Kaip atpažinti ir saugiai pašalinti reklamines programas iš kompiuterio

Kompiuteryje staiga pasirodo iškylantieji langai, o interneto paieška nukreipiama į nepažįstamą tarnybą? Tikėtina, kad susidūrėte su reklaminių programų (adware) šeimos nariu, kuris keičia naršyklės nustatymus ir įterpia reklamas į lankomus puslapius. Žemiau – aiškus, nuo nulio parašytas vadovas: kaip atpažinti šią programą, suprasti jos veikimo principą ir saugiai ją pašalinti.

Kas tai per reklaminė programa

Šio tipo adware sugeba injekuoti reklamas į bet kurią jūsų lankomą svetainę, rodyti iškylančius langus bei perdengiančius (overlay) skydelius. Be to, ji pakeičia numatytąją naršyklės paiešką (ypač senesnėse naršyklėse) į trečiosios šalies paieškos paslaugą, todėl užklausos ir rezultatai nukreipiami per nežinomą tarpininką.

Kaip ji veikia

• Per tinklo srautą: įdiegiama tinklo posistemės grandis (LSP) arba panaši technologija, leidžianti matyti ir modifikuoti jūsų kompiuterio siunčiamą bei gaunamą srautą. Taip reklama gali būti pakeičiama kita arba į puslapį įterpiamos papildomos scenarijų eilutės.
• Vietinis tarpinis serveris: fone paleidžiamas vietinis procesas (dažnai Node pagrindu veikiantis serveris) su konkrečiu prievadu. Jis tarpininkauja tarp naršyklės ir žiniatinklio, kad būtų galima įterpti kodą į atverčiamus puslapius.
• Perdengiantys skydeliai ir iššokantys langai: lankantis įprastose svetainėse, virš puslapio turinio pasirodo reklaminiai blokai su mažomis ikonėlėmis ar ženklais, kurie gali rodyti „pasiūlymus“ arba „kontekstinę reklamą“.
• Nematomi įskiepiai: naršyklėse gali atsirasti nežinomi plėtiniai, o sistemoje – suplanuotos užduotys, paleidžiančios atnaujinimo ar paslaugos procesus.

Kaip ši programa patenka į kompiuterį

Dažniausiai – kartu su nemokamomis programomis. Diegimo metu papildoma programinė įranga gali būti „paslėpta“ už greitųjų rekomenduojamų nustatymų. Kad to išvengtumėte:

• Rinkitės „Išplėstinį“ arba „Nestandartinį“ diegimą ir nuimkite varneles nuo visų pasiūlymų, kurių nenorite.
• Atidžiai perskaitykite licencijos sąlygas – jei minima įrankių juosta, paieškos keitimas ar reklaminis modulis, diegimą geriau atšaukite.

Ar verta šalinti

Taip. Tokia adware pernelyg giliai integruojasi į sistemą, trikdo naršymą, renka naudojimo duomenis ir gali atverti kelią kitoms nepageidaujamoms programoms. Toliau rasite nuoseklų, nemokamą būdą grėsmę pašalinti.

Šalinimo planas trumpai

• Pašalinkite įtartinas programas per Valdymo skydą.
• Laikinai sustabdykite aktyvius kenkėjiškus procesus.
• Atlikite pilną nuskaitymą patikimu kenkėjiškų programų skaitytuvu, įjungus rootkit paiešką.
• Paleiskite specializuotą adware valymo įrankį.
• Patikrinkite kompiuterį „antros nuomonės“ skaitytuvu.
• Atnaujinkite pažeidžiamas programas ir užlopykite spragas.
• Atstatykite naršyklių ir tinklo nustatymus.

Savarankiško šalinimo vadovas

1 žingsnis. Pasiruošimas

• Perskaitykite visus žingsnius iki galo ir, jei galite, atsispausdinkite instrukcijas.
• Uždarykite atvertas programas ir išsaugokite darbą – kai kurie įrankiai perkraus sistemą.
• Atsisiųskite į kompiuterį: procesų stabdymo įrankį, kenkėjiškų programų skaitytuvą, adware valyklę, „antros nuomonės“ skaitytuvą ir programų pažeidžiamumų tikrintuvą (iš oficialių šaltinių).

2 žingsnis. Pašalinkite per Valdymo skydą

• Atidarykite Valdymo skydą. Senesnėse sistemose rinkitės „Pridėti arba šalinti programas“, naujesnėse – „Programos ir funkcijos“.
• Peržiūrėkite sąrašą. Pašalinkite viską, kas siejasi su reklamine programine įranga ar neaiškiais plėtiniais. Vykdykite numatytuosius raginimus ir sutikite pašalinti susijusias konfigūracijas.
• Jei paprašoma perkrauti kompiuterį, kol kas nedarykite to – pirmiau pašalinkite visus įtartinus įrašus.

3 žingsnis. Sustabdykite kenkėjiškus procesus

• Paleiskite lengvą procesų stabdymo įrankį, kad laikinai sustabdytumėte aktyvius kenkėjiškus procesus ir paslaugas. Tai padeda išvengti trukdžių vėlesnio valymo metu.
• Baigę neužkraukite sistemos iš naujo, kol neįvykdysite tolimesnių žingsnių.

4 žingsnis. Pilnas nuskaitymas kenkėjiškų programų skaitytuvu

• Įdiekite pasirinktą skaitytuvą, palikite numatytuosius nustatymus.
• Programos nustatymuose įjunkite rootkit paiešką (jei tokia parinktis yra).
• Paleiskite išsamų nuskaitymą. Tai gali užtrukti.
• Visus aptiktus elementus perkelkite į karantiną arba pašalinkite. Jei paprašoma – leiskite perkrauti kompiuterį, tada testi kitus žingsnius.

5 žingsnis. Specializuotas adware valymas

• Paleiskite adware šalinimo įrankį ir pradėkite nuskaitymą.
• Peržiūrėkite rezultatus. Jei matote programas ar naršyklės plėtinius, kuriuos tikrai norite palikti, nuimkite varneles. Viską, kas susiję su reklamine programa, pažymėkite šalinimui.
• Vykdykite valymą. Įrankis paprašys uždaryti atvertas programas ir perkrauti sistemą – sutikite.
• Po perkrovimo peržiūrėkite sugeneruotą žurnalą ir užverkite jį.

6 žingsnis. „Antros nuomonės“ patikra

• Atsisiųskite ir paleiskite kitą patikimą skaitytuvą be nuolatinės apsaugos.
• Pasirinkite vienkartinį patikrinimą, atlikite pilną nuskaitymą ir pašalinkite rastus elementus. Jei paprašoma – perkraukite.

7 žingsnis. Pažeidžiamų programų atnaujinimas

• Paleiskite programų pažeidžiamumų tikrintuvą ir leiskite jam įvertinti, kurios programos pasenusios.
• Atnaujinkite naršykles, įskiepius, multimedijos ir dokumentų peržiūros programas, taip pat patį operacinės sistemos branduolį.

Po valymo: ką dar patikrinti

• Naršyklės nustatymai: atkurkite numatytąją paieškos sistemą, pradžios puslapį ir naujo skirtuko puslapį. Pašalinkite nepažįstamus plėtinius.
• Tinklo nustatymai: atstatykite „Winsock“ katalogą ir, jei reikia, DNS nustatymus. Tai padeda panaikinti likusius tarpinius peradresavimus.
• Planuotos užduotys: peržiūrėkite suplanuotas užduotis ir pašalinkite tas, kurios automatiškai leidžia reklaminės programos atnaujinimus ar paslaugas (pvz., su pavadinimais, nurodančiais atnaujinimą ar LSP registraciją).
• Paleisties vietos: patikrinkite, ar paleistyje neliko įrašų, nurodančių į įtartinus vykdomuosius failus.

Kaip atpažinti šios adware pėdsakus (indikatoriai)

Žemiau – dažnai sutinkami pavadinimai ir vietos, susijusios su šia reklamine programa. Tiksli struktūra gali skirtis, tačiau ieškokite analogiškų elementų:

• Aplankai ProgramData ir Local AppData: C:\ProgramData\…\7.1\ bei %UserProfile%\AppData\Local\…\ su posistemėmis „NodeServer“, „LSP“, failais kaip node.exe, įvairiais .js (api.js, main.js, utils.js, io.js ir pan.), .dll bibliotekomis ir .ini konfigūracijomis.
• Vietinis žiniatinklio serveris: randami ssl.crt, ssl.key, wwwroot\*.js, serverio konfigūracijos.
• LSP komponentai: katalogas „LSP“ su .dll ir .exe failais, skirtais tinklo srauto perėmimui, bei diegimo/pašalinimo .bat scenarijais (install.bat, uninstall.bat ir jų 64 bitų atitikmenys).
• Naršyklių plėtiniai: profilių kataloguose (ypač numatytame profilyje) atsiradę nauji plėtinių aplankai.
• Laikini failai ir žurnalai: %UserProfile%\AppData\Local\Temp\… su .log įrašais, susijusiais su reklamine paslauga.
• Planuotos užduotys: C:\Windows\System32\Tasks\… įrašai, nurodantys atnaujinimą ar paslaugos registraciją.
• Registro raktai: įrašai HKLM ir HKCU šakose, susiję su paslaugomis, COM/TypeLib klasėmis, AppID, paleistimi (Run) bei paieškos teikėjais naršyklėje. Taip pat Winsock2 parametrų kataloge gali būti aplikacijos įregistruotas prievadas/paslauga.

Pastaba: profilio kintamasis %UserProfile% reiškia esamo naudotojo paskyros aplanką. Skirtingose sistemose kelių struktūra gali nežymiai skirtis.

Ką daryti, jei problemos tęsiasi

• Pakartokite nuskaitymus su įjungta rootkit paieška.
• Paleiskite nuskaitymą Saugiuoju režimu su tinklu – taip lengviau pašalinti užsispyrusius komponentus.
• Jei esate pažengęs naudotojas, ranka išvalykite likusius katalogus, suplanuotas užduotis ir registro įrašus, prieš tai susikūrę sistemos atkūrimo tašką.
• Kilus abejonių, kreipkitės į patyrusį IT specialistą.

Prevencija ateičiai

• Atsisiųskite programas tik iš oficialių šaltinių, venkite atsitiktinių diegimo pakuočių.
• Diegimo metu visuomet rinkitės „Išplėstinį“ režimą ir nuimkite nereikalingų pasiūlymų varneles.
• Reguliariai atnaujinkite operacinę sistemą ir programas.
• Naudokite patikimą apsaugos sprendimą su realaus laiko stebėsena ir periodiškai atlikite pilnus nuskaitymus.
• Atsargiai elkitės su priedais el. laiškuose ir įtarimus keliančiomis reklamomis.

Trumpa santrauka

Reklaminės programos, perimančios tinklo srautą ir įterpiančios kodą į svetaines, gali smarkiai trikdyti naršymą ir kelti privatumo rizikas. Efektyviausias būdas atsikratyti – pašalinti įtartinas programas, sustabdyti aktyvius procesus, atlikti pilnus nuskaitymus keliais įrankiais, išvalyti adware likučius ir atnaujinti pažeidžiamas programas. Laikydamiesi aukščiau aprašytų žingsnių, turėtumėte grįžti prie įprasto, švaresnio ir saugesnio naršymo.