Kaip atpažinti ir pašalinti AdSentinel reklaminę programinę įrangą iš kompiuterio

Netikėtai matote reklaminius skydelius ten, kur jų anksčiau nebuvo? Viena galimų priežasčių – AdSentinel (dar vadinamas RealTimeLeads) tipo reklaminė programinė įranga. Ji pakeičia naršymo srautą per vietinį tarpinį serverį ir į atveriamų svetainių pradžią bei pabaigą įterpia papildomus skriptus. Dėl to naršyklėje atsiranda nepageidaujami skelbimai, persiuntimai ir kiti svetainės turinio pakeitimai.

AdSentinel: kas tai ir kaip veikia

Ši reklaminė programėlė jūsų kompiuteryje įdiegia lokalų tarpinį serverį (renamed Privoxy), kurio vykdomasis failas dažnai pavadintas AdSentinel.exe. Sistema sukonfigūruojama taip, kad visa žiniatinklio sritis eitų per šį tarpinį serverį – dažniausiai naudojant 127.0.0.1:8118. Tokiu būdu programėlė gali „perlipdyti“ svetainių kodą ir įterpti JavaScript skriptus į puslapio antraštę ar poraštę.

Ką daro tie skriptai, lemia kartu pateikti konfigūraciniai failai (pvz., default.action ir default.filter). Poveikis gali būti įvairus: papildomi skelbimai, statistikos rinkimas, puslapių išdėstymo pakeitimai ar net nukreipimai į kitus adresus. Kartais rodomi skelbimai gali būti pažymėti RealTimeLeads pavadinimu, tačiau žymės priklauso nuo tuo metu įterpiamo kodo.

Kaip tokia programa atsiduria kompiuteryje

Dažniausiai – kartu su nemokama programine įranga. Įdiegimo vedliuose ši informacija neretai pateikiama neaiškiai, tad žmonės nesąmoningai sutinka su „papildomų komponentų“ diegimu. Norėdami išvengti tokių staigmenų, visada rinkitės Išsamų/Advanced ar Pritaikytą/Custom diegimą, peržiūrėkite varnelėmis pažymėtas parinktis ir atsisakykite įrankių juostų, „naršymo gerintojų“ ar kitų įtartinų papildinių. Jei matote, kad siūloma diegti reklaminio tipo priedus, diegimą nutraukite ir ieškokite alternatyvos.

Kodėl tai rizikinga

AdSentinel turi teisę injekuoti praktiškai bet kokį JavaScript į jūsų lankomų puslapių kodą. Tai reiškia didelę įtaką naršymo patirčiai ir privatumui – nuo papildomų skelbimų iki galimo sekimo ar nukreipimų. Saugumo požiūriu tai yra rimta grėsmė, todėl rekomenduojama kuo greičiau pašalinti.

Greita santrauka: kaip pašalinti

• Uždarykite nereikalingas programas ir pasiruoškite keliems perkrovimams.
• Užbaikite kenkėjiškus procesus (pvz., naudojant RKill tipo įrankį; neperkraukite po jo paleidimo).
• Atlikite giluminį patikrinimą su antimalware įrankiu ir įjunkite rootkit paiešką.
• Papildomai išvalykite reklamines programėles specializuotu adware valikliu.
• Patikrinkite sistemą dar viena „antro nuomonės“ skenavimo programa.
• Atnaujinkite pasenusias programas ir užbaikite likusių pėdsakų šalinimą.

Išsamus šalinimo gidas

1 žingsnis. Išsaugokite instrukcijas ir uždarykite programas

Perskaitykite visą gidą iki galo. Užsirašykite pagrindinius veiksmus ar išsisaugokite šį puslapį, nes kai kurių žingsnių metu gali reikėti perkrauti kompiuterį ar uždaryti naršyklę.

2 žingsnis. Nutraukite įtartinus procesus

• Atsisiųskite įrankį, kuris sustabdo aktyvius kenkėjiškus procesus (pvz., RKill; dažnai naudojama pervadinta versija iExplore.exe).
• Paleiskite jį ir palaukite, kol patikrinimas baigsis bei bus uždaryti trukdantys procesai.
• Nepaleiskite kompiuterio iš naujo iki kito žingsnio – kitaip nepageidaujamos programos gali vėl įsijungti.

3 žingsnis. Pilnas sistemos skenavimas su antimalware įrankiu

• Įdiekite patikimą kenkėjiškų programų paieškos programą.
• Pirmiausia atnaujinkite duomenų bazę, tuomet atidarykite nustatymus ir įjunkite „Scan for rootkits“ (rootkit paiešką).
• Paleiskite pilną sistemos skenavimą. Tai gali užtrukti – leiskite procesui pasibaigti.
• Rastus elementus perkelkite į karantiną arba pašalinkite, kaip rekomenduojama.
• Jei paprašys, sutikite perkrauti kompiuterį, tada tęskite su kitu žingsniu.

4 žingsnis. Pašalinkite adware likučius specializuotu valikliu

• Paleiskite adware valymo įrankį.
• Atlikite paiešką. Rezultatuose peržiūrėkite, ar nėra programų, kurias tikrai norite pasilikti; neaiškius įrašus palikite pažymėtus šalinimui.
• Paspauskite valymo mygtuką. Prieš tai įrankis gali paprašyti uždaryti atidarytas programas ir išsaugoti darbus.
• Sutikite su perkrovimu, jei to prašoma. Atsidariusiame žurnale peržiūrėkite, kas buvo pašalinta.

5 žingsnis. „Antros nuomonės“ patikra

• Paleiskite dar vieną kenkėjiškų programų aptikimo įrankį, kad patvirtintumėte švarą.
• Jei siūloma, galite pasirinkti vienkartinį skenavimą be pilnos diegimo procedūros.
• Rastus objektus pašalinkite ir, jei reikės, perkraukite sistemą.

6 žingsnis. Užlopykite spragas

• Patikrinkite, ar nėra pasenusių bei pažeidžiamų programų (naršyklės, įskiepiai, „Runtime“ paketai). Tokias programas atnaujinkite.
• Peržiūrėkite naršyklės tarpinio serverio (proxy) nustatymus – pašalinkite įrašus, kurių nenustatėte patys.

Kaip patikrinti, ar sistema tikrai užkrėsta

Žemiau pateikiami dažniausiai sutinkami failai, aplankai ir registro įrašai, bylojantys apie AdSentinel buvimą. Pavadinimuose matomas [random_word] reiškia, kad tikras pavadinimas gali kiekviename kompiuteryje skirtis.

Galimi failai ir aplankai

• C:\Program Files\U_[random_word]\
• C:\Program Files\U_[random_word]\delayLaunch.exe
• C:\Program Files\U_[random_word]\enter.txt
• C:\Program Files\U_[random_word]\funinstall.bat
• C:\Program Files\U_[random_word]\getsystemid.bat
• C:\Program Files\U_[random_word]\HiddenLaunchSync.exe
• C:\Program Files\U_[random_word]\hwids.txt
• C:\Program Files\U_[random_word]\ifslsp.dll
• C:\Program Files\U_[random_word]\install-lsp.bat
• C:\Program Files\U_[random_word]\install-service-64.bat
• C:\Program Files\U_[random_word]\install-service.bat
• C:\Program Files\U_[random_word]\instlsp.exe
• C:\Program Files\U_[random_word]\killrem.bat
• C:\Program Files\U_[random_word]\killservice.bat
• C:\Program Files\U_[random_word]\otp.exe
• C:\Program Files\U_[random_word]\regname.txt
• C:\Program Files\U_[random_word]\restart-proxy.bat
• C:\Program Files\U_[random_word]\software_version.txt
• C:\Program Files\U_[random_word]\start.exe
• C:\Program Files\U_[random_word]\uninstall-lsp.bat
• C:\Program Files\U_[random_word]\uninstall-service-64.bat
• C:\Program Files\U_[random_word]\uninstall-service.bat
• C:\Program Files\U_[random_word]\U_[random_word].exe
• C:\Program Files\[random_word]\
• C:\Program Files\[random_word]\HiddenLaunchAsync.exe
• C:\Program Files\[random_word]\HiddenLaunchSync.exe
• C:\Program Files\[random_word]\LSP\
• C:\Program Files\[random_word]\LSP\Vista\enter.txt
• C:\Program Files\[random_word]\LSP\Vista\ifslsp.dll
• C:\Program Files\[random_word]\LSP\Vista\install-lsp-64.bat
• C:\Program Files\[random_word]\LSP\Vista\install-lsp.bat
• C:\Program Files\[random_word]\LSP\Vista\instlsp.exe
• C:\Program Files\[random_word]\LSP\Vista\uninstall-lsp-64.bat
• C:\Program Files\[random_word]\LSP\Vista\uninstall-lsp.bat
• C:\Program Files\[random_word]\LSP\Win7\enter.txt
• C:\Program Files\[random_word]\LSP\Win7\ifslsp.dll
• C:\Program Files\[random_word]\LSP\Win7\install-lsp-64.bat
• C:\Program Files\[random_word]\LSP\Win7\install-lsp.bat
• C:\Program Files\[random_word]\LSP\Win7\instlsp.exe
• C:\Program Files\[random_word]\LSP\Win7\uninstall-lsp-64.bat
• C:\Program Files\[random_word]\LSP\Win7\uninstall-lsp.bat
• C:\Program Files\[random_word]\LSP\Win8\enter.txt
• C:\Program Files\[random_word]\LSP\Win8\ifslsp.dll
• C:\Program Files\[random_word]\LSP\Win8\install-lsp-64.bat
• C:\Program Files\[random_word]\LSP\Win8\install-lsp.bat
• C:\Program Files\[random_word]\LSP\Win8\instlsp.exe
• C:\Program Files\[random_word]\LSP\Win8\uninstall-lsp-64.bat
• C:\Program Files\[random_word]\LSP\Win8\uninstall-lsp.bat
• C:\Program Files\[random_word]\LSP\WinXP\enter.txt
• C:\Program Files\[random_word]\LSP\WinXP\ifslsp.dll
• C:\Program Files\[random_word]\LSP\WinXP\install-lsp-64.bat
• C:\Program Files\[random_word]\LSP\WinXP\install-lsp.bat
• C:\Program Files\[random_word]\LSP\WinXP\instlsp.exe
• C:\Program Files\[random_word]\LSP\WinXP\uninstall-lsp-64.bat
• C:\Program Files\[random_word]\LSP\WinXP\uninstall-lsp.bat
• C:\Program Files\[random_word]\PROXY\adsentinel.exe
• C:\Program Files\[random_word]\PROXY\adsentinel.log
• C:\Program Files\[random_word]\PROXY\boot.js
• C:\Program Files\[random_word]\PROXY\config.txt
• C:\Program Files\[random_word]\PROXY\cyggcc_s-1.dll
• C:\Program Files\[random_word]\PROXY\cygwin1.dll
• C:\Program Files\[random_word]\PROXY\cygz.dll
• C:\Program Files\[random_word]\PROXY\default.action
• C:\Program Files\[random_word]\PROXY\default.filter
• C:\Program Files\[random_word]\PROXY\install-proxy-64.bat
• C:\Program Files\[random_word]\PROXY\install-proxy.bat
• C:\Program Files\[random_word]\PROXY\license.txt
• C:\Program Files\[random_word]\PROXY\match-all.action
• C:\Program Files\[random_word]\PROXY\mgwz.dll
• C:\Program Files\[random_word]\PROXY\restart.bat
• C:\Program Files\[random_word]\PROXY\rules.txt
• C:\Program Files\[random_word]\PROXY\script_version.txt
• C:\Program Files\[random_word]\PROXY\templates\blocked
• C:\Program Files\[random_word]\PROXY\templates\cgi-style.css
• C:\Program Files\[random_word]\PROXY\templates\connect-failed
• C:\Program Files\[random_word]\PROXY\templates\connection-timeout
• C:\Program Files\[random_word]\PROXY\templates\default
• C:\Program Files\[random_word]\PROXY\templates\forwarding-failed
• C:\Program Files\[random_word]\PROXY\templates\no-server-data
• C:\Program Files\[random_word]\PROXY\templates\no-such-domain
• C:\Program Files\[random_word]\PROXY\templates\show-request
• C:\Program Files\[random_word]\PROXY\TopScript1.js
• C:\Program Files\[random_word]\PROXY\trust.txt
• C:\Program Files\[random_word]\PROXY\uninstall-proxy-64.bat
• C:\Program Files\[random_word]\PROXY\uninstall-proxy.bat
• C:\Program Files\[random_word]\PROXY\user.action
• C:\Program Files\[random_word]\PROXY\user.filter
• C:\Program Files\[random_word]\SERVICE\getsystemid.bat
• C:\Program Files\[random_word]\SERVICE\hwids.txt
• C:\Program Files\[random_word]\SERVICE\install-service-64.bat
• C:\Program Files\[random_word]\SERVICE\install-service.bat
• C:\Program Files\[random_word]\SERVICE\ProxySetter.exe
• C:\Program Files\[random_word]\SERVICE\regname.txt
• C:\Program Files\[random_word]\SERVICE\release.txt
• C:\Program Files\[random_word]\SERVICE\restart.bat
• C:\Program Files\[random_word]\SERVICE\restart_has_run.txt
• C:\Program Files\[random_word]\SERVICE\setProxyTask.bat
• C:\Program Files\[random_word]\SERVICE\S[random_word].exe
• C:\Program Files\[random_word]\SERVICE\uninstall-service-64.bat
• C:\Program Files\[random_word]\SERVICE\uninstall-service.bat
• C:\Program Files\[random_word]\SERVICE\unsetProxyTask.bat
• C:\Program Files\[random_word]\SERVICE\version.txt
• C:\Program Files\[random_word]\Uninstall.exe
• C:\ProgramData\1111_ver.txt
• C:\ProgramData\GYL.txt
• C:\ProgramData\OTP\restart.bat
• C:\ProgramData\burl.txt
• C:\ProgramData\proxySuccess.txt
• C:\ProgramData\proxy_impersonations.txt
• C:\ProgramData\proxy_run.txt
• C:\ProgramData\proxy_sessions.txt
• C:\ProgramData\proxy_sessions_processed.txt
• C:\ProgramData\proxy_user_name.txt
• C:\ProgramData\regname_b.txt
• C:\ProxySetter.txt
• C:\compare1.txt
• C:\compare2.txt
• C:\compare3.txt
• C:\fjson.txt
• C:\flver3.txt
• C:\otpu.txt
• C:\otpu2.txt
• C:\pjson.txt
• C:\version.txt

Registro įrašai, kurie dažnai nustatomi

• HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer – 127.0.0.1:8118
• HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\[random_word]
• HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies – 127.0.0.1:8118
• HKLM\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000021\ProtocolName – adsentinel
• HKLM\SYSTEM\CurrentControlSet\services\[random_word]
• HKLM\SYSTEM\CurrentControlSet\services\U_[random_word]

Po valymo: ką dar patikrinti

• Atkurkite naršyklės numatytuosius nustatymus, jei matote nepageidaujamas pradžios puslapio ar paieškos variklio korekcijas.
• Patikrinkite, ar „Internet Settings“ neliko nustatyto vietinio proxy, jei jo nenaudojate.
• Įjunkite patikimą realaus laiko apsaugą – nemokamos versijos dažnai netikrina grėsmių realiuoju laiku.

Apibendrinimas

AdSentinel – įkyri ir privatumą pažeidžianti reklaminė programėlė, manipuliuojanti jūsų naršymo srautu per vietinį tarpinį serverį. Laikydamiesi aukščiau nurodytų žingsnių, ją pašalinsite ir sustiprinsite kompiuterio saugumą ateičiai. Jei po šių veiksmų problema išlieka, verta kreiptis į patikimą IT saugumo specialistą, kuris padės atlikti gilesnę diagnostiką.