Шеф на домашнем компе подцепил такую проблему-
После посещения... ну, понятно, каких сайтов у него в IE 6.0 (Windows XP) принудительно загружается в качестве стартовой некая поисковая страница. Причем, установить другую или пустую через настройки IE не удается - всё возвращается обратно. Тот же результат после ручной правки адреса стартовой страницы через реестр. Более того, если в автозагрузку поставить скриптик, подправляющий этот кусок реестра, то при первом запуске IE всё хорошо. Но при последующих запусках IE опять в качестве стартовой открывается та самая страница. Адрес этой страницы (как его видит IE) - "about:blank", т.е., пустая.
Кто знает, где живёт эта самая пустая страница обычно? И вообще, какие есть мысли?
По моему стоит внимательно осмотрется в ветвях HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main и HKEY_USERS\S-************\Software\Microsoft\Internet Explorer\Main
Gluzer'у: Да зараза эта переписывает эти ветки под себя, даже если там всё руками исправить. Например, если прописать стартовую страницу, скажем, www.rbc.ru, то этот параметр опять будет заменен на about:blank. Есть подозрение, что это получилось из-за дыры в безопасности в IE. Как лечится? Или как под корень снести IE, чтобы его можно было переустановить с отдельного дистрибутива? "В тупую" переустановить IE не получается: "Установлена более новая версия..."
Там в реесторах есть ключ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix]
@ = "http://"
Суть его в том, что если пользователь набрал в браузере к примеру forum.wincity.ru, то iexplore по умолчанию в начале добавляет то что написано в данном ключе ..... в 99.99% случаев ... это http://
У тебя наверное поменяли данный ключ, и что бы ты не набирал браузер в начале добавляет не http:// а к примеру http://www.badsearch.com/index.html?
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\
Prefixes]
"ftp"="ftp://"
"gopher"="gopher://"
"home"="http://"
"mosaic"="http://"
"www"="http://"
Тут тоже подправь.
Falcor, www.slotch.com..?
http://home.comcast.net/~bz1usa/spybotsd12.exe . Сначала обновить. И впредь всякую дрянь не цеплять...
Хорошие советы, поимею в виду при случае. Но здесь, видимо, случАй тяжелый - из предложенного выше ничего не помогло. Кстати, когда страница эта гадкая отображется, можно посмотреть ее HTML-код... (Если кому это интересно, могу прислать текст страницы). Но ничего это не дало, даже файлы с кусками такого текста на компе поиском не обнаруживаются (а грузится она локально). Похоже, что забрались в .exe или .dll и упаковали...
Так как снести IE "под корень", чтобы переустановить его можно было с отдельного дистрибутива?
Может, оно у тебя в автостарте засело? Пробовал шерстить msconfig?
Вот еще вариант решения проблемы (от C.Б.): "Встречал нечто подобное.
about:blank - на самом деле конец очень длинного адреса, нужно прокрутить строку что бы это увидеть (и удалить).
Возвращается все обратно после перезагрузки.
эта гадость - или в корне или где-нибудь в папке Виндовс пишет ехе-шник с коротким именем, каким не помню, типа link.exe или подобным."
Но тоже не мой случай.
А решить проблему УДАЛОСЬ-ТАКИ! Посмотрел внимательно на ту самую "about:blank" страничку прямо в IE (просмотр HTML-кода). Недалеко от начала есть там "...res://" и дальше текст вида %63%69%67%6a... Что есть ни что иное, как путь к гадкому файлу, а цифирь - коды символов в этом пути. Подставляя вместо кодов символы, получил "C:\WINDOWS\SYSTEM32\CIGCBJ.DLL" Его и грохнул, после чего всё стало жить как надо.
Итак, его (шефа) пример - другим наука. А засвеченные в теме советы по борьбе с заразой, думаю, кому-то пригодятся. Всем большая спасиба!
По моему эта ситуация приобретает более массовый характер ........ на одном компе была похожая ситуация ... ну думаю "это мы знаем (читали в форуме )" , оказывается нет ....... загружаем about:blank .... открывается какой то поисковик ....... смотру sourse ... А ТАМ ПУСТО ...... !!!!!!! Не буду рассказывать как я извращался над ехплорером ... но в конце концов нашел файл winres.dll ...который отвечал за все это дело ...... короче удалил, просканил реестор на предмет (winres.dll) .. удалил все что нашел ... и все ...... пока что работает ...... никаких гадостей не вытворяет ....
Так что берите на вооружение ......... :-)
А вот еще одно заражение ....... ни на одно вышесказанное не было похоже ..... словом перерыл все ...... нашел следующее ..... Эта (не знаю даже как назвать) бросала себя в C:\ и прописывала себя в autoexec.bat, далее создавала dpe.dll, и crt32_v2.dll, прописывала должным образом в реесторе ........
Я удалил все это дело ... но проблеммы не закончились .... дело в том что она в очень многих местах оставила после себя след (я имею ввиду в реесторе) ...... задал поиск по реестору "http://" и исправил все что мне не понравилось, в том числе
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix]
@ = "http://"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes]
"ftp"="ftp://"
"gopher"="gopher://"
"home"="http://"
"mosaic"="http://"
"www"="http://"
Так. Все это неводит на грустные мысли. Сегодя на все машины в принудительном порядке поставлю Lavasoft Ad-aware.
Цитата |
Сегодя на все машины в принудительном порядке поставлю Lavasoft Ad-aware. |
Дело в том что к примеру %63 это 16-тиричное значение символа в таблице ASCII
http://www.utoronto.ca/webdocs/HTMLdocs/NewHTML/iso_table.html
Вот тут смотри в колонке HEX ..... и подставляй символы ....
Подскажите пожалуйста, у моего друга возникла проблема следующего характера.
После очередной вылазки в инет ему в стартовую страницу прописалась "левая" страница. Короче убрать ее через Explorer невозможно, так как кнопки "с исходной", "с пустой" просто в не активном режиме.
Кроме этого теперь когда машина загрузилась Explorer начинает выкидывать извесное окно с кнопками подключиться или работать в автономном режиме. И как только ты закроешь это окно то через секунд 30 выскакивает новое. ----- Но с этой проблемой я сразу разабрался. Причина была в том что у него в папке Windows засел файл fiks.exe и засел в автозагрузке. После того как его от туда убрал и удалил сам файл из папки эта проблема была разрешена.
Но к великому сажелению проблема со стартовой страницей осталась. Я также знаю, что можно значение стартовой страницы в Explorer можно изменить через реестр, что я и попытался сделтаь. Но я был крайне удивлен когда попытался через выполнить командой regedit зайти в реестр, МНЕ в ответ было выкинуто окно с ошибкой такого содержания - Вход в реестр запрещен Администратором. Факт в том что мой друг и есть Админом и кроме него на этом компе не работает.
Помогите кто может плииз! В чем может быть проблема
Зарание спасибо...
Да кстате у вас на форуме уже была подобная тема, но там я не нашел решения этой проблемы.
Может вирус какой нить засел у него? проверь на их наличие
Шакал, так и надо было постить в ту тему... Первая мысль администратора: опять поиском не пользуются.
1) поставь PC Cillin 2004 (он же Internet Security 11) и включи на нем отлов в реальном времени троянов и прочего
2) поставь Ad-Aware
3) загрузись в режиме защиты от сбоев и удали этот файл + все упоминания о нем в реестре (в этом может помочь NBG Clean Registry)
боюсь, что никакую установку ему не дадут сделать....с подобным вирусом сталкивался.
по-моему, Safe Mode. ручная вырезка всего (реестр откроется), а только потом полная проверка на вирус.
Цитата |
Дело в том что к примеру %63 это 16-тиричное значение символа в таблице ASCII http://www.utoronto.ca/webdocs/HTMLdocs/Ne.../iso_table.html Вот тут смотри в колонке HEX ..... и подставляй символы .... |
Люди помогите чайнику....
Ad-Aware у меня эту .... страницу ловит при сканировании, естественно она появляется потом снова.
PestPatrol вроди как не ловит....или я с настройками не разобрался. Если есть добрые люди помогите пожалуйста. Ну что-то я конечно им удалил (почитал ссылки) а коечто сомневаюсь....например: ToonComics, Powerscan, BargainBuddy, 180Solutions.com SurfAssistant.......что с ними делать?
[QUOTE]
[QUOTE]Посмотрел внимательно на ту самую "about:blank" страничку прямо в IE (просмотр HTML-кода). Недалеко от начала есть там "...res://" и дальше текст вида %63%69%67%6a... [/QUOTE]
......ну ничего не могу подобного найти, можно поподробнее на этом? Как я понимаю надо найти именно этот .... dll
Люди добрыя ......поможите
CWShredder.exe
ссылку на него я кидал в теме.
Поиск и найдёшь.
Хотя в конечном результате, я лично ручками нашёл файл-ядро этой заразы и удалил..
кстати, обнови антивирус...
Новые базы Касперского (параноидальные) и Pc-Cillin его абсолютно номально видят.
То, о чем вы пишете - это spyware )) Могу посоветовать две
утилиты - SpyBot и SpyKiller. Рекомендовал бы spybot. У меня
есть друган, который приходит ко мне на работу смотреть порнуху
в интернете )) Есс-но после не нескольких часов интенсивной
работы туева хуча троянов и шпионов. В SpyBot е еще ни разу
не разочаровался (правда DSO - exploit некорректно отлавливает) )
У меня похожая проблема.
Стартовая страница не изменилась, но при старте броузера открывается второе окно с рекламой какого-то шведского сайта. Это окно, будучи закрытым, время от времени, открывается снова.
Перешерстил реестр, проверил AVP, PC Door Guard, ничего не помогает.
Outpost Fierwall тоже ничего не видит, и показывает, что на шведский сайт лезет именно Internet Explorer. Версия MSIE 6.0.2800.1152.xpsp2.030410-1604, файл 911936 байт от 11.04.2003
...Тем временем решение проблемы найдено.
См. http://www.computing.net/windowsxp/wwwboard/forum/87147.html
Новая уязвимость, антивирусы и антитроянцы с ней пока не борются.
Основной признак заражения: в %SYSTEMROOT%/SYSYTEM32 есть файл vbsys2.dll.
Привет всем! Надавно сталкнулся с этой проблемой стартовой страницы в ИЕ. Как и откуда подцепил - не знаю.
Диагноз: при открытии сам лезит на какой-то поисковик, избавиться от этой гадости стандартными методами не удавалось т.е.: ИЕ - установка стартовой страницы и.т.д.
Что и где искал: начал с загрузки системы (msconfig, + всякие доп.программы по старту системы). Результат 0 - все везде нормально.
Далее реестра, искал все ссылки на этот сайт и как они туда попадают.
Нашел следуещее: в реестр эта ссылка попадала с помощью все того-же ИЕ.
При загрузке системы, вместе с ИЕ стартует некая dll, которая и занимается этой гадостью. У меня это была eplrr9.dll, находилась в system32.
Иструментарий:
Iarsn TaskInfo2003 6.x. Показывает ВСЕ процессы в системе и ЧТО эти процессы делают. С ее помощью я нашел эту dll.
Reg Organizer v2.37. Позволяет полность разобрать реестр на запчасти.
Результат: вылечился полностью, все работает отлично, и Вам того-же желаю.
GnUS, поделись ссылочкой на Iarsn TaskInfo2003 6.x
Барэль, Запросто: http://downloads.iarsn.com/tskinf60.exe
Имя и код я убрал. Варезом мы не занимаемся...
Барэль, Сори...вышло как всегда
У меня при выходе в инет и открытии броузера вылазить стартовая страница WWW.traffer.ru хотя я ставлю яндекс.
Наверное она загружается при входе в ХР. Так как после установки стартовой после включения винда она работает нормально. Можно ли как то убрать эту страницу, чтобы у меня всегда стоял яндекс в старте. Может это вирус, но kav5
не видит это?Надоедает постоянно в избранное лазить.Копаться в папке Windows очень долгое занятие.Может быть кто-нибудь знает, как избавиться от ненужной стартовой страницы? Конечно не слишком понятно, но думаю можно разобратьс я.
kruftun, это самая первая тема в этом же разделе. специально прибитая сверху, чтобы все видели.
http://www.wincity.ru/index.php?showtopic=12478
Добавлено kuzz
http://www.wincity.ru/index.php?showforum=18
для наглядности
А самый лучший способ поставить винд ввиде обновления,конечно, долго но ничего, главное помогает.
Где то я еще эту ссылку давал ........
http://www.merijn.org/files/hijackthis.zip
Самая лучшая и продвинутая программа ИМХО по удалению шпионов .......
Качайте ...... и если будут вопросы ....... выкладывайте логфайлы ............
Поможем .....
ИЕ лечится одним кликом ......... Проверено не один раз ......
Чего-то последнее время трояны действительно как-то свирепствуют. Раз в неделю точно лечу затрояненный комп.
Пользуюсь утилитой http://z-oleg.com/secur/avz.htm.
На мой взгляд вполне приличная.
Плюсом HijackThis является то что он не сканит файлы, как это делает АВЗ, а просто выдает все от чего зависит Интернет Эксплорер, автозагрузку, и еще несколько вещей, и весь скан занимает около 3 секунд.
К минусам могу сказать, что от пользователя он требует немного продвинутости, чтобы случайно не отключить что не нужно, и испортить систему, (хотя на этот случай есть бекап).
А вообще, я заметил что симентек начал иденифицировать эти модули как вирусы
Попробовал HijackThis и AVZ. Вполне достойные продукты. Да, HT требует некоторых усилий головой, что тоже неплохо. Очень понравилась AVZ. Понятный интерфейс, поддержка и работает ничуть не хуже Ad-Aware, за что автору большой респект.
AVZ - сила!
И не надо обзывать меня археологом...
Господь с тобой, разве что эстонцем
адблоки всякие накачайте, поможет, инфа сотка
Мне не помогло. Пока винду как следует от вирусов не почистила.
как прошло?
а проблема разрешилась?
В подобном случае не помогает даже установка/изменение домашней или же стартовой страницы своего браузера. Можно, конечно же, попробовать переустановить браузер. Но есть и другое решение. Можно изменить путь данной программы. Для этого заходим в свойства браузера (это делается нажатием правой кнопкой мышки на ярлык браузера и выбор кнопки/пункта "Свойства"). После этого находите строку/раздел "Объект" и изменяем то, что написано в ней. Запомните, что в этой строке/в этом поле в конце должно быть одно из следующих надписей: launcher.exe, chrome.exe или же browser.exe. Сохраняем изменения и проблема должна быть решенной.
Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)