一个潜在的不受欢迎的程序(PUP),属于Neobar家族的浏览器劫机者,被发现使用不同的技巧来“说服”他们的受害者使用他们的搜索引擎“与我们一起搜索!”

它将向受害者显示一个提示,让他们知道对他们的电脑有有效的限制,并在他们试图更改Internet Explorer的搜索引擎设置时联系他们的系统管理员。

SearchWithUs

该应用程序将安装自己的搜索引擎作为默认搜索引擎。这对劫机者来说并不罕见,然而,它也禁用了用户对搜索引擎列表进行任何其他更改的能力。它通过设置注册表值来实现这一点。

Policykey

[HKEY_CURRENT_USER \ Software \ \ \ Infodelivery \ \ Microsoft Internet Explorer政策限制]“UsePolicySearchProvidersOnly”= dword: 00000001

此值通常使用组策略编辑器设置。

虽然用户可以在安装过程中选择将视频保护程序的搜索引擎设置为默认设置,但取消这个选项并不能阻止用户进行修改。

搜索

固定的限制

如果您在受影响的计算机上拥有管理员权限,有两种方法可以删除此限制。第一个是更改或删除注册表值。如果您手动更改注册表,我们建议您总是进行备份,因为任何意外的修改都可能对您的操作系统的运行产生严重的影响。

第二种(也是首选的)方法是使用“组策略编辑器”。您可以通过打开“运行”对话框(Winkey + R)启动“组策略编辑器”,然后输入并运行“组策略编辑器”gpedit.msc”命令,将启动“本地组策略编辑器”。

PolicySetting

一旦进入策略编辑器,导航到“管理模板”>“Windows组件”>“Internet Explorer”,找到“限制搜索提供者到特定列表”。(提示:你可以按字母顺序点击列表顶部的“设置”栏来组织设置。这使得你想要的设置更容易找到。)接下来右键单击“限制搜索提供者到特定列表”,并选择“编辑”。

Policychange

在生成的表格中,选择“禁用”选项,然后点击“应用”(当你这样做时,请确保关闭Internet explorer,否则更改可能不会立即生效)。点击“确定”关闭表单并关闭“本地组策略编辑器”。当您再次运行Internet Explorer时,您应该能够再次访问和操作“搜索提供者”设置。实际上,这将把注册表值更改为0。

视频保护程序的其他特点

视频保护程序浏览器劫机者是相当侵入性的。如果有机会的话,他们会对你的系统做很多改动。这个PUP使用服务和计划任务向用户呈现广告。据悉,视频保护程序还可以安装ie、Chrome、Firefox和Opera的扩展。

它还能够更改这些浏览器的搜索提供程序。详细的报告可以在移除指南中找到1.1.1.2版本版本3.0.3这个浏览器劫机者的照片。

PUP的卸载入口指向“gigabase(dot)ru”,目前这似乎完全不相关,但与搜索劫机者有关。“更新任务”似乎联系' bestgue(dot)ru ',这是被确认恶意VirusTotal

protection1

检测

安装程序和文件下降的视频保护程序检测必威平台APP伪反恶意软件作为PUP.Optional.NeoBar和PUP.Optional.VideoSaver。

建议使用“将PUP检测视为恶意软件”设置,以自动删除这些威胁和其他类似威胁。在运行扫描之前,没有必要删除注册表中的限制。

必威平台APP伪反恶意软件可以删除“与我们一起搜索!”“搜索引擎即使有限制。然而,它不会删除限制本身,因为我们无法知道限制是否真的是由系统管理员设置的,所以请按照本指南删除该方面。

更新

到目前为止(数据库v2015.10.16.05), Malwarebyte必威平台APPs Anti-Malware删除此块,如果有理由假设该策略是由videosver /Neobar设置的。

Pieter Arntz