeitimai apsunkina pašalinimą: ištrynus programą, bet negrąžinus tinklų nustatymų, reklamos gali likti. Be to, suplanuotos užduotys perleidžia procesus, jei bandote juos sustabdyti rankiniu būdu.

Greitas veiksmų planas

• Pašalinkite įrašą per Windows valdymo skydą.
• Laikinai sustabdykite kenkėjiškus procesus (pvz., su RKill).
• Nuskenuokite sistemą specializuotu įrankiu (Malwarebytes, nemokamas režimas) ir pašalinkite radinius.
• Išvalykite reklamines ir PUP programas (AdwCleaner).
• Atstatykite naršyklių numatytuosius nustatymus.
• Grąžinkite DNS nustatymus į automatinį gavimą.
• Pašalinkite su ANYFlix susijusį netikrą šakninį sertifikatą (jei toks įdiegtas).
• Patikrinkite su papildomu skeneriu (pvz., HitmanPro, vienkartinis skenavimas).
• Atnaujinkite senas ir pažeidžiamas programas.

Prieš pradėdami

• Perskaitykite visus žingsnius ir, jei galite, atsispausdinkite instrukcijas.
• Atsisiųskite reikalingus įrankius tik iš oficialių šaltinių į darbalaukį.
• Proceso metu kai kurios programos gali paprašyti perkrauti kompiuterį – darykite tai tik tada, kai parašyta instrukcijoje.

Išsamus šalinimo gidas

1. Pašalinkite per Valdymo skydą

• Atidarykite Valdymo skydą.
• Windows XP: pasirinkite Add or Remove Programs. Windows Vista/7/8/10: pasirinkite Uninstall a program.
• Peržiūrėkite sąrašą ir pašalinkite su ANYFlix susijusius įrašus (vykdykite numatytuosius vedlio žingsnius). Jei paprašoma perkrauti kompiuterį, luktelėkite, kol pašalinsite viską, ir tik tada perkraukite.

2. Sustabdykite aktyvius kenkėjus (RKill)

• Atsisiųskite RKill (pvz., iExplore.exe pavadinimu) į darbalaukį ir paleiskite.
• Palaukite, kol įrankis nutrauks kenksmingas tarnybas ir procesus. Baigus atsivers žurnalas.
• Nedarykite kompiuterio perkrovimo kol nebaigsite visų tolesnių žingsnių – kitaip procesai vėl įsijungs.

3. Nuskenuokite su Malwarebytes (nemokamas režimas)

• Įdiekite ir paleiskite programą.
• Nustatymuose (Security/apsauga) įjunkite Scan for rootkits, kad būtų aptikta daugiau grėsmių.
• Pagrindiniame lange paleiskite pilną skenavimą ir palaukite pabaigos.
• Visus radinius perkelkite į karantiną. Jei paprašoma – perkraukite kompiuterį ir tęskite toliau.

4. Išvalykite reklamines programas (AdwCleaner)

• Paleiskite AdwCleaner ir sutikite su licencijos sąlygomis.
• Paspauskite Scan/Scanavimas ir peržiūrėkite rastų elementų sąrašą. Jei matote ką nors, ko tikrai reikia – nuimkite pažymą.
• Paspauskite Clean/Valyti. Įrankis uždarys atvertas programas ir paprašys perkrauti kompiuterį – sutikite.
• Po perkrovimo atsivers ataskaita su tuo, kas pašalinta.

5. Atkurkite naršykles į numatytuosius

• Chrome: Nustatymai > Išplėstiniai > Atkurti nustatymus į pradinius. Tai išvalys pradžios puslapį, slapukus, istoriją ir išjungs plėtinius (žymės liks).
• Internet Explorer: Internet Options > Advanced > Reset. Uždekite Delete personal settings, patvirtinkite ir perkraukite naršyklę. Žymės išliks.
• Firefox: Pagalba > Troubleshooting Information > Refresh Firefox. Atnaujins naršyklę, palikdamas žymes.
• Safari: Reset/Atkurti (pažymėkite visus elementus, kuriuos norite išvalyti). Žymės paprastai neliečiamos, tačiau prireikus plėtinius pašalinkite atskirai.

6. Grąžinkite DNS į automatinį gavimą

• Windows 7/8: Atidarykite View network connections. Dešiniu pelės mygtuku paspauskite aktyvų adapterį (Ethernet/Local Area/Wireless) > Properties. Dukart spustelėkite Internet Protocol Version 4 (TCP/IPv4) ir pasirinkite Obtain DNS server address automatically. Patvirtinkite.
• Windows Vista: Start meniu paieškoje įrašykite network ir atsidarykite Network and Sharing Center. Kairėje – Manage network connections. Tolesni žingsniai kaip 7/8.
• Windows XP: Start > Run > įrašykite ncpa.cpl. Dešiniu pelės mygtuku ant aktyvaus adapterio > Properties > Internet Protocol (TCP/IP) > Obtain DNS server address automatically.
• Jei rankiniu būdu matote įrašytus 82.163.143.189 ar 82.163.142.189 – juos panaikinkite, įjunkite automatinį gavimą.

7. Pašalinkite netikrą šakninį sertifikatą

• Paspauskite klavišus Win+R, įrašykite certmgr.msc ir patvirtinkite.
• Eikite į Trusted Root Certification Authorities > Certificates.
• Suraskite ir ištrinkite su ANYFlix/CloudGuard susijusį sertifikatą (dažnai diegiamas failo pavadinimas būna DNSINWOOD.cer, rodoma reikšmė gali būti panaši į cloudguard). Ištrinkite tik akivaizdžiai su šia programa susijusį įrašą.

8. Patikrinkite su papildomu skeneriu

• Atsisiųskite ir paleiskite papildomą vienkartinį skenerį (pvz., HitmanPro). Pasirinkite vienkartinį skenavimą.
• Užbaikite pašalinimą ir, jei paprašoma, perkraukite kompiuterį.

9. Atnaujinkite programas ir užlopykite spragas

• Atnaujinkite naršykles, įskiepius ir kitas dažnai naudojamas programas.
• Reguliariai tikrinkite, ar nėra pasenusių versijų – pažeidžiamumai dažnai išnaudojami nepageidaujamai programinei įrangai įdiegti.

Kur ANYFlix dažnai palieka failus ir užduotis

Ši informacija padeda patikrinti, ar sistema tikrai išvalyta. Jei randate tokių įrašų – jie turėtų būti pašalinti.

Failai ir aplankai

• C:\Program Files (x86)\AnyFlix\
• C:\Program Files (x86)\AnyFlix\config.ini
• C:\Program Files (x86)\AnyFlix\ConsoleApplication1.dll
• C:\Program Files (x86)\AnyFlix\DNSINWOOD.cer
• C:\Program Files (x86)\AnyFlix\dnsinwood.exe
• C:\Program Files (x86)\AnyFlix\DnsMonitoring.dll
• C:\Program Files (x86)\AnyFlix\Info.rtf
• C:\Program Files (x86)\AnyFlix\License.rtf
• C:\Program Files (x86)\AnyFlix\LogoBlack.ico
• C:\Program Files (x86)\AnyFlix\LogoGreen.ico
• C:\Program Files (x86)\AnyFlix\LogoYellow.ico
• C:\Program Files (x86)\AnyFlix\Microsoft.Win32.TaskScheduler.dll
• C:\Program Files (x86)\AnyFlix\settings.ini
• C:\Program Files (x86)\AnyFlix\unins.exe
• C:\Program Files (x86)\AnyFlix\unins000.dat
• C:\Program Files (x86)\AnyFlix\unins000.exe
• C:\Program Files (x86)\AnyFlix\ZonaTools.XPlorerBar.dll
• C:\ProgramData\a8ee4764-2247-0\
• C:\ProgramData\a8ee4764-2247-0\BIT6502.tmp
• C:\ProgramData\a8ee4764-2ab7-1\
• C:\ProgramData\a8ee4764-2ab7-1\BIT634B.tmp

Suplanuotos užduotys

• C:\Windows\System32\Tasks\DNS Monitoring
• C:\Windows\System32\Tasks\DNSINWOOD
• C:\Windows\System32\Tasks\{040B7D47-780A-7F7A-0911-0E7F09791178}

Registras (pavyzdžiai)

• HKLM\SOFTWARE\1832BFF4F2BF43989682B0AF5ECB8F68
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B81759E6-5669-4DB3-A3A7-6CD76555DE1D}_is1
• HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\AnyFlix.ns
• HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\11598763487076930564
• HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\426c7adda8ee4765
• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DNS Monitoring
• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DNSINWOOD
• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8BFCCAE1-CC29-4FF9-AFE2-AF01046CEC1A}
• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{958BD9A0-4166-4C68-9682-5286BF238A02}
• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FAEF8508-F565-40EB-A078-AC44660D39F0}
• HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{…}\NameServer „82.163.143.189,82.163.142.189”

Pastaba: sistemos sertifikatų šaknyje gali būti įrašų, susijusių su ANYFlix/CloudGuard. Ištrinkite tik tuos, kurie akivaizdžiai susieti su šia reklamine programa (pvz., įdiegtą DNSINWOOD.cer turinį). Nešalinkite patikimų leidėjų sertifikatų, jei nesate tikri.

Kai viską baigsite

• Patikrinkite, ar nebėra papildomų reklamų svetainėse ir paieškoje.
• Įsitikinkite, kad DNS nustatyti į „gauti automatiškai“ ir kad nėra 82.163.143.189 ar 82.163.142.189.
• Peržiūrėkite, ar nėra likusių suplanuotų užduočių, failų ir registro įrašų.
• Atnaujinkite operacinę sistemą ir programas, įjunkite naršyklės plėtinių kontrolę ir atsargiai žymėkite diegimo vedlių parinktis.

Atsakomybės ribojimas

Tai savarankiško šalinimo gidas. Naudodamiesi juo veiksmus atliekate savo rizika. Jei nesate tikri dėl bet kurio žingsnio, pasitarkite su IT specialistu. Po šalinimo rekomenduojama atlikti pilną sistemos skenavimą ir kurį laiką stebėti, ar simptomai neatsinaujina.