Удаление Trovi / Conduit / Search Protect — полное руководство

Быстрые ссылки

• Как вы могли заразиться
• Удаление Trovi / Search Protect
• Использование Google Chrome Software Removal Tool
• Очистка настроек Internet Explorer
• Сканирование системы Malwarebytes

Если ваш компьютер захвачен вредоносным ПО, которое мешает менять домашнюю страницу, велика вероятность заражения Trovi Search Protect (раньше известного как Conduit). Ниже — подробная инструкция по обнаружению, удалению и проверке.

Как вы могли заразиться

Обычно установка происходит при загрузке бесплатных программ с сайтов, которые объединяют в инсталлятор дополнительные элементы. Пользователь соглашается с длинной лицензией или «галочкой», не читая условия, и вместе с нужной программой устанавливается PUP (potentially unwanted program) — в нашем случае Search Protect.

Почему это именно вредоносное ПО, а не просто «рекомендованный компонент»? Оно не устанавливается как обычное расширение браузера и часто перехватывает процессы через Windows API, модифицирует поведение браузера и вставляет перенаправления/рекламу. Эти техники не применяются законными приложениями.

Важно: такие инсталляторы обычно включают законные пункты в лицензионных соглашениях и предоставляют опцию удаления, но способы установки и скрытность делают их опасными для конфиденциальности и стабильности системы.

Удаление Trovi / Search Protect — пошагово

1. Найдите и откройте панель Search Protect (иконка в системном трее). Важно сначала вернуть настройки браузера через панель, иначе при удалении программа может сохранить нежелательные параметры.

2. В панели верните домашнюю страницу (Home Page) к Google или другой предпочитаемой.

3. Смените страницу новой вкладки (New Tab) на «Browser Default» или стандартную для вашего браузера.

4. Установите поиск по умолчанию обратно на «Browser default search engine» или нужный вам поисковик.

5. Снимите галочку с «Enhance my search experience» — эта опция не улучшает поиск.

6. Откройте Панель управления → «Удаление программ» (Programs and Features) и найдите Search Protect. Нажмите Uninstall. Удаляйте также другие похожие записи (например, SaveSense или элементы с именами, связанными с Conduit/Trovi).

Примечание: после деинсталляции может потребоваться перезагрузка. Но на этом работа не заканчивается — остаются следы в браузерах и в реестре.

Использование Google Chrome Software Removal Tool (SRT)

Если вы используете Chrome, загрузите и запустите Google Software Removal Tool — он автоматически находит и удаляет нежелательные программы, влияющие на Chrome. После удаления Chrome предложит сбросить настройки — согласитесь, если вам важна чистота профиля.

Совет: при сбросе настроек Chrome ваши закладки сохранятся, но для сайтов потребуется повторный вход.

Очистка Internet Explorer (IE)

В Internet Explorer откройте меню «Сервис» → «Управление надстройками» (Manage Add-ons). Переключитесь на «Поставщики поиска» (Search Providers) и удалите Trovi/Conduit, установите нужный провайдер.

Для Edge и Firefox: войдите в настройки поиска/надстроек и удалите подозрительные элементы. В Firefox используйте «about:preferences#search» и «about:addons».

Сканирование Malwarebytes — лучший инструмент для adware/spyware

Антивирусы традиционно ориентированы на вирусы и трояны — они хуже работают с рекламным ПО и похитителями браузера. Malwarebytes — один из надёжных инструментов для обнаружения и удаления adware/PUP.

1. Скачайте Malwarebytes с официального сайта и установите.
2. Запустите «Scan Now» (Сканировать сейчас) и дождитесь завершения.

3. Нажмите «Apply Actions» (Применить действия) для удаления найденного.

4. Перезагрузите компьютер и повторите сканирование, если потребуется.

Важно: бесплатная версия удаляет найденные объекты при сканировании. Платная версия даёт проактивную защиту, но не обязательна для очистки.

Важное: запускайте сканирование в безопасном режиме, если элементы не удаляются обычным способом. Безопасный режим загружает минимальный набор драйверов и мешает автозапуску вредоносных компонентов.

Что делать, если после удаления проблема возвращается

Если после удаления Trovi/Conduit настройки снова портятся, выполните следующие действия:

• Проверьте автозагрузку (msconfig или Диспетчер задач → Автозагрузка) на подозрительные элементы.
• Используйте Process Explorer, чтобы найти процессы, которые перехватывают адреса браузера.
• Выполните полное сканирование несколькими сканерами (Malwarebytes + AdwCleaner + HitmanPro). Не используйте неизвестные «очистители».
• В крайнем случае — восстановите систему к контрольной точке до заражения или создайте новый профиль пользователя и перенесите данные вручную.

Альтернативные подходы и дополнительные инструменты

• AdwCleaner (Malwarebytes) — лёгкий инструмент для удаления adware и PUP.
• HitmanPro — облачный сканер для резервной проверки.
• Process Explorer — для анализа активных процессов и обнаружения внедрений.
• Ручная очистка реестра (только опытным пользователям) — искать упоминания Conduit/Trovi/Search Protect в HKLM\Software и HKCU\Software.

Важно: ручное редактирование реестра опасно — сделайте экспорт веток перед изменением.

Ментальные модели и эвристики для предотвращения повторного заражения

• Модель доверия: если сайт использует агрессивные предложения и галочки по умолчанию для доп. ПО — не доверяйте. Скачивайте ПО только с официального сайта разработчика.
• Принцип наименьших привилегий: работайте под обычной учетной записью, а не под администратором.
• Разделение функций: для банков и критичных сервисов используйте отдельный профиль/браузер без расширений.

Роль‑ориентованные чек-листы

Для домашнего пользователя:

• Вернуть настройки браузера через панель Search Protect
• Удалить Search Protect через Панель управления
• Прогнать Malwarebytes + AdwCleaner
• Перезагрузить ПК и проверить результат

Для IT‑поддержки:

• Собрать лог процессов (Process Explorer)
• Проверить автозагрузку и задачи планировщика
• Просканировать с несколькими специализированными сканерами
• Вернуть систему из резервной копии при необходимости

Для системного администратора / SOC:

• Проверить массовые инсталляции в сети (вендор, MSI-пакеты)
• Отключить доступ к ресурсам распространения PUP
• Настроить политику запрета установки ПО через GPO

Мини‑методология: Diagnose → Contain → Remove → Verify → Prevent

1. Diagnose: зафиксируйте симптомы и соберите логи.
2. Contain: ограничьте заражённое устройство (отключите от сети, при необходимости).
3. Remove: деинсталлируйте, прогоните SRT, Malwarebytes.
4. Verify: убедитесь, что настройки восстановлены и процесс не возвращается.
5. Prevent: обновите политики, обучите пользователя, установите адекватный EDR/антивирус.

Критерии приёмки

• Домашняя страница и поиск возвращены к желаемым настройкам.
• В списке установленных программ нет Search Protect / Conduit / Trovi.
• Malwarebytes/AdwCleaner не находят активных троянов/PUP.
• После перезагрузки изменения не возвращаются в течение 48 часов.

Инцидент‑рукбук и откат (runbook)

1. Создайте резервную копию важных данных.
2. Выполните шаги удаления (панель → деинсталляция → SRT → Malwarebytes).
3. Если браузер продолжает вести себя неправильно — создайте новый профиль браузера и импортируйте закладки.
4. Если проблема массовая в сети — откатить на контрольную точку/образ до момента заражения.

Тестовые сценарии (Test cases)

• TC1: После удаления и перезагрузки домашняя страница на месте — ожидание: URL домашней страницы совпадает с заданным.
• TC2: Попытка установить подозрительный инсталлятор в песочнице — ожидание: без явного согласия дополнительное ПО не устанавливается.
• TC3: Скан Malwarebytes на чистой системе — ожидание: ноль обнаружений.

Глоссарий (одна строка)

• PUP: потенциально нежелательная программа, может изменять поведение браузера без явной пользы.
• SRT: Software Removal Tool от Google для очистки Chrome от посторонних программ.
• Adware: ПО, которое показывает рекламу или перехватывает трафик.

Когда этот подход не срабатывает

• Если вредоносное ПО закрепилось в системных драйверах или службах — потребуется углублённая очистка, загрузка в безопасном режиме или восстановление образа системы.
• Если заражение массовое в корпоративной сети — локальных действий недостаточно; требуется сетевой аудит и блокировка источника распространения.

Риски и рекомендации по безопасности

• Никогда не доверяйте инсталляторам с агрегаторов без проверки SHA256 или подписи издателя.
• Для критичных рабочих станций запретите установка стороннего ПО через политику.

Короткое резюме

• Сначала используйте панель Search Protect, чтобы вернуть настройки браузера.
• Удалите программу через Панель управления и прогоните Google SRT (для Chrome).
• Обязательно просканируйте систему Malwarebytes и перезагрузите ПК.
• Если проблема возвращается — проверьте автозагрузку, используйте Process Explorer и рассмотрите восстановление системы.

Итог: последовательность Diagnose → Contain → Remove → Verify → Prevent минимизирует риск повторного заражения и поможет вернуть браузер в нормальное состояние.