Вирусная реклама в браузерах - как убрать?

Большинство обычных людей в конце рабочего дня мечтают попасть поскорее домой, чтобы просто посидеть в интернете и почитать интересные новости. Все бы ничего, но реклама, которая постоянно высвечивается на интернет сайтах не всегда дает это сделать с комфортом. Хотя, уже можно смело заявить, что она стала обычным явлением, к которому большинство пользователей привыкли и просто не обращают на нее внимания. Но, если рекламы совсем много и на одной странице сайта она всплывает уже не единожды, нервишки начинают сдавать. Естественно, такую рекламу приходится закрывать. 

Но, иногда такая операция дается очень сложно, поскольку руку к ней приложили вирусописатели. К тому же сейчас реклама на сайтах выскакивает совсем не по делу и никакой непосредственной привязки к информации, которая находится на страницах сайта, не имеет. Такие рекламные блоки не несут никакой смысловой нагрузки и вряд ли могут быть полезны пользователю.

Более того, в независимости от вашего желания, некоторые рекламные блоки вам придется посмотреть, а то и прослушать, хотя бы несколько секунд, потому что закрыть их возможности не предоставляется. Такие рекламы в простонародье называются спамом. По факту, это так и есть. Ведь такая реклама не востребована, нелегальна и не имеет никакого отношения к отображаемой на посещаемых страницах сайта информации.

Легальную рекламу вы можете легко "одолеть”, воспользовавшись программами типа "ADBlock". Против нелегальной рекламы такие методы будут бесполезны. Разработчики такого рода вирусной рекламы научились обходить блокировщиков.

В последнее время участились случаи появления рекламного спама в браузерах, источники которого не обнаруживаются не только программами блокировки рекламы, но и антивирусным программным обеспечением, в том числе и популярными антивирусными сканерами (Dr. Web CureIT, MalwareByte Antimalware).

Основная причина невозможности блокировки в том, что как такового вирусного программного кода, в подобных случаях, на зараженном компьютере нет. Основная цель злоумышленников в этом плане добиться изменения настроек приложений и программной среды, в которой они выполняются. Например, в свойствах ярлыка, с помощью которого запускается браузер, добавляется параметр командной строки, представляющий собой URL(ссылку) вредоносного ресурса. Но, кроме такого стандартного метода заражения, есть еще ряд изощренных. Они заключаются в подмене настроек браузера, но без установки в нем каких-либо вредоносных файлов, которые могли бы быть обнаружены антивирусными программами. 

Получается, что вирусов на вашем компьютере как бы и нет, но вирусное заражение, которое выражается в виде назойливой рекламы, присутствует. Сегодня я вам расскажу про самые популярные типы такого заражения, методы борьбы с ними и действиях, позволяющих не стать жертвой атаки вирусов. 

Подмена ярлыков для запуска браузеров

Почти все браузеры, выполняют переход по URL, который по факту передается ему в качестве параметра командной строки. К примеру, если вы зададите команду в командной строке "iexplore.exe", то вы откроете браузер интернет эксплорер. Если вы пропишите команду "iexplore.exe http://yandex.ru", то вы также откроете браузер эксплорер, но уже первой страницей будет Яндекс. 

Таким образом можно открыть любую интернет страницу сайта. Именно так и открывается страница, в которой имеется вредоносный или просто нежелательный код, к примеру, код отображающий страницу онлайн казино или каких-нибудь ставок на спорт. 

Не имеет значение каким браузером вы пользуетесь. Тоже самое ожидает пользователей Firefox или Chrome. 

В любом случае при нажатии на ярлык браузера вы будете переходить по ссылке, которая передается параметрами командной строки. На скриншоте ниже вы увидите пример свойства ярлыка с передачей браузеру Mozilla Firefox URL сайта search-iskat.ru:

Такая подмена адреса самая простая. Есть более сложные случаи, когда подменяются не только параметры ярлыков, но и сами ярлыки. Ниже вы можете увидеть скриншот, на котором присутствует подмена ярлыка браузера Internet Explorer:

Чуть ниже вы можете заметить правильную надписать файла "Internet Explorer”, но с неопознанной иконкой. Как оказалось, при дальнейшей проверке, в свойствах ярлыка тоже имелись изменения.

Обратите внимание, что в "Типах объекта" написано "Пакетный файл Windows" и расположен он в домашней папке обозревателя, но с другим именем. Вместо "iexplore.exe", написано "iexplore.bat". Это все потому, что файл имел "скрытое" свойство, а его содержимое обеспечивало запуск браузера с параметром командной строки, а именно: "start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" http://search-iskat.ru". Во всем этом информационном хаосе мы видим, что команда "start старт" запускает браузер интернет эксплорер, с параметром, который прописан в виде вредоносной ссылки, которая не будет открываться в новом окне. Параметр "/B" говорит нам об отключении обработки сочетания клавиш "Ctrl+C", с инициализацией новой среды "/I" и указанным текущим каталогом "/D путь". 

Как вы понимаете, ни один из этих хитрых приемов по перенаправлению пользователя на вредоносный или не запрашиваемый сайт, не имеет никакой связи с какой-либо сторонней программой в системе. Поэтому его и не обнаружил никакой антивирус во время проверки компьютера. Несмотря на то, что сейчас в антивирусы и внедряют специальные параметры, рассчитанные на проверку ярлыков браузера, по-прежнему они не способны справится с вредоносным кодом такого плана. Собственно, вышеприведенный пример говорит сам за себя. Несмотря на наличие серьезной защиты в виде антивируса и антимальвара, реклама по-прежнему была активна. Кроме этого, на компьютере был установлен менеджер браузеров, который тоже картину не поменял.

После того, как лишние параметры были удалены, естественно реклама в Интернет Эксплорере пропала. Но, с браузером "Mozilla Firefox" картина не поменялась и рекламные блоки по-прежнему раздражали своей назойливостью. Так это при том, что никаких параметров уже не было и файл запуска был тщательно проверен. 

Отсюда следует вывод, что были изменены собственные настройки браузера, что обеспечило открытие рекламного URL, независимо от страниц, которые открывает пользователь.

Подмена настроек браузера

Как и предыдущий вариант с изменением свойств ярлыка, изменение настроек браузера происходит без вмешательства и установки каких-либо вредоносных программ. Поэтому обнаружить такое вредоносное ПО будет очень сложно. Настройки браузера, которые вы привыкли открывать через панель инструментов, это далеко не все настройки. Есть ряд других-расширенных настроек, которые доступны только лишь по определенным ссылкам для каждого браузера. К примеру, прописав в адресной строке "about:config", вы сможете открыть расширенные настройки Mozilla Firefox. Весь список настроек этого браузера вы сможете найти, написав в адресной строке: about:about.

Для того, чтобы получить доступ к расширенным настройкам в браузере Опера, в его адресной строке введите "opera:config" и нажмите энтер. Более подробные сведения, которые касаются путей и имен каталога с установленными программами, расположением кэша и профилями пользователей, введите в поле поиска "opera:about".

Для получения расширенных сведений и настроек, касательно браузера Google Chrome, в поле поиска нужно ввести "chrome:about".

Настройки Internet Explorer хранятся в разделе реестра: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer, большая часть в подразделе \Main.

В любом из перечисленных браузеров, настройки хранятся в файлах, которые находятся в каталогах приложений и в каталогах профиля пользователя. Все будет зависеть от приложения и его версии. В этом случае имена каталогов будут меняться, в зависимости от переменных окружения "APPDATA и LOCALAPPDATA”.

Если вы введете запрос в адресную строку проводника "%APPDATA%", то сможете открыть папку, которая соответствует этому самому значению. Для операционных систем Windows 7. 8 и 10, при условии проведения стандартной установки браузера, по этому запросу будет соответствовать каталог "C:\Users\имя пользователя\AppData\Roaming\".

Когда вы откроете эту папку, вы найдете подпапку, которая называется "Mozilla” и в ней "Firefox". Здесь вы найдете "стандартный" конфигурационный файл браузера Мозила, который называется "profiles.ini". 

В предпоследней строке Path=Profiles/temavya7.default описывается путь к каталогу в котором имеются настройки браузера для текущего пользователя. "temavya7.default" - это имя каталога нижнего уровня которое будет сформировываться случайным образом, и на вашем ПК будет иметь другое значение. У одного пользователя может быть множество профилей, имена у которых будут разные. Но всегда один профиль основной и используется по умолчанию.

Короче говоря, настройки браузера Мозила будут храниться тут "%APPDATA%\Mozilla\Firefox\Profiles\имя каталога нижнего уровня". Самый основной файл настроек браузера будет иметь имя "prefs.js” и представлять из себя обычный текстовый документ.

Для того, чтобы получить доступ к настройкам браузера Опера, вводим %APPDATA%\Opera\Opera или %APPDATA%\Opera Software\Opera Stable. Все будет зависеть от версии браузера. 

Для браузера Google Chrome, и других браузеров которые имеют основу Google Chrome, настройки хранятся в папке %LOCALAPPDATA%\Google\Chrome\User Data\Default\. Чаще всего файлы конфигурации являются текстовыми. Поэтому их вы сможете открывать любым текстовым редактором, к примеру, блокнотом: 

notepad %LOCALAPPDATA%\Google\Chrome\User Data\Default\Preferences 

Возможно, на момент прочтения статьи, имя и путь к файлам конфигурации будет изменены. Поскольку их меняют разработчики, ввиду каких-либо факторов. Если вы не хотите сами искать нужный файл, тогда можете воспользоваться специальными программами мониторинга, к примеру "Process Monitor".

Если вы точно знаете имя файла конфигурации, тогда его найти совсем не составит труда. К примеру, если файл имеет имя "prefs.js", то просто пропишите в командной строке следующее: "Dir /b/s/a-d "%Appdata%\prefs.js".

Чаще всего, если браузер уже заражен "подменой" и рекламный спам дает о себе знать постоянно, то банальная переустановка браузера тут не поможет. Ведь при удалении, пускай и полном, файл с параметрами настроек изменен не будет. Поэтому удалять файл придется вручную.  

Если вы пользуетесь браузером Internet Explorer и именно в нем спамная реклама не дает вам спокойно просматривать интернет страницы, то обычная переустановка ситуацию не исправит. Обязательно проверьте, чтобы конфигурационные настройки были удалены. Но, даже такой вариант не всегда действенный. Мой вам совет не заниматься переустановкой браузера, а обнулить его. Один минус от этого способа - сохраненные личные данные, закладки и прочее будут утрачены. 

Для того, чтобы обнулить браузер, нужно удалить или переименовать файлы настроек. В момент следующего запуска браузера, программа не обнаружит записи конфигурации. Ей придется создавать их заново, со стандартными параметрами. 

Проще всего переименовать раздел реестра. К примеру, если раздел назывался "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main", то переименовать его можно в "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main1". Если после этого браузер начнет сбоить, то вы легко сможете переименовать раздел обратно.

Напоминаю, что все настройки необходимо выполнять с закрытым браузером. В противном случае, при закрытии браузера и внесения изменений в настройки, они не будут сохраняться. 

Настройки браузера Mozilla Firefox, хранятся в файле, который называется "prefs.js". Найти его можно тут "%APPDATA%\Mozilla\Firefox\Profiles\имя каталога нижнего уровня". Для сброса настроек в этом файле необходимо сменить расширение, к примеру, на "prefs.js1". После запуска браузера будет создан новый файл с базовыми настройками.

Иногда вирусное заражение настолько серьезно, что меняется не только содержимое основного файла "prefs.js”, но и содержимое файлов дополнительных настроек "user.js" и сохраненных сессий "sessionstore.js". Для получения чистой конфигурации в этих файлах их также можно удалить или переименовать. 

Также, браузер Мозила в последней своей версии имеет возможность сброса настроек через специальное меню "Справка - Информация для решения проблемы”. Здесь вы найдете кнопку "Очистить Firefox". Данный пункт можно открыть, вписав в адресную строку "config:support". Здесь вы найдете все необходимые для вас настройки, сможете просмотреть качество работы браузера, найдете информацию о расширениях. Также в этом разделе можно запустить браузер в безопасном режиме, нажав на кнопку "Перезапустить с отключенными дополнениями".

Если все вышеперечисленные способы не помогли вам избавиться от вирусной рекламы, то попробуйте отключить все внешние расширения браузера. Если и это к успеху не привело, придется заняться поиском вредоносной программы, которую не смогли распознать стандартные антивирусы. Для этого нужно будет использовать утилиту, типа AVZ, HijackThis или RootkitRevealer. Если вы точно знаете, когда начались сбои, тогда рекомендую использовать программу "SearchMyFiles" от Nirsoft. В ней вы сможете запустить поиск файлов, созданных в определенный промежуток времени.

Теперь  вы знаете все способы борьбы с рекламными вирусами во всех популярных браузерах. Но если у вас есть такие вирусы значит на компьютере есть и другие, поэтому я рекомендую посмотреть мое видео по 100% удалению всех вирусов с компьютера:

Ну а если у вас вирусы на андроиде, то вам помогут эти видео:

Надеюсь, хоть один из предложенных методов поможет вам решить вашу проблему с удалением вирусов. Если будут вопросы, пишите их в комментарии, мы постараемся ответить на них. Спасибо, что вы с нами.