Содержание
Наверняка, многие сталкивались с такой проблемой: вы хотите удалить навязчивую программу, но она либо не удаляется, либо снова появляется после перезагрузки, либо просто не отображается в списке установленного ПО и как искоренить все её компоненты — не понятно. В этой статье мы расскажем о том, как полностью очистить систему от следов любой назойливой, нежелательной или вредоносной программы.
Содержание
- Подготовительный этап
- Деинсталляция
- Удаление расширений из браузеров
- Поиск вредоносных процессов. Удаление файлов и папок
- Удаление следов в реестре
- Исправление ярлыков
- Поиск вредоносных заданий в планировщике
- Дополнительные рекомендации
Подготовительный этап
Закройте все окна нежелательной программы, от которой вы хотите избавиться. Проверьте, не запущена ли она также в системной области возле часов. Обязательно выгрузите все агенты (значки) неизвестных вам программ в этой области.
Также, очень желательно закрыть и все другие приложения, особенно браузеры.
Деинсталляция
1. Запустите Программы и компоненты. (Win+R, appwiz.cpl, OK):
Отсортируйте установленное ПО по дате установки. Очень часто это помогает выявить группу нежелательного ПО, которое было установлено практически одновременно — сразу после запуска скачанного вредоносного файла:
Если среди недавно установленного ПО вы видите непонятные программы, удалите их с помощью одноименной кнопки:
2. Если в списке нет той программы, которая вам докучает, воспользуйтесь утилитой RevoUninstaller. В ней выберите Принудительная деинсталляция:
Укажите имя или размещение приложения, от которого вы хотите избавиться, выберите уровень Продвинутый и осуществите поиск его следов:
Небольшое уточнение. Для поиска не обязательно заполнять все поля. Можно указать, например, только имя или только путь. Причём, на эффективность поиска следов конкретного ПО больше влияет путь, нежели название. Путь к папке, куда установлена нежелательное ПО, можно выяснить в её ярлыке либо в диспетчере задач, кликнув по процессу и открыв расположение файла.
Когда Revo Uninstaller найдёт компоненты ненужного ПО (файлы и элементы реестра), отмечайте все элементы и нажимайте Удалить:
Удаление расширений из браузеров
Просмотрите список расширений и надстроек в браузерах. Удалите все неизвестные расширения (инструкция). Очень часто нежелательные расширения, вызывающие показ рекламы, имеют пометку «Не из Интернет-магазина Chrome».
Поиск вредоносных процессов. Удаление файлов и папок
1. Проверьте систему утилитой AdwCleaner (инструкция). Очистите все найденные элементы с последующей перезагрузкой:
2. Выполните сканирование утилитой HijackThis (инструкция). Просмотрите список найденных элементов. Здесь вам нужно вручную отметить флажками те элементы, которые содержат:
- адреса навязчивых веб-страниц (2inf.net);
- названия назойливых (навязываемых) продуктов (iqiyi, mobogenie, baidu);
- обозначения рекламных сетей и баннеров (BlockAndSurf);
После того, как вы установите галочки возле каждого подозрительного на ваш взгляд элемента, нажмите Fix checked:
3. Запустите диспетчер задач. Перейдите на вкладку Процессы (если у вас Windows 7) или Подробности (если у вас Windows 8 или 10). Внимательно просмотрите список запущенных процессов:
Советуем проверять по следующему алгоритму:
- Кликайте правой кнопкой мыши по подозрительному процессу и выбираете Открыть место хранения файла (или Открыть расположение файла)
- После этого изучите папку, в которой лежит файл, и другие файлы в папке, если такие есть. Если файл находится в папке AppData\Local\Temp\, велика вероятность, что это навязчивое ПО. Если открылась папка в Program Files, обратите внимание на её название.
- Если вы подозреваете, что процесс принадлежит нежелательной программе, вернитесь к Диспетчеру задач, нажмите правой кнопкой по процессу и выберите Завершить дерево процессов.
- Если в папке вместе с файлом, который запущен, есть файл uninstall.exe или uninst.exe, запустите такой файл. Велика вероятность, что после этого запустится мастер и ПО будет корректно деинсталлировано.
- Если деинсталлятора в папке нет, просто убейте всю папку. Если некоторые файлы стереть не удаётся, поищите в Диспетчере задач процесс с таким же именем, как у заблокированного файла.
Пример:
4. После завершения проверки файлов и папок обязательно очистите директорию:
C:\Users\ВашеИмя\AppData\Local\Temp\
Затем просмотрите папку ..\AppData\Local\ и удалите папки, созданные вредоносным ПО:
Удаление следов в реестре
Запустите редактор реестра:
Выполните поиск по названию и имени издателя того продукта, следы которого вы хотите очистить:
Удалите все параметры и разделы, которые содержат в себе название нежелательного ПО:
Внимательно просмотрите следующие разделы:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_USERS\S-1-5-21-1234567890-1234567890-1234567890-100X\Software\Microsoft\Windows\CurrentVersion\Run
В большинстве случаев, они должны быть абсолютно пустыми. Оставляйте в них только те элементы, в безопасности которых вы уверены на 100 процентов.
После этого выполните очистку реестра с помощью CCleaner (инструкция).
Исправление ярлыков
Внимательно просмотрите пути в ярлыках браузеров. Если они содержат приписку в виде нежелательного сайта, сотрите её. Если вы сомневаетесь в корректности путей, лучше уничтожьте ярлык, а затем создайте его заново или переустановите браузер.
Ниже вы видите пример ярлыка, измененного вредоносным ПО. Во-первых, он ссылается на пакетный файл, а не на exe-файл, как положено. Во-вторых, в строке прописан адрес сомнительного сайта. В третьих, рабочая папка не та, которая должна быть у данного браузера:
Поиск вредоносных заданий в планировщике
Откройте планировщик и просмотрите задания. Если вы обнаружите непонятное задание, которое запускает неизвестный файл скажем из AppData\local\, смело удаляйте его:
Весьма удобно работать с заданиями в CCleaner. Откройте Сервис => Автозагрузка => Запланированные задачи. При обнаружении подозрительной задачи, убейте её:
Дополнительные рекомендации
После уничтожения вредоносного или нежелательного ПО также рекомендуется:
- проверить корректность настроек DNS и при необходимости исправить их:
- очистить кэш DNS командой ipconfig /flushdns;
- проверить содержимое файла hosts и при необходимости очистить его;
- проверить таблицу маршрутов и при надобности удалить статические маршруты;
- выполнить проверку системы с помощью MBAM.