![]() |
![]() |
GrEG 13.05.2004 - 09:23 |
Доброго всем времени суток. Возникла проблема. Знакомые после путешествий в нете по сайтам взрослого содержания подцепили следующую гадость. В IE при наборе адреса сайта в адресной строке при нажатии <Enter> перед введенным адресом подставляется адрес сайта со специфическим содержанием, открывается соответсвующая страничка и тянет за собой еще с десяток. Не подскажут ли многоуважаемые где находится подобная настройка? Поиск по реестру подставляемой строки ни к чему не привел. В виндовых настроечных файлах тоже ничего подобного не заметил. Хотя, может быть, плохо (или не там) искал. |
death21 1 - 13.05.2004 - 11:28 | Aadware 6.0 |
GrEG 2 - 13.05.2004 - 13:31 | Спасибо. Я так понимаю, это программа для настройки параметров Windows? |
Boroda 3 - 13.05.2004 - 20:07 |
<перед введенным адресом подставляется адрес сайта со специфическим содержанием> Странно, что ты ничего не нашел в реестре... Насколько я могу понять из описания это должно жить по адресам HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix (там по умолчанию должно стоять строковое значение http://) и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes (там значение по умолчанию не присвоено, а строковые параметры имеют следующие значения, соответственно: ftp ftp:// gopher gopher:// home http:// mosaic http:// www http:// ). Всё, что кроме этого, можно и нужно косить нещадно. Как вариант - просмотри содержания файликов типа hosts, hosts.sam, lmhosts, lmhosts.sam... Или запусти поиск по всем имеющимся дискам на предмет части левого адреса в тексте файлов. Есть подозрение, что можно заставить файлы, выполняющие функции hosts* и lmhosts* прятаться в других директориях и под другими названиями. Выясни IP-адрес вражеской страницы и попробуй задать его в качестве параметра поиска по дискам и реестру (хотя в это случае ты бы увидел в начале адресной строки именно его, наверное). Напиши о результатах. Интересно же. :-) З. Ы.: Чё-та эта тема в последнее время стала распространённой... |
GrEG 4 - 13.05.2004 - 22:13 |
Действительно, верным оказался вариант с реестром. Видимо, при первой попытке поиска где-то перепутал местами буквы (адрес - заковыристый, а скопировать не догадался :-(). Полностью ситуация следующая: 1) в корень диска с системой записывается файл win32.hta, который, видимо, и запускается при старте системы (WindowsXP) - я так понял там скрипт какой-то прописан, разбираться было некогда, нужно было восстановить работоспособность системы. 2) при его запуске: - вносятся изменения на автоподстановку для "home" и "www" с перенаправлением на требуемый сайт; - устанавливается домашняя (стартовая) страница в реестре в ветвях HKEY_CURRENT_USER и HKEY_LOCAL_MACHINE (Software\Microsoft\Internet Explorer\Main - ключ StartPage); - запрещается изменение стартовой страницы через "Свойства браузера", те же ветви HKEY_CURRENT_USER и HKEY_LOCAL_MACHINE (Software\Policies\Microsoft\Internet Explorer\Control Panel - ключ HomePage (числовой: значение 1 запрещает изменения, 0 - разрешает)). Кроме того замечены "подозрительные" файлы: - lsd_f3.dll в Windows\System32\ - Касперский ругается на вирус "Downloader.Win32....."; - в корне диска C: файл sistem.exe - тоже какой-то вирус. |
GrEG 5 - 13.05.2004 - 22:17 | Файл lsd_f3.dll оказывается подключен к одному из системных процессов (при мне он оказывался связан с mstask и winlogon). Как следствие, библиотеку удалить нельзя - "Используется активным процессом" и процесс убить не удается - "системный". Пришлось загружаться с загрузочного диска(дискеты) и ручками удалять эту гадость. |
Boroda 6 - 13.05.2004 - 22:33 |
Спасибо, очень поучительно. Я тут ещё место нашёл, где, возможно, подобная гадость тоже селиться могет. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\UrlTemplate (строковые параметры со значениями, соответственно 1 www.%s.com 2 www.&s.org 3 www.%s.net 4 www.%s.edu ). Похоже на то, что подставляется при вводе в адресную строку вместо, например, www.google.com просто google и последующем нажатии вместо просто Enter Ctrl+Enter (а может и не только). Можно попробовать сделать Internet Explorer'у тюнинг, присвоив по умолчанию значение www.%s.ru :-) |
Boroda 7 - 13.05.2004 - 22:36 | Сорри, опечатка. В посте 6 в значении параметра 2 вместо & тоже % |
lexxll 8 - 02.06.2004 - 21:59 | 2 deat21: стопудово! |