«Отправьте SMS для разблокировки – 2»: как бороться с захватом браузера

Некоторое время назад мы писали о том, что нужно предпринять, если ваш компьютер оказался заблокированным «трояном-вымогателем». Сейчас настала очередь для второй статьи этого цикла: что делать, если вы словили вредителя, блокирующего исключительно браузер или отдельные сайты.

   
   

Как и в случае полной блокировки Windows, «браузерный троян» предлагает отключить себя в обмен на платное SMS-сообщение. Соглашаться на это условие категорически не следует. Вряд ли все ограничится только одной «смской», которая, к тому же, будет стоить вам нескольких сотен рублей. Скорее всего, троян потребует не менее двух сообщений, после которых впадет во временную спячку. Будьте уверены - через некоторое время он проснется и начнет шантажировать по новой. Это предупреждение особенно касается офисных работников, которые часто стесняются признаться системным администраторам в том, что подхватили подобную «заразу», поскольку чаще всего она распространяется через порносайты.

Как уже было сказано выше, блокировка браузера может происходить двумя способами. При первом на экран выводится огромный баннер, обычно не очень приличного содержания. Такое окно называется «информер». Во втором случае блокируется доступ к определенным сайтам. Вместо них появляется текст с просьбой отправить SMS для разблокировки доступа.

Как побороть «информер»

Если вы подхватили «информер» и пользуетесь браузером Internet Explorer, то отправляйтесь сюда: Сервис / Управление надстройками (в английском варианте: Tools / Manage Add-ons). В открывшемся окне в выпадающем списке нужно выбрать «Надстройки, загруженные в Internet Explorer» (Add-ons currently loaded in Internet Explorer).

Далее прокручиваем список надстроек и отключаем все подозрительные. В первую очередь те, которые оканчиваются на lib.dll, например, nhslib.dll. Не бойтесь отключить что-то лишнее - это легко восстановить. Затем браузер нужно закрыть и удалить из папки WindowsSystem32 все файлы с названиями подозрительных надстроек. Дополнительно можно почистить реестр Windows. Для этого в меню «Пуск» выберете пункт «Выполнить» и введите туда regedit. В открывшемся окне редактора войдите в меню Правка / Найти и введите имя надстройки. Все, что будет найдено нужно удалить. Теперь Internet Explorer чист и свободен.

Если вы пользуетесь браузером Mozilla Firefox, то необходимо пройти сюда: Инструменты / Дополнения (Tools / Add-ons).

   
   

В открывшемся окне нужно последовательно проверить все вкладки на предмет наличия чего-нибудь подозрительного. Как и в случае c IE не нужно бояться отключить лишнее.

Наконец, пользователям браузера Opera нужно зайти в Настройки / Общие настройки (Settings / Preferences), выбрать в открывшемся окне закладку Расширенные (Advanced), в ней найти пункт Содержимое (Content) и нажать кнопку Настроить JavaScript (JavaScript Options).

Все, что находится в поле «Папка пользовательских файлов JavaScript» (User JavaScript files), нужно удалить.

Как разблокировать доступ к сайтам

Если вместо популярных сайтов, например, «Яндекс», Mail.ru, «Вконтакте» или «Одноклассники» у вас на экране появляется предложение пройти некую активацию, это значит, что пойманный вами троян отредактировал на компьютере файл hosts.

Файл находится здесь: Windows / System32 / drivers/ etc / hosts. Откройте его в «Блокноте» и вы увидите список всех заблокированных сайтов. Он может насчитывать несколько десятков пунктов вида «82.146.44.61 vkontakte.ru». Удалите этот список, оставив лишь одну строку – «127.0.0.1 localhost», и все сайты после перезагрузки чудесным образом заработают вновь.

Если не заработали, значит троян опять отредактировал hosts. Это также значит, что он находится в автозагрузке системы и удалить его оттуда можно вручную, как это было описано в предыдущей статье, либо с помощью антивирусов. Попробуйте бесплатные утилиты CureIT от Dr. Web или Virus Removal Tool от «Лаборатории Касперского».