Как удалить поисковую систему Gosearch из Google Chrome




На компьютеры пользователей продолжается охота печально известного, своим вредоносным распространением порталом mail.ru. На этот раз портал, в свойственной ему манере, то есть скрытно от пользователя, активно устанавливает поисковую систему Gosearch. Особенность данной системы в том, что удалить её не так просто, как может показаться на первый взгляд. Как мы и думали, портал продолжает совершенствовать свои методы внедрения в компьютеры пользователей. К сожалению сбылось самое главное наше опасение — совершенствование защиты от удаления. Антивирусное программное обеспечение и специализированные программы с лёгкостью обнаруживают и идентифицируют вирус как троян-агентов Gosearch. После обнаружения, удаления и перезагрузки системы, поисковик Gosearch вновь прописывается во всех браузерах. Удаление из реестра ключей, значений и записей не помогает. Как же удалить этот вирус, вернуть привычные вам настройки браузера и не сталкиваться с подобной проблемой в будущем? Что же такое Gosearch? Это усовершенствованный, оснащённый защитой от удаления, взломщик браузеров. Если вы пользовались, например поисковой системой Яндекс или Google или Bing и вдруг система поиска меняется на абсолютно вам незнакомую. Можете даже не сомневаться, у вас в компьютере вирус.

Искать на Gosearch

Ну а в том что данная поисковая система принадлежит разработчикам mail.ru, тут нет никаких сомнений. Так как страница с результатами поиска говорит сама за себя.

Gosearch от Mail.ru

Если открыть в браузере Google Chrome страницу с установленными расширениями, там вы обнаружите расширение от портала mail.ru, автор расширения — mailru-extensions.

Описание расширения от разработчика: Расширение делает Поиск@Mail.Ru основной поисковой системой, которая будет искать по умолчанию из адресной строки браузера. Поиск@Mail.Ru ищет не только страницы в Интернете, но и изображения, видео, новости и многое другое. Поиск предугадывает, какое слово или фразу вы начинаете вводить. Поэтому, чаще всего, вам не нужно вводить весь поисковый запрос целиком. Поиск@Mail.Ru это сделает за вас. Таким образом, вы получаете быстрый и качественный поиск, доступный в адресной строке.

Обычное дело, белые и пушистые. Но стоит открыть отзывы пользователей, тут уж как говориться, без комментариев…

Ну вообщем то это понятно и логично. Никому не понравиться то что навязывают скрытно да ещё и без возможности стандартного удаления.


Удаление поисковой системы Gosearch из браузера Google Chrome.

Признаться нам пришлось изрядно поломать голову над этой проблемой и после нескольких неудачных попыток, всё же удалось уловить принцип работы трояна. Обойдёмся без технических тонкостей, давайте самостоятельно удалим вредоносное программное обеспечение из вашей операционной системы.

Изменение настроек Google Chrome и удаление расширения Поиск Mail.ru

Нажмите кнопку Настройка и управление Google Chrome, выберите вкладку Дополнительные инструментыРасширения. Снимите галочку напротив расширения Поиск от mail.ru и нажмите на мусорный бак для удаления. Перейдите на вкладку Настройки, выберите раздел Поиск — Управление поисковыми системами. Выберите поисковую систему, например Google или Яндекс и нажмите Использовать по умолчанию.

Поисковая система по умолчанию

Так же напоминаем, что если вы не хотите возиться с настройками, вы можете сделать сброс Google Chrome к настройкам по умолчанию.

Закройте браузер и запустите программу Malwarebytes’ Anti-Malware. Если такой программы у вас нет, самое время установить.

malwarebytes-anti-malwareMalwarebytes’ Anti-Malware задумывалась, чтобы находить вредоносные программы, которые другие антивирусы и антишпионы, в основном, не определяют, включая программы, ворующие конфиденциальную информацию, рекламные и шпионские. Однако, программа позволяет обнаруживать, помещать в карантин и удалять трояны и черви. Как выше сказано, программа доступна в бесплатном варианте с неполным функционалом, но также можно купить полную версию программы. Бесплатная версия имеет функции быстрого сканирования и полного сканирования всех дисков. В платной версии доступно мгновенное сканирование оперативной памяти и объектов автозапуска, добавлен защитный модуль, который находится в оперативной памяти и сканирует объекты непосредственно при обращении к ним.
Перейти на сайт разработчика для загрузки

Запустите программу, перейдите в раздел Setting, установите нужный вам язык. Далее откройте раздел Обнаружение и защита, установите галочку в Проверки руткитов. Обновите базу данных и проведите сканирование системы. В нашем случае программа обнаружила и идентифицировала следующие типы вредоносного программного обеспечения:

Версия: 2.00.4.1028
База данных вредоносных программ: v2015.01.30.06
Rootkit базы данных: v2015.01.14.01
Лицензия: Бесплатно
OS: Windows 8.1
ПРОЦЕССОР: x64

Значения реестра: 5
Trojan.Agent, HKUS-1-5-21-1329151661-1659132974-2860120119-1002-ED1FC765-E35E-4C3D-BF15-2C2B11260CE4-0SOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUNONCE|GoSearchRemoveAppiexplore, cmd /Q /C del /Q «C:UsersD899~1AppDataLocalTempNETAE2~2.EXE», , [cbc3f607850461d527ca8a8307fb629e] Trojan.Agent, HKUS-1-5-21-1329151661-1659132974-2860120119-1002-ED1FC765-E35E-4C3D-BF15-2C2B11260CE4-0SOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUNONCE|GoSearchRemoveAppfirefox, cmd /Q /C del /Q «C:UsersD899~1AppDataLocalTempNETAE2~1.EXE», , [414d7c81a5e43ef8b53c2be23ac8ef11] Trojan.Agent, HKUS-1-5-21-1329151661-1659132974-2860120119-1002-ED1FC765-E35E-4C3D-BF15-2C2B11260CE4-0SOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUNONCE|GoSearchRemoveAppoldopera, cmd /Q /C del /Q «C:UsersD899~1AppDataLocalTempNETAE2~3.EXE», , [e0aeee0fc2c784b2bf325bb21fe3a55b] Trojan.Agent, HKUS-1-5-21-1329151661-1659132974-2860120119-1002-ED1FC765-E35E-4C3D-BF15-2C2B11260CE4-0SOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUNONCE|GoSearchRemoveAppopera, cmd /Q /C del /Q «C:UsersD899~1AppDataLocalTempNETAE2~4.EXE», , [d8b66994a8e168cec42d5ab32ed4827e] Trojan.Agent, HKUS-1-5-21-1329151661-1659132974-2860120119-1002-ED1FC765-E35E-4C3D-BF15-2C2B11260CE4-0SOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUNONCE|GoSearchRemoveAppchrome, cmd /Q /C del /Q «C:UsersD899~1AppDataLocalTempNETA01~1.EXE», , [fd91e4198009e45223cebd50ed1517e9]

Файлы: 7
Trojan.Agent, C:Users???µN????µ??AppDataLocalTempnetAE29.tmp.exe, , [cbc3f607850461d527ca8a8307fb629e],
Trojan.Agent, C:Users???µN????µ??AppDataLocalTempnetAE28.tmp.exe, , [414d7c81a5e43ef8b53c2be23ac8ef11],
Trojan.Agent, C:Users???µN????µ??AppDataLocalTempnetAE2B.tmp.exe, , [e0aeee0fc2c784b2bf325bb21fe3a55b],
Trojan.Agent, C:Users???µN????µ??AppDataLocalTempnetAE2C.tmp.exe, , [d8b66994a8e168cec42d5ab32ed4827e],
Trojan.Agent, C:Users???µN????µ??AppDataLocalTempnetA018.tmp.exe, , [fd91e4198009e45223cebd50ed1517e9],
PUP.Optional.OpenCandy, C:Users???µN????µ??AppDataLocalTemputt93C8.tmp, , [d7b7e11c5a2f6dc99a7ebc164fb68a76],
Trojan.Agent, C:Users???µN????µ??AppDataLocalSystemDirsetsearchm.exe, , [dfaf44b9becb40f6658c8687bd450df3],

Важно! По окончании проверки, не перезагружайте систему. Это действие необходимо, но перезагрузку нужно провести немного позднее.

Сверните программу в трей. Далее необходимо заняться чисткой реестра. Можете воспользоваться стандартным редактором реестра или любым другим сторонним программным продуктом, для удаления записей из реестра системы. Для запуска стандартного редактора, нажмите на клавиатуре комбинацию Windows + R, в открывшемся диалоговом окне введите regedit, Ok. В редакторе нажмите Правка — Найти далее, в окно поиска введите gosearch и нажмите Далее. Удалите всё что найдёт редактор. Мы в данном случае воспользовались программой . Где вы её приобретёте и каким способом, решать вам. Программа платная, порядка 650 рублей. Но не это важно, важно удалить все эти записи.

Результаты поиска в реестре записей gosearch

После проверки реестра, обнаружении связанных записей и их последующего удаления, закрываем редактор.

Теперь возвращаемся к найденному Malwarebytes’ Anti-Malware файлу — C:UsersИмя пользователяAppDataLocalSystemDirsetsearchm.exe

Интересен он тем что после обнаружения, удаления и последующей перезагрузки системы, он остался на прежнем месте. Откройте папку SystemDir и удалите файл вручную, не полагаясь на специализированные программы.

Ещё раз напоминаем! Уважаемые пользователи! При установке программного обеспечения, будьте предельно внимательны! Открывайте дополнительные настройки и смотрите, что вам пытаются установить скрытно. Какие цели преследуют разработчики вредоносного программного обеспечения, можно только догадываться. Ясно одно… Ничего хорошего!!!

Related posts

Дискуссия

Оставьте первый комментарий!

avatar
wpDiscuz