Эту заразу я подхватил, когда попытался установить свежую версию UltraISO. Все браузеры начинались со страницы http://hi.ru/?20. Необходимо было найти источник, который перенаправляет мои запросы на ненужный сайт
Итак, мои действия:
1. Проверить расширения в браузере (Google Chrome) – новых нет.
2. Проверить страницу запуска браузера – всё в порядке (yandex.ru).
3. Проверить файл hosts (C:WindowsSystem32driversetc) – не изменён.
4. Проверить запущенные процессы. Это действие можно выполнять, имея некоторый опыт. Новичкам все процессы в диспетчере задач кажутся одинаковыми. Но и там ничего подозрительного выявлено не было.
5. Прочистить компьютер с помощью программы Ccleaner – результата не дало.
Все вышеперечисленные процедуры расписаны подробнее здесь и здесь.
Очевидно, что перебрасывание вызвано не работой каких-либо программ, а чем-то более простым. И тогда я решил проверить с самого начала – с ярлыков.
6. Проверить сам ярлык браузера – вот тут-то и нашлась подмена. Для всех ярлыков браузеров были созданы копии, отправляющие на ненужную страницу. Эти подменные ярлыки запускают файл exe.erolpxei.bat, и переправляют нас на http://hi.ru/?20.
Перед тем, как запустить поиск файла exe.erolpxei.bat, в свойствах папок убираю галочки «Скрывать защищённые системные файлы» и «Скрывать расширения для зарегистрированных типов файлов», иначе файлы я не увижу.
Пуск → Панель управления → Параметры папок → Вид
Также нужно проверить пункт «Показывать скрытые файлы, папки и диски».
Итак, нахожу этот файл в папке C:UsersAdminAppDataRoamingBrowsers. Я вижу, что одновременно с этим файлом появились файлы exe.emorhc.bat и exe.resworb.bat. Скорее всего, ничего хорошего они не делают, поэтому удаляю все три файла.
Возвращаюсь к подменённым ярлыкам браузеров. Сами запускаемые файлы изменены не были, и первоначальные ярлыки в порядке, поэтому просто удаляю все подменные копии.
Ну, и плюс ко всему, меняю стартовую страницу для Internet Explorer, где прописался http://hi.ru. Больше нигде стартовая страница не изменилась.
В итоге предательские файлы и подменённые ярлыки были удалены, а нужные восстановлены. Всё работает!
Источник: