Два дня назад меня попросили “полечить” ноутбук с вирусом-вымогателем. Причем кто-то уже “подсказал” клиенту, что потребуется полная переустановка операционной системы. С учетом этого поначалу были опасения по поводу возможного вируса-шифровальщика или хотя бы обычного винлокера. Но после первого осмотра компьютера случай показался простым: браузерный вирус, подменивший ярлыки запуска. На компьютере присутствовали четыре браузера: Internet Explorer (как же без него), Google Chrome, Opera и Mozilla Firefox, операционная система Windows 7 Ultimate 64 bit, антивирус Avast Free Antivirus.
На радостях я по привычной схеме удалил фальшивые ярлыки и файлы, запускаемые с их помощью, затем восстановил стандартные. На всякий случай вручную проверил установленные дополнения и расширения браузеров. Изучил список автозагрузки, протестировал компьютер утилитами KVRT и AdwCelaner. На все ушло не больше получаса времени. Убедившись, что все вроде бы чисто, поочередно запустил браузеры, чтобы проконтролировать результат.
Вот тут и начался квест. Никакого вируса-вымогателя, конечно, уже не было, но если три браузера работали абсолютно нормально, то Mozilla Firefox при открытии почти любого сайта (почему-то кроме открываемых по https) упорно вываливал поверх страницы несколько рекламных окон.
Первыми шагами стали, естественно, повторная проверка установленных дополнений (их не было), отключение плагинов, проверка настроек прокси. Увы, проблему это не решило. Далее я сделал вроде бы логичный ход: деинсталлировал браузер и установил новую версию. Однако и это не принесло ожидаемого результата. Дальше последовали “пляски с бубном”. Очистка кэша браузера силами браузера – без результата. Ручная безжалостная чистка папок с кэшем и не только – почти без результата (слетели некоторые настройки, но рекламные окна никуда не делись). Проверка файла hosts, настроек сетевого интерфейса и сброс кэша DNS (просто так, ведь другие браузеры работали нормально) – без результата. Проверка компьютера утилитами TDSSKiller от Касперского и MBAM – последняя нашла-таки потенциального виновника безобразия, таящегося в виде dll-файлов и скриптов в нескольких папках, включая папку с профилем Firefox. Очистив все подозрительное с помощью MBAM, перезагружаю компьютер, запускаю Firefox и… опять любуюсь рекламными окнами.
Сильно разозлившись, снова деинсталлирую проблемный браузер, вручную удаляю оставшиеся после штатного деинсталлятора папки браузера “C:\Program Files (x86)\Mozilla Firefox”, “C:\Users\…\AppData\Local\Mozilla” и “C:\Users\…\AppData\Roaming\Mozilla”, т.е. уже не забиваю голову сохранением настроек, закладок и журналов работы пользователя. Затем снова устанавливаю Firefox – и он начинает работать как надо! Получается, что я мог бы уже давно достичь нужного результата быстро и просто, если бы при первом удалении браузера стер файлы браузерного профиля (они не удаляются в процессе штатной деинсталляции). В общем, урок на собственной ошибке я усвоил, поставленную задачу тоже решил, а в данной заметке просто хотел рассказать о возможных “подводных камнях” при попытке избавиться от всплывающих окон в браузере.
Думаю, надо будет написать еще одну заметку, рассказав в ней о том, с какими видами заражения компьютеров мне приходилось сталкиваться чаще всего, а также о простых способах лечения таких заражений.
