|
Недавно случайно нажал какой-то баннер на подозрительном сайте, теперь
постоянно при загрузке IE открывается реклама какого-то порносайта. Как, что и
где сделать, чтобы убрать его из загрузки?
Велика вероятность того, что эта пакость прописалась в реестре. Попробуй
зайти в реестр и поискать по адресу сайта. А вот выдержки из статьи с
http://www.webhowto.ru/reg/reg_n19.shtml
Сперва
коротенько пробегусь по самым тривиальным и, пожалуй, известным практически
всем местам и методам загрузки программ.
Реестр
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run.
Изначально содержит параметры:
- internat.exe -
индикатор клавиатуры в System Tray;
-
LoadPowerProfile - загрузка пользовательских настроек;
- ScanRegistry -
ежедневная проверка и архивация реестра;
- SystemTray - загрузка System Tray;
- TaskMonitor - планировщик заданий (дома я его всегда стираю из автозагрузки, чтоб не занимал место в памяти).
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices:
-
LoadPowerProfile - аналогичен параметру с таким же названием в разделе Run, однако стирать не торопитесь, т.к. они выполняют несколько разные действия.
Остальные
разделы должны быть пустыми!
Прочие параметры в
этих разделах были добавлены другими программами, установленными на вашем
компьютере. Как правило, по названию параметра легко догадаться о том, какую программу
он запускает. Если вы сомневаетесь в правомерности нахождения здесь какого-либо
параметра, экспортируйте этот кусочек реестра в reg-файл, затем сотрите
подозрительный параметр, перезагрузите компьютер и проанализируйте, что
изменилось: не исчезла ли какая-нибудь полезная программа, которая до этого
всегда грузилась, не пропала ли проблема, подтолкнувшая вас на эксперименты.
Следующий пункт нашей
программы: файлы win.ini, system.ini. Проверьте раздел [windows], параметры
run, load. Там должно быть пусто. И если вы нашли где-то одну запись, не
останавливайтесь на достигнутом, а проверьте все возможные места загрузки.
Проверьте, а у вас в
меню Пуск - Программы - Автозагрузка есть ссылки на офисовские
примочки? А ведь возможно просто подменить запускаемую с помощью них программу
таким образом, чтобы грузился троянчик, а уже из него запускать требуемую
программу.
Следующий
способ - это не совсем автозагрузка. В разделе
HKEY_CLASSES_ROOT\exefile\shell\open\command в параметре (По умолчанию) стоит
команда обработки ехе-файлов. Там должно быть "%1" %*, но возможно
запускать здесь какую-то программу, передавая ей в качестве параметра ехе-файл,
который надо запустить. Программа запустит его, а затем выполнит свою
вредоносную миссию.
Теперь хотелось бы
описать действительно редкие, но и наиболее тяжело идентифицируемые способы
загрузки программ. Эта информация была почерпнута из журнала Хакер № 11.01. Эти
способы загрузки были найдены при разработке известного трояна Donald Dick. Для
операционных систем Windows 9x возможно загружать программу с помощью драйвера
VxD. Полный список загружаемых драйверов находится в разделе
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD
В Windows NT/2000 нет
VxD драйверов, но в разделе
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\
SessionManager в параметре BootExecute можно прописать программу, которая будет
грузиться еще до загрузки графической оболочки и сервисов. Есть и более хитрые
способы, но они еще более экзотические. Вызывает серьезные сомнения возможность
отловить «диверсантов», загружаемых такими способами, вручную. Лучше доверить
это специалистам, то есть AVP, DrWeb и другим антивирусам, так как этими
способами грузятся только их непосредственные клиенты.
Конечно, написанное
выше, не охватывает АБСОЛЮТНО всех способов загрузки, но 95% перекрывает
наверняка.
Олег, Master, Bogdan
Найдем ответ СообЧа! http://soobcha.ru |
