Версия для печати темы

Нажмите сюда для просмотра этой темы в оригинальном формате

WinCity.Ru _ Интернет технологии _ Как убрать навязанную стартовую страницу?

Автор: Falcor Четверг, 15 Апреля 2004, 21:00

Шеф на домашнем компе подцепил такую проблему-
После посещения... ну, понятно, каких сайтов у него в IE 6.0 (Windows XP) принудительно загружается в качестве стартовой некая поисковая страница. Причем, установить другую или пустую через настройки IE не удается - всё возвращается обратно. Тот же результат после ручной правки адреса стартовой страницы через реестр. Более того, если в автозагрузку поставить скриптик, подправляющий этот кусок реестра, то при первом запуске IE всё хорошо. Но при последующих запусках IE опять в качестве стартовой открывается та самая страница. Адрес этой страницы (как его видит IE) - "about:blank", т.е., пустая.
Кто знает, где живёт эта самая пустая страница обычно? И вообще, какие есть мысли?

Автор: Gluzer Четверг, 15 Апреля 2004, 22:12

По моему стоит внимательно осмотрется в ветвях HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main и HKEY_USERS\S-************\Software\Microsoft\Internet Explorer\Main wink.gif

Автор: Falcor Пятница, 16 Апреля 2004, 6:15

Gluzer'у: Да зараза эта переписывает эти ветки под себя, даже если там всё руками исправить. Например, если прописать стартовую страницу, скажем, www.rbc.ru, то этот параметр опять будет заменен на about:blank. Есть подозрение, что это получилось из-за дыры в безопасности в IE. Как лечится? Или как под корень снести IE, чтобы его можно было переустановить с отдельного дистрибутива? "В тупую" переустановить IE не получается: "Установлена более новая версия..."

Автор: Levon Пятница, 16 Апреля 2004, 8:00

Там в реесторах есть ключ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix]
@ = "http://"



Суть его в том, что если пользователь набрал в браузере к примеру forum.wincity.ru, то iexplore по умолчанию в начале добавляет то что написано в данном ключе ..... в 99.99% случаев ... это http://

У тебя наверное поменяли данный ключ, и что бы ты не набирал браузер в начале добавляет не http:// а к примеру http://www.badsearch.com/index.html?

Автор: mpa Пятница, 16 Апреля 2004, 12:17

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\
Prefixes]
"ftp"="ftp://"
"gopher"="gopher://"
"home"="http://"
"mosaic"="http://"
"www"="http://"

Тут тоже подправь.

Автор: kuzz Пятница, 16 Апреля 2004, 18:20

Falcor, www.slotch.com..?
http://home.comcast.net/~bz1usa/spybotsd12.exe . Сначала обновить. И впредь всякую дрянь не цеплять...

Автор: Falcor Воскресенье, 18 Апреля 2004, 7:18

Хорошие советы, поимею в виду при случае. Но здесь, видимо, случАй тяжелый - из предложенного выше ничего не помогло. Кстати, когда страница эта гадкая отображется, можно посмотреть ее HTML-код... (Если кому это интересно, могу прислать текст страницы). Но ничего это не дало, даже файлы с кусками такого текста на компе поиском не обнаруживаются (а грузится она локально). Похоже, что забрались в .exe или .dll и упаковали...
Так как снести IE "под корень", чтобы переустановить его можно было с отдельного дистрибутива?

Автор: yozh Воскресенье, 18 Апреля 2004, 10:46

Может, оно у тебя в автостарте засело? Пробовал шерстить msconfig?

Автор: Falcor Воскресенье, 18 Апреля 2004, 22:19

Вот еще вариант решения проблемы (от C.Б.): "Встречал нечто подобное.
about:blank - на самом деле конец очень длинного адреса, нужно прокрутить строку что бы это увидеть (и удалить).
Возвращается все обратно после перезагрузки.
эта гадость - или в корне или где-нибудь в папке Виндовс пишет ехе-шник с коротким именем, каким не помню, типа link.exe или подобным."
Но тоже не мой случай.

А решить проблему УДАЛОСЬ-ТАКИ! Посмотрел внимательно на ту самую "about:blank" страничку прямо в IE (просмотр HTML-кода). Недалеко от начала есть там "...res://" и дальше текст вида %63%69%67%6a... Что есть ни что иное, как путь к гадкому файлу, а цифирь - коды символов в этом пути. Подставляя вместо кодов символы, получил "C:\WINDOWS\SYSTEM32\CIGCBJ.DLL" Его и грохнул, после чего всё стало жить как надо.

Итак, его (шефа) пример - другим наука. А засвеченные в теме советы по борьбе с заразой, думаю, кому-то пригодятся. Всем большая спасиба!

Автор: Levon Среда, 28 Апреля 2004, 8:49

По моему эта ситуация приобретает более массовый характер ........ на одном компе была похожая ситуация ... ну думаю "это мы знаем (читали в форуме wccool.gif )" , оказывается нет ....... загружаем about:blank .... открывается какой то поисковик ....... смотру sourse ... А ТАМ ПУСТО ...... !!!!!!! Не буду рассказывать как я извращался над ехплорером ... но в конце концов нашел файл winres.dll ...который отвечал за все это дело ...... короче удалил, просканил реестор на предмет (winres.dll) .. удалил все что нашел ... и все ...... пока что работает ...... никаких гадостей не вытворяет ....
Так что берите на вооружение ......... :-)

Автор: Levon Четверг, 27 Мая 2004, 9:09

А вот еще одно заражение ....... ни на одно вышесказанное не было похоже ..... словом перерыл все ...... нашел следующее ..... Эта (не знаю даже как назвать) бросала себя в C:\ и прописывала себя в autoexec.bat, далее создавала dpe.dll, и crt32_v2.dll, прописывала должным образом в реесторе ........

Я удалил все это дело ... но проблеммы не закончились .... дело в том что она в очень многих местах оставила после себя след (я имею ввиду в реесторе) ...... задал поиск по реестору "http://" и исправил все что мне не понравилось, в том числе

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix]
@ = "http://"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes]
"ftp"="ftp://"
"gopher"="gopher://"
"home"="http://"
"mosaic"="http://"
"www"="http://"

Автор: Egor Четверг, 27 Мая 2004, 10:27

Так. Все это неводит на грустные мысли. Сегодя на все машины в принудительном порядке поставлю Lavasoft Ad-aware.

Автор: DeBuck Вторник, 08 Июня 2004, 16:01

Цитата
Сегодя на все машины в принудительном порядке поставлю Lavasoft Ad-aware.

Не всегда ad-aware справляется sad.gif
Гораздо надежнее почистить вручную (с помощью hijackthis)...

Автор: GanZZ Вторник, 15 Июня 2004, 2:57

Цитата
Посмотрел внимательно на ту самую "about:blank" страничку прямо в IE (просмотр HTML-кода). Недалеко от начала есть там "...res://" и дальше текст вида %63%69%67%6a... Что есть ни что иное, как путь к гадкому файлу, а цифирь - коды символов в этом пути. Подставляя вместо кодов символы, получил "C:WINDOWSSYSTEM32CIGCBJ.DLL




Вкратце : проблема аналогичная , корячился с ней по разному и при помощи программ и ручками - результат не впечатляет . Набрёл на эту методу и , естественно , решил попробовать . Правда , файл у меня видимо несколько иной , потому что подобного у меня нет . В этой связи вопрос : как всё таки найти путь к файлу ? Что значит коды символов и как их расшифровать ? Подскажите , плиз !

Автор: Levon Вторник, 15 Июня 2004, 8:05

Дело в том что к примеру %63 это 16-тиричное значение символа в таблице ASCII

http://www.utoronto.ca/webdocs/HTMLdocs/NewHTML/iso_table.html

Вот тут смотри в колонке HEX ..... и подставляй символы ....

Автор: Шакал Среда, 08 Сентября 2004, 2:28

Подскажите пожалуйста, у моего друга возникла проблема следующего характера.

После очередной вылазки в инет ему в стартовую страницу прописалась "левая" страница. Короче убрать ее через Explorer невозможно, так как кнопки "с исходной", "с пустой" просто в не активном режиме.

Кроме этого теперь когда машина загрузилась Explorer начинает выкидывать извесное окно с кнопками подключиться или работать в автономном режиме. И как только ты закроешь это окно то через секунд 30 выскакивает новое. ----- Но с этой проблемой я сразу разабрался. Причина была в том что у него в папке Windows засел файл fiks.exe и засел в автозагрузке. После того как его от туда убрал и удалил сам файл из папки эта проблема была разрешена.

Но к великому сажелению проблема со стартовой страницей осталась. Я также знаю, что можно значение стартовой страницы в Explorer можно изменить через реестр, что я и попытался сделтаь. Но я был крайне удивлен когда попытался через выполнить командой regedit зайти в реестр, МНЕ в ответ было выкинуто окно с ошибкой такого содержания - Вход в реестр запрещен Администратором. Факт в том что мой друг и есть Админом и кроме него на этом компе не работает.

Помогите кто может плииз! В чем может быть проблема wallbash.gif
Зарание спасибо...

Да кстате у вас на форуме уже была подобная тема, но там я не нашел решения этой проблемы.

Автор: BillyBoom Среда, 08 Сентября 2004, 8:31

Может вирус какой нить засел у него? проверь на их наличие

Автор: Барэль Среда, 08 Сентября 2004, 10:02

Шакал, так и надо было постить в ту тему... Первая мысль администратора: опять поиском не пользуются.

1) поставь PC Cillin 2004 (он же Internet Security 11) и включи на нем отлов в реальном времени троянов и прочего
2) поставь Ad-Aware
3) загрузись в режиме защиты от сбоев и удали этот файл + все упоминания о нем в реестре (в этом может помочь NBG Clean Registry)

Автор: mpa Среда, 08 Сентября 2004, 12:35

боюсь, что никакую установку ему не дадут сделать....с подобным вирусом сталкивался.
по-моему, Safe Mode. ручная вырезка всего (реестр откроется), а только потом полная проверка на вирус.

Автор: Vio Пятница, 10 Сентября 2004, 11:12

Цитата
Дело в том что к примеру %63 это 16-тиричное значение символа в таблице ASCII

http://www.utoronto.ca/webdocs/HTMLdocs/Ne.../iso_table.html

Вот тут смотри в колонке HEX ..... и подставляй символы ....


а не подскажет ли многоуважаемый all название редактора или утилы умеющей перекодировать такого рода тексты в обычный ANSI?

Автор: vik551 Среда, 15 Сентября 2004, 10:43

Люди помогите чайнику....
Ad-Aware у меня эту .... страницу ловит при сканировании, естественно она появляется потом снова.
PestPatrol вроди как не ловит....или я с настройками не разобрался. Если есть добрые люди помогите пожалуйста. Ну что-то я конечно им удалил (почитал ссылки) а коечто сомневаюсь....например: ToonComics, Powerscan, BargainBuddy, 180Solutions.com SurfAssistant.......что с ними делать?
[QUOTE]
[QUOTE]Посмотрел внимательно на ту самую "about:blank" страничку прямо в IE (просмотр HTML-кода). Недалеко от начала есть там "...res://" и дальше текст вида %63%69%67%6a... [/QUOTE]
......ну ничего не могу подобного найти, можно поподробнее на этом? Как я понимаю надо найти именно этот .... dll
Люди добрыя ......поможите

Автор: mpa Среда, 15 Сентября 2004, 17:24

CWShredder.exe
ссылку на него я кидал в теме.
Поиск и найдёшь.
Хотя в конечном результате, я лично ручками нашёл файл-ядро этой заразы и удалил..

Автор: mpa Среда, 15 Сентября 2004, 17:26

кстати, обнови антивирус...
Новые базы Касперского (параноидальные) и Pc-Cillin его абсолютно номально видят.

Автор: sfly Суббота, 30 Октября 2004, 14:21

То, о чем вы пишете - это spyware smile.gif)) Могу посоветовать две
утилиты - SpyBot и SpyKiller. Рекомендовал бы spybot. У меня
есть друган, который приходит ко мне на работу смотреть порнуху
в интернете smile.gif)) Есс-но после не нескольких часов интенсивной
работы туева хуча троянов и шпионов. В SpyBot е еще ни разу
не разочаровался (правда DSO - exploit некорректно отлавливает) smile.gif)

Автор: georgius Суббота, 13 Ноября 2004, 19:17

У меня похожая проблема.
Стартовая страница не изменилась, но при старте броузера открывается второе окно с рекламой какого-то шведского сайта. Это окно, будучи закрытым, время от времени, открывается снова.
Перешерстил реестр, проверил AVP, PC Door Guard, ничего не помогает.
Outpost Fierwall тоже ничего не видит, и показывает, что на шведский сайт лезет именно Internet Explorer. Версия MSIE 6.0.2800.1152.xpsp2.030410-1604, файл 911936 байт от 11.04.2003

Автор: georgius Воскресенье, 14 Ноября 2004, 9:27

...Тем временем решение проблемы найдено.
См. http://www.computing.net/windowsxp/wwwboard/forum/87147.html
Новая уязвимость, антивирусы и антитроянцы с ней пока не борются.
Основной признак заражения: в %SYSTEMROOT%/SYSYTEM32 есть файл vbsys2.dll.

Автор: GnUS Пятница, 03 Декабря 2004, 18:00

Привет всем! Надавно сталкнулся с этой проблемой стартовой страницы в ИЕ. Как и откуда подцепил - не знаю.
Диагноз: при открытии сам лезит на какой-то поисковик, избавиться от этой гадости стандартными методами не удавалось т.е.: ИЕ - установка стартовой страницы и.т.д.
Что и где искал: начал с загрузки системы (msconfig, + всякие доп.программы по старту системы). Результат 0 - все везде нормально.
Далее реестра, искал все ссылки на этот сайт и как они туда попадают.
Нашел следуещее: в реестр эта ссылка попадала с помощью все того-же ИЕ.
При загрузке системы, вместе с ИЕ стартует некая dll, которая и занимается этой гадостью. У меня это была eplrr9.dll, находилась в system32.

Иструментарий:
Iarsn TaskInfo2003 6.x. Показывает ВСЕ процессы в системе и ЧТО эти процессы делают. С ее помощью я нашел эту dll.
Reg Organizer v2.37. Позволяет полность разобрать реестр на запчасти.

Результат: вылечился полностью, все работает отлично, и Вам того-же желаю.

Автор: Барэль Пятница, 03 Декабря 2004, 18:08

GnUS, поделись ссылочкой на Iarsn TaskInfo2003 6.x

Автор: GnUS Пятница, 03 Декабря 2004, 18:27

Барэль, Запросто: http://downloads.iarsn.com/tskinf60.exe

Имя и код я убрал. Варезом мы не занимаемся...

Автор: GnUS Пятница, 03 Декабря 2004, 18:33

Барэль, Сори...вышло как всегда

Автор: kruftun Суббота, 19 Февраля 2005, 21:48

У меня при выходе в инет и открытии броузера вылазить стартовая страница WWW.traffer.ru хотя я ставлю яндекс.
Наверное она загружается при входе в ХР. Так как после установки стартовой после включения винда она работает нормально. Можно ли как то убрать эту страницу, чтобы у меня всегда стоял яндекс в старте. Может это вирус, но kav5
не видит это?Надоедает постоянно в избранное лазить.Копаться в папке Windows очень долгое занятие.Может быть кто-нибудь знает, как избавиться от ненужной стартовой страницы? Конечно не слишком понятно, но думаю можно разобратьс blush.gif я.

Автор: kuzz Суббота, 19 Февраля 2005, 22:25

kruftun, это самая первая тема в этом же разделе. специально прибитая сверху, чтобы все видели.
http://www.wincity.ru/index.php?showtopic=12478

Добавлено kuzz
http://www.wincity.ru/index.php?showforum=18
для наглядности wink.gif

Автор: kruftun Воскресенье, 20 Февраля 2005, 21:40

sleep.gif

Автор: Джон Среда, 23 Марта 2005, 20:10

Цитата(kruftun @ Sunday, 20 февраля 2005, 21:40)
sleep.gif
*



Здравствуйте все. Позвольте поделится подобным опытом. На ровном месте словил подобную заразу, скорее всего по почте. Внимательно прочитал и проделал все, что описано выше. Освоил массу антивирусных и антишпионских программ, реестр поправить - теперь одной левой. В результате IE6 вылечить так и не удалось. Пришлось его грохнуть и поставить Оперу, что уже давно хотел сделать, но было лень. Вот такие дела.

Автор: kruftun Среда, 23 Марта 2005, 22:39

А самый лучший способ поставить винд ввиде обновления,конечно, долго но ничего, главное помогает. smile.gif

Автор: Levon Четверг, 24 Марта 2005, 11:25

Где то я еще эту ссылку давал ........
http://www.merijn.org/files/hijackthis.zip
Самая лучшая и продвинутая программа ИМХО по удалению шпионов .......
Качайте ...... и если будут вопросы ....... выкладывайте логфайлы ............
Поможем .....
ИЕ лечится одним кликом ......... Проверено не один раз ......

Автор: Jeremiah Четверг, 24 Марта 2005, 20:20

Чего-то последнее время трояны действительно как-то свирепствуют. Раз в неделю точно лечу затрояненный комп.
Пользуюсь утилитой http://z-oleg.com/secur/avz.htm.
На мой взгляд вполне приличная.

Автор: Levon Пятница, 25 Марта 2005, 11:35

Плюсом HijackThis является то что он не сканит файлы, как это делает АВЗ, а просто выдает все от чего зависит Интернет Эксплорер, автозагрузку, и еще несколько вещей, и весь скан занимает около 3 секунд.

К минусам могу сказать, что от пользователя он требует немного продвинутости, чтобы случайно не отключить что не нужно, и испортить систему, (хотя на этот случай есть бекап).

А вообще, я заметил что симентек начал иденифицировать эти модули как вирусы

Автор: Джон Пятница, 25 Марта 2005, 15:36

Попробовал HijackThis и AVZ. Вполне достойные продукты. Да, HT требует некоторых усилий головой, что тоже неплохо. Очень понравилась AVZ. Понятный интерфейс, поддержка и работает ничуть не хуже Ad-Aware, за что автору большой респект.

Автор: Ramzzess Пятница, 31 Марта 2006, 18:38

AVZ - сила!

И не надо обзывать меня археологом...

Автор: Барэль Понедельник, 03 Апреля 2006, 11:51

Господь с тобой, разве что эстонцем

Автор: benitos Среда, 11 Октября 2017, 22:40

адблоки всякие накачайте, поможет, инфа сотка

Автор: Ведьма Воскресенье, 15 Октября 2017, 19:07

Мне не помогло. Пока винду как следует от вирусов не почистила.

Автор: Вормс Среда, 03 Января 2018, 21:27

как прошло?

Автор: Вормс Воскресенье, 14 Января 2018, 17:44

а проблема разрешилась?

Автор: Olechka89 Суббота, 17 Февраля 2018, 17:53

В подобном случае не помогает даже установка/изменение домашней или же стартовой страницы своего браузера. Можно, конечно же, попробовать переустановить браузер. Но есть и другое решение. Можно изменить путь данной программы. Для этого заходим в свойства браузера (это делается нажатием правой кнопкой мышки на ярлык браузера и выбор кнопки/пункта "Свойства"). После этого находите строку/раздел "Объект" и изменяем то, что написано в ней. Запомните, что в этой строке/в этом поле в конце должно быть одно из следующих надписей: launcher.exe, chrome.exe или же browser.exe. Сохраняем изменения и проблема должна быть решенной.

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)