IPB

Здравствуйте, гость ( Вход | Регистрация )

> ПРАВИЛА ФОРУМА

Все ссылки на сторонние ресурсы, за исключением офсайтов программ и их зеркал, должны оформляться с помощью тега скрытого текста - [hide=1] URL [/hide] и никак иначе. За нарушение будет строгое наказание.

> Шпионы и чернуха, изменение стартовой страницы, hijack, эксплойты, всплывающие окна
Sercam
22.05.2003 - 22:33
Сообщение #1



VrnLan-MapMaker
Group Icon
Группа: VIP
Сообщений: 788
Регистрация: 19.01.2003
Из: Воронеж

Пользователь №: 5146




Дикая проблемка у меня.
Заслали мне какую-то хрень, и теперь у меня Explorer автоматом вместо нужного сайта коннектится к какойто ерунде эротической http://www.eroson.com/indexf.html , и всплывают ещё 2 сайта : url=http://dolls.nu/ и url=http://publichouse.ru/. Беда какая-то. Ничего не могу сделать, поудалял уже всё что мог. И где только эта хрень прописалась, ума не дам.
Может подскажете чего-нибудь дельного, как избавить комп от всякой нечисти.
huh.gif


--------------------
Нет предела собственному совершенствованию !!!
Воронеж хрен догонишь!
User is offlineProfile Card PM
Go to the top of the page
+
5 Страницы V  1 2 3 > »   
Reply to this topicStart new topic
Ответов(1 - 24)
Dron
22.05.2003 - 22:42
Сообщение #2



Networker
Group Icon
Группа: Модераторы
Сообщений: 754
Регистрация: 18.06.2002
Из: Dnepropetrovsk, Ukraine

Пользователь №: 179




Sercam
Самое надежное... переставить систему... :D
а так... проскань реестр на наличие первого сайта
hттp://www.eroson.com
так же посмотри установки домашней и других страниц...


--------------------
Та Да....
User is offlineProfile Card PM
Go to the top of the page
+
Sercam
22.05.2003 - 22:46
Сообщение #3



VrnLan-MapMaker
Group Icon
Группа: VIP
Сообщений: 788
Регистрация: 19.01.2003
Из: Воронеж

Пользователь №: 5146




Цитата(Dron @ 22.05.2003 - 22:42)
Sercam
Самое надежное... переставить систему...  :D
а так... проскань реестр на наличие первого сайта
hттp://www.eroson.com
так же посмотри установки домашней и других страниц...

Домашнюю страницу обнуляю, а при следующем открытии любой другой страницы в нете сразу прописывается снова та ерунда.
А в реестре где точнее покопаться?

Сообщение было отредактировано Sercam: 22.05.2003 - 23:05


--------------------
Нет предела собственному совершенствованию !!!
Воронеж хрен догонишь!
User is offlineProfile Card PM
Go to the top of the page
+
Val14
22.05.2003 - 22:48
Сообщение #4



DIGGER
Group Icon
Группа: Старейшины
Сообщений: 1884
Регистрация: 29.07.2002
Из: Москва

Пользователь №: 541




Sercam
Обычная проблема для любителей "клубнички" :D
Ты (или не ты ;) ) заходили на порно- эрото- сайты и через дыры в безопасности Internet Explorer у тебя прописались в ветках реестра ссылки на эти сайты.
Вывод простой : запускаешь REGEDIT жмешь CTRL-F и ищешь свои .http://www.eroson.com/indexf.html, .http://dolls.nu/ и .http://publichouse.ru/. Соответственно найденные ветки реестра удаляешь.
Лучше понимать, что ты удаляешь. Если опыта нет, то попроси кого-нибудь. Ну, а если некого просить, то рискуй сам w00t.gif
Установка поверх той же версии IE - ничего не дает. Лучше достать IE6 SP1 с февральским обновлением (у меня под рукой ссылок нет, но я думаю Модераторы Ликбеза - подскажут) и установить его. Кажется, часть этих дырок перекрыта.

ЗЫ Ещё одно матерное выражение и вместо помощи получишь :moder:

Сообщение было отредактировано Val14: 22.05.2003 - 22:49
User is offlineProfile Card PM
Go to the top of the page
+
Sercam
22.05.2003 - 22:49
Сообщение #5



VrnLan-MapMaker
Group Icon
Группа: VIP
Сообщений: 788
Регистрация: 19.01.2003
Из: Воронеж

Пользователь №: 5146




Dron
Через найти в реестре поискал - ничего.


--------------------
Нет предела собственному совершенствованию !!!
Воронеж хрен догонишь!
User is offlineProfile Card PM
Go to the top of the page
+
Sercam
22.05.2003 - 22:51
Сообщение #6



VrnLan-MapMaker
Group Icon
Группа: VIP
Сообщений: 788
Регистрация: 19.01.2003
Из: Воронеж

Пользователь №: 5146




Цитата(Val14 @ 22.05.2003 - 22:48)
Sercam
Обычная проблема для любителей "клубнички"  :D
Ты (или не ты ;) ) заходили на порно- эрото- сайты и через дыры в безопасности Internet Explorer  у тебя прописались в ветках реестра ссылки на эти сайты.
Вывод простой : запускаешь REGEDIT жмешь CTRL-F и ищешь свои .http://www.eroson.com/indexf.html, .http://dolls.nu/ и .http://publichouse.ru/. Соответственно найденные ветки реестра удаляешь.
Лучше понимать, что ты удаляешь. Если опыта нет, то попроси кого-нибудь. Ну, а если некого просить, то рискуй сам w00t.gif
Установка поверх той же версии IE - ничего не дает. Лучше достать IE6 SP1 с февральским  обновлением (у меня под рукой ссылок нет, но я думаю Модераторы Ликбеза - подскажут) и установить его. Кажется, часть этих дырок перекрыта.

ЗЫ Ещё одно матерное выражение и вместо помощи получишь :moder:

А какой параметр у первой страницы?
Прикол что не лазил я по таким сайтам...


--------------------
Нет предела собственному совершенствованию !!!
Воронеж хрен догонишь!
User is offlineProfile Card PM
Go to the top of the page
+
Sercam
22.05.2003 - 23:01
Сообщение #7



VrnLan-MapMaker
Group Icon
Группа: VIP
Сообщений: 788
Регистрация: 19.01.2003
Из: Воронеж

Пользователь №: 5146




Val14
Ругаться не буду.
ОК. В реестре нашёл ссылку на сайт. Удалил -
start page ....................... .
Выхожу из реестра, захожу на любой сайт и снова всплывает эта ерунда. Заглядываю в реестр - а ссылка на месте !!!
Что теперь делать?
SP1 к 6.0 версии Explorer у меня есть, с "ЧИП'ом" был, стоит у меня и ещё раз ставил. Ноль эффекта.
Я в тупике.


--------------------
Нет предела собственному совершенствованию !!!
Воронеж хрен догонишь!
User is offlineProfile Card PM
Go to the top of the page
+
Sercam
22.05.2003 - 23:02
Сообщение #8



VrnLan-MapMaker
Group Icon
Группа: VIP
Сообщений: 788
Регистрация: 19.01.2003
Из: Воронеж

Пользователь №: 5146




А попробуйте кто-нибудь зайдите на www.mail.ru. У вас эта фигня не выпадет? На этот сайт особо рьяно эти ссылки реагируют.


--------------------
Нет предела собственному совершенствованию !!!
Воронеж хрен догонишь!
User is offlineProfile Card PM
Go to the top of the page
+
Zol
22.05.2003 - 23:15
Сообщение #9



МАГНАТ-ФЛУДЁР-СПОНСОР
Group Icon
Группа: Старейшины
Сообщений: 174
Регистрация: 8.10.2002
Из: Там где касса

Пользователь №: 1344




Sercam
все тихо на www.mail.ru, никакой чернухи... Ни одна фигня не выпала, только так, по мелочи, зубы-волосы... Проверяйся тщательнЕй, Spy-Adware, Куки-шмуки и убедись что ты сохраняешь реестр после того как удалил все что хотел. :)

ПЦ. Может тебе кто годовой абинимент "на клубничку" в качестве сюрприза подарил. :)


--------------------
• Меня нет, приходите завтра, но меня и завтра не будет •
User is offlineProfile Card PM
Go to the top of the page
+
Sercam
22.05.2003 - 23:24
Сообщение #10



VrnLan-MapMaker
Group Icon
Группа: VIP
Сообщений: 788
Регистрация: 19.01.2003
Из: Воронеж

Пользователь №: 5146




Цитата(Zol @ 22.05.2003 - 23:15)
Sercam
все тихо на www.mail.ru, никакой чернухи... Ни одна фигня не выпала, только так,  по мелочи, зубы-волосы... Проверяйся тщательнЕй, Spy-Adware, Куки-шмуки  и убедись что ты сохраняешь реестр после того как удалил все что хотел.  :)

ПЦ. Может тебе кто годовой абинимент "на клубничку" в качестве сюрприза подарил.  :)

Zol В реестре просто удаляю и выхожу. Никакого сообщения о сохранинии. Просто выходит из реестра.
А почему спросил про MAIL, на других сайтах ещё ничего,но когда захожу на этот, зразу пошли какие-то мелькания IP внизу, названия страниц и т.п., подразумеваю что вся эта фигня тогда и закачивается... А как это возможно, и тем более как избавиться ума не дам.
А про абонемент шутка на 5 баллов.


--------------------
Нет предела собственному совершенствованию !!!
Воронеж хрен догонишь!
User is offlineProfile Card PM
Go to the top of the page
+
Gamer
23.05.2003 - 00:02
Сообщение #11



Налоговик...
Group Icon
Группа: Старейшины
Сообщений: 527
Регистрация: 16.12.2001
Из: Москва

Пользователь №: 217




Млин посмотри еще, что грузиться при загрузке компа? Если есть что-то подозрительное, то удали должно помочь.


--------------------
[url=http://www.bestfilez.net/chat]Заходи в IRC:[/url]
Сервер - [b]irc.rizon.net:6668[/b]
Канал - [b]#bestfilez.net[/b]
--------------------------
User is offlineProfile Card PM
Go to the top of the page
+
Dron
23.05.2003 - 00:27
Сообщение #12



Networker
Group Icon
Группа: Модераторы
Сообщений: 754
Регистрация: 18.06.2002
Из: Dnepropetrovsk, Ukraine

Пользователь №: 179




Sercam
также кроме автозакрузки посмотри строки
load=
run=
в win.ini
если там есть что-то чего ты на комп не ставил удали (сделай сначала копию ;) )
потом проверь реестр по этому пути... может отсюдова чего-то грузится...
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
а также проскань реестр на предмет имен сайтов только без www и com, ru
может быть и такой вариант...

Сообщение было отредактировано Dron: 23.05.2003 - 00:28


--------------------
Та Да....
User is offlineProfile Card PM
Go to the top of the page
+
drSAB
23.05.2003 - 02:21
Сообщение #13



RULEZ МОДЕРАТОР
Group Icon
Группа: Супермодераторы
Сообщений: 25162
Регистрация: 14.06.2002
Из: Free pirat

Пользователь №: 705




Sercam
скорее всего ты наступил на джойн-вирус (небольшой скриптик, который тебе теперь пакостит)
Поработай антивирусами KAV или DrWEB
они их бьют :D

Если он сидит где-то на пути загрузки - то здесь лучшей TrojanRemover или STOP!
User is offlineProfile Card PM
Go to the top of the page
+
Sercam
23.05.2003 - 09:07
Сообщение #14



VrnLan-MapMaker
Group Icon
Группа: VIP
Сообщений: 788
Регистрация: 19.01.2003
Из: Воронеж

Пользователь №: 5146




Цитата(drSAB @ 23.05.2003 - 02:21)
Если он сидит где-то на пути загрузки - то здесь лучшей TrojanRemover или STOP!

drSAB
Не знаешь где их в нете скачать чтобы эти проги всё полечили?


--------------------
Нет предела собственному совершенствованию !!!
Воронеж хрен догонишь!
User is offlineProfile Card PM
Go to the top of the page
+
YUNGA
23.05.2003 - 09:27
Сообщение #15



Железный Адмирал
Group Icon
Группа: Старейшины
Сообщений: 357
Регистрация: 19.07.2002
Из: KUZZBAZZ

Пользователь №: 577




Sercam
Ну в самом деле, разве так трудно набрать 15 букв просто в темe full version and Rulez по фильтру? Это ж Bestfilez! Свежие новости каждый день! Форум на все случаи жизни! И все понятно из названия. Будь внимательней и быстрее справишьсь со своей проблемой. :)
matros.gif


--------------------
Большому кораблю большую торпеду.....
User is offlineProfile Card PM
Go to the top of the page
+
drSAB
23.05.2003 - 11:34
Сообщение #16



RULEZ МОДЕРАТОР
Group Icon
Группа: Супермодераторы
Сообщений: 25162
Регистрация: 14.06.2002
Из: Free pirat

Пользователь №: 705




Sercam
В дополнение совета от Val14
это же можно сделать не влезая в реестр:

Запусти IE (желательно без подключения к интернету)
Верхнее меню IE:
Сервис -> Свойства обозревателя -> Общие -> Домашняя страница
там есть три опции [C пустой] [С исходной] [С домашней]
... и строка [Адрес] - во всех трех режимах установи about:blank
и каждый раз при этом выполняй [Применить] [ОК]
Закрыть IE, перегрузить комп

Снова вызови IE и посмотри - остались ли эти настройки?

А YUNGA абсолютно прав :D
набери в full version and Rulez в строке быстрого поиска слово trojan
и увидишь всех антитроянцев :D

их всегда желательно иметь на компе

:D одно другому не помешает

P.S.
Дополнения к IE6 ты всегда можешь посмотреть
в разделе форума ->General ->Global News
в теме:
Microsoft уполномочен заявить... (Страница 5 )
User is offlineProfile Card PM
Go to the top of the page
+
Sercam
24.05.2003 - 15:30
Сообщение #17



VrnLan-MapMaker
Group Icon
Группа: VIP
Сообщений: 788
Регистрация: 19.01.2003
Из: Воронеж

Пользователь №: 5146




drSAB
В свойствах ставить с пустой бесполезно, после следующего захода на любую страницу всё обновляется и перепропмсывается.
Скачал себе TrojanRemover. Ничего он не находит, правда пишет что осталось 30 дней, но работает - и не находит. Ключ вроде правильно прописал. как в форуме написано.
Что не правильно???


--------------------
Нет предела собственному совершенствованию !!!
Воронеж хрен догонишь!
User is offlineProfile Card PM
Go to the top of the page
+
helper
24.05.2003 - 16:20
Сообщение #18



Гость










Проверь на подозрительные файлы:
C:\Program Files\Internet Explorer\PLUGINS
и
C:\WINDOWS\Downloaded Program Files
если у тебя 2к/xp
потом вычисти реестр
Go to the top of the page
+
Sercam
24.05.2003 - 20:36
Сообщение #19



VrnLan-MapMaker
Group Icon
Группа: VIP
Сообщений: 788
Регистрация: 19.01.2003
Из: Воронеж

Пользователь №: 5146




helper
И там и там пусто. Ни единого файла.

А вот ещё прикол.
Скажем сайт www.yandex.ru или www.rambler.ru открывается без проблем и последствий, но стоит только зайти мне на www.mail.ru - и сразу пошла какая-то закачка, открытие других страниц, прописывается этот сайт в автозагрузку везде где только можно.


Пока не помогает ничего.


--------------------
Нет предела собственному совершенствованию !!!
Воронеж хрен догонишь!
User is offlineProfile Card PM
Go to the top of the page
+
Sanek
24.05.2003 - 21:01
Сообщение #20



Истинный помощник
Group Icon
Группа: Модераторы
Сообщений: 940
Регистрация: 13.01.2002

Пользователь №: 457




пробовал ли проги типа Lavasoft Ad-aware 6 или Spybot
(опять же на форуме проскакивали)
-сканят и удаляют довольно корректно !
опять же в Ad-aware (и вообще, в куча др прог)
есть такая штука как ''просмотр процессов'' смотри
в ряде файрволов
(да в том же Agnitum Outpost Firewall в конце концов)
также можно просмотреть кто там без тебя куда стучится
-удалить нельзя правда зато запретить нифиг можно...
наконец, (совсем темный способ) - в системных директориях
вручную просмотри все файлы (в том числе и скрытые)
обращяя внимание на файлы с подозрительными именами
и с датой создания соответствующей дате ''заражения''
(если , конечно , помнишь)
- хм. удалять их конечно не надо - просто держать на контроле.


--------------------
В ЭТОМ МИРЕ ТОГО, ЧТО ХОТЕЛОСЬ БЫ НАМ - НЕТ!
User is offlineProfile Card PM
Go to the top of the page
+
drSAB
25.05.2003 - 01:12
Сообщение #21



RULEZ МОДЕРАТОР
Group Icon
Группа: Супермодераторы
Сообщений: 25162
Регистрация: 14.06.2002
Из: Free pirat

Пользователь №: 705




Sercam
Когда запускаешь TrojanRemover, он начинает сканить ВСЕ , что стоит на пути автозагрузки... причем в режиме ждущем твоего подтверждения...
Просмотри и выпиши все файлы, которые он просматривает (для начала исключив из этого списка *.VXD)


[*]И по поводу "В свойствах ставить с пустой "
Я ГОВОРИЛ - "СДЕЛАТЬ ЭТО ВО ВСЕХ ТРЕХ РЕЖИМАХ ОДНОВРЕМЕННО , В ОДИН ЗАХОД"


[*]второй способ ( :D ловил так тоже)
Просканить на текст УРЛА (его части) ВСЕ эти папки:
c:\WINDOWS\Cookies\
c:\WINDOWS\Temporary Internet Files\ (чаще всего здесь в файлах типа *.js)
c:\WINDOWS\History\
Если найдешь, то файл заархивируй ( кроме :D INDEX.DAT) и повтори запуск IE


[*]Если это все не поможет, то есть способ " УСТАНОВКИ ЛОВУШКИ НА ПРОИЗВОЛЬНУЮ ПЕРЕМЕННУЮ СЧИТЫВАЕМУЮ/ЗАПИСЫВАЕМУЮ В РЕЕСТР"
Посмотри тему Программа : Z~‡~wv“‰—]Wl "это ещё что? Trojan???????" там я об этом рассказывал 29.08.2002 - 13:57
User is offlineProfile Card PM
Go to the top of the page
+
Val14
25.05.2003 - 01:29
Сообщение #22



DIGGER
Group Icon
Группа: Старейшины
Сообщений: 1884
Регистрация: 29.07.2002
Из: Москва

Пользователь №: 541




drSAB
А может стоит почистить все кукисы и временные фалы IE ?
Если это скрипт, который связан с .www.mail.ru, то он может и сам удалиться (хотя я не верю что это так просто, но порядка ради...)
И ещё очень хочется увидеть список из автозагрузки (MSCONFIG), хотя бы
Код
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
User is offlineProfile Card PM
Go to the top of the page
+
Sercam
25.05.2003 - 10:17
Сообщение #23



VrnLan-MapMaker
Group Icon
Группа: VIP
Сообщений: 788
Регистрация: 19.01.2003
Из: Воронеж

Пользователь №: 5146




drSAB

[*]Временные файлы и Cookies удалил в самую первую очередь. MSCONFIG тоже посмотрел сразу, там есть кое что, типа TASKMONITOR, SCANREGISTRY, internet.exe - может по последнему только вопрос. Хотел просто его сюда скопировать, но не получилось.


[*]Я ГОВОРИЛ - "СДЕЛАТЬ ЭТО ВО ВСЕХ ТРЕХ РЕЖИМАХ ОДНОВРЕМЕННО , В ОДИН ЗАХОД"
А где 3 ?

to Sercam
Цитата
Запусти IE (желательно без подключения к интернету)
Верхнее меню IE:
Сервис -> Свойства обозревателя -> Общие -> Домашняя страница
там есть три опции [C пустой] [С исходной] [С домашней]
... и строка [Адрес] - во всех трех режимах установи about:blank
и каждый раз при этом выполняй [Применить]  [ОК]
Закрыть IE, перегрузить комп


во всех трех режимах (выделенных красным) установить about:blank
если изменения будут, то меняется в одном режиме или во всех?

Сообщение было отредактировано drSAB: 26.05.2003 - 01:29


--------------------
Нет предела собственному совершенствованию !!!
Воронеж хрен догонишь!
User is offlineProfile Card PM
Go to the top of the page
+
Val14
25.05.2003 - 14:52
Сообщение #24



DIGGER
Group Icon
Группа: Старейшины
Сообщений: 1884
Регистрация: 29.07.2002
Из: Москва

Пользователь №: 541




Sercam
internEt или internAt.exe - последнее, как и ранее перечисленные TASKMONITOR, SCANREGISTRY - это от Билла Гейтса :D
Цитата
Хотел просто его сюда скопировать, но не получилось.
Ну, это в твоих интересах. постарайся точнее написать.
Причем не просто TASKMONITOR, а TASKMONITOR - C:\WINDOWS\taskmon.exe.
Нужно это для более четкого понимания : это системные программы или вирус, который прикидывается ими.
В реестре в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, ты эти связки увидишь. Но, если быть точнее, то далее следуют ветки, которые начинаются на RUN - RunServices и т.д, в которых тоже может существовать вызов модулей для автозагрузки. Msconfig показывает, кажется, не все.
User is offlineProfile Card PM
Go to the top of the page
+
Sercam
25.05.2003 - 15:45
Сообщение #25



VrnLan-MapMaker
Group Icon
Группа: VIP
Сообщений: 788
Регистрация: 19.01.2003
Из: Воронеж

Пользователь №: 5146




Val14

(По умолчанию) (значение не присвоено)
internat.exe "internat.exe"
ScanRegistry "C:\WINDOWS\scanregw.exe / autorun"
StillmageMonitor "C:\WINDOWS\SYSTEM\STIMON.EXE"
SystemTray "SysTray.Exe"
TaskMonitor "C:\WINDOWS\taskmon.exe"

Вот собственно и всё что есть в этой ветке. cranky.gif


--------------------
Нет предела собственному совершенствованию !!!
Воронеж хрен догонишь!
User is offlineProfile Card PM
Go to the top of the page
+
Реклама

5 Страницы V  1 2 3 > » 
Reply to this topicStart new topic
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0 -

 



- Текстовая версия Сейчас: 15.12.2017 - 01:37
]]> ]]>
]]> Яндекс.Метрика Google+ ]]>
Загружается, подождите...