В прошлый раз мы выяснили, как нежелательные программы проникают в наши системы и почему это происходит. Сегодня мы поговорим о том, как противостоять изменению настроек браузера и устранить последствия установки ненужных программ.
Предотвращение установки
Проблему всегда проще предотвратить, чем устранять ее последствия. Поэтому даже к такому простому вопросу как поиск и загрузка программы нужно подходить с умом.
Качайте программы только из надежных источников
Не все йогурты каталоги программ одинаково полезны. Один из моих коллег по OSZone, прочитав первую часть статьи, заинтересовался вопросом и провел небольшое расследование. В результате он обнаружил в каком-то каталоге ПО свою программу, но уже в перепакованном виде!
Ушлый владелец каталога занимается тем, что распространяет программы, без разрешения авторов добавляя в нагрузку мусор и получая с этого дивиденды.
И это не единичный случай — в комментариях к прошлой записи читатель YaNkEE упомянул, что за этим был замечен один из крупнейших каталогов ПО в Рунете. Чтобы снизить вероятность установки нежелательного ПО, скачивайте программы только с сайтов производителей или из каталога OSZone (мы не занимаемся перепаковкой программ).
Смотрите в оба
Опрос показал, что все вы внимательно изучаете каждый экран установки, чтобы избежать появления нежелательных программ в системе. Однако внимание нужно включать уже при загрузке программы!
Так, Adobe добавит вам панель Google в установщик Adobe Reader уже при загрузке программы, и не факт, что при установке вы сможете это изменить. Пользователей Chrome с интегрированным Adobe Reader тоже учли – им предлагают скачать какое-то защитное решение от McAfee.
Как видите, даже крупнейшие производители программного обеспечения не гнушаются практикой распространения других программ в нагрузку со своими.
Если вы не уделили достаточно внимания вопросу загрузки и установки программы, еще не все потеряно.
Следите за предупреждениями браузера
Чаще всего нежелательные программы вторгаются в браузеры Firefox и Internet Explorer. В Firefox (равно как и в Opera или Chrome) изменения вносятся путем установки дополнений. Современные браузеры умеют определять появление новых дополнений и предупреждают вас при запуске.
IE не является исключением и тоже показывает предупреждение.
Однако проблема в том, что блокирование надстройки не спасает от изменения домашней страницы и поиска. Отмечу, впрочем, что IE отдельно предупредит вас о смене Bing на другой поиск.
Так или иначе, вы можете комплексно предотвратить вмешательство в параметры IE.
Заблокируйте изменение настроек Internet Explorer
Практические любые параметры Internet Explorer можно контролировать с помощью групповых политик.
В домашних изданиях Windows 7 нет редактора групповой политики (gpedit.msc), но настройку можно выполнить в реестре. Сначала я опишу политики, а потом приведу командный файл, вносящий необходимые значения в реестр.
Все политики кроме оговоренной особо находятся в корне раздела Конфигурация пользователя — Административные шаблоны – Компоненты Windows – Internet Explorer.
| Название политики | Пояснение |
|---|---|
| Отключить изменение параметров домашней страницы | Домашняя страница задается политикой и фиксируется. Эта политика имеет более высокий приоритет, чем политика, запрещающая изменение дополнительных домашних страниц. Поэтому они не будут открываться при запуске браузера. |
| Ограничить поставщиков служб поиска заданным списком поставщиков | Список поисков формируется шаблоном и фиксируется политикой (спасибо, Артем). Поскольку универсального шаблона не существует, мой командный файл переносит ваш текущий список поисков в политику. Существует другая политика, запрещающая изменять настройки поиска. Однако она неэффективна против сторонних программ, поскольку блокирует лишь внесение изменений в интерфейсе браузера. |
| Разрешить сторонние расширения браузера | Политика переводится в состояние Отключено, чтобы запретить запуск BHO (панелей). В управлении надстройками все панели будут отображаться включенными, но не запустятся. Политика находится в подразделе Панель управления браузером – Вкладка «Дополнительно». |
| Не разрешать пользователям включать и отключать надстройки | Установка надстроек не блокируется, но включить их не получится. Эта политика приводится в информационных целях; она закомментирована в командном файле. |
Командный файл ie-lockdown-enable.cmd применяет описанные выше политики к пользователю, под которым он выполняется. Предполагается, что браузер уже настроен в соответствии с вашими предпочтениями, в противном случае для изменения параметров придется отменять политики.
@Echo Off
:: Этот командный файл ограничивает политиками управление домашней страницей, поиском и надстройками в IE
:: Автор: Вадим Стеркин. Подробнее /12904/
:: Политика "Отключить изменение параметров домашней страницы"
:: Задает домашнюю страницу и фиксирует ее политикой
REG ADD "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Main" /v "Start Page" /d "/" /f
REG ADD "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel" /v HomePage /t REG_DWORD /d 1 /f
:: Политика "Разрешить сторонние расширения браузера"
:: Запрещает запуск BHO, блокируя панели браузера
REG ADD "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Main" /v "Enable Browser Extensions" /t REG_SZ /d no /f
:: Политика "Не разрешать пользователям включать и отключать надстройки"
:: Полностью отключает управление надстройками
:: REG ADD "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions" /v NoExtensionManagement /t REG_DWORD /d 1 /f
:: Политика "Ограничить поставщиков служб поиска заданным списком поставщиков"
:: Включает ограничение списка поисков
REG ADD "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Infodelivery\Restrictions" /v UsePolicySearchProvidersOnly /t REG_DWORD /d 1 /f
:: Переносит текущий список поисков в политики
REG EXPORT "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes" "%temp%\scopes.reg"
CALL :SearchScope
REG IMPORT "%temp%\scopes.reg"
DEL "%temp%\scopes.reg"
EXIT
:SearchScope
:: http://forum.oszone.net/thread-191684.html
Set Source=%temp%
SetLocal EnableDelayedExpansion
For %%A In ("%Source%\scopes.reg") Do (
For /F "Tokens=1* Delims=:" %%B In ('Type "%%A"^|Findstr /IN "$"') Do (
Set Str=%%C
If "!Str!"=="" (
Echo.>>"%%A_tmp"
) Else (
Set Str=!Str:Software\=Software\Policies\!
Echo !Str!>>"%%A_tmp"
)
)
Move /Y "%%A_tmp" "%%~fA"
)
EndLocal
Вы можете скачать архив, куда я также включил файл, удаляющий эти политики из реестра.
Я записал трехминутное видео, демонстрирующее установку Яндекс.Бар вместе с AIMP и защитный эффект от применения этих политик к Internet Explorer.
Эти политики воспрепятствуют внедрению в браузер легитимных программ, таких как панель Яндекса или Bing. Но они не защитят вас от вредоносного ПО. Если вы, работая с правами администратора, одобрите запрос контроля учетных записей при установке программы, ничто не помешает ей переопределить политики, например, изменив значения реестра. Другими словами, политики гарантируют защиту только в том случае, если администратор контролирует пользователей, работающих с обычными правами.
Исправление последствий
Если вы все-таки пропустили установку нежелательной программы, от нее можно избавиться различными способами.
Отключите надстройки или дополнения в браузере
Даже если точное название нежелательной программы неизвестно, можно свести на нет ее влияние на браузер, отключив надстройку. Диагностика производится методом «половинного деления». Нужно запустить браузер без надстроек, и если проблема не возникает, отключить несколько подозрительных. Рано или поздно виновник найдется.
Но если вы не пользуетесь программой, от нее лучше избавиться.
Удалите ненужные программы
Легитимная программа должна найтись в панели управления, даже если вы не знаете ее точного названия. Поиск в Интернете по названиям незнакомых программ может освежить вашу память.
Обращайте внимание на издателя программ – это тоже может дать пищу для размышлений. Его отсутствие в списке может послужить причиной для подозрений, хотя в данном случае программа Akamai вполне безобидна. Услугами этой компании пользуются NFL.com и служба подписки MSDN, чтобы оптимизировать передачу потокового видео и дистрибутивов.
Используйте восстановление системы
Если вы относительно быстро заметили проблему, вам обязательно поможет восстановление системы.
Откат к точке до возникновения проблемы удаляет установленные с того момента программы и возвращает привычные параметры Internet Explorer.
Арсенал противодействия нежелательным программам не ограничивается только повышенным вниманием при установке. Если у вас на примете есть еще какие-нибудь способы, нейтрализующие засорение системы, поделитесь ими в комментариях.
P.S. Я слегка отложил эту публикацию, потому что решил дополнить ее рассказом и видео о политиках IE. Я также исключил раздел, в котором рассказывалось об установщиках. Он немного не вписывался в материал, поэтому сей небольшой рассказ будет опубликован отдельной записью.
Очень толково, спасибо! Я, при переустановке Майл Агента пользуюсь функциями Касперского, который блокирует указанные процессы. Но это когда точно знаешь, какая бяка ждёт.