Как удалить потенциально нежелательные программы (ПНП) вручную?

Прежде чем более подробно рассмотреть удаление ПНП, давайте сначала обсудим, что такое ПНП.

Возьмем, например, вспомогательные объекты браузера, панели инструментов и оптимизаторы компьютеров. Ни одно из них по своей сути не является плохим или нежелательным. Хотя мы можем обсуждать полезность таких приложений, их можно действительно считать «нежелательными», если они распространяются обманчивым или неэтичным образом, или отображают фальшивую или вводящую в заблуждение информацию.

Чтобы данная статья, не была излишне длинной, постараемся вкратце определить с вами основные критерии, которые отличают ПНП и основные принципы борьбы с ними. 

  • Работа с постоянными ПНП.

Это подводит нас к первому шагу в процессе удаления ПНП вручную. Прежде чем делать что-либо еще, найдите любое нежелательное приложение в списке «Программы и компоненты» и удалите его. Вы можете получить доступ к этому списку в любой версии ОС Windows, одновременно нажав клавишу «Windows» и «R», открыв окно «Выполнить». В поле «Открыть» введите «appwiz.cpl» и нажмите «Enter». Конечно, вы всё равно должны исследовать неизвестные записи, чтобы проверить, действительно ли они нежелательны и/или связаны с ПНП.

Однако в некоторых случаях раздражающие проблемы могут сохраняться даже после удаления нежелательного приложения. Хотя мы могли бы использовать инструменты для автоматического удаления, чтобы исправить эту проблему, обычно более целесообразно проводить исследование того, что именно затрагивается и производить ручную очистку. Например, если вы видите рекламные всплывающие окна в своем браузере, вам нужно сосредоточиться на другой области, чем если бы вы видели те же всплывающие окна в системной панели ОС Windows или области уведомлений. И в случае проблем с браузером вы можете быстро сузить затронутые области, сначала проверив, были ли затронуты все браузеры, или проблема связана с одним конкретным браузером. Как видим, ручной режим, в данном случае, более актуален. Также, не всегда в автоматическом режиме, при помощи стороннего софта, удаётся избавиться от ПНП.

Подведём итоги, при работе с ПНП: 

  • Прежде чем начать поиски ПНП на своём компьютере, сначала проверьте наличие вредоносной программы. Это всегда имеет больший приоритет из-за его воздействия (например, всплывающие окна могут быть раздражающими, но вредоносное ПО для защиты паролей имеет потенциал сделать гораздо больше вреда, чем просто раздражать нас).
  • Проверьте список программ и функций и удалите все нежелательные и ненужные программы. Это может показаться очевидным, но вы будете удивлены, как многие люди пропускают этот шаг.
  • Определите для себя, какие проблемы все еще остаются и какие компоненты затронуты (например, браузер, уведомления Windows, поиск и т. д.). 
  • Уточните проблему для каждого идентифицированного компонента.
  • Пример классического ПНП.

Представьте себе следующий сценарий: вы открываете новую вкладку в своем любимом браузере, но вместо этого открывается страница, которую вы не указывали в настройках вашего браузера. Или она отображает что-то еще; и вместо поиска с использованием указанной вами поисковой системы используется другая поисковая система. Вы пытаетесь изменить настройки в самих настройках браузера, но независимо от того, что вы делаете, проблема сохраняется. Нет никаких доказательств наличия ПНП, но ясно, что что-то подозрительное все еще продолжается. Автоматические антивирусные утилиты, тут не всегда срабатывают. Пришло время для ручной очистки ПНП.

Для нашего примера удаления, давайте придерживаться вышеуказанного сценария. Никакого вредоносного ПО не обнаружено, никаких ПНП явно неустановлено и настройки браузера выглядят нормально. Мы будем использовать два популярных браузера, Google Chrome и Mozilla Firefox, чтобы показать, какими будут следующие шаги. Мы не будем использовать какие-либо специальные инструменты – единственное, что нам нужно, это хорошие навыки онлайн-исследований и немного терпения.  

  • Удаление расширения FullTab: Search and Newtab.

На изображении ниже вы можете увидеть, что браузер должен загрузить веб-сайт Google после открытия новой вкладки. Однако? этого не происходит. Вместо этого загрузилось что-то под названием «Newtab». 

Несмотря на то, что «Newtab» в нашем примере не является вредоносным, это все еще считается формой захвата браузера. 

Если мы проведём онлайн-поиск по слову «Newtab», мы найдём множество руководств по удалению, но большинство из них, похоже, представляют собой сочетание запуска автоматизированных инструментов, без ручного удаления.

Давайте также посмотрим на параметры поиска (обратите внимание, что на этот раз используется Firefox, но Chrome покажет что-то подобное).

 
Здесь мы замечаем что-то интересное, браузер говорит нам, что расширение управляет поисковой системой.

Конечно, мы могли бы просто изменить настройку поиска, но, видимо, есть и расширение, что означает, что нам также придется избавиться от него и только потом менять настройки поисковика. В большинстве браузеров есть список расширений, где вы можете управлять расширениями, но некоторые расширения используют механизмы для сохранения или скрытия своего «присутствия». По этой причине неплохо узнать, как браузер управляет расширениями и где он хранит расширения и связанные с ними параметры (заметьте, мы используем два браузера в этом примере, но эта информация должна быть доступна для большинства браузеров).

Где скрываются расширения?
Как Mozilla Firefox, так и Google Chrome имеют надежную документацию для разработчиков, которая объясняет, как могут быть загружены расширения (доступно для всех с помощью быстрого поиска – важный навык). В этом случае мы можем найти для каждого браузера следующее: 

Прочитав вышеприведенные статьи, чтобы подвести итог, для Chrome нам нужно проверить:

  • %LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions\<extension ID> (Each extension has an assigned 32-character extension ID)
  • HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\<extension ID>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\<extension ID> (for 32 bit browsers on 64 bit Windows versions)

И для Firefox:

  • %APPDATA%\Mozilla\Firefox\Profiles\<profile folder>\extensions\{<extension ID>}.xpi
  • %APPDATA%\Mozilla\Extensions\{<extension ID>}.xpi
  • HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions
  • HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions

Замечания:

%APPDATA% refers to the C:\Users\<username>\Appdata\Roaming folder,

%LOCALAPPDATA% refers to the C:\Users\<username>\Appdata\Local folder.

«По умолчанию» – это имя первого зарегистрированного профиля Chrome, у дополнительных профилей будет другое имя папки.

Теперь, когда у нас есть список всех мест, где может скрываться нежелательное расширение, давайте посмотрим, можем ли мы его найти и удалить. Чтобы это сделать, нам нужно знать, что такое идентификатор расширения (обратите внимание, что это будет отличаться для каждого браузера).
В Google Chrome введите chrome://extensions в адресной строке и нажмите «Enter». 

Теперь вы увидите список установленных расширений/дополнений. Вам нужно будет нажать кнопку «Подробнее» (предварительно активируйте «Режим разработчика» в правом верхнем углу вкладки с расширениями, просто переведя ползунок в право и он станет синего цвета), которая при нажатии будет отображать идентификатор расширения в адресной строке.

Обязательно обратите внимание на разрешения, перечисленные для этого расширения, поскольку они соответствуют описанным ранее проблемам (изменение параметров поиска, измение новых вкладок).

В Mozilla Firefox введите примерно: about:debugging#addons в адресной строке и нажмите клавишу ввода. Вы найдете расширение, которое мы ищем в списке. 

Подводя итог, прямо сейчас мы ищем следующие объекты:

  • Oimkbkfjcjimpcamagdlepipkapmbjie в любом из мест, которые мы определили ранее для расширений Google Chrome.
  • {125f5269-2f69-401e-b072-40be97188078} в любом из мест, которые мы ранее идентифицировали для расширений Firefox. 

В этом случае расширения присутствуют в следующих местах:


 

Эти объекты можно легко удалить. Однако мы еще не закончили, так как Firefox и Google Chrome также используют файл настроек, который обычно содержит ссылки на установленные расширения. Обратите внимание, что всегда рекомендуется сохранять резервную копию любых файлов, которые вы удаляете (если вы допустили ошибку на этом пути).

Очистка ссылок.
Технически, в этом случае ничего смертельного не произойдет, если браузер будет ссылаться на идентифицированные расширения которых уже нет. Но лучше, чтобы данные ссылки были удалены.

Для Google Chrome предпочтения сохраняются в:
% LOCALAPPDATA% \ Google \ Chrome \ User Data \ Default \ Preferences (это текстовый файл с разметкой JSON).

Для Mozilla Firefox настройки сохраняются в:
% APPDATA% \ Mozilla \ Firefox \ Profiles \ <папке профиля> \ Prefs.js

Хотя вы можете открывать оба файла с помощью текстового редактора, удаление ссылок таким образом немного рискованно. С помощью этого метода вам необходимо обеспечить правильное форматирование, поскольку ошибка может привести к повреждению профиля браузера. К счастью, у нас есть еще несколько вариантов (кроме просто игнорирования остатков или сброса настроек браузера по умолчанию).

Mozilla Firefox. 
Firefox имеет очень удобный вариант, который отображает переменные Prefs.js и параметры приложения в браузере, где они могут быть изменены (чтобы открыть это, введите about:config в адресной строке и нажмите «Enter»). В этом случае давайте сделаем поиск идентификатора расширения. Результат следующий: 


Как вы можете видеть, идентификатор расширения присутствует в двух переменных. У нас есть два варианта: либо мы можем редактировать данные переменной (щелкнув правой кнопкой мыши и выбрав «Edit», как показано на изображении выше); или мы можем просто сбросить переменную (это можно сделать, щелкнув правой кнопкой мыши переменную и выбрав «Reset»). Второй вариант является самым безопасным, но первый может быть более практичным, если браузер использует множество расширений или пользовательских настроек, поскольку вся переменная будет сброшена, содержащая все данные (обратите внимание, что необходимо будет использовать правильный синтаксис переменных данных ).

Google Chrome. 
У Chrome нет опции конфигурации, поэтому здесь нам нужно только вручную отредактировать параметры, используя настройки chrome://settings и chrome://extensions (в этом случае вы можете найти остатки в разделе «Extensions»). Чтобы убедиться, что вы нашли и удалили все следы расширения, вы можете открыть файл настроек в текстовом редакторе и выполнить поиск (CTRL + F) для идентификатора расширения. Если все хорошо, вы должны увидеть следующее (здесь используется Блокнот. Для вашего удобства рекомендую использовать более универсальный текстовый редактор): 

Как вы можете видеть, все ссылки теперь исчезли (если там еще есть, проверьте, какие переменные данные присутствуют, и изучите, что п данному вопросу есть в Сети, чтобы увидеть, как вы можете его изменить, если вы не хотите напрямую редактировать файл настроек). Вы можете сделать эту же проверку и для файла Prefs.js Firefox.

Примечание.

Всегда будьте осторожны при прямом редактировании файлов предпочтений. Перед внесением любых изменений сохраните копию исходного файла в безопасном месте в качестве резервной копии.

Применение знаний к другим ПНП.
Это всего лишь один пример того, как компонент ПНП можно удалить вручную без использования специальных инструментов. Хотя инструменты могут сделать вашу задачу намного быстрее и проще, всегда полезно понять основную механику (придерживайтесь вышеописанного примера: инструмент ведения журнала может показать нам набор настроек браузера, но где именно он их находит?). Первоначально, это будет немного более трудоемким процессом, но как только вы узнаете, как браузер управляет расширениями и у вас будет уже опыт, сможете применить свои наработки в следующий раз. Используя этот же принцип, вы также можете обратиться к другим часто используемым компонентам ПНП, таким как задачи Windows, удаление ярлыков или модификация политики браузера.

Примечание.
Эта статья предназначена только для демонстрации. Существует множество вариантов ПНП и нужен другой подход к удалению по сравнению с представленным здесь методом, в зависимости от их назначения. 
 
Вы можете использовать антивирусные утилиты, для автоматического сканирования и удаления угроз. В этой ситуации, проверьте сначала систему на вирусы утилитой Kaspersky Virus Removal Tool и/или Dr.Web CureIt!
После, проверьте обязательно систему Malwarebytes Free
 
Будут вопросы, смело пишите в комментариях на данном блоге.
 

Отправить комментарий

Новые Старые