7 октября 2013 г.

Как избавиться от Whilokii?

Недавно я имел неосторожность скачать и установить одну программу. Сама программа безобидна, да и скачивал я с официального сайта. Но судя по всему, то ли во время скачивания программы,то ли во время ее установки, она незаметно для меня установила еще одну программу.

Нужно сказать, что человек я осторожный насчет программ. Антивирус у меня работает. Да и при установки программ, я всегда внимательно смотрю и выбираю, что именно установить. Если предлагают установить Яндекс.Бар или еще какую-нибудь гадость - отключаю.

Так вот, я вдруг обнаружил, что при открытии любой страницы в браузерах Internet Explorer и Google Chrome, у меня начали выскакивать всякие окна, попапы и попандеры и другая нечесть с рекламой, ссылки с которых вели на сайт то ли whilokii.com, то ли whilokii.org.

Поэтому если вы вдруг столкнулись с подобной проблемой, то вот как я ее решил на своем лэптопе.


Кстати, мой антивирус ее никак не определил и не отловил. Поэтому нужно было уничтожить ее вручную.

Сразу скажу, что программа эта запускается, как Windows-сервис, но в вы этот сервис остановить не сможете - все пункты меню будут дезактивированы. Единственное что можно сделать - это выбрать тип запуска  - "Отключена". Но при перезагрузки компа, эта служба все равно запуститься.

Что можно сделать?


1. Закройте все окна браузеров


Не знаю, нужно ли это сделать, но я закрыл все окна всех браузеров, так как этот рекламно-шпионский модуль Whilokii проявляет себя именно в сочетании с браузерами.


2. Принудительно завершите процесс Whilokii


(Если честно, я уже не помню, выполнял этот шаг или нет. Но по логике, его нужно сделать.)
  1. Нажмите WIN + R, введите taskmgr и нажмите ENTER.
  2. В появившемся окне "Диспетчера задач Windows" перейдите на вкладку "Процессы".
  3. Нажмите кнопку "Отображать процессы от всех пользователей".
  4. Отсортируйте процессы по алфавиту по полю "Имя образа".
  5. Найдите процесс updateWhilokii.exe
  6. Выберите его и нажмите DELETE.
  7. Подтвердите, если нужно, что вы хотите его завершить.

3. Переключите тип запуска вредоносной службы на "Отключено"


Опять же не знаю, насколько важен этот шаг, так как он ни на что, похоже, не влияет, как я написал выше. Но на всякий случай можете его сделать.
  1. Нажмите WIN + R, введите services.msc и нажмите ENTER.
  2. В "Службах" найдите службу Update Whilokii. (Подсказка: Обычно у всяких нехороших служб отсутствует "Описание". Так вы ее можете быстро найти отсортировав службы по полю "Описание". Конечно, обратное не всегда справедливо: Отсутствие описание у службы не означает, что она нехорошая.)
  3. Кликните правой кнопкой на службе и в меню выберите "Свойства".
  4. В "Типе запуска" выберите "Отключено" и нажмите "ОК".

4. Удалите файлы программы/службы Whilokii


Я сделал поиск по системному диску главным образом в папках Program Files, Program Files (x86) и Windows по слову whilokii.

Файлы программы обнаружились по этому пути:

C:\Program Files (x86)\Whilokii

Просто удалите эту папку с файлами. Желательно нажав SHIFT+DELETE, чтобы файлы были удалены, не попадая в корзину.


5. Удалите все ключи в реестре, в которых встречается слово Whilokii


Эта гадость Whilokii прописывает себя в куче мест в реестре. Вы даже не представляете, сколько раз.

Перед тем как работать с реестром, сделайте его резервную копию, если есть возможность. Я лично не делал, понадеялся на "авось". В принципе, после очистки реестра, ничего не произошло. Но если вы как и я будет чистить реестр без резервной копии - делайте это на свой страх и риск.

  1. Нажмите WIN + R, введите regedit и нажмите ENTER.
  2. В окне "Редактора реестра" нажмите CTRL+F, чтобы вызвать окно поиска.
  3. В поле "Найти" введите Whilokii или whilokii.
  4. Удостоверьтесь, что все опции под "Просматривать при поиске", включены.
  5. Нажмите кнопку "Найти далее".

Теперь, когда поиск обнаружит запись в правой части или левой части окна редактора реестра со словом Whilokii, удаляйте весь ключ в правой части окна, в котором эта запись находится. (Опять же не удалите лишнего, а то у вас Windows может перестать работать :), удаляйте именно это ключ.)

Когда удалили первую запись (ключ), нажмите F3, чтобы продолжить поиск в реестре. И после этого продолжайте удалять и опять нажимать F3, чтобы найти и "обезвредить" все записи.

Наберитесь терпения, потому что записей в реестре этот Whilokii насоздавал прилично.

После того как поиск сообщит, что записей больше таких не найдено, повторите поиск, если вы такие же перестраховщики, как и я. Выберите корневой элемент в реестре в правой части окна и заново вызовите окно поиска, нажав CTRL+F.

Можно конечно воспользоваться сторонними приложениями, которые делают бэкап и очищают реестр по заданному слову автоматически. Я не пользуюсь, поэтому тут ничего не посоветую, только могу сказать, что так будет даже проще.


6. Перезагрузите компьютер


Если вы минимум удалили файлы Whilokii и очистили реестр от его записей, обязательно перезагрузите компьютер.

После перегрузки, ради перестраховки, проверьте в такой последовательности, что :
  1. В C:\Program Files (x86) нет папки Whilokii.
  2. В реестре нет записей со словом Whilokii (повторите поиск).
  3. В "Службах" нет службы "Update Whilokii".
  4. При открытии страниц в браузере, на которых нет своей рекламы, не выскакивает какая-то реклама, особенно с ссылкой на сайт Whilokii
Кстати, программа эта, похоже, что не трогает Firefox. Если судить по файлам, которые она устанавливает, то это так:
  • dlmdlmoekcipeicfbnohedgkglmbhcla.crx - это расширение для Chrome
  • WhilokiiBHO.dll - это BHO-надстройка для Internet Explorer
UPD (11-10-13): Whilokii затрагивает все браузеры, в т.ч. Firefox, как пиште amah в комментариях ниже. Читать продолжение про Whilokii.

Ну, все. Удачной охоты!

10 комментариев:

  1. Трогает и Firefox :( После сделанного пропали рекламные баннеры где попало но при виделении текста просит отправить цитату на твиттер, и прочее.
    Файлы удалили вроде все

    ОтветитьУдалить
    Ответы
    1. Покопался в Firefox и нашел в "Дополнениях" плагин Whilokii - удалил - перезагрузил браузер вроде не появляется больше этот вирус.
      Спасибо за статью

      Удалить
    2. Спасибо!

      Удалить
  2. А не играя в крутых хакеров, просто удалить модуль через "Установка/Удаление программ" религия не позволяет?
    Если его там нет, значит установлено не инсталлятором а через браузер, тогда в браузере отключить/удалить расширение (надстройку, плагин).
    О чем, кстати, на офсайте проги указано.

    ОтветитьУдалить
  3. Можно.

    Но в этом блоге я пишу так, как я сделал, а не так как можно сделать.

    А учитывая то, что этот Whilokii ведет себя как вредоносная программа, у меня есть все основания не доверять всему, что с ней связано. В том, числе удалению через "Установку/удаление" и т.п. стандартные способы.

    Так ясно?

    ОтветитьУдалить
  4. Утилита доктор Веб ругается на эту прожку и беспощадно ее сничтожает.

    ОтветитьУдалить
  5. В папке Programm files папка Whilokii там есть exe файл uninstall и он прекрасно все удаляет без перезагрузки и прочей лабуды

    ОтветитьУдалить
    Ответы
    1. Знаю. Можно и через "установку и удаление программ", как подсказывают выше, но...

      1. Программа возникла на моем компе без моего ведома и
      2. ведет себя как вирус

      Поэтому недоверие к штатному анинстоллеру оправдано.

      Граничит с паранойей, согласен. Но так надежнее.

      А ваше дело удалять как вам нравится. Я не говорю что мой способ лучше. Это просто способ, который я использовал.

      Удалить
  6. Удалить эту назойливую программу удалось. Но только она долго не хотела останавливаться, пришлось весь вышеизложенный процесс проводить в безопасном режиме. А за рекомендацию большое спасибо.

    ОтветитьУдалить
  7. гениальное просто- скачайте и запустите бесплатную утилиту доктор веб кюрелт и будет вам счастье...

    ОтветитьУдалить