Версия для печати темы

Нажмите сюда для просмотра этой темы в оригинальном формате

Форум на все случаи жизни _ Компьютерный ликбез _ Шпионы и чернуха, изменение стартовой страницы

Автор: Sercam 22.05.2003 - 22:33

Дикая проблемка у меня.
Заслали мне какую-то хрень, и теперь у меня Explorer автоматом вместо нужного сайта коннектится к какойто ерунде эротической http://www.eroson.com/indexf.html , и всплывают ещё 2 сайта : url=http://dolls.nu/ и url=http://publichouse.ru/. Беда какая-то. Ничего не могу сделать, поудалял уже всё что мог. И где только эта хрень прописалась, ума не дам.
Может подскажете чего-нибудь дельного, как избавить комп от всякой нечисти.
huh.gif

Автор: Dron 22.05.2003 - 22:42

Sercam
Самое надежное... переставить систему... :D
а так... проскань реестр на наличие первого сайта
hттp://www.eroson.com
так же посмотри установки домашней и других страниц...

Автор: Sercam 22.05.2003 - 22:46

Цитата(Dron @ 22.05.2003 - 22:42)
Sercam
Самое надежное... переставить систему...  :D
а так... проскань реестр на наличие первого сайта
hттp://www.eroson.com
так же посмотри установки домашней и других страниц...

Домашнюю страницу обнуляю, а при следующем открытии любой другой страницы в нете сразу прописывается снова та ерунда.
А в реестре где точнее покопаться?

Автор: Val14 22.05.2003 - 22:48

Sercam
Обычная проблема для любителей "клубнички" :D
Ты (или не ты ;) ) заходили на порно- эрото- сайты и через дыры в безопасности Internet Explorer у тебя прописались в ветках реестра ссылки на эти сайты.
Вывод простой : запускаешь REGEDIT жмешь CTRL-F и ищешь свои .http://www.eroson.com/indexf.html, .http://dolls.nu/ и .http://publichouse.ru/. Соответственно найденные ветки реестра удаляешь.
Лучше понимать, что ты удаляешь. Если опыта нет, то попроси кого-нибудь. Ну, а если некого просить, то рискуй сам w00t.gif
Установка поверх той же версии IE - ничего не дает. Лучше достать IE6 SP1 с февральским обновлением (у меня под рукой ссылок нет, но я думаю Модераторы Ликбеза - подскажут) и установить его. Кажется, часть этих дырок перекрыта.

ЗЫ Ещё одно матерное выражение и вместо помощи получишь :moder:

Автор: Sercam 22.05.2003 - 22:49

Dron
Через найти в реестре поискал - ничего.

Автор: Sercam 22.05.2003 - 22:51

Цитата(Val14 @ 22.05.2003 - 22:48)
Sercam
Обычная проблема для любителей "клубнички"  :D
Ты (или не ты ;) ) заходили на порно- эрото- сайты и через дыры в безопасности Internet Explorer  у тебя прописались в ветках реестра ссылки на эти сайты.
Вывод простой : запускаешь REGEDIT жмешь CTRL-F и ищешь свои .http://www.eroson.com/indexf.html, .http://dolls.nu/ и .http://publichouse.ru/. Соответственно найденные ветки реестра удаляешь.
Лучше понимать, что ты удаляешь. Если опыта нет, то попроси кого-нибудь. Ну, а если некого просить, то рискуй сам w00t.gif
Установка поверх той же версии IE - ничего не дает. Лучше достать IE6 SP1 с февральским  обновлением (у меня под рукой ссылок нет, но я думаю Модераторы Ликбеза - подскажут) и установить его. Кажется, часть этих дырок перекрыта.

ЗЫ Ещё одно матерное выражение и вместо помощи получишь :moder:

А какой параметр у первой страницы?
Прикол что не лазил я по таким сайтам...

Автор: Sercam 22.05.2003 - 23:01

Val14
Ругаться не буду.
ОК. В реестре нашёл ссылку на сайт. Удалил -
start page ....................... .
Выхожу из реестра, захожу на любой сайт и снова всплывает эта ерунда. Заглядываю в реестр - а ссылка на месте !!!
Что теперь делать?
SP1 к 6.0 версии Explorer у меня есть, с "ЧИП'ом" был, стоит у меня и ещё раз ставил. Ноль эффекта.
Я в тупике.

Автор: Sercam 22.05.2003 - 23:02

А попробуйте кто-нибудь зайдите на www.mail.ru. У вас эта фигня не выпадет? На этот сайт особо рьяно эти ссылки реагируют.

Автор: Zol 22.05.2003 - 23:15

Sercam
все тихо на www.mail.ru, никакой чернухи... Ни одна фигня не выпала, только так, по мелочи, зубы-волосы... Проверяйся тщательнЕй, Spy-Adware, Куки-шмуки и убедись что ты сохраняешь реестр после того как удалил все что хотел. :)

ПЦ. Может тебе кто годовой абинимент "на клубничку" в качестве сюрприза подарил. :)

Автор: Sercam 22.05.2003 - 23:24

Цитата(Zol @ 22.05.2003 - 23:15)
Sercam
все тихо на www.mail.ru, никакой чернухи... Ни одна фигня не выпала, только так,  по мелочи, зубы-волосы... Проверяйся тщательнЕй, Spy-Adware, Куки-шмуки  и убедись что ты сохраняешь реестр после того как удалил все что хотел.  :)

ПЦ. Может тебе кто годовой абинимент "на клубничку" в качестве сюрприза подарил.  :)

Zol В реестре просто удаляю и выхожу. Никакого сообщения о сохранинии. Просто выходит из реестра.
А почему спросил про MAIL, на других сайтах ещё ничего,но когда захожу на этот, зразу пошли какие-то мелькания IP внизу, названия страниц и т.п., подразумеваю что вся эта фигня тогда и закачивается... А как это возможно, и тем более как избавиться ума не дам.
А про абонемент шутка на 5 баллов.

Автор: Gamer 23.05.2003 - 00:02

Млин посмотри еще, что грузиться при загрузке компа? Если есть что-то подозрительное, то удали должно помочь.

Автор: Dron 23.05.2003 - 00:27

Sercam
также кроме автозакрузки посмотри строки
load=
run=
в win.ini
если там есть что-то чего ты на комп не ставил удали (сделай сначала копию ;) )
потом проверь реестр по этому пути... может отсюдова чего-то грузится...
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
а также проскань реестр на предмет имен сайтов только без www и com, ru
может быть и такой вариант...

Автор: drSAB 23.05.2003 - 02:21

Sercam
скорее всего ты наступил на джойн-вирус (небольшой скриптик, который тебе теперь пакостит)
Поработай антивирусами KAV или DrWEB
они их бьют :D

Если он сидит где-то на пути загрузки - то здесь лучшей TrojanRemover или STOP!

Автор: Sercam 23.05.2003 - 09:07

Цитата(drSAB @ 23.05.2003 - 02:21)
Если он сидит где-то на пути загрузки - то здесь лучшей TrojanRemover или STOP!

drSAB
Не знаешь где их в нете скачать чтобы эти проги всё полечили?

Автор: YUNGA 23.05.2003 - 09:27

Sercam
Ну в самом деле, разве так трудно набрать 15 букв просто в темe http://www.bestfilez.net/forums/index.php?act=SF&f=3по фильтру? Это ж Bestfilez! Свежие новости каждый день! Форум на все случаи жизни! И все понятно из названия. Будь внимательней и быстрее справишьсь со своей проблемой. :)
matros.gif

Автор: drSAB 23.05.2003 - 11:34

Sercam
В дополнение совета от Val14
это же можно сделать не влезая в реестр:

Запусти IE (желательно без подключения к интернету)
Верхнее меню IE:
Сервис -> Свойства обозревателя -> Общие -> Домашняя страница
там есть три опции [C пустой] [С исходной] [С домашней]
... и строка [Адрес] - во всех трех режимах установи about:blank
и каждый раз при этом выполняй [Применить] [ОК]
Закрыть IE, перегрузить комп

Снова вызови IE и посмотри - остались ли эти настройки?

А YUNGA абсолютно прав :D
набери в full version and Rulez в строке быстрого поиска слово trojan
и увидишь всех антитроянцев :D

их всегда желательно иметь на компе

:D одно другому не помешает

P.S.
Дополнения к IE6 ты всегда можешь посмотреть
в разделе форума ->General ->Global News
в теме:
http://www.bestfilez.net/forums/index.php?act=ST&f=1&t=3087&st=100

Автор: Sercam 24.05.2003 - 15:30

drSAB
В свойствах ставить с пустой бесполезно, после следующего захода на любую страницу всё обновляется и перепропмсывается.
Скачал себе TrojanRemover. Ничего он не находит, правда пишет что осталось 30 дней, но работает - и не находит. Ключ вроде правильно прописал. как в форуме написано.
Что не правильно???

Автор: helper 24.05.2003 - 16:20

Проверь на подозрительные файлы:
C:\Program Files\Internet Explorer\PLUGINS
и
C:\WINDOWS\Downloaded Program Files
если у тебя 2к/xp
потом вычисти реестр

Автор: Sercam 24.05.2003 - 20:36

helper
И там и там пусто. Ни единого файла.

А вот ещё прикол.
Скажем сайт www.yandex.ru или www.rambler.ru открывается без проблем и последствий, но стоит только зайти мне на www.mail.ru - и сразу пошла какая-то закачка, открытие других страниц, прописывается этот сайт в автозагрузку везде где только можно.


Пока не помогает ничего.

Автор: Sanek 24.05.2003 - 21:01

пробовал ли проги типа Lavasoft Ad-aware 6 или Spybot
(опять же на форуме проскакивали)
-сканят и удаляют довольно корректно !
опять же в Ad-aware (и вообще, в куча др прог)
есть такая штука как ''просмотр процессов'' смотри
в ряде файрволов
(да в том же Agnitum Outpost Firewall в конце концов)
также можно просмотреть кто там без тебя куда стучится
-удалить нельзя правда зато запретить нифиг можно...
наконец, (совсем темный способ) - в системных директориях
вручную просмотри все файлы (в том числе и скрытые)
обращяя внимание на файлы с подозрительными именами
и с датой создания соответствующей дате ''заражения''
(если , конечно , помнишь)
- хм. удалять их конечно не надо - просто держать на контроле.

Автор: drSAB 25.05.2003 - 01:12

Sercam
Когда запускаешь TrojanRemover, он начинает сканить ВСЕ , что стоит на пути автозагрузки... причем в режиме ждущем твоего подтверждения...
Просмотри и выпиши все файлы, которые он просматривает (для начала исключив из этого списка *.VXD)


[*]И по поводу "В свойствах ставить с пустой "
Я ГОВОРИЛ - "СДЕЛАТЬ ЭТО ВО ВСЕХ ТРЕХ РЕЖИМАХ ОДНОВРЕМЕННО , В ОДИН ЗАХОД"


[*]второй способ ( :D ловил так тоже)
Просканить на текст УРЛА (его части) ВСЕ эти папки:
c:\WINDOWS\Cookies\
c:\WINDOWS\Temporary Internet Files\ (чаще всего здесь в файлах типа *.js)
c:\WINDOWS\History\
Если найдешь, то файл заархивируй ( кроме :D INDEX.DAT) и повтори запуск IE


[*]Если это все не поможет, то есть способ " УСТАНОВКИ ЛОВУШКИ НА ПРОИЗВОЛЬНУЮ ПЕРЕМЕННУЮ СЧИТЫВАЕМУЮ/ЗАПИСЫВАЕМУЮ В РЕЕСТР"
Посмотри тему http://www.bestfilez.net/forums/index.php?act=ST&f=12&t=1102&hl=regmon там я об этом рассказывал 29.08.2002 - 13:57

Автор: Val14 25.05.2003 - 01:29

drSAB
А может стоит почистить все кукисы и временные фалы IE ?
Если это скрипт, который связан с .www.mail.ru, то он может и сам удалиться (хотя я не верю что это так просто, но порядка ради...)
И ещё очень хочется увидеть список из автозагрузки (MSCONFIG), хотя бы

Код
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Автор: Sercam 25.05.2003 - 10:17

drSAB

[*]Временные файлы и Cookies удалил в самую первую очередь. MSCONFIG тоже посмотрел сразу, там есть кое что, типа TASKMONITOR, SCANREGISTRY, internet.exe - может по последнему только вопрос. Хотел просто его сюда скопировать, но не получилось.


[*]Я ГОВОРИЛ - "СДЕЛАТЬ ЭТО ВО ВСЕХ ТРЕХ РЕЖИМАХ ОДНОВРЕМЕННО , В ОДИН ЗАХОД"
А где 3 ?

to Sercam

Цитата
Запусти IE (желательно без подключения к интернету)
Верхнее меню IE:
Сервис -> Свойства обозревателя -> Общие -> Домашняя страница
там есть три опции [C пустой] [С исходной] [С домашней]
... и строка [Адрес] - во всех трех режимах установи about:blank
и каждый раз при этом выполняй [Применить]  [ОК]
Закрыть IE, перегрузить комп


во всех трех режимах (выделенных красным) установить about:blank
если изменения будут, то меняется в одном режиме или во всех?

Автор: Val14 25.05.2003 - 14:52

Sercam
internEt или internAt.exe - последнее, как и ранее перечисленные TASKMONITOR, SCANREGISTRY - это от Билла Гейтса :D

Цитата
Хотел просто его сюда скопировать, но не получилось.
Ну, это в твоих интересах. постарайся точнее написать.
Причем не просто TASKMONITOR, а TASKMONITOR - C:\WINDOWS\taskmon.exe.
Нужно это для более четкого понимания : это системные программы или вирус, который прикидывается ими.
В реестре в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, ты эти связки увидишь. Но, если быть точнее, то далее следуют ветки, которые начинаются на RUN - RunServices и т.д, в которых тоже может существовать вызов модулей для автозагрузки. Msconfig показывает, кажется, не все.

Автор: Sercam 25.05.2003 - 15:45

Val14

(По умолчанию) (значение не присвоено)
internat.exe "internat.exe"
ScanRegistry "C:\WINDOWS\scanregw.exe / autorun"
StillmageMonitor "C:\WINDOWS\SYSTEM\STIMON.EXE"
SystemTray "SysTray.Exe"
TaskMonitor "C:\WINDOWS\taskmon.exe"

Вот собственно и всё что есть в этой ветке. cranky.gif

Автор: drSAB 26.05.2003 - 02:39

Sercam
Здесь у тебя переплелись две темы:

[*]Вопрос о несанкционированном изменении настроек IE


[*] Загрузка всплывающих окон (перенаправлние на рекламные страницы) при посещении некоторых сайтов. (это о www.mail.ru) - ;) поставь файервол или др.браузер, отсекающий эту лабуду и закрой этот вопрос :D

Поэтому прошу еще раз уточнить - твой самый первый пост - ссылки на те сайты (в качестве стартовой страницы - eroson.com) появляются, и в дальнейшем остаются постоянными, или же произвольно меняются в каком то порядке??? ( eroson.com / about /другие)

Если eroson.com стал стартовой, то тебе необходимо настроить ловушку на eroson.com , принудительно прописать пустой бланк и ждать текущего изменения/обращения к этой ветке реестра...
...MSconfig - не регистрирует все загружаемые программ :(
есть несколько путей его обхода

Автор: kolbik 26.05.2003 - 02:55

drSAB

Опишите пожалуста пути обхода с помощью которых MSconfig не регистрирует загружаемые программы, а вдруг поможет. Да и пригодиться на будущее. Заранее спасибо.

Автор: drSAB 26.05.2003 - 03:21

kolbik
Читай внимательно тему!

p.s. angry.gif Я же тебе уже в чате говорил, что не консультирую по подобным вопросам...,
;) а посмотреть программы, альтернативные MSconfig, ты всегда сможешь в теме на full version and RuleZ :

http://www.bestfilez.net/forums/index.php?act=ST&f=3&t=543&hl=msconfig

... а что же у тебя загрузилось, вот этим:
http://www.bestfilez.net/forums/index.php?act=ST&f=3&t=4480&hl=taskinfo

Автор: Sercam 27.05.2003 - 21:04

drSAB
Значится так.
Порядок "всплытия" окон всегда одинаков.
Запускаю www.mail.ru, потом выскакивает www.eroson.com, сраза за ним www.dolls.nu и www.publichouse.ru. Т.е. всегда одно и то-же.
То что надо поставить прогу отслеживающие изменения в реестре - это я уже понял, но вот хотелось бы ещё уточнить где надо "обнулить" стартовую страницу. Я знаю только ДОМАШНЯЯ СТРАНИЦА в СВОЙСТВАХ ОБОЗРЕВАТЕЛЯ. Может ещё где???
А потом, найду место где всё время происходят изменения, и что???

Автор: Dron 29.05.2003 - 03:10

Sercam

Цитата
А потом, найду место где всё время происходят изменения, и что???

найдешь, что эти изменения вносит и ликвидируешь ;)

Автор: Vlad64 29.05.2003 - 22:03

на http://kadet.net.ru/ появилась прога IE Doctor не знаю насколько эффективнв но можно и попробовать :) Цитата " Часто бывает, что после посещения некоторых сайтов, браузер начинает глючить. Вместо вашей "домашней страницы" появляется чужая(частенько порнушка), то в контекстном меню появляются новые пункты и т.д. IE Doctor поможет Вам восстановить IE после подобных изменений. " пробуй ;)

Автор: Sercam 30.05.2003 - 07:22

Цитата(Vlad64 @ 29.05.2003 - 22:03)
на http://kadet.net.ru/   появилась прога IE Doctor не знаю насколько эффективнв но можно и попробовать :)  Цитата " Часто бывает, что после посещения некоторых сайтов, браузер начинает глючить. Вместо вашей "домашней страницы" появляется чужая(частенько порнушка), то в контекстном меню появляются новые пункты и т.д. IE Doctor поможет Вам восстановить IE после подобных изменений. "  пробуй ;)

Сайт взломали !!!

Автор: Val14 30.05.2003 - 10:43

Sercam
_http://www.qwerks.com/download/4850/IEDoctor.exe

Автор: Sercam 30.05.2003 - 11:45

Val14
Спасибо, попробую.

Автор: Sercam 30.05.2003 - 17:50

Очень интересная эта прога - IE Doctor.
Но если она не запущена ВСЕГДА - то не помогает естественно.
А вот если в автозагрузке, и работает постоянно, то внизу браузера видно что постоянно пытается обновиться страница и прописывается адрес всплывающего сайта, но всё остаётся как есть.
Спасибо Вам ребята за огромное за ссылочку. Жаль по другому никак не выходит. :D

Автор: Dron 30.05.2003 - 22:55

Sercam
Переставь систему :D

Автор: Val14 5.06.2003 - 16:25

Sercam
Ещё одна программа :
StartPage Guard 2.5

Цитата
StartPage Guard (SPG) protects your PC from cyberscam, by detecting and preventing any unauthorized changes to your internet browser's Start and Search pages. It is also capable of removing automatically most of known "invaders".

HomePage _http://www.pjwalczak.com/spguard/index.php
D/L _http://pjwalczak.com/spguard/spgsetup.exe
Цитата
Latest Version: 2.50
Platform: Windows 9x, ME, NT 4.0, 2K
Size: 422 Kb
Status: Freeware


ЗЫ. drSAB я хотел описание этой программы в тему добавить, но не соображу: в какую именно cranky.gif Для отдельной темы она вроде не нужна.

Автор: Шурпентий 5.06.2003 - 23:35

ИМХО не ходи туда куда не знаешь!!!!!!!!!!!!!! "Снег башка попадёт - совсем мёртвый будешь!" /Джентельмены у дачи/
Лично у меня с Zone Alarm проблем не возникает ;)
Но если чернухи избежать не удаётся - формат и setup.exe из пакета Windows [img]http://www.bestfilez.net/forums/html/emoticons/devil.gif[/img]

Автор: Sercam 6.06.2003 - 22:34

Спасибо всем.
Видимо окончательно меня избавит от этой ерунды лишь формат и переустановка системы, а пока стоит у меня IE Doctor, справляется с задачей хорошо, правда глушит ВСЕ всплывающие окна, и иногда приходится вырубать прогу, т.к. на некоторых сайтах без этого не обойтись.

Автор: drSAB 8.06.2003 - 01:14

Sercam

я так тебя и не понял... ты способ ловли №2
из моего сообщения 25.05.2003 - 01:12
применял или нет???

Подобным способом я уже множество раз ловил всякую чепуху, пытавшуюся хулиганить в реестре

Автор: Sercam 8.06.2003 - 08:57

Цитата
второй способ (  ловил так тоже)
Просканить на текст УРЛА (его части) ВСЕ эти папки:
c:\WINDOWS\Cookies\
c:\WINDOWS\Temporary Internet Files\ (чаще всего здесь в файлах типа *.js)
c:\WINDOWS\History\
Если найдешь, то файл заархивируй ( кроме  INDEX.DAT) и повтори запуск IE


DrSAB Сканил, не нашёл чтой то ничего.

Автор: Rowdy 9.06.2003 - 07:10

Sercam
У меня шеф тоже любитель клубнички, подхватывал такое 2 раза, оба раза был комп вылечен без формата.
1. в реестре в автозагрузке висит (скрипт, прога,...) не помню что и какая (около года назад такое делал), ее удаляем оттуда
2. открываем Far и ищем во всех файлах на всех винтах твой ненавистный сайт, обязательно всплыват парочка файлов, лезем в них править и пишем там вместо ссылки на сайт пишем "about:blank" (без кавычек) и будет тебе счастье

Автор: drSAB 9.06.2003 - 09:14

Sercam
тогда остается только поставить капкан в реестре на эту переменную
Посмотри мое http://www.bestfilez.net/forums/index.php?act=ST&f=12&t=1102&hl=trojan

to Rowdy - такой номер может пройти, если эта ссылка записана явным образом...
к сожалению, чаще всего, запись бывает разнесенной или кодированной (типа литера-пробел, литера-hex00 или еще чего нить)
:( ...и не обязательно это в автозагрузке... оно может быть инициализировано только в момент загрузки IE или при вызове какой-то его переменной

Автор: drSAB 12.06.2003 - 12:26

Sercam

есть идея, где это могет быть:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
и внимательно просмотри все строчки параметров

Автор: Sercam 12.06.2003 - 14:21

drSAB
Ничего особенного там не нашёл.
Какой параметр может быть интересен?

Автор: drSAB 12.06.2003 - 14:48

Sercam
скопируй ("сохранить как") эту ветку и передай на ПМ - так будет быстрее :D

Автор: Johnik 15.06.2003 - 02:52

Чтобы окна не выскакивали скачай вот эту прогу _ttp://www.gasanov.net/PopOops.htm
У меня стоит и горя не знаю(любитель по порнушным сайтам полазать w00t.gif

Автор: Zol 15.06.2003 - 04:41

Johnik
У Sercam-а не просто pop-up-ы, там гораздо серьезней... Там профилактикой не обойдешься, видишь уже про ампутацию говорят :)

Автор: AndragoN 18.06.2003 - 14:32

Sercam

Ты реестр то прошерсти а не говори что нету...!!!!!!!!!!! :D на eroson и на все остальные всплывающие ссылки......почисть кукисы
Вся плюшка здесь HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix - путь ебустра :)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes - www прописался

Автор: malim 13.08.2003 - 23:02

Всем привет.Незнаю обратился ли я в тот раздел или нет если нет то прошу перенести или я создам новую тему.У меня вот такая пролема.Время от времени на компе выскакивает такое сообщение [img]http://www.malim.front.ru/error.jpg[/img]
И текст в нём бывает разный но смысл одинаковый.Как можно избавиться от этого?Я пробовал ad-aware но не помогает сново вылазеет это сообщение.Очень раздражает оно меня.

Система у меня winxp pro corp. Sp1 не установлен

Автор: malim 13.08.2003 - 23:23

Все справился как это делается читаем здесь _http://www.itc.virginia.edu/desktop/docs/messagepopup/

Это самый настощий спам.

Автор: knyaz 17.08.2003 - 16:57

Sercam
Специально зашёл на этот сайт чтобы подцепить и проверить и удалить...
всё точно как сказал AndragoN ...только ещё подцепил троян даунлоадер...(он на этом специализируется)...проверял дважды ...второй раз небыло...
Чисти реестр...и на всякий случай антивирусником пройдись...

Автор: malim 4.09.2003 - 01:03

Всем привет.У меня такая проблема.Всегда когда я вводил неправильный сайт в строке то у меня он искался msn а сейчас ищется _www.clr-sch.com Не знаю почему.Я почистил ad-aware 6.0
нашёл в регистре строчки с этим названием удалил их потом стёр все куки котрые лежали c:/document and setting/ali/cookie и всё равно он ищет этим сайтом _www.clr-sch.com.Помогите справится.
Заранее благодарю.

Автор: malim 4.09.2003 - 03:54

Странно...Почистил History заработало а потом опять также.

Автор: Sercam 11.09.2003 - 20:44

Цитата(AndragoN @ 18.06.2003 - 15:04)
Sercam

Ты реестр то прошерсти а не говори что нету...!!!!!!!!!!!  :D  на eroson и на все остальные всплывающие ссылки......почисть кукисы
Вся плюшка здесь HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix - путь ебустра :)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes - www прописался

В первом случае у меня:
(По умолчанию) "http://"

Во втором случае:
(По умолчанию) (Значение не присвоено)
ftp ftp://
gopher gopher://
home http://
mosaic http://
www http://

Автор: myras 15.08.2004 - 20:08

вот прочитал все это , у меня было тоже самое! так же изменилась
стартовая страница, но покруче! (у меня тогда был Win Me)ее через Internet Explorer нельзя
было изменить! окно было не активним!!! при попытке зайти
в реестр (regedit) надпись выскакивает у вас типа нет прав !
обратитесь к системному администратору !
оказалось что доступ в реестр тоже заблокирован!произошли изменеения в реестре,
и еще прописался оказывается сайт какойто в реестр , он коннектился
к порно сайтам и тд. но после долгих поисков нашел проги Adaware , Spyremower ,
и им подобные , вычистил ,помогло но не нанадого! Прогой MarsWincleaner
зашел всетаки в реестр , открыл доступ (regedit) , прочистил Adaware , и SpayRemower, а так же
MarsWincleaner, и удалил записи этих сайтов в реестре (пути точно уже не помню)
и все заработало нормально! а в данный момент стоит у меня Firewall , вот с ней пока никаких изменений в реестре не замечал...
Удачи! :)

Автор: lakers 18.11.2004 - 18:15

Справился с проблемой теток, eroson.com и прочей гадости! Стоит win XP Home Edition SP2 и IE 6.0.

1. Если компьютер подключен к сети, то эта зараза переходит на другие машины и при входе в интернет с них показывает веселые картинки. Поэтому для начала отключиться от сети.

2. Проверить комп на наличие вирусов.

3. Установить Ad-Aware 6.0 и почистить машину. Как правило он информирует о взломе браузера и находит всякие плохие куки, может найти вредоносные программы, если они есть.

4. В IE 6.0 заходим сервис-->свойства обозревателя --> программы --> надстройки (в IE 5.0 я не нашел, где у него прячутся эти надстройки, поэтому на другом компе тетки по-прежнему веселятся) В надстройках я отключил надстройку Cls после этого тетки сгинули. Ad-aware, к сожалению, не определяет и не удаляет ее. Прячется эта хрень в файле qwe4820.dll (При активации этой надстройки тетки снова веселятся. Но если ее отключил - все нормально, и сама по себе она не включается.)
Если есть знающие люди, как по аналогии с этой схемой вытравить эту гадость на Win2000 c IE5.0 и 5.5 пишите.

Автор: lakers 18.11.2004 - 21:58

Есть готовое решение программа, которая чистит всю эту хрень.
http://z-oleg.com/secur/avz.htm стал искать как удалить qwe4820.dll - яндекс ничего не выдал, зато рамблер привел куда надо. Всем удачи.
Не даем прямых ссылок, читаем правила.
/UJIN

Автор: insider 20.11.2004 - 04:35

Возникала такая же проблема, как и у автора темы, причем к порнушным сайтам отношения это не имело.
У меня (да и у автора похоже тоже) имеется вирус, который заразил один из запущенных сервисов - в диспетчере задач все некритичное можно поубивать вручную, либо загрузиться в защищенном режиме без сети. Затем почистить комп на предмет вирусов любым обновленным антивирусом, минимально каталог \system32 или лучше \windows целиком - там и лежит зараженный вирусом сервис (dll или exe). Далее прочистить корень диска C: даже если система не установлена на C:. Далее прочистить реестр на предмет ссылок на упомянутые в сабже сайты - теперь, когда антивирус убил зараженный сервис, этот сервис настройки эксплорера не обновит.
Поковырять упомянутые выше ветки реестра тоже не помешает. Плюс ко всему в своем профайле проверь содержимое подкаталогов и почисти временные папки. Также в Program Files ты на 90% точно обнаружишь пару-тройку прог, которые не ставил - это то, что вирус притащил за собой из инета - убей ессно.
Напоследок проверь комп прогой Scan Spyware - где ее взял не помню, но поищи, неплохая или Ad-Aware SE, как уже советовали.
И не торопись сносить винду :)

Автор: Heaven 28.11.2004 - 12:43

Поставь программу XoftSpy и проскань через нее. Думаю будешь удивлен, когда найдешь у себя установленной разной шпионской лабуды.

Автор: hoppy 20.01.2005 - 19:46

[size=6][/size]

[color=darkblue][/color] Добрый день! Я далеко не опытный пользователь, хотя не малое знаю!!! Но есть у меня несколько проблем, и я правда нуждаюсь в вашей помощи, я ко многим обращалась, но никто мне не может помочь! Надеюсь, ВЫ откликнитесь!!! Потому что, на самом деле, я прекрасно понимаю, что мои проблемы – сущий пустяк, но я их не могу решить. blink.gif И очень ОЧЕНЬ прошу вас помочь!!!!! Пожалуйста!!!!! huh.gif

1 В общем, не знаю, как это получилась (я на такие сайты не захожу, как цыпанула не понимаю ;) ), но при включении компа мне высвечивается сообщение – выберите, пожалуйста, модем – я выбираю, жму окей, а дальше самое интересное!!!
И появляется у меня на рабочем столе какой-то ярлык с девушкой, а внизу написано – ХХХ. Files. Также он прописывается в «Пуске», и устанавливается в Program Files. Я уже пробовала всё это удалить – везде. Оно, конечно, удаляется, но потом снова появляется. Я, вот думаю, может оно еще, где прописалось в Windows, например. И чтобы эту «неполадку» устранить - надо удалить, абсолютно везде. Что делать? :(


2 Я когда включаю компьютер, он загружается – всё как надо, но вместе с загрузкой необходимых компонентов, загружается и папка «Удалённый доступ к сети». Мне посоветовали воспользоваться программой RegCleaner(вроде, сказали, что это могла в регистре сохраниться – а как его найти?), я так и сделала, но что-то не помогает. Как от этого избавиться? w00t.gif


3 После перезагрузки ОС я, понятное дело, стала устанавливать драйвера, необходимые программы, инфу с дисков и т.д. Ну и конечно, дошло дело до подключению к интернет (к слову - я подключена к линии ISDN). Так вот, драйвера на модем я установила и подключение тоже «сделала». А проблема, вот какая: под строками, где надо вводить «Имя пользователя» и «Пароль», есть такая строка «Телефон», так вот в ней, высвечивается два номера телефона (мой домашний номер и номер для модемного входа). Когда я пытаюсь подключиться ничего не подключиться – Завершение связи!!! Но как только я удаляю из этой строки номер своего домашнего телефона – я тут же захожу в интернет. Но я ж не буду при каждом подключении удалять номер, это ведь не удобно и конечно хотелось бы от этого избавиться!!! Кстати, в свойствах самого соединения я лазила, но там нет моего домашнего номера, чтобы удалить. Да и когда я создавала подключение, я не вводила домашний телефон, только телефон провайдера. blink.gif


Помогите мне, пожалуйста, разобраться!!!!
Только я вас ОЧЕНЬ прошу – отвечайте конкретно по делу, и без унижений, пожалуйста!!! unsure.gif

Автор: SergejCh 20.01.2005 - 20:55

hoppy
Попробуй почитать вот здесь: _http://www.bestfilez.net/forums/index.php?showtopic=5583&hl= это здесь же на форуме, возможно некоторые вопросы отпадут.

Автор: berez 20.01.2005 - 21:24

hoppy надо реестр чистить, но без опыта в этих делах не рекомендуется...... можно ещё откатить windows.... но прежде всего советую загрузится в save mode и попробывать деинсталировать оттуда.... с удалением всех папок, где эта дрянь была, и соответствено с очисткой корзины... вобщем дерзай....

Автор: hoppy 20.01.2005 - 22:33

SergejCh
Спасибо огромное за ссылку - много информации, щас всё обработаю и начну атаку!!! :-)

berez
Спасибо за предложение и совет - ВСЁ попробую!!!


Боже, хоть бы получилось! :)

Автор: berez 20.01.2005 - 22:39

hoppy к жизни надо относится проще.... как говорил о.и. бендер:"с деньгами надо растоваться легко" да... так к чему это я.... винду можна переставить....... если уж совсем не пруха будет.... ну а на будущее подготовится при помощи програмы Acronis True Image for Windows...... и если такое случится в следующий раз.... то переустановка винды и всех приложений займёт минут 10-15

Автор: hoppy 20.01.2005 - 22:51

berez
ДА КУДА УЖ ПРОЩЕ!!!!!
Я, самое интересное, систему переустановила на тех выходных - ВСЁ ОТФОРМАТТРОВАЛА, решила ВСЁ начать с чистого листа. А тут, блин, опять гадости нахваталась - ЗАКОН ПОДЛОСТИ, одним словом.
А вообще, надо уже машину менять - вот этим и надо заняться - помощнее что-то взять!!!!!
Не знание законов - не освобождает от ответственности.
Читай Правила. Прежде чем создавать новую тему (да еще с неинформативным названием), воспользуйся Поиском.
Твою тему объединил с аналогичной.
ЗЫ: И поменьше эмоций. Слова и фразы, написанные заглавными буквами означают крик.
----------
Andyy

Автор: Indernacht 9.03.2005 - 18:35

Товарищи! Помогите чайнику.
Видимо, с какого-то порносайта ко мне залез страшный вирус. Теперь инет открывается со страницы http: //www.xxxxxxxxxx=1154 и появилась еще одна строка поиска "Search toolbar", которая нужна мне как собаке пятая нога.
Что делать? Переставлять homepage бесполезно, Ad-aware и касперский этот вирус тоже не находят!

Автор: PAlex 10.03.2005 - 11:05

Обычно Ad-aware справляется с подобными зверьками. Попробуйте следующее:
1. Обновить базы Ad-aware и касперского
2. Если ваша ОС - это винХР, то отключить автоматическое восстановление системы
3. Просканировать диск (системный раздел как минимум) каспером и Ad-aware
4. Перегрузить систему и снова просканировать тем и другим

Автор: cr99 10.03.2005 - 11:09

Пробуй вот эту прогу
IE Recover Registry 0.02
она тебе почистит бяки с домашней страницей

или IE doctor - там можешь забить нужную домашнюю страницу и менять всякие настройки

Автор: drSAB 10.03.2005 - 12:37

Indernacht
подобные проблемы уже были описаны на форуме в десятке тем...
разделы:
GlobalNews
Warez
Soft
и здесь...

сделай поиск на слово hijack

Автор: Indernacht 10.03.2005 - 12:49

PAlex, cr99
Спасибо!
Вчера обновил касперского, и, как не странно, он смог решить эту проблему.
Тем не менее, я поискал IE Recover Registry 0.02 и вышел на замечательную статью по правке реестра:
_http://easysoft.altruistic.ru/_clause01.html[/url]
Все просто и понятно написано. Так что теперь никакие трояны и т.п. нечисть нас не возьмет!
Правилами запрещены прямые ссылки!

Автор: drSAB 10.03.2005 - 13:05

Indernacht
а ели бы открыл самую первую страницу этой темы, так увидел бы те же рекомендации и болевые точки :D

Автор: niktih1 14.03.2005 - 15:36

Люди добрые, помогите убить трояна!
У меня установлена Win 2003 server Ent.
Поймал какую-то фигню, которая переустановила дом страницу на "http://www.hotoffers.info/070/", причем ее нельзя уже изменить, а троян автоматически запускает браузер, если даже он не запущен и пытается выйти в сеть.
Я проверял систему программой AD-Aware SE, и она нашла в реестре следующее:
IEHIJACKER.HOTOFFERS
ЛЛЛЛЛЛЛЛЛЛЛЛЛЛЛЛЛЛЛЛЛЛЛЛЛЛЛЛЛЛЛЛЛЛЛЛЛЛ
obj[0]=Ключ регистра HKEY_CLASSES_ROOT : clsid\{12345678-0000-0010-8000-00aaff6d2ea4}
obj[1]=Переменная регистра HKEY_LOCAL_MACHINE : software\microsoft\windows\currentversion\explorer\sharedtaskscheduler "{12345678-0000-0010-8000-00AAFF6D2EA4}"

Но эти ключи тоже не удаляются, после их удаления они появляются снова.
Помогите плз. разобраться.

Автор: ASSEDO 14.03.2005 - 16:07

niktih1
Это не троян, это хайджекер.
Зайди в безопасном режиме в Windows, выставвь через панель управления возможность видеть скрытые и системные папки и файлы, убедись, что все окна браузера закрыты и интернет отключен. Далее - в windows\system32 и переименуй systr.dll в systr.old Рестартуйся в нормальном режиме, смени домашнюю страницу на ту, которую хочешь ты, проверь, как работает твой IE (я понял, что у тебя именно он, лучше бы ты указал это в своём посте) Если не помогло, запусти Ad-Aware, посмотри, есть ли изменения, расскажи нам.

Автор: Sinyak 20.03.2005 - 02:07

Цитата(niktih1 @ 14.03.2005 - 15:36)
Люди добрые, помогите убить трояна!
У меня установлена Win 2003 server Ent.
Поймал какую-то фигню, которая переустановила дом страницу на "http://www.hotoffers.info/070/", причем ее нельзя уже изменить, а троян автоматически запускает браузер, если даже он не запущен и пытается выйти в сеть.
Я проверял систему программой AD-Aware SE, и она нашла в реестре следующее:
IEHIJACKER.HOTOFFERS


Если кому надо вылечить IEHIJACKER.HOTOFFERS, а вручную лень, то можно попробовать этим (под ХР) - Killer_IEHIJACKER_HOTOFFERS :
url=http://www.itcn.ru/conf/index.php?act=Attach&type=post&id=331750

Автор: Indernacht 25.03.2005 - 16:16

Сколько не пользуюсь Ad-aware, а толку от него как от козла молока. Ниразу он мне еще не помог. Что-то находит, я отмечаю, удаляю, и ничего не меняется.

Сегодня скачал прогу MicrosoftAntiSpywareInstall - вот это действительно вещь!
Качайте здесь _http://www.webosoft.net/download/dl-13102.html

Автор: Indernacht 25.03.2005 - 20:08

Да вот еще есть классная программка против всякой нечисти -
Scan Spyware. Но нигде не могу найти к ней ключа. Если у кого есть, напишите плиз. Версия 3.8.

Автор: Val14 25.03.2005 - 21:35

Indernacht
В разделах СОФТ и Ликбез запрещен поиск и запрос серийников и кряков.
Если откроешь тему в Search ( с учетом Правил раздела), то получишь серийник.
Привыкай пользоваться форумом как Форумом, а не Чатом для общения :))

Автор: marsdima 12.04.2005 - 21:44

Измени в свойствах ярлыка вот так: Explorer\IEXPLORE.EXE" -nohome
и будет открываться с пустой страницы.

Автор: Мишаня 22.04.2005 - 09:42

Ребята, вот и на моём компе случилась такая же беда. Где-то подцепил вирус, который меняет стартовую страницу на start.traffer.ru/first
Я прочел всю ветку и воспользовался рекомендациями бывалых, но к сожалению это не помогает, так как, видимо, где-то прячется прога постоянно меняющая настройки реестра... я только всё почищу и заменю на правильную страницу, как всё появляется обратно. Я не раз просканил систему разными антивирусами (DrWeb, AntiVir XP, Ad-Aware Pro, Trojan Remover, Avast!), они конечно там малость чего выловили, но обнаруженные бяки были уничтожены и повторно не обнаруживались.
То есть на данный момент ситуация такая: по показанием антивирей комп чист, а стартовая страница всё время заменяется. Есть у меня подозрения конечно на ветку в реестре ..../Windows/Run, но я не такой уж опытный пользователь, чтобы соваться без знания дела - вдруг что то не то удалю и кирдык...
Подскажите пожалуйста, что должно быть в этой ветке и как на всякий случай сделать копию реестра?

Автор: Andyy 22.04.2005 - 10:25

Мишаня
Поставь "Ad-Aware Prof", поставть в браузуре пустую стартовую страницу и в этой проге подтверди, что домашняя страница такая же. Поставь "Reg Organizer 2.5" и в Автозагрузке убей все лишние проги, чтоб они не грузились. Заодно удали и файлы, которые там же указаны.

Автор: CyberBabay 22.04.2005 - 10:36

Мне довольна часто помогет утилитка:

Written by Merijn - merijn@spywareinfo.com
D_L_http://www.spywareinfo.com/~merijn/files/hijackthis.zip
H_P_http://www.spywareinfo.com/~merijn/index.html

See below version history for short info on hijack sections.
==============
Не требует инсталляции

Автор: Мишаня 25.04.2005 - 13:48

Цитата(Andyy @ 22.04.2005 - 10:25)
Мишаня
Поставь "Ad-Aware Prof", поставть в браузуре пустую стартовую страницу и в этой проге подтверди, что домашняя страница такая же. Поставь  "Reg Organizer 2.5" и в Автозагрузке убей все лишние проги, чтоб они не грузились. Заодно удали и файлы, которые там же указаны.
*


Странно... я в автозагрузке нашел левые проги, отменил из автозагрзку, так они снова появились! И теперь при просмотре автозагрзуи в окне обозначены два дубля: те которые отменил и те которые заново появились.
А как вообще их удалить из этого списка?
Правда я другой выход нашёл против чернухи - поставил браузер FireFox 1.0.3 - мне он понравился ))

Автор: Мишаня 25.04.2005 - 13:53

Цитата(CyberBabay @ 22.04.2005 - 10:36)
Мне довольна часто помогет утилитка:

Written by Merijn - merijn@spywareinfo.com
D_L_http://www.spywareinfo.com/~merijn/files/hijackthis.zip
H_P_http://www.spywareinfo.com/~merijn/index.html

See below version history for short info on hijack sections.
==============
Не требует инсталляции
*


Расскажи пожалуйста вкрадце, что эта прога умеет?
Рекомендуешь?

Автор: Andyy 26.04.2005 - 09:55

Мишаня

Цитата
отменил из автозагрзку, так они снова появились!
Читай внимательнее
Цитата
Заодно удали и файлы, которые там же указаны.
Если не сможешь удалить их из обычного режима, то перезагрузись в safe mode и пробуй из неё.

Автор: Sercam 29.04.2005 - 11:51

Мдя, давненько я в эту тему не залазил и вот снова возникла проблемка.

Недавно дала мне знакомая ссылку на свои фотки на сайте "Дамочка". Зашёл, посмотрел, всё нормально. тут-www.damochka.ru
Потом залез туда как-то через недельку, а мне вот такая фигня в ответ:

Цитата
Внимание, у вас вредоносная программа!
На вашем комьютере обнаружена вредоносная программа (adware). Эта программа установлена как плагин к вашему браузеру, такие программы (обычно это HotBar, FunWebProducts и другие аналогичные) заменяют стартовую страницу браузера на свою, заменяют поисковик по-умолчанию и т.п.
Помимо этих действий такие программы производят серию "левых" обращений к сайту, что приводит к избыточной нагрузке на сервер. Поэтому, мы не пускаем на сайт DAMOCHKA.ru пользователей с такими adware-плагинами браузера.

Рекомендуем вам удалить эту программу, например, с помощью утилиты AD AWARE Se или, если вы не хотите этого делать, то пользуйтесь для входа на Дамочку другим браузером, например - Mozilla Firefox.


Забавно, но прошерстил прогой Ad-Aware SE Professional с обновлённой базой - безрезультатно. CWShredder тоже чисто. Всякие там "касперские" тоже молчат...
Что за ерунда?! Никто не сталкивался?
Или это на их сайте глючок или у меня что-то хитрое поселилось...

Автор: Sercam 29.04.2005 - 12:20

О !!! Всё получилось.
Информация к сведению - помог только XoftSpy с последней скаченной базой.
Прога это у нас тут лежит и обсуждается =>http://www.bestfilez.net/forums/index.php?showtopic=13089&hl=xoftspy

Автор: drSAB 29.04.2005 - 12:31

Sercam
у нас еще есть один похожий лекарь:
http://www.bestfilez.net/forums/index.php?showtopic=714&st=65
(он готов к употреблению и не требует инсталяции)
в разделе (левое окно) "Explorer Addons" ты увидишь, что подгружает система
...и заодно - просмотри все злачные места автозагрузки


ps: добавлено

http://www.bestfilez.net/forums/index.php?showtopic=8989
закладка IE Helpers - напрямую показывает все подобные добавки к браузеру!
Только не перестаратся - там в т.ч. - индицируются интегрированные ссылки на файлокачалки (FlashGet., MassDownloader и пр.) - и пр., т.е. те, что перехватывают клики из браузера

закладке Sheduled Tasks - отключается все, что имеет временные настройки (запуск в час Х )

Автор: Mirabilis 29.04.2005 - 16:22

Всем, кому интересна эта тема, могут почитать эту статью: url=http://oslab.h11.ru/?mod=art&part=winall&id=014
И вообще сайт интересный :)

на этот интересный сайт у нас уже были ссылки!
а вот в твою коллекцию http://http://www.bestfilez.net/forums/index.php?act=SR&f=40
------------
drSAB

Автор: Sercam 29.04.2005 - 17:59

drSAB спасибо, попользую...

Автор: kravjuri 13.06.2005 - 14:16

Можно попробовать и прогу Browser Hijack Recover (v2.2 появилась у nht-team). Она восстанавливает настройки Explorera.

А вообще-то из-за жуткого количества "дыр безопасности" лучше Explorerом вообще перестать пользоваться. :(
Я, например, перешел на Оперу. А для тех (сравнительно немногих) сайтов, которые в ней корректно не отображаются, поставил еще и Firefox. В принципе, его одного тоже хватило бы, просто привык к Опере. bored.gif

Автор: shedow25 17.06.2005 - 17:29

_http://www.spywarewarrior.com/rogue_anti-spyware.htm (Last Updated: June 15, 2005) - список программ для борьбы со Spyware в свою очередь устанавливающих шпионские модули

P.S. Заранее извиняюсь если не в тему, просто не знал куда постить

Автор: Анина 20.07.2005 - 12:09

Прочитав все ответы, я сделела вывод, что главное везение, а не знания. От стольких заумностей, в которых я ничего ни понимаю у меня аж голова кругом пошла. Пару месяцев назад у меня была подобная проблема и я ее решила более легким способом:

1. Откат Windowsa. Ставим дату 1-2 дня до проблеммы и следуем указаниям системы .
2. Настройки фаервола: ставим поп-ап блок
3. Не регистрировать файлы актив Х - найти их можно через: Search> for Files or folders и выписываем имя сайта как файл. Успех!

Автор: fluke 25.07.2005 - 10:25

Вообще - то Ad - aware SE Professional 1.06 должно быть достаточно для борьбы с изменением домашней страницы. Но если этого мало, то можно поставить BlackICE PC Protection. Эта прога совмещает в себе достаточно продвинутый файрволл и антитроянский модуль. Она не позволит совершить на компе ни одного действия без вашего ведома. Не знаю как с другими стенками, но с Outpost она дружит. Есть еще такя прога - SpywareStopper. Она ничего не удаляет, но позволяет заблокировать действия любых шпионских приложений и в том числе охранять домашнюю страницу.

Да, забыл сказать. У BlackICE PC Protection эвристический подход к анализу происходящего, поэтому нужно с осторожностью подходить к его предложению по убийству процессов.

Автор: Sanek 4.09.2005 - 15:34

интересная статья по теме от Тестовой лаборатории Ferra
Spyware – в тихом омуте...
http://www.rusdoc.ru/articles/10097/
с обзором антиспай софта и толковыми советами.

Автор: levnev 4.09.2005 - 23:51

Цитата
Прочитав все ответы, я сделела вывод, что главное везение, а не знания.

Вот она, ИСТИНА!
[img]http://www.kolobok.wrg.ru/smiles/standart/yahoo.gif[/img]

Можно, конешно, антиспай-софта понаставить уйму... Только "к лошадиным силам нужна хоть одна голова!" (ц) Если знаешь, куда лезешь в инете, то уже знаешь чего ожидать... Все проблемы спайваре в принципе решаются "прибиванием" запущенных процессов и целенаправленной чисткой ключей реестра... Все проги "антиспай" делают ЭТО, просто нужно знать "что, где, когда"... Ну и бэкапы, соответственно...
[img]http://www.kolobok.wrg.ru/smiles/standart/superstition.gif[/img]

Автор: Alfolio 5.09.2005 - 23:52

Цитата
интересная статья по теме от Тестовой лаборатории Ferra
Spyware – в тихом омуте...

Что-то статья очень уж узкая и похожа на заказную...
Для сравнения привожу ссылку на аналогичный тест, правда ИХНИЙ.
Программ тут явно поболее и названия достаточно известные.
http://anti-spyware-review.toptenreviews.com/spyware-eliminator-review.html
Кто-нибудь с лидером обзора работал. Если да, то как впечатления, акромя солидного размера?

Автор: Sanek 6.09.2005 - 02:24

Alfolio

Цитата
статья очень уж узкая
согласен,
но ведь оно для новичков что важно? - основные понятия раскрыты - симптомы перечислены - методы лечения намечены ...

Автор: sij 26.03.2006 - 12:33

У меня есть программа LAN:Looking and Network.Там есть такая процедура как сканирование портов
от 0 до 1024. Можно ли с помащью только Winda открывать или закрывать эти порты и где прочитать за что отвечает каждый из них

Автор: Nekt 21.05.2006 - 13:50

Совет на всю жизнь:
Ставим в биосе на защиту boot, стараемься не юзать ослика.
Если у вас сильно тормозит система или деньги на инете пропадают или акуанты на мыло не подходят > у вас ВИРУС cranky.gif blushing.gif blink.gif angry.gif , копируем сразу все данные в бозапасном режимы и идем в дос и переустанавливаем систему с форматированием диска.
Ипосле этого не один вирус не выжевал. rolleyes.gif :D ;)
И вообще нужно иметь три вещи помойму правильно называю если нет подпрвьте
Safe`n дальше не помню 2. Filemonitor так помойму. 3.Registry как-то следят две последние проги за изменениями одна в фаилах другая в реестре, а вот 1 следит что какая прога делает или может сделать отладчик своего рода. Конечно стандартный антивирус фаервол и какой-нить антишпион.
Не разу не слышал что бы при таком раскаладе был вирус или троян. :lol2: ;)

Автор: Katy 6.07.2006 - 18:29

Появилась такая хрень - см на картинке.
[img]http://dalbum.10x15.ru/photos/60706/4aX2XH_Y0SRIm1Zn_3.jpg[/img]

После (или до) этого перестал запускаться автоматически outpost firewall.

Предлагает установить trust cleaner. В итоге сам установил ярлыки, и прочее.
Чистила комп ad-aware, outpost, awast, zone alarm, dr.web, убила ярлыки и папки в програм файлс и виндоус - а этот красный крест никак не убирается. angry.gif

В автозагрузке (смотрю с помощью starter) - ничего подозрительного...

Яндекс нашел вот эту статью=>http://www.symantec.ru/avcenter/venc/data/pf/trustcleaner.html, сейчас буду устанавливать norton antivirus, может получится.

Что посоветуете?

Автор: sedovlasiy 27.07.2006 - 12:25

Цитата(malim @ 14.08.2003 - 00:02) *

Всем привет.Незнаю обратился ли я в тот раздел или нет если нет то прошу перенести или я создам новую тему.У меня вот такая пролема.Время от времени на компе выскакивает такое сообщение [img]http://www.malim.front.ru/error.jpg[/img]
И текст в нём бывает разный но смысл одинаковый.Как можно избавиться от этого?Я пробовал ad-aware но не помогает сново вылазеет это сообщение.Очень раздражает оно меня.

Система у меня winxp pro corp. Sp1 не установлен

Сноси, форматируй под DOS, устанавливай заново...

Автор: fara 26.12.2007 - 18:02

Извиняюсь за некропост,но тема вроде та.Какая на сегодняшний день лучшая прога по отлову шпионов,троянов и т.п.?А то их куча,не разберешься.Или всё-таки пользоваться антивирусом?У меня Eset Smart Security.

з.ы. Не в тему.У меня с предыдущим юэером один день регистрации,а какая разница в сообщениях и номере...

Автор: SubWoofer 26.12.2007 - 18:28

fara

Защищаюсь этим - KIS+NOD+регулярные обновления ОС+не лезть на рабочей системе куда не следует.
Вроде всё в норме.

Автор: fara 26.12.2007 - 18:36

Как же ужить вместе 2 антивируса?не включать их в автостарте?И запускать по очереди?Последнему из твоих советов иногда стараюсь выполнять,хотя иногда бывает.

Автор: SubWoofer 26.12.2007 - 18:41

fara
Один антивирь на рабочей системе, второй - на резервно-аварийной. При малейшем подозрении - проверка из резерва, если всё нормально - раз в неделю.

Автор: fara 27.12.2007 - 06:26

Ну,а из специализированного софта по отлову шпионов что посоветуете?

Автор: Andyy 27.12.2007 - 10:47

fara
На работе "Ad-Aware 1.05 Prof" (на 1.06 не перехожу - этот вполне устраивает) + DrWeb 4.33 c включенными опциями для отлова всякой "нечисти". Дома еще стоит Kaspersky Anti-Hacker, но это больше для локалки, чтоб не баловались.
ЗЫ: В номере разница небольшая - 62, а в сообщениях - согласен. Но это как раз и показывает активность и полезность пользователей на форуме. Кто-то пришел только что-то взять, ну а другие еще и дают... bleh.gif

Автор: fara 27.12.2007 - 21:24

Да,я им тоже пользовался год назад.Я подумал.что может ещё что-то новое появилось.Решил поппробовать Spy Sweeper.
http://www.bestfilez.net/forums/index.php?showtopic=522&st=125
Не смог найти нормальное дополнение к нему.Поэтому ставлю Ad-Aware 2007 Pro

Автор: Sofi 17.09.2008 - 12:38

Захожу наэтот форум постоянно вылезает окно с сылкой на порносайт. Exprlorer блокирует но все равно не приятно .На других сайтах все нормально .Что за фигня?

Автор: Andyy 18.09.2008 - 14:10

Sofi
Провертесь на вирусы/шпионы, почистите куки. См. темы в шапке: Шпионы и чернуха, изменение стартовой страницы.
ЗЫ: Такой рекламы на форуме нет.

Автор: 99alexey 18.09.2008 - 16:24

Поставь Spybot-S&D:
http://www.bestfilez.net/forums/index.php?showtopic=11795&hl=Spybot
или Ad-Aware:
http://www.bestfilez.net/forums/index.php?showtopic=497&st=225

Автор: borman77 24.11.2008 - 09:47

Ну и советчики, просто диву даешся. Что дома тараканы заведутся, сносить хату и строить снова чтоли....

Наверное самый простой способ от запуска ненужной страницы, это прописать в свойствах ярлыка от IE нужную страницу и будет счастье. Для просмотра того что запускается можно бесплатной прогой глянуть autoruns от systernals

Автор: Lyekka 28.12.2008 - 23:05

А еще лучше http://ww.bestfilez.net/forums/index.php?showtopic=12222&st=325 Замечательно режет порно и можно, чтоб другая назойливая реклама не доставала.

Автор: mam66 15.10.2009 - 17:42

Проблема в следующем: меняю домашнюю страницу (например X) в "Свойствах обозревателя" на страницу Y, нажимаю применть все хорошо. Закрываю explorer, запускаю снова открывается страница X. Где это прописано и как можно исправить.

Автор: YScratch 15.10.2009 - 19:43

Пользуемся поиском, читаем специльную тему http://www.bestfilez.net/forums/index.php?showtopic=5583, находим и начинаем любить прогу http://www.bestfilez.net/forums/index.php?showtopic=497&hl=ad-aware

Автор: Val14 15.10.2009 - 22:12

mam66
Нужно ставить защиту - антивирус(напр. Drweb) и фаервол(Напр. Outpost).

Но начать можно малой кровью - http://www.anvir.net/
AnVir Task Manager поможет следить за изменением стартовой страницы и подскажет что её меняет. Главное понять, что AnVir только начало пути и без нормальной защиты компа не обойтись

Автор: button 15.10.2009 - 22:16

Помнится, у AVZ ,была функция восстановления в том числе и домашней странички, кроме всего прочего

Автор: Sanek 15.10.2009 - 23:02

многие твикеры имеют функцию "защита домашней страницы от изменений"

также некоторые советы по этому поводу

CODE

Подмена домашней страницы - как избавиться от подмены домашней страницы?

Не меняется домашняя страница. Залез на очень неприятный сайт... Теперь эта хреновина прописалась где-то в глубинах системы и при каждой перезагрузке эта страница становится домашней - не изменяется домашняя страница (с нее, соответственно, Internet Explorer начинает обзор).

Запустите ПК в режиме защиты от сбоев и выгрузите из памяти все запущенные программы от сторонних разработчиков (то есть не от Microsoft - автора файла можно узнать в его свойствах), если таковые оказались - для этого используйте не только комбинацию клавиш Ctrl+Alt+Del, но ОБЯЗАТЕЛЬНО и утилиту типа TaskInfo 2002 (www.iarsn.com) - только с ее помощью можно увидеть, что в действительности находится в памяти ПК.
Затем, с помощью утилиты msconfig.exe проверьте всю автозагрузку и либо отключите загрузку обнаруженной вредоносной программы (обычно это программа, назначение которой вам неясно, или которая имеет абсурдное название - набор цифр, например), либо, если визуально определить виновника невозможно, то отключите вообще все программы из автозагрузки - для ОС это абсолютно безопасно.
Разумеется, сразу после этого просканируйте систему свежим антивирусом и утилитой Ad-aware www.lavasoft.de/aaw/index.html, удаляющей с диска более-менее известные рекламно-шпионские программные модули, формально вирусами не являющиеся. Далее обнулите в свойствах обозревателя домашнюю страницу и перегрузите ПК.
Если ваши установки на этот раз не изменились и проблема исчезла, то была виновата одна из автоматически загружаемых программ - по очереди возвращая автозагрузку каждой программы и перегружая ПК, можно выяснить конкретного виновника - после включения его автозагрузки (или после ручного запуска) страница опять окажется подменена.
В некоторых случаях программа, меняющая домашнюю страницу, не прописывает себя в автозагрузку и вносит изменения в настройки системы не при каждой загрузке Windows, а при своем обычном запуске - попробуйте в таком случае запускать каждую из установленных программ и смотрите, после загрузки которой из них изменились настройки обозревателя.
Определить вредоносную программу можно и по URL-адресу, прописывающемуся в качестве домашней страницы, а также по названию исполнимого файла - поиск в интернете поможет определить назначение каждой программы из автозагрузки.

Если же вы полностью отключили автозагрузку (вплоть до ручной проверки файлов win.ini, autoexec.bat, winstart.bat), но проблема не исчезла, то следующим этапом удалите все временные интернет-файлы (Temporary интернет Files), очистите Журнал (History), очистите папку C:\Windows\Cookies и посмотрите, какие плагины установлены для Internet Explorer - возможно страницу изменяет какой-то из них.
Файлы подключаемых модулей-плагинов находятся в папке C:\Program Files\Internet Explorer\Plugins - по свойствам каждого файла можно выяснить его предназначение. Временно удалите все файлы из этой папки и посмотрите результат - если проблема исчезла, значит, виноват один из плагинов.
Если нет, то откройте на этот раз в Блокноте файл Windows\hosts (без расширения, в Windows XP он находится в папке Winnt\System32\Drivers\Etc) и просмотрите его содержание - строки с упоминанием IP-адреса сайта вредоносной программы следует удалить.
Если же вы не используете файл hosts или первый раз о нем слышите (учтите только, что его мог создать администратор вашей локальной сети), можно удалить (или временно переместить в другую папку) и его.
Следующим этапом, даже если вы нашли виновника, запустите поиск этого зловредного URL-адреса (или IP) в редакторе реестра - везде, где встретите его упоминание - удаляйте.

Обычно в Windows поражены чужеродным URL следующие параметры реестра (параметры, значение которых не указано, можно удалить):
HKEY_CURRENT_USER\Software\
Microsoft\Internet Explorer
"SearchURL"=
HKEY_CURRENT_USER\Software\
Microsoft\Internet Explorer\Main
"Default_Search_URL"=
"Search Page"="www.microsoft.com/
isapi/redir.dll?prd=ie&ar=
iesearch"
" Search Bar"=
"SearchURL"=
"Window Title"=
"Window_Placement"=
HKEY_CURRENT_USER\Software\
Microsoft\Internet Explorer\Search
"SearchAssistant"=
HKEY_CURRENT_USER\Software\
Micrsoft\Internet Explorer\Toolbar\WebBrowser
"ITBarLayout"=
HKEY_LOCAL_MACHINE\SOFT WARE\
Microsoft\Internet Explorer\Search
"SearchAssistant"="ie.search.msn.com/{SUB_RFC1766}/
srchasst/srchasst.htm"
"CustomizeSearch"="ie.s earch.
msn.com/{SUB_RFC1766}/
srchasst/srchcust.htm"
HKEY_LOCAL_MACHINE\SOFT WARE\Microsoft\Internet Explorer\AboutURLs
"NavigationFailure"="res://
shdoclc.dll/navcancl.htm"
"DesktopItemNavigationFailure"
="res://shdoclc.dll/
navcancl.htm"
"NavigationCanceled"="res://shdoclc.dll/navcancl.htm"
"OfflineInformation"="res://shdoclc.dll/offcancl.htm"
"blank"="res://mshtml.dll/
blank.htm"
"PostNotCached"="res://
mshtml.dll/repost.htm"
"mozilla"= "res://mshtml.dll/about.moz"
HKEY_LOCAL_MACHINE\SOFTWARE\
Microsof t\Internet Explorer\Main
"Default_Page_URL"=
"www.microsoft.com/isapi/
redir.dll?prd=ie& pver=6&ar=
msnhome"
"Default_Search_URL"=
"www.microsoft.com/isapi/
redir.dll? prd=ie&ar=iesearch"
"Search Page"=
"www.microsoft.com/isapi/
redir.dll?prd=ie&ar=iesearch"
" Local Page"=
"Start Page"=
"www.microsoft.com/isapi/
redir.dll?prd={SUB_PRD}&clcid=
{SUB_CLSID}&pver={SUB_PVER}
&ar=home"
"CompanyName"="Microsoft Corporation"
"Window Title"=
HKEY_USERS\.Default\Software\
Microsoft\Internet Explorer
"SearchURL"=
HKEY_USERS\.Default\Software\
Microsoft\Internet Explorer\Main
"Search Page"=
"www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Def ault_Search_URL"=
"Search Bar"=
"Local Page"=
"Start Page"=
HKEY_USERS\.Default\Software\
Microsoft\Internet Explorer\Search
"SearchAssistant"=

Кроме того, непременно проверьте, какие Browser Helper Objects установлены на вашем ПК. Browser Helper Objects (BHO) - это небольшие программы, не имеющие пользовательского интерфейса и автоматически запускаемые вместе с Internet Explorer.
Не многие пользователи слышали о подобной весьма небезопасной и достаточно скрытой функции Internet Explorer, но именно с ее помощью делается такая мерзость, как постоянная подмена вводимого в адресной строке браузера URL. Список идентификаторов, установленных BHO, находится в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\Current
Version\explorer\Browser Helper Objects.
Подозрительные BHO можно попробовать удалить из списка (предварительно сделав резервную копию реестра) - это их полностью дезактивирует. Однако, как выяснить - подозрительные они или нет, если в вышеупомянутом разделе только ничего не говорящие длиннющие номера?
Технология в данном случае такова. Например, если в этом разделе вы обнаружите подраздел HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Windows\
CurrentVersion\explorer\
Browser Helper Objects\{A5366673-E8CA-11D3-9CD9-0090271D075B}, то произведите поиск во всем реестре найденного идентификатора BHO - {A5366673-E8CA-11D3-9CD9-0090271D075B} - обнаружите его упоминание также и в разделе HKEY_CLASSES_ROOT\CLSID\
{A5366673-E8CA-11D3-9CD9-0090271D075B}. Просмотрите все содержимое найденного раздела, чтобы определить, к какой программе относится этот BHO - в данном случае вы обнаружите такую запись: HKEY_CLASSES_
ROOT\CLSID\{A5366673-E8CA-11D3-9CD9-0090271D075B}\
InprocServer32
@="C:\Program Files\Flashget\jccatch.dll"
Из этой записи можно сделать вывод, что обнаруженный BHO создан программой FlashGet и никакой угрозы не представляет. Если же вы обнаружите упоминание DLL-библиотеки непонятного происхождения, то смело удаляйте в реестре все упоминания данного BHO - скорее всего именно он и является причиной неприятностей.
Удобнее же всего (и безопаснее для реестра) не ручной поиск и идентификация установленных BHO, а использование специально для этого предназначенных программ, таких как BHODemon www.definitivesolutions.com или BHOCaptor www.xcaptor.org, которые выдадут всю информацию об установленных модулях BHO и помогут деактивировать подозрительные BHO.
Вот и все - помните только, что рекламщики не дремлют, постоянно изобретая все новые способы проникнуть на ваш компьютер и поиметь зеленый доллар за счет вашего недешевого траффика, а потому без защиты проверенными файрволлами (типа буржуйского Norton Internet Security или отечественного Outpost Firewall) и антивирусами сегодня не обойтись. Профилактика всегда лучше, чем лечение.

Автор: Luda 16.10.2009 - 08:25

_http://www.superantispyware.com/?tag=SUPERANTISPYWARE
UPERAntiSpyware-русский есть,1.9МБ,бесплатно,обновления ежедневно,или Malwarebytes' Anti-Malware
_http://www.malwarebytes.org/ -функции,те-же

Автор: layman 26.01.2010 - 17:16

Сервис деактивации вымогателей-блокеров

Цитата
"Лаборатория Касперского" представляет бесплатный сервис для борьбы с программами, блокирующими компьютер и предлагающими отправить платную СМС на определенный номер, взамен на номер отправителя будет выслан код, позволяющий разблокировать компьютер.
_support.kaspersky.ru/viruses/deblocker

Автор: Andyy 27.01.2010 - 08:17

Аналогичный сервис от Dr.Web: http://www.drweb.com/unlocker/index/?lng=ru

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)