Помощь - Поиск - Пользователи - Календарь
Полная версия: Шпионы и чернуха, изменение стартовой страницы
Форум на все случаи жизни > Секреты софта и железа > Компьютерный ликбез
Страницы: 1, 2, 3
Sercam
Дикая проблемка у меня.
Заслали мне какую-то хрень, и теперь у меня Explorer автоматом вместо нужного сайта коннектится к какойто ерунде эротической http://www.eroson.com/indexf.html , и всплывают ещё 2 сайта : url=http://dolls.nu/ и url=http://publichouse.ru/. Беда какая-то. Ничего не могу сделать, поудалял уже всё что мог. И где только эта хрень прописалась, ума не дам.
Может подскажете чего-нибудь дельного, как избавить комп от всякой нечисти.
huh.gif
Dron
Sercam
Самое надежное... переставить систему... :D
а так... проскань реестр на наличие первого сайта
hттp://www.eroson.com
так же посмотри установки домашней и других страниц...
Sercam
Цитата(Dron @ 22.05.2003 - 22:42)
Sercam
Самое надежное... переставить систему...  :D
а так... проскань реестр на наличие первого сайта
hттp://www.eroson.com
так же посмотри установки домашней и других страниц...

Домашнюю страницу обнуляю, а при следующем открытии любой другой страницы в нете сразу прописывается снова та ерунда.
А в реестре где точнее покопаться?
Val14
Sercam
Обычная проблема для любителей "клубнички" :D
Ты (или не ты ;) ) заходили на порно- эрото- сайты и через дыры в безопасности Internet Explorer у тебя прописались в ветках реестра ссылки на эти сайты.
Вывод простой : запускаешь REGEDIT жмешь CTRL-F и ищешь свои .http://www.eroson.com/indexf.html, .http://dolls.nu/ и .http://publichouse.ru/. Соответственно найденные ветки реестра удаляешь.
Лучше понимать, что ты удаляешь. Если опыта нет, то попроси кого-нибудь. Ну, а если некого просить, то рискуй сам w00t.gif
Установка поверх той же версии IE - ничего не дает. Лучше достать IE6 SP1 с февральским обновлением (у меня под рукой ссылок нет, но я думаю Модераторы Ликбеза - подскажут) и установить его. Кажется, часть этих дырок перекрыта.

ЗЫ Ещё одно матерное выражение и вместо помощи получишь :moder:
Sercam
Dron
Через найти в реестре поискал - ничего.
Sercam
Цитата(Val14 @ 22.05.2003 - 22:48)
Sercam
Обычная проблема для любителей "клубнички"  :D
Ты (или не ты ;) ) заходили на порно- эрото- сайты и через дыры в безопасности Internet Explorer  у тебя прописались в ветках реестра ссылки на эти сайты.
Вывод простой : запускаешь REGEDIT жмешь CTRL-F и ищешь свои .http://www.eroson.com/indexf.html, .http://dolls.nu/ и .http://publichouse.ru/. Соответственно найденные ветки реестра удаляешь.
Лучше понимать, что ты удаляешь. Если опыта нет, то попроси кого-нибудь. Ну, а если некого просить, то рискуй сам w00t.gif
Установка поверх той же версии IE - ничего не дает. Лучше достать IE6 SP1 с февральским  обновлением (у меня под рукой ссылок нет, но я думаю Модераторы Ликбеза - подскажут) и установить его. Кажется, часть этих дырок перекрыта.

ЗЫ Ещё одно матерное выражение и вместо помощи получишь :moder:

А какой параметр у первой страницы?
Прикол что не лазил я по таким сайтам...
Sercam
Val14
Ругаться не буду.
ОК. В реестре нашёл ссылку на сайт. Удалил -
start page ....................... .
Выхожу из реестра, захожу на любой сайт и снова всплывает эта ерунда. Заглядываю в реестр - а ссылка на месте !!!
Что теперь делать?
SP1 к 6.0 версии Explorer у меня есть, с "ЧИП'ом" был, стоит у меня и ещё раз ставил. Ноль эффекта.
Я в тупике.
Sercam
А попробуйте кто-нибудь зайдите на www.mail.ru. У вас эта фигня не выпадет? На этот сайт особо рьяно эти ссылки реагируют.
Zol
Sercam
все тихо на www.mail.ru, никакой чернухи... Ни одна фигня не выпала, только так, по мелочи, зубы-волосы... Проверяйся тщательнЕй, Spy-Adware, Куки-шмуки и убедись что ты сохраняешь реестр после того как удалил все что хотел. :)

ПЦ. Может тебе кто годовой абинимент "на клубничку" в качестве сюрприза подарил. :)
Sercam
Цитата(Zol @ 22.05.2003 - 23:15)
Sercam
все тихо на www.mail.ru, никакой чернухи... Ни одна фигня не выпала, только так,  по мелочи, зубы-волосы... Проверяйся тщательнЕй, Spy-Adware, Куки-шмуки  и убедись что ты сохраняешь реестр после того как удалил все что хотел.  :)

ПЦ. Может тебе кто годовой абинимент "на клубничку" в качестве сюрприза подарил.  :)

Zol В реестре просто удаляю и выхожу. Никакого сообщения о сохранинии. Просто выходит из реестра.
А почему спросил про MAIL, на других сайтах ещё ничего,но когда захожу на этот, зразу пошли какие-то мелькания IP внизу, названия страниц и т.п., подразумеваю что вся эта фигня тогда и закачивается... А как это возможно, и тем более как избавиться ума не дам.
А про абонемент шутка на 5 баллов.
Gamer
Млин посмотри еще, что грузиться при загрузке компа? Если есть что-то подозрительное, то удали должно помочь.
Dron
Sercam
также кроме автозакрузки посмотри строки
load=
run=
в win.ini
если там есть что-то чего ты на комп не ставил удали (сделай сначала копию ;) )
потом проверь реестр по этому пути... может отсюдова чего-то грузится...
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
а также проскань реестр на предмет имен сайтов только без www и com, ru
может быть и такой вариант...
drSAB
Sercam
скорее всего ты наступил на джойн-вирус (небольшой скриптик, который тебе теперь пакостит)
Поработай антивирусами KAV или DrWEB
они их бьют :D

Если он сидит где-то на пути загрузки - то здесь лучшей TrojanRemover или STOP!
Sercam
Цитата(drSAB @ 23.05.2003 - 02:21)
Если он сидит где-то на пути загрузки - то здесь лучшей TrojanRemover или STOP!

drSAB
Не знаешь где их в нете скачать чтобы эти проги всё полечили?
YUNGA
Sercam
Ну в самом деле, разве так трудно набрать 15 букв просто в темe full version and Rulez по фильтру? Это ж Bestfilez! Свежие новости каждый день! Форум на все случаи жизни! И все понятно из названия. Будь внимательней и быстрее справишьсь со своей проблемой. :)
matros.gif
drSAB
Sercam
В дополнение совета от Val14
это же можно сделать не влезая в реестр:

Запусти IE (желательно без подключения к интернету)
Верхнее меню IE:
Сервис -> Свойства обозревателя -> Общие -> Домашняя страница
там есть три опции [C пустой] [С исходной] [С домашней]
... и строка [Адрес] - во всех трех режимах установи about:blank
и каждый раз при этом выполняй [Применить] [ОК]
Закрыть IE, перегрузить комп

Снова вызови IE и посмотри - остались ли эти настройки?

А YUNGA абсолютно прав :D
набери в full version and Rulez в строке быстрого поиска слово trojan
и увидишь всех антитроянцев :D

их всегда желательно иметь на компе

:D одно другому не помешает

P.S.
Дополнения к IE6 ты всегда можешь посмотреть
в разделе форума ->General ->Global News
в теме:
Microsoft уполномочен заявить... (Страница 5 )
Sercam
drSAB
В свойствах ставить с пустой бесполезно, после следующего захода на любую страницу всё обновляется и перепропмсывается.
Скачал себе TrojanRemover. Ничего он не находит, правда пишет что осталось 30 дней, но работает - и не находит. Ключ вроде правильно прописал. как в форуме написано.
Что не правильно???
helper
Проверь на подозрительные файлы:
C:\Program Files\Internet Explorer\PLUGINS
и
C:\WINDOWS\Downloaded Program Files
если у тебя 2к/xp
потом вычисти реестр
Sercam
helper
И там и там пусто. Ни единого файла.

А вот ещё прикол.
Скажем сайт www.yandex.ru или www.rambler.ru открывается без проблем и последствий, но стоит только зайти мне на www.mail.ru - и сразу пошла какая-то закачка, открытие других страниц, прописывается этот сайт в автозагрузку везде где только можно.


Пока не помогает ничего.
Sanek
пробовал ли проги типа Lavasoft Ad-aware 6 или Spybot
(опять же на форуме проскакивали)
-сканят и удаляют довольно корректно !
опять же в Ad-aware (и вообще, в куча др прог)
есть такая штука как ''просмотр процессов'' смотри
в ряде файрволов
(да в том же Agnitum Outpost Firewall в конце концов)
также можно просмотреть кто там без тебя куда стучится
-удалить нельзя правда зато запретить нифиг можно...
наконец, (совсем темный способ) - в системных директориях
вручную просмотри все файлы (в том числе и скрытые)
обращяя внимание на файлы с подозрительными именами
и с датой создания соответствующей дате ''заражения''
(если , конечно , помнишь)
- хм. удалять их конечно не надо - просто держать на контроле.
drSAB
Sercam
Когда запускаешь TrojanRemover, он начинает сканить ВСЕ , что стоит на пути автозагрузки... причем в режиме ждущем твоего подтверждения...
Просмотри и выпиши все файлы, которые он просматривает (для начала исключив из этого списка *.VXD)


[*]И по поводу "В свойствах ставить с пустой "
Я ГОВОРИЛ - "СДЕЛАТЬ ЭТО ВО ВСЕХ ТРЕХ РЕЖИМАХ ОДНОВРЕМЕННО , В ОДИН ЗАХОД"


[*]второй способ ( :D ловил так тоже)
Просканить на текст УРЛА (его части) ВСЕ эти папки:
c:\WINDOWS\Cookies\
c:\WINDOWS\Temporary Internet Files\ (чаще всего здесь в файлах типа *.js)
c:\WINDOWS\History\
Если найдешь, то файл заархивируй ( кроме :D INDEX.DAT) и повтори запуск IE


[*]Если это все не поможет, то есть способ " УСТАНОВКИ ЛОВУШКИ НА ПРОИЗВОЛЬНУЮ ПЕРЕМЕННУЮ СЧИТЫВАЕМУЮ/ЗАПИСЫВАЕМУЮ В РЕЕСТР"
Посмотри тему Программа : Z~‡~wv“‰—]Wl "это ещё что? Trojan???????" там я об этом рассказывал 29.08.2002 - 13:57
Val14
drSAB
А может стоит почистить все кукисы и временные фалы IE ?
Если это скрипт, который связан с .www.mail.ru, то он может и сам удалиться (хотя я не верю что это так просто, но порядка ради...)
И ещё очень хочется увидеть список из автозагрузки (MSCONFIG), хотя бы
Код
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Sercam
drSAB

[*]Временные файлы и Cookies удалил в самую первую очередь. MSCONFIG тоже посмотрел сразу, там есть кое что, типа TASKMONITOR, SCANREGISTRY, internet.exe - может по последнему только вопрос. Хотел просто его сюда скопировать, но не получилось.


[*]Я ГОВОРИЛ - "СДЕЛАТЬ ЭТО ВО ВСЕХ ТРЕХ РЕЖИМАХ ОДНОВРЕМЕННО , В ОДИН ЗАХОД"
А где 3 ?

to Sercam
Цитата
Запусти IE (желательно без подключения к интернету)
Верхнее меню IE:
Сервис -> Свойства обозревателя -> Общие -> Домашняя страница
там есть три опции [C пустой] [С исходной] [С домашней]
... и строка [Адрес] - во всех трех режимах установи about:blank
и каждый раз при этом выполняй [Применить]  [ОК]
Закрыть IE, перегрузить комп


во всех трех режимах (выделенных красным) установить about:blank
если изменения будут, то меняется в одном режиме или во всех?
Val14
Sercam
internEt или internAt.exe - последнее, как и ранее перечисленные TASKMONITOR, SCANREGISTRY - это от Билла Гейтса :D
Цитата
Хотел просто его сюда скопировать, но не получилось.
Ну, это в твоих интересах. постарайся точнее написать.
Причем не просто TASKMONITOR, а TASKMONITOR - C:\WINDOWS\taskmon.exe.
Нужно это для более четкого понимания : это системные программы или вирус, который прикидывается ими.
В реестре в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, ты эти связки увидишь. Но, если быть точнее, то далее следуют ветки, которые начинаются на RUN - RunServices и т.д, в которых тоже может существовать вызов модулей для автозагрузки. Msconfig показывает, кажется, не все.
Sercam
Val14

(По умолчанию) (значение не присвоено)
internat.exe "internat.exe"
ScanRegistry "C:\WINDOWS\scanregw.exe / autorun"
StillmageMonitor "C:\WINDOWS\SYSTEM\STIMON.EXE"
SystemTray "SysTray.Exe"
TaskMonitor "C:\WINDOWS\taskmon.exe"

Вот собственно и всё что есть в этой ветке. cranky.gif
drSAB
Sercam
Здесь у тебя переплелись две темы:

[*]Вопрос о несанкционированном изменении настроек IE


[*] Загрузка всплывающих окон (перенаправлние на рекламные страницы) при посещении некоторых сайтов. (это о www.mail.ru) - ;) поставь файервол или др.браузер, отсекающий эту лабуду и закрой этот вопрос :D

Поэтому прошу еще раз уточнить - твой самый первый пост - ссылки на те сайты (в качестве стартовой страницы - eroson.com) появляются, и в дальнейшем остаются постоянными, или же произвольно меняются в каком то порядке??? ( eroson.com / about /другие)

Если eroson.com стал стартовой, то тебе необходимо настроить ловушку на eroson.com , принудительно прописать пустой бланк и ждать текущего изменения/обращения к этой ветке реестра...
...MSconfig - не регистрирует все загружаемые программ :(
есть несколько путей его обхода
kolbik
drSAB

Опишите пожалуста пути обхода с помощью которых MSconfig не регистрирует загружаемые программы, а вдруг поможет. Да и пригодиться на будущее. Заранее спасибо.
drSAB
kolbik
Читай внимательно тему!

p.s. angry.gif Я же тебе уже в чате говорил, что не консультирую по подобным вопросам...,
;) а посмотреть программы, альтернативные MSconfig, ты всегда сможешь в теме на full version and RuleZ :

Starter & Startup CPL, аналоги стандартной MSconfig

... а что же у тебя загрузилось, вот этим:
TaskInfo , Task Manager + System Information
Sercam
drSAB
Значится так.
Порядок "всплытия" окон всегда одинаков.
Запускаю www.mail.ru, потом выскакивает www.eroson.com, сраза за ним www.dolls.nu и www.publichouse.ru. Т.е. всегда одно и то-же.
То что надо поставить прогу отслеживающие изменения в реестре - это я уже понял, но вот хотелось бы ещё уточнить где надо "обнулить" стартовую страницу. Я знаю только ДОМАШНЯЯ СТРАНИЦА в СВОЙСТВАХ ОБОЗРЕВАТЕЛЯ. Может ещё где???
А потом, найду место где всё время происходят изменения, и что???
Dron
Sercam
Цитата
А потом, найду место где всё время происходят изменения, и что???

найдешь, что эти изменения вносит и ликвидируешь ;)
Vlad64
на http://kadet.net.ru/ появилась прога IE Doctor не знаю насколько эффективнв но можно и попробовать :) Цитата " Часто бывает, что после посещения некоторых сайтов, браузер начинает глючить. Вместо вашей "домашней страницы" появляется чужая(частенько порнушка), то в контекстном меню появляются новые пункты и т.д. IE Doctor поможет Вам восстановить IE после подобных изменений. " пробуй ;)
Sercam
Цитата(Vlad64 @ 29.05.2003 - 22:03)
на http://kadet.net.ru/   появилась прога IE Doctor не знаю насколько эффективнв но можно и попробовать :)  Цитата " Часто бывает, что после посещения некоторых сайтов, браузер начинает глючить. Вместо вашей "домашней страницы" появляется чужая(частенько порнушка), то в контекстном меню появляются новые пункты и т.д. IE Doctor поможет Вам восстановить IE после подобных изменений. "  пробуй ;)

Сайт взломали !!!
Val14
Sercam
_http://www.qwerks.com/download/4850/IEDoctor.exe
Sercam
Val14
Спасибо, попробую.
Sercam
Очень интересная эта прога - IE Doctor.
Но если она не запущена ВСЕГДА - то не помогает естественно.
А вот если в автозагрузке, и работает постоянно, то внизу браузера видно что постоянно пытается обновиться страница и прописывается адрес всплывающего сайта, но всё остаётся как есть.
Спасибо Вам ребята за огромное за ссылочку. Жаль по другому никак не выходит. :D
Dron
Sercam
Переставь систему :D
Val14
Sercam
Ещё одна программа :
StartPage Guard 2.5
Цитата
StartPage Guard (SPG) protects your PC from cyberscam, by detecting and preventing any unauthorized changes to your internet browser's Start and Search pages. It is also capable of removing automatically most of known "invaders".

HomePage _http://www.pjwalczak.com/spguard/index.php
D/L _http://pjwalczak.com/spguard/spgsetup.exe
Цитата
Latest Version: 2.50
Platform: Windows 9x, ME, NT 4.0, 2K
Size: 422 Kb
Status: Freeware


ЗЫ. drSAB я хотел описание этой программы в тему добавить, но не соображу: в какую именно cranky.gif Для отдельной темы она вроде не нужна.
Шурпентий
ИМХО не ходи туда куда не знаешь!!!!!!!!!!!!!! "Снег башка попадёт - совсем мёртвый будешь!" /Джентельмены у дачи/
Лично у меня с Zone Alarm проблем не возникает ;)
Но если чернухи избежать не удаётся - формат и setup.exe из пакета Windows [img]http://www.bestfilez.net/forums/html/emoticons/devil.gif[/img]
Sercam
Спасибо всем.
Видимо окончательно меня избавит от этой ерунды лишь формат и переустановка системы, а пока стоит у меня IE Doctor, справляется с задачей хорошо, правда глушит ВСЕ всплывающие окна, и иногда приходится вырубать прогу, т.к. на некоторых сайтах без этого не обойтись.
drSAB
Sercam

я так тебя и не понял... ты способ ловли №2
из моего сообщения 25.05.2003 - 01:12
применял или нет???

Подобным способом я уже множество раз ловил всякую чепуху, пытавшуюся хулиганить в реестре
Sercam
Цитата
второй способ (  ловил так тоже)
Просканить на текст УРЛА (его части) ВСЕ эти папки:
c:\WINDOWS\Cookies\
c:\WINDOWS\Temporary Internet Files\ (чаще всего здесь в файлах типа *.js)
c:\WINDOWS\History\
Если найдешь, то файл заархивируй ( кроме  INDEX.DAT) и повтори запуск IE


DrSAB Сканил, не нашёл чтой то ничего.
Rowdy
Sercam
У меня шеф тоже любитель клубнички, подхватывал такое 2 раза, оба раза был комп вылечен без формата.
1. в реестре в автозагрузке висит (скрипт, прога,...) не помню что и какая (около года назад такое делал), ее удаляем оттуда
2. открываем Far и ищем во всех файлах на всех винтах твой ненавистный сайт, обязательно всплыват парочка файлов, лезем в них править и пишем там вместо ссылки на сайт пишем "about:blank" (без кавычек) и будет тебе счастье
drSAB
Sercam
тогда остается только поставить капкан в реестре на эту переменную
Посмотри мое сообщение и инструкцию @ 29.08.2002 - 13:57 по этой ссылке

to Rowdy - такой номер может пройти, если эта ссылка записана явным образом...
к сожалению, чаще всего, запись бывает разнесенной или кодированной (типа литера-пробел, литера-hex00 или еще чего нить)
:( ...и не обязательно это в автозагрузке... оно может быть инициализировано только в момент загрузки IE или при вызове какой-то его переменной
drSAB
Sercam

есть идея, где это могет быть:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
и внимательно просмотри все строчки параметров
Sercam
drSAB
Ничего особенного там не нашёл.
Какой параметр может быть интересен?
drSAB
Sercam
скопируй ("сохранить как") эту ветку и передай на ПМ - так будет быстрее :D
Johnik
Чтобы окна не выскакивали скачай вот эту прогу _ttp://www.gasanov.net/PopOops.htm
У меня стоит и горя не знаю(любитель по порнушным сайтам полазать w00t.gif
Zol
Johnik
У Sercam-а не просто pop-up-ы, там гораздо серьезней... Там профилактикой не обойдешься, видишь уже про ампутацию говорят :)
AndragoN
Sercam

Ты реестр то прошерсти а не говори что нету...!!!!!!!!!!! :D на eroson и на все остальные всплывающие ссылки......почисть кукисы
Вся плюшка здесь HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix - путь ебустра :)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes - www прописался
malim
Всем привет.Незнаю обратился ли я в тот раздел или нет если нет то прошу перенести или я создам новую тему.У меня вот такая пролема.Время от времени на компе выскакивает такое сообщение [img]http://www.malim.front.ru/error.jpg[/img]
И текст в нём бывает разный но смысл одинаковый.Как можно избавиться от этого?Я пробовал ad-aware но не помогает сново вылазеет это сообщение.Очень раздражает оно меня.

Система у меня winxp pro corp. Sp1 не установлен
..
Это текстовая версия — только основной контент. Для просмотра полной версии этой страницы, пожалуйста, нажмите сюда.

Русская версия Invision Power Board © 2001-2024 Invision Power Services, Inc.

Warning: require_once(/var/www/bestfil1/public_html/setlinks_0d98c/slsimple.php) [function.require-once]: failed to open stream: No such file or directory in /var/www/bestfil1/public_html/forums/lofiversion/index.php on line 355