Регистрация | Последние сообщения | Персональный список | Поиск | Настройка конференции | Личные данные | Правила конференции | Список участников | Top 64 | Статистика раздела | faq | Что нового v.2.3 | Чат
Skunk Forum - Техника, Наука, Общество » Общекомпьютерный »
Подцепил где-то рекламный информер. Как убить? (+ антивирусные заповеди пользователя inside)

Версия для печати (настроить)

Новая тема | Написать ответ

Подписаться

Автор Тема:   Подцепил где-то рекламный информер. Как убить? (+ антивирусные заповеди пользователя inside)
Dikoy
Member

Сообщений: 1318
Откуда: Богота, Колумбия
Регистрация: Май 2003

написано 19 Ноября 2008 18:21ИнфоПравкаОтветитьIP

Прицепился к яндексу порнушный информер. Выскакивает при запуске броузера (IE), предлагает отправить код на номер, чтобы самоубиться
Ладно бы к яндексу, но он постепенно пролазиет ко всем страницам, которые открываю.
Как его убить?
Выследил, что сидит он во временных файлах. По крайней мере адреса gif картинок на нём находятся тут:
file:///C:/Documents%20and%20Settings/1/Local%20Settings/Temporary%20Internet%20Files/3DF04940_9866_4241_A998_0CDDFAFD147A.gif
Вычистил там всё. При следующем запуске броузера там насоздавалась куча файлов и информер не исчез...
Внимание вопрос - где эту заразу искать и как убить?

[Это сообщение изменил moderator-bf (изменение 19 Марта 2010 12:28).]

jz
Ideology Administrator

Сообщений: 1392
Откуда: SkunksWorks
Регистрация: Сентябрь 2005

написано 19 Ноября 2008 21:41ИнфоПравкаОтветитьIP

Внимание! Антивирусные заповеди пользователя!

Dikoy
Внимание вопрос - где эту заразу искать и как убить?
1. Во-первых не надо под админом где попало сидеть
2. Во-вторых смотрим автозагрузку и чистим вплоть до того, чтобы там НИЧЕГО не осталось.
3. Повторно смотрим автозагрузку на предмет событий а-ля "надпись закрасили. Но не навеки - за ночь она появилась опять!".
4. Убиваем указанную "надпись" физически в виде файла.
5. Смотрим раздел "Prefixes" в реестре для Software\IE. Убиваем всё что не является названиями протоколов (http, etc.).
6. Ищем в профиле разные DLL'ки, EXE'шки и т.п. Убиваем очень подозрительные, не очень - переименовываем. Смотрим насчёт явления, описанного в п. 3.
7. Прогоняем антивирусом. Лучше пользоваться CRC-чекерами а-ля ADinf.
8. Смотрим список процессов. Подозрительные находим, и.. согласно действиям в п. 6.
9. Если всё вышеперечисленное не помогло, реинсталлим систему и впредь твёрдо следуем рекомендациям, изложенным в пп. 1 и 7.
added by moderator-bf:
10. В обязательном порядке используем Firewall (сетевой экран)! Хотя бы встроенный в систему.

moderator-bf: Во! Теперь заповедей ровно 10!

[Это сообщение изменил moderator-bf (изменение 19 Марта 2010 12:19).]

skunk
Злобный админ

Сообщений: 6995
Откуда: СССР, город-герой Ленинград
Регистрация: Ноябрь 2000

написано 19 Ноября 2008 23:35ИнфоПравкаОтветитьIP

Пуск -> Выполнить -> cmd -> msconfig -> Автозагрузка.

VoLK

Сообщений: 17480
Откуда: Россия
Регистрация: Ноябрь 2000

написано 20 Ноября 2008 00:32ИнфоПравкаОтветитьIP

jz
1. Во-первых не надо под админом где попало сидеть
Я так понимаю, что сижу и сидел под админом. Как сделать так, чтобы не сидеть под админом?

jz
Ideology Administrator

Сообщений: 1394
Откуда: SkunksWorks
Регистрация: Сентябрь 2005

написано 20 Ноября 2008 09:44ИнфоПравкаОтветитьIP

VoLK
Я так понимаю, что сижу и сидел под админом. Как сделать так, чтобы не сидеть под админом?
Эмм..
Лезешь в Управление компьютером - Пользователи и группы - создаёшь себе пользователя и входишь под ним

Dikoy
Member

Сообщений: 1319
Откуда: Богота, Колумбия
Регистрация: Май 2003

написано 20 Ноября 2008 14:02ИнфоПравкаОтветитьIP

Смотрим раздел "Prefixes" в реестре для Software\IE. Убиваем всё что не является названиями протоколов (http, etc.).
А как туда попасть? Точнее где Prefixes сидят? В Software IE нету...
У меня ХР SP2.

Если всё вышеперечисленное не помогло, реинсталлим систему и впредь твёрдо следуем рекомендациям, изложенным в пп. 1 и 7.
Я системщик, мне нужен доступ к портам и софту. Не под админом это невозможно.

jz
Ideology Administrator

Сообщений: 1396
Откуда: SkunksWorks
Регистрация: Сентябрь 2005

написано 20 Ноября 2008 22:07ИнфоПравкаОтветитьIP

Dikoy
А как туда попасть? Точнее где Prefixes сидят? В Software IE нету...
У меня ХР SP2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes
Я системщик, мне нужен доступ к портам и софту. Не под админом это невозможно.
1. RunAs никто не отменял.
2. Всё же см. не надо под админом где попало сидеть.

Весельчак У
Moderator

Сообщений: 10060
Откуда: Санктъ-Питербурхъ
Регистрация: Декабрь 2000

написано 24 Ноября 2008 01:11ИнфоПравкаОтветитьIP

Dikoy
Ежели очень приспичило посидеть где попало, а перелогиниваться лень, то VMware поможет. Через виртуальную машину вроде пока живность не пролезает.

Dikoy
Member

Сообщений: 1320
Откуда: Богота, Колумбия
Регистрация: Май 2003

написано 24 Ноября 2008 09:54ИнфоПравкаОтветитьIP

Самое гдепопальное место, где я сидел, это одноклассники. Видимо от туда и припёр...
Остальное - форумы и т.п. На работе логи ведуться и админ злой, тут где попало не посидишь

jz
Посмотрел всё, поудалял подозрительное - не помогает. Попробую сегодня антивирусами прогнать....
Пока временно вылечил переходом на оперу. Но кто знает, не пролезет ли оно и в оперу?..

ПС. А нельзя просто тупо заблокировать флеш (или всплывающие окна) в ИЕ? Просто комп у меня сдох, дали временный, я хз какие тут настройки. Посмотрел - вроде отключено всё, но может не там смотрел...
На старом всё блокировалось.

Зёбра
берёзовый брунька

Сообщений: 6832
Откуда: Санкт-Петербург,Россия
Регистрация: Июнь 2003

написано 24 Ноября 2008 09:56ИнфоПравкаОтветитьIP

Dikoy

Не знаю как с Оперой, а с Мозилой нет проблем.

Весельчак У
Moderator

Сообщений: 10063
Откуда: Санктъ-Питербурхъ
Регистрация: Декабрь 2000

написано 26 Ноября 2008 00:22ИнфоПравкаОтветитьIP

Dikoy
одноклассники. Видимо от туда и припёр...
Да, это так.

Ваш ответ:

Коды форума
Смайлики


Ник:    Пароль       
Отключить смайлики

Все время MSK

Склеить | Разбить | Закрыть | Переместить | Удалить

Новая тема | Написать ответ
Последние сообщения         
Перейти к:

Свяжитесь с нами | skunksworks.net

Copyright © skunksworks.net, 2000-2018

Разработка и техническая поддержка: skunksworks.net


Рейтинг@Mail.ru Яндекс.Метрика