Как избавиться от рекламы в Steam - блог №1096102

Навязчивая реклама проникла повсюду. Раньше мишенью злостных адварщиков были в основном браузеры, и вот алчные ручонки дотянулись до игрового клиента Steam: пусть, мол, господа геймеры вместо того, чтобы играть, зарабатывают для нас бабло.

«Фиг вам», — скажем мы и займемся удалением рекламы из Steam*, а конкретно — вредоноса AdWare.Win32.Tirrip (алиас Лаб. Касперского)**.

Нам понадобится:

1) Антивирусная утилита AVZ — качаем с официального сайта.
2) Некоторые знания реестра Windows.
3) Горячее желание очистить Steam от мерзкой рекламы.

Начнем.

1. Скачаем AVZ и распакуем ее в отдельную папку.

2. Обязательно создадим точку восстановления системы!

3. Перезагрузим комп в безопасный режим. Как это делается в Windows XP — Windows 7 написано здесь, в Windows 8 и 8.1 — здесь.

4. В первую очередь нам предстоит руками удалить часть зловердных файлов вместе с их папками.

Гнездится сия зараза в каталоге C:\Users\Имя_учетной_записи\AppData\Local (чтобы туда попасть, можно просто вставить в адресную строку папки: %LocalAppdata% и нажать Enter).

В %LocalAppdata% хранятся данные различного софта, строго в своих папках, имена которых совпадают с именами создавших их программ. Любые свободно валяющиеся здесь исполняемые файлы (.exe, .dll, .sys) должны вызывать подозрения, так же как и каталоги с бредовыми именами — в виде бессмысленного набора букв или цифр.

В данном месте нас интересуют свободно лежащие файлы с расширением exe, dll и папки, имеющие цифробуквенное имя различной длины — от 1 до 20-30 символов. На скриншоте показано, как они выглядят.



Всё это добро необходимо удалить.

5. Далее лезем чистить реестр, ибо эта дрянь для своего автозапуска создает несколько служб.

Запускаем редактор реестра, открываем раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
и ищем там подразделы служб (папки в левой половине окна) с подобными цифробуквенными именами и одной особенностью — припиской .exe в конце имени (это важное отличие, т. к. нормальных служб с подобными именами не существует). Найденные записи удаляем.

На скриншоте пример такой службы показан стрелкой. Зелеными рамками обведены похожие НОРМАЛЬНЫЕ записи. Здесь очень важно ничего не перепутать!



В более редких случаях данный зловред создает службы с цифробуквенными именами без приписки .exe, но отличить их от нормальных сможет не каждый. Поэтому, чтобы не причинить вреда системе, рассматривать их удаление не будем.

Сами по себе эти записи вреда не несут, и если вы их оставите, ничего страшного не случится. Разве что тогда, после удаления файлов, которые запускаются этими службами, во время загрузки Windows могут появляться сообщения о том, что такой-то файл не найден.

6. Теперь пора нанести завершающий удар по вредоносу — добить его с помощью AVZ. Запустим утилиту (по умолчанию она запускается от имени администратора), откроем меню Файл и выберем пункт Выполнить скрипт.



Копируем текст между линиями в буфер обмена:
_______________
begin
RegKeyStrParamWrite('HKCU','Software\Microsoft\Windows\CurrentVersion\Internet Settings','ProxyServer', '');
DeleteFileMask('%ProgramData%\iepluginservices', '*', true);
DeleteFileMask('%ProgramFiles%\winrst', '*', true);
DeleteFileMask('%ProgramFiles%\pirrit', '*', true);
DeleteFileMask('%ProgramFiles%\gamesrs', '*', true);
DeleteFileMask('%ProgramFiles(x86)%\winrst', '*', true);
DeleteFileMask('%ProgramFiles(x86)%\pirrit', '*', true);
DeleteFileMask('%ProgramFiles(x86)%\gamesrs', '*', true);
DeleteFileMask('%LocalAppdata%\pirritsuggestor', '*', true);
DeleteDirectory('%ProgramData%\iepluginservices');
DeleteDirectory('%ProgramFiles%\winrst');
DeleteDirectory('%ProgramFiles%\pirrit');
DeleteDirectory('%ProgramFiles%\gamesrs');
DeleteDirectory('%ProgramFiles(x86)%\winrst');
DeleteDirectory('%ProgramFiles(x86)%\pirrit');
DeleteDirectory('%ProgramFiles(x86)%\gamesrs');
DeleteDirectory('%LocalAppdata%\pirritsuggestor');
DeleteService('GamesRS');
DeleteService('IePluginServices');
DeleteService('WinRST');
DeleteService('PirritUpdater');
DeleteService('PirritDesktop');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
___________________

вставляем его в окошко и жмем Запустить.



Компьютер будет перезагружен.

Это удалит остатки вредоноса — файлы, папки и службы с постоянными именами. А также очистит сведения о прокси-серверах в настройках сетевых подключений.

Внимание! Если вы постоянно используете прокси для доступа к веб-ресурсам (то есть, сами создавали эту настройку), удалите из кода эту строку:
________________
RegKeyStrParamWrite('HKCU','Software\Microsoft\Windows\CurrentVersion\Internet Settings','ProxyServer', '');
________________

иначе эта команда обнулит вашу настройку.

7. После загрузки в нормальном режиме почистите кэш Стима, и реклама вас больше не побеспокоит.

На выполнение всех этих действий уходит около 15-20 минут.
_________________________________________________________

* Точное выполнение этой инструкции не может нанести вреда пользовательским данным, Windows и программному обеспечению.

** Не исключено, что описанные здесь действия вам не помогут. Так может быть, если проблему вызывал вредонос другого типа, если имеет место заражение сразу несколькими «вирусами» или если авторы AdWare.Win32.Tirrip когда-нибудь переработают его алгоритм.