Совсем недавно приехала ко мне рабочая машинка(ПК) из МСК и я сразу же принялся за апгрейд железа, переустановку ОС, установку софта и тут наткнулся на очередной вирус. Назвать его вирусом сложно, но как удалить yamdex.net мы сегодня разберем, как всегда, на примере.
Если не интересует предистория и где этот вирус можно было подхватить, сразу переходите ниже к разделу решения проблемы. Хотелось бы сразу отметить, что ситуация очень схожа со smartinf, я бы даже сказал аналогична. Но на этот раз я даже понял, где я успел схватить эту пакость. Как только установил ОС, то сразу же отправился открывать IE от Microsoft, дабы скачать любимый Chrome. По запросу «скачать бесплатно гугл хром» я как-то безо всякого внимания открыл сразу первую ссылку, а она оказывается была в рекламе Яндекс директа. Очередной раз убеждаюсь, что в Директе одни разводы и вирусняки рекламируют, а свой СДЛ никак не могу добавить. Ну, опустим это. Нажал я качать Хром, в итоге он толком не качался, а после этого начали устанавливаться привычные «Mail.ru», «Комета», «Амиго» и т.д. А напоследок в браузере открылся нерабочий адрес «saerchlse-rec.ru». Тут я и понял, что снова подхватил какую-то ерунду. Как только пробовал пользоваться поиском, то сразу же через редирект Yamdex.net срабатывал поиск от майлру. Если у вас такая же проблема, то давайте её решать.
Быстро избавляемся от Yamdex’a
Первым делом возвращаем нам права на изменения поиска по умолчанию в браузере посредством следующих манипуляций(лучше, чтобы в это время браузер был открыт). Жмем сочетание клавиш «Win+R» или кликаем мышкой на «Пуск» в поле поиска программ. В открывшемся окне пишем «cmd» и жмем «Enter». Открылась командная строка, в которой мы должны прописать следующее:
RD /S /Q «%WinDir%\System32\GroupPolicyUsers»
RD /S /Q «%WinDir%\System32\GroupPolicy»
gpupdate /force
Не забывайте после окончания каждой строчки нажимать «Enter». Если лень это всё писать, можете создать на рабочем столе текстовый документ и вставить в него этот текст, сохранив как-нибудь под англ. наименованием(не имеет значение какое). После этого необходимо будет изменить расширение с «.txt» на «.cmd». Если ваша операционная система скрывает расширения и вы далеки от этого, то забываем про этот простой(кому и не простой) вариант, и ручками пишем выше указанный текст. Ну ладно, уж для совсем ленивых, качаем ниже приведенный файл на рабочий стол и запускаем.
Как только сделали всё описанное выше, то ждём оповещения об успешном завершении.
Теперь у нас нет никаких ограничений в политике пользователя, и мы смело можем отправляться в реестр. Кстати, уже можете переходить в поисковик(по идеи, он у вас еще должен быть открыт) и выбирать свой Yandex(именно yaNdex) или Google, что удобнее, а все ненужное удалить вовсе. Но ни в коем случае не останавливайтесь на этом, идти нужно только до конца.
Чистка реестра
Снова открываем окно «Выполнить»(Win+R), пишем в нем «regedit» и подтверждаем нажатием «Enter». Жмем сочетание клавиш «Ctrl+F». В окне поиска прописываем наш «Yamdex» и как только что-то находится, то сразу удаляем клавишей «Del» или через клик правой клавиши мыши «Удалить». Далее жмем «F3»(продолжение поиска) и снова найденный результат удаляем. По итогам успешного окончания поиска на всякий случай переместитесь в начало реестра(кликните в левой части на «Компьютер») и снова вызовите поиск и проделайте ту же процедуру.
Важно! Чтобы в это время не было открыта ни одна программа и ни в коем случае ничего нового не устанавливалось.
Потому как я все очистил, а на вновь установленный ярлык Adobe PS приклеилась эта зараза. Как раз об этом ниже.
Чистка ярлыков
Теперь нам необходимо очистить все ярлыки и удалить программы, которые установились вместе с Yamdex’ом. Для этого чистите директорию «C:\Users\Имя_пользователя\AppData\Local\» и все браузеры. Поверьте, все они теперь уже изменены и прописаны в свойствах с пакостным поиском. Вот как пример:
И сделать с ним ничего не получится. Может вы и найдете какой-то выход, но наиболее быстрый метод — взять его удалить и создать новый. Все ярлыки уже были заменены, а любая правка чревата следующим оповещением:
А после таким:
Поэтому сразу перемещаем ярлыки в корзину, открываем директории браузеров вручную и создаем их ссылки на рабочем столе(хотя, можете попытаться снять галочку в свойствах ярлыка на вкладке «Общие» напротив атрибута «только для чтения»). К примеру, для Google Chrome это директория «c:\Program Files\google\chrome\application\». Находим ярлык «chrome.exe», НИ В КОЕМ СЛУЧАЕ НЕ «chrome.bat.exe» и делаем ссылку на рабочий стол. Если это делать не хотите, то удаляем поисковик и устанавливаем его по-новому.
Напоследок
Желательно перепроверить все свои ярлыки, которые были задействованы в момент заражения, потому как в свойствах везде может прописываться «saerchlse-rec.ru» или что-то другое. Всем удачи, пишите о своем опыте или вариациях решения проблемы.
оцени статью Подписка на обновления:
Минусы «окошек». Несколько лет на юникс-системах. В последние несколько лет маковская техника, что тоже юникс, просто более прилизанный