Борьба с рекламными модулями для Internet Explorer

  • Ребенок залез на очень неприятный сайт… Теперь эта хреновина прописалась где-то в глубинах системы (у нас установлен Millenium) и при каждой перезагрузке эта страница становится домашней (с нее, соответственно, Internet Explorer начинает обзор). Вот такая проблема: как избавиться от нежелательной домашней страницы, если она прописалась в системе самостоятельно. Очень прошу мне помочь! Спасибо. Владимир Поздняков.
  • Помогите решить следующую проблему: после прогулок по инету, в частности по поганым фоменкам.ру и их картинкам теперь после набора адреса в командной строке IE 6.0, набранный адрес после ввода подменяется на другой. Поиск обычным методом по этой ссылке ничего не дал, пожалуйста, подскажите, где ЭТО найти и чикнуть. Поиск на вирус (NAV2002) и на spyware (AdAware) ничего не дал. Как всегда, заранее спасибо. Стас.
  • Проблема в следующем, IE6 после набора адреса выпадает на порнушные сайты, причем разные, началось это после поисков кряка на astalavista.com — видимо один из попапов при нажатие на ссылку результата поиска что-то мене прописал куда-то, очень неприятная плата за использование взломоного ПО тем более на работе (лодно еще дома) помогите плиз как это вылечить. Спасибо. Андрей.
  • На Вас последняя надежда: подскажите, как мне найти URL-адрес и параметры автозагрузки, чтобы отключить позорящую меня домашнюю страницу. Я убираю ее в свойствах обозревателя, а при новой загрузке она появляется опять! Что мне делать? Очень надеюсь на вашу помощь! Заранее спасибо! Dmitry Kalinin.
  • При попытке открыть любой сайт в IE-6 Win2000 Professional постоянно открывается один и тот же сайт. Обычными настройками «свойства обозревателя» проблема не устраняется. Подскажите, пожалуйста, что предпринять или дайте ссылку на материал по этому вопросу. Заранее благодарен, Владислав.

Я не случайно привел здесь сразу несколько однотипных вопросов наших читателей. Дело в том, что подобная проблема последнее время стала настолько распространена, что близка к эпидемии и заслуживает отдельного рассмотрения — в веб-конференции журнала Upgrade призывы помочь избавиться от навязчивой домашней страницы или от подмены вводимого в адресную строку обозревателя URL раздаются почти каждый день. Да и писем с похожими вопросами приходит гораздо больше, чем я здесь привожу (многие просто непечатны). Связано это не только с неискоренимой любовью нашего народа бродить в рабочее время по крайне сомнительным сайтам, но и с его беспечностью — защищаться файерволлами, к сожалению, большая часть пользователей считает ниже своего достоинства…

А ведь использование таких мощных и достаточно простых в обращении программ, как буржуйский Norton Internet Security или отечественный Outpost Firewall, избавило бы от подобных неприятностей на 90% даже при «дефолтной» настройке этих программ, и на все 100% — при ручной их доводке. Всего-то надо отключить активное содержимое веб-страниц — Java-апплеты, элементы ActiveX и всплывающие окна, плюс заблокировать неблагонадёжные URL-адреса, списки которых давно есть в Интернете. И, разумеется, НИКОГДА не следует запускать незнакомые или откровенно «левые» программы, особенно, если в то время, когда вы подключены к Интернету, вдруг ни с того ни с сего появляется запрос на установку и запуск непонятного апплета или приложения, которое вы не заказывали — именно таким способом чаще всего и проникают в последнее время на машины пользователей программы, меняющие домашнюю страницу. Появился в связи с этим даже новый термин — «popup download», то есть всплывающее автоматически, без запроса пользователя, предложение о загрузке программы или установке неподписанного цифровой подписью апплета. Если же вам не повезло, и на такую подлую уловку веб-мастеров некоторых подзаборных сайтов вы всё же попались, то сносить под корень операционную систему не спешите — вот самая подробная инструкция по решению Большой Проблемы любителей сетевой клубнички (просто модная болезнь какая-то):

Запустите ПК в режиме защиты от сбоев и выгрузите из памяти все запущенные программы от сторонних разработчиков (то есть не от Microsoft — автора файла можно узнать в его свойствах), если таковые оказались — для этого используйте не только комбинацию клавиш Ctrl+Alt+Del, но обязательно и утилиту типа TaskInfo 2002 [1] — только с её помощью можно увидеть, что в действительности находится в памяти ПК. Затем с помощью утилиты MSCONFIG.EXE проверьте всю автозагрузку и либо отключите загрузку обнаруженной вредоносной программы (обычно это программа, назначение которой вам неясно, или которая имеет абсурдное название — набор цифр, например), либо, если визуально определить виновника невозможно, то отключите вообще все программы из автозагрузки — для ОС это абсолютно безопасно. Разумеется, сразу после этого просканируйте систему свежим антивирусом и утилитой Ad-Aware [2], удаляющей с диска более-менее известные рекламно-шпионские программные модули, формально вирусами не являющиеся.

Далее обнулите в Свойствах Обозревателя домашнюю страницу и перезагрузите ПК. Если ваши установки на этот раз не изменились, и проблема исчезла, то была виновата одна из автоматически загружаемых программ — по-очереди возвращая автозагрузку каждой программы и перегружая ПК, можно выяснить конкретного виновника — после включения его автозагрузки (или после ручного запуска) страница опять окажется подменена. В редких случаях программа, меняющая домашнюю страницу, не прописывает себя в автозагрузку и вносит изменения в настройки системы не при каждой загрузке Windows, а при своём обычном запуске — попробуйте в таком случае запускать каждую из установленных программ и смотрите, после загрузки которой из них изменились настройки обозревателя. Определить вредоносную программу можно и по URL-адресу, прописывающемуся в качестве домашней страницы, а также по названию исполнимого файла — поиск в Интернете поможет определить назначение каждой программы из автозагрузки.

Если же вы полностью отключили автозагрузку (вплоть до ручной проверки файлов WIN.INI, AUTOEXEC.BAT, WINSTART.BAT), но проблема не исчезла, то следующим этапом удалите все временные интернет-файлы (Temporary Internet Files), очистите Журнал (History), очистите папку C:\WINDOWS\COOKIES и посмотрите, какие плагины установлены для Internet Explorer — возможно страницу изменяет какой-то из них. Файлы подключаемых модулей-плагинов находятся в папке C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS — по свойствам каждого файла можно выяснить его предназначение. Временно удалите все файлы из этой папки и посмотрите результат — если проблема исчезла, значит виноват один из плагинов. Если — нет, то откройте на этот раз в Блокноте файл C:\WINDOWS\HOSTS (без расширения, в Windows XP он находится в папке C:\WINDOWS\SYSTEM32\DRIVERS\ETC) и просмотрите его содержание — строки с упоминанием IP-адреса сайта вредоносной программы следует удалить. Если же вы не используете файл HOSTS, или первый раз о нём слышите (учтите только, что его мог создать администратор вашей локальной сети), то можно удалить (или временно переместить в другую папку) и его.

Следующим этапом, даже если вы нашли виновника, запустите поиск этого зловредного URL-адреса (или IP) в редакторе реестра — везде, где встретите его упоминание — удаляйте. Обычно в Windows оказываются поражены чужеродным URL следующие параметры реестра (параметры, значение которых не указано, можно удалить):

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
"SearchURL"=

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"Default_Search_URL"=
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"=
"SearchURL"=
"Window Title"=
"Window_Placement"=

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
"SearchAssistant"=

HKEY_CURRENT_USER\Software\Micrsoft\Internet Explorer\Toolbar\WebBrowser
"ITBarLayout"=

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search
"SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
"CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs
"NavigationFailure"="res://shdoclc.dll/navcancl.htm"
"DesktopItemNavigationFailure"="res://shdoclc.dll/navcancl.htm"
"NavigationCanceled"="res://shdoclc.dll/navcancl.htm"
"OfflineInformation"="res://shdoclc.dll/offcancl.htm"
"blank"="res://mshtml.dll/blank.htm"
"PostNotCached"="res://mshtml.dll/repost.htm"
"mozilla"="res://mshtml.dll/about.moz"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Local Page"=
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
"CompanyName"="Microsoft Corporation"
"Window Title"=

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
@="http://"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes
"ftp"="ftp://"
"gopher"="gopher://"
"home"="http://"
"mosaic"="http://"
"www"="http://"

HKEY_USERS\.Default\Software\Microsoft\Internet Explorer
"SearchURL"=

HKEY_USERS\ .Default\Software\Microsoft\Internet Explorer\Main
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Default_Search_URL"=
"Search Bar"=
"Local Page"=
"Start Page"=

HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Search
"SearchAssistant"=

Кроме того, непременно проверьте, какие Browser Helper Objects установлены на вашем ПК. Browser Helper Objects (BHO) — это небольшие программы, не имеющие пользовательского интерфейса и автоматически запускаемые вместе с Internet Explorer. Немногие пользователи слышали о подобной весьма небезопасной и достаточно скрытой функции Internet Explorer, но именно с её помощью делается такая мерзость, как постоянная подмена вводимого в адресной строке браузера URL. Список идентификаторов установленных BHO находится в разделе реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects

Подозрительные BHO можно попробовать удалить из списка (предварительно сделав резервную копию реестра) — это их полностью дезактивирует. Однако, как выяснить — подозрительные они или нет, если в вышеупомянутом разделе только ничего не говорящие длиннющие номера? Технология в данном случае такова. Например, если в этом разделе вы обнаружите подраздел {A5366673-E8CA-11D3-9CD9-0090271D075B}, то произведите поиск во всем реестре найденного идентификатора BHO{A5366673-E8CA-11D3-9CD9-0090271D075B} — обнаружите его упоминание также и в разделе

HKEY_CLASSES_ROOT\CLSID\{A5366673-E8CA-11D3-9CD9-0090271D075B}

Просмотрите всё содержимое найденного раздела, чтобы определить, к какой программе относится этот BHO — в данном случае вы обнаружите такую запись:

HKEY_CLASSES_ROOT\CLSID\{A5366673-E8CA-11D3-9CD9-0090271D075B}\InprocServer32
@="C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL"

из которой можно сделать вывод, что обнаруженный BHO создан программой FlashGet и никакой угрозы не представляет. Если же вы обнаружите упоминание DLL-библиотеки непонятного происхождения, то смело удаляйте в реестре все упоминания данного BHO — скорее всего, именно он и является причиной неприятностей. Удобнее же всего (и безопаснее для реестра) не ручной поиск и идентификация установленных BHO, а использование специально для этого предназначенных программ, таких как BHODemon [3] или BHOCaptor [4], которые выдадут всю информацию об установленных модулях BHO и помогут деактивировать подозрительные BHO.

Вот, собственно, и всё — помните только, что зловредные рекламщики не дремлют, постоянно изобретая всё новые способы проникнуть на ваш компьютер, и поиметь большой длинный и зелёный доллар за счёт вашего недешёвого трафика, а потому без защиты проверенными файерволлами и антивирусами сегодня не обойтись. Профилактика всегда лучше, чем лечение.




Темы