Попадаю на maxoporn, velvet, eroson.com при смене страниц.
Сие явление появилось после регистрации на mail.ru.
Кто знает как с этим бороться подскажите способ.Заранее благодарен.
[Ответ]
yujanin 03:24 29.12.2004
качаешь spybot (отсюда), устанавливаешь... затем, поверх устанавливаешь обновления (которые качаешь {url=http://www.spybotupdates.com/updates/files/spybotsd_includes.exe]отсюда[/url]). запускаешь программу и вычищаешь всю дрянь. заодно включи sdhelper и teatimer (там в advanced options есть такие проги).
должно помочь. а сайты эти стали у тебя вываливаться не после регистрации на Mail.ru, а после того, как кто-то по ним интенсивно побродил
ага а лучше проверь свой комп на вири и проблемой меньше))
[Ответ]
sturb 09:21 29.12.2004
Это все можно решить и без доп прог. проверь что у тебя прописано в ветках реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\URL\DefaultPrefix
и
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\URL\Prefixes
Если в первом или во втором разделе видишь запись в переменных типа: http://sexygye. бла-бла-бла, или подобную то надо эти записи исправить на http:// и все. Если все так, то mail.ru тут непричем. По порнухе надо меньше лазить [Ответ]
scanNE® 09:34 29.12.2004
[.]
ЗЫ: во избежание недоразумений содержимое скрипта привожу ниже.
' Программа контроля "Домашней страницы и префиксов"
' удобна в клубах и инет офисах где клиентЫ любят полазить по парнухе
' Написана cherepaxa icq 93412429
' --------------
start = "www.vrn.ru" 'стартовая страница
sp = "http://" 'префикс
pause = 60 'пауза между проверками, в секундах
path = "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\UR L\DefaultPrefix\" 'путь реестра к префиксу по дефолту
path1 = "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\UR L\Prefixes\www" 'путь реестра к префиксу по ввв
path2 = "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page" 'путь реестра к стартовой странице
' --------------
dim WSHShell' объявляем переменную WSHShell
set WSHShell = CreateObject ("WScript.Shell") ' создаем объект для работы с реестром
enter = chr(13) & chr(10) 'символ переноса при выводе информации
pause = pause * 1000 'пауза в миллисекундах
do 'создаем бесконечный цикл
WScript.Sleep(pause) 'пауза перед проверкой
www = WSHShell.RegRead ("HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\U RL\DefaultPrefix\") 'считываем из реестра префикс
If www <> sp Then 'если запись в реестре не соответствует заданной ...
WSHShell.RegWrite path, sp 'возрващаем префикс
end if 'закрываем условие
www1 = WSHShell.RegRead ("HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\U RL\Prefixes\www")
If www1 <> sp Then 'если запись в реестре не соответствует заданной ...
WSHShell.RegWrite path1, sp 'возрващаем префикс
end if 'закрываем условие
StartPage = WSHShell.RegRead ("HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page") 'считываем из реестра стартовую страницу
If StartPage <> start Then 'если запись в реестре не соответствует заданной ...
WSHShell.RegWrite path2, start 'возвращаем свою страницу
end if 'закрываем условие
loop 'закрываем цикл
ЗЫЫ: в архиве VBS скрипт - распаковываем, меняем подсвеченную красным цветом в данном посте стартовую страницу на нужную Вам, запускаем скрипт. Потом запускаем IE. Удачи [Ответ]
не всё правится реестром или аидсами. кинь поиском на зараженной машине qwe*.dll, где * - любые четыре цифры. как правило лежит %SYSTEM%\system32. удалять надо из safe mode или DOS (смотря какая ось). для опасающихся можно не удалять, а просто перенести в другую директорию.
[Ответ]
sturb 08:24 30.12.2004
scanner Вот ты заморочился. А не проще ли каким-нибудь .reg файлом в две строчки тоже самое сделать [Ответ]
scanNE® 08:54 30.12.2004
sturb можно и так тут тоже просто- шлепнул, восстановил и радуешься chups757 помогло? если нет - пиши, придумаем что-нибудь.
[Ответ]
DeeP 08:57 30.12.2004
А я бы на месте мальчика радовалась... баб голых хоть позырить.
[Ответ]
scanNE® 09:05 30.12.2004
DeeP ну давай по теме, пожалуйста Если бы мальчик радовался, сабжевую тему он врядл ли бы создал.
[Ответ]
chups757 03:39 31.12.2004
yujanin
Скачал я spybot,обновил,проги включил:выявилось куча разного г. После "устранения отмеченных проблем" задействовал immunize.После этого,как показала проверка, все выявленные шпионы исчезли. Захожу в сеть-и опять то-же самое.Включил bot:проверка выявила DSO Exploit с какими-то параметрами реестра.Короче, как я понял,в машине был целый букет т.н. шпионов,bot их выявил и устранил-но DSO Exploit после посещения сети появляется вновь и походу он забрасывает на порнуху.Какие соображения? scannerТы мзвини, но я в этом не силён, ты подробней поясни чё с ним(скриптом) делать.Скачал,распаковал...
[Ответ]
yujanin
у меня всё очистилось... спасибо за линк...
[Ответ]
yujanin 02:44 04.01.2005
chups757 не, это не dso-эскплоит, это точно. хммм... у тебя комп в локалке? стоит какой-нить персональный файрвол? я бы тебе советовал поставить xp service pack 2, там есть встроенный файрвол. такое впечатление что либо у тебя не вычистилось что-то, либо тебе постоянно по локалке по-какому-нить 135 порту или 445 в какую-то дырку продолжают литься эти проги.
скачай hijackthis (я его прикрепил к посту), запусти его, нажми "do a system scan and save a log file" и скопипейсть сюда этот лог файл, который будет сохранен
PRO незачто
yujanin добавил [date]1104800230[/date]:
а на будущее (после того как всё выгребешь и вычистишь), возьми за хорошую привычку постоянно ставить обновления для операционки и для антивируса, а так же обязательно иметь персональный файрвол. плюс к этому, установи себе нормальный браузер - http://www.mozilla.org/products/firefox/central.html[Ответ]
хотя насколько я знаю, reset 5 - это крек для пиратской винды, чтобы не лезлась активироваться.
заодно, удали всё из windows\temp и из documents and settings\твоё имя\local settings\temp и из documents and settings\твоё имя\local settings\temporary internet files
