Kaip pašalinti „Ads by Ghostify“ reklaminę programą ir atkurti saugius DNS nustatymus

Jei naršant staiga pradėjote matyti skelbimus su žyma „Ads by Ghostify“, „X by Ghostify“ ar „Powered by Ghostify“, tikėtina, kad kompiuteryje įsikūrė reklaminė programa (adware). Ji keičia „Windows“ DNS nustatymus ir taip įterpia reklamas į svetaines. Dažniausiai šiuo atveju DNS serveriai pakeičiami į 82.163.143.174 ir 82.163.142.176.

Kaip atpažinti „Ads by Ghostify“ elgesį

• Įprastose svetainėse atsiranda papildomų reklamjuosčių (viršuje arba šoninėje juostoje), paženklintų „Ghostify“ pavadinimu.
• Spustelėjus atsitiktines nuorodas atsidaro nauji skirtukai su įkyriomis reklamomis ar apgaulingais puslapiais.
• „Windows“ tinklo nustatymuose DNS serveriai yra pakeisti į nurodytus IP adresus.

Kaip ši reklaminė programa patenka į kompiuterį

Tokio tipo programos dažniausiai atkeliauja kartu su nemokama programine įranga, kai diegimo metu neaiškiai ar visai neatskleidžiama, jog kartu bus įdiegti papildomi komponentai. Diegdami bet ką iš interneto:

• Visada rinkitės „Custom“ arba „Advanced“ diegimo režimą – jame matysite, kas dar bus įdiegta.
• Jei sutartyje ar ekrane nurodoma, kad bus diegiama įrankių juosta, reklaminė ar kita nepageidaujama programa, nutraukite diegimą.
• Atsisiųskite programas tik iš patikimų šaltinių, nuosekliai skaitykite kiekvieną diegimo žingsnį.

Pašalinimo planas: žingsnis po žingsnio

Žemiau pateikta savipagalbos instrukcija. Prieš pradėdami, atsisiųskite reikalingas priemones į darbalaukį ir, jei galite, atsispausdinkite šiuos veiksmus. Dalis žingsnių gali reikalauti naršyklės uždarymo ar kompiuterio perkrovimo.

1. Pašalinkite įtartinas programas per Valdymo skydą

• Atidarykite Valdymo skydą.
• „Windows XP“: pasirinkite „Add or Remove Programs“.
• „Windows Vista“, „Windows 7“, „Windows 8“, „Windows 10“: pasirinkite „Uninstall a program“.
• Peržiūrėkite sąrašą ir pašalinkite nežinomas arba neseniai atsiradusias programas, susijusias su reklamomis ar „Ghostify“. Vykdykite numatytas nuorodas. Jei paprašys paleisti kompiuterį iš naujo, palaukite, kol užbaigsite visus pašalinimus.

2. Sustabdykite kenkėjiškus procesus

Atsisiųskite ir paleiskite procesų stabdymo įrankį, pvz., RKill. Jis trumpam išjungia aktyvius kenkėjiškus procesus, kurie gali trukdyti valymui. Užbaikite įrankį ir neperkraukite kompiuterio iki kol atliksite kitus žingsnius.

3. Nuskaitykite sistemą keliomis saugumo priemonėmis

• Atlikite gilų nuskaitymą su antikenkėjiška programa (pvz., Zemana AntiMalware). Paleiskite diegiklį, palikite numatytuosius nustatymus, pasirinkite giliąją paiešką ir pašalinkite ar sutvarkykite rastus objektus.
• Papildomai naudokite adware valymo įrankį (pvz., AdwCleaner). Nuskaitykite, peržiūrėkite rezultatus ir išvalykite PUP/adware įrašus. Įrankis gali paprašyti išsaugoti darbus ir perkrauti kompiuterį – sutikite.

4. Atkurkite DNS nustatymus į automatinį gavimą

„Ads by Ghostify“ keičia DNS į savo serverius, todėl svarbu grąžinti automatinį gavimą iš jūsų interneto tiekėjo.

• „Windows 7“ ir „Windows 8“: paieškoje įrašykite „Network connections“ ir atidarykite „View network connections“. Dešiniuoju pelės mygtuku spustelėkite aktyvų adapterį (Ethernet/Local Area Connection/Wireless) > „Properties“. Sąraše raskite „Internet Protocol Version 4 (TCP/IPv4)“, dukart spustelėkite. Skiltyje „General“ pasirinkite „Obtain DNS server address automatically“. Patvirtinkite „OK“.
• „Windows Vista“: atidarykite „Network and Sharing Center“ > „Manage network connections“. Dešiniuoju mygtuku spustelėkite aktyvų adapterį > „Properties“ > dukart spustelėkite „Internet Protocol Version 4 (TCP/IPv4)“. Pasirinkite „Obtain DNS server address automatically“ ir patvirtinkite.
• „Windows XP“: meniu „Start“ pasirinkite „Run“, įrašykite „ncpa.cpl“ ir patvirtinkite. Dešiniuoju mygtuku spustelėkite aktyvų adapterį > „Properties“. Pasirinkite „Internet Protocol (TCP/IP)“ > „Properties“. Pažymėkite „Obtain DNS server address automatically“ ir patvirtinkite.

5. Papildomas patikrinimas su antruoju skeneriu

Paleiskite antrą skenerį „iš antro žvilgsnio“ (pvz., HitmanPro) vienkartiniam patikrinimui. Nuskaitykite, peržiūrėkite rastus įrašus ir pašalinkite pasiūlytus objektus. Jei paprašys, perkraukite kompiuterį.

6. Atnaujinkite programas ir užlopykite spragas

Daugelis nepageidaujamų programų patenka per pasenusių programų pažeidžiamumus. Patikrinkite kompiuterį pažeidžiamumų tikrintuvu (pvz., Secunia PSI ar analogišku įrankiu) ir atnaujinkite pasenusias programas, naršyklių įskiepius, „Java“, PDF skaitytuvus ir pan.

Ar viskas pavyko?

Po šių žingsnių „Ads by Ghostify“ reklamos ir pakeisti DNS serveriai turėtų būti pašalinti. Jei vis dar pastebite simptomus, pakartokite nuskaitymus skirtingais įrankiais ir dar kartą patikrinkite tinklo nustatymus.

Pažengusiems: techniniai indikatoriai

Jei randate žemiau pateiktas bylas ar registro įrašus, pašalinkite juos atsargiai (tiksliai žinodami, ką darote):

Failų ir aplankų pavyzdžiai

• C:\Program Files (x86)\GTFRYDERWOOD\
• C:\Program Files (x86)\GTFRYDERWOOD\config.ini
• C:\Program Files (x86)\GTFRYDERWOOD\GTFRYDERWOOD.cer
• C:\Program Files (x86)\GTFRYDERWOOD\gtfryderwood.exe
• C:\Program Files (x86)\GTFRYDERWOOD\Info.rtf
• C:\Program Files (x86)\GTFRYDERWOOD\License.rtf
• C:\Program Files (x86)\GTFRYDERWOOD\settings.ini
• C:\Program Files (x86)\GTFRYDERWOOD\unins000.dat
• C:\Program Files (x86)\GTFRYDERWOOD\unins000.exe
• C:\Program Files (x86)\GTFRYDERWOOD\UnInstall.exe
• C:\Program Files (x86)\GTFRYDERWOOD Updater\
• C:\Program Files (x86)\GTFRYDERWOOD Updater\cfg.ini
• C:\Program Files (x86)\GTFRYDERWOOD Updater\GTFRYDERWOOD Updater.exe
• C:\Program Files (x86)\GTFRYDERWOOD Updater\temp\response.ini
• C:\Program Files (x86)\GTFRYDERWOOD Updater\temp\update.ini
• C:\Program Files (x86)\GTFRYDERWOOD Updater\unins000.dat
• C:\Program Files (x86)\GTFRYDERWOOD Updater\unins000.exe
• C:\Program Files (x86)\GTFRYDERWOOD Updater\update\
• C:\Program Files (x86)\GTFRYDERWOOD Updater\updateStatus.ini

Registro įrašų pavyzdžiai

• HKLM\SOFTWARE\5da059a482fd494db3f252126fbc3d5b
• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DCC01329-EDEC-4309-BF93-F03073FA9014}
• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{74686973-7369-7465-6973-746869656621}
• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GTFRYDERWOOD
• HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\GTFRYDERWOOD Updater_is1
• HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E1527582-8509-4011-B922-29E3FB548882}_is1
• HKLM\SOFTWARE\Wow6432Node\5da059a482fd494db3f252126fbc3d5b
• HKLM\SOFTWARE\Wow6432Node\GTFRYDERWOOD Updater
• HKLM\SYSTEM\CurrentControlSet\services\GTFRYDERWOOD Updater
• HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{6E804B20-77AC-49F2-A8CD-46B94366B8A1}\NameServer „82.163.143.174,82.163.142.176“

Prevencija: kaip išvengti tokių situacijų ateityje

• Diegdami programas rinkitės „Custom/Advanced“ režimą, nužymėkite visus papildomus siūlomus komponentus.
• Venkite „nemokamų“ paketų su neaiškiais priedais, atsisiųskite tik iš patikimų šaltinių.
• Reguliariai atnaujinkite operacinę sistemą, naršykles, įskiepius ir kitą svarbią programinę įrangą.
• Naudokite patikimą apsaugos sprendimą ir periodiškai atlikite skenavimus skirtingais įrankiais.
• Stebėkite, ar naršyklėje neatsirado naujų įskiepių, įrankių juostų ar nepageidaujamų pradžios puslapių.

Atsakomybės ribojimas

Instrukcijas vykdykite atsakingai ir savo rizika. Jei nesate tikri dėl kurio nors žingsnio, pasikonsultuokite su IT specialistu. Atsarginė svarbių duomenų kopija prieš pradžią visada yra gera idėja.