Борьба с рекламными модулями для Internet Explorer

• Ребенок залез на очень неприятный сайт… Теперь эта хреновина прописалась где-то в глубинах системы (у нас установлен Millenium) и при каждой пере­загрузке эта страница становится домашней (с нее, соответ­ственно, Internet Explorer начинает обзор). Вот такая проблема: как избавиться от нежелательной домашней страницы, если она прописалась в системе само­стоятельно. Очень прошу мне помочь! Спасибо. Владимир Поздняков.
• Помогите решить следующую проблему: после прогулок по инету, в частности по поганым фоменкам.ру и их картинкам теперь после набора адреса в командной строке IE 6.0, набранный адрес после ввода подменяется на другой. Поиск обычным методом по этой ссылке ничего не дал, пожалуйста, подскажите, где ЭТО найти и чикнуть. Поиск на вирус (NAV2002) и на spyware (AdAware) ничего не дал. Как всегда, заранее спасибо. Стас.
• Проблема в следующем, IE6 после набора адреса выпадает на порнушные сайты, причем разные, началось это после поисков кряка на astalavista.com — видимо один из попапов при нажатие на ссылку результата поиска что-то мене прописал куда-то, очень неприятная плата за исполь­зование взломоного ПО тем более на работе (лодно еще дома) помогите плиз как это вылечить. Спасибо. Андрей.
• На Вас последняя надежда: подскажите, как мне найти URL-адрес и параметры автозагрузки, чтобы отключить позорящую меня домашнюю страницу. Я убираю ее в свойствах обозревателя, а при новой загрузке она появляется опять! Что мне делать? Очень надеюсь на вашу помощь! Заранее спасибо! Dmitry Kalinin.
• При попытке открыть любой сайт в IE-6 Win2000 Professional постоянно открывается один и тот же сайт. Обычными настройками «свойства обозревателя» проблема не устраняется. Подскажите, пожалуйста, что предпринять или дайте ссылку на материал по этому вопросу. Заранее благодарен, Владислав.

Я не случайно привел здесь сразу несколько одно­типных вопросов наших читателей. Дело в том, что подобная проблема последнее время стала настолько рас­про­странена, что близка к эпидемии и заслуживает отдельного рассмотрения — в веб-конференции журнала Upgrade призывы помочь избавиться от навязчивой домашней страницы или от подмены вводимого в адресную строку обозревателя URL раздаются почти каждый день. Да и писем с похожими вопросами приходит гораздо больше, чем я здесь привожу (многие просто непечатны). Связано это не только с неискоренимой любовью нашего народа бродить в рабочее время по крайне сомнительным сайтам, но и с его беспечностью — защищаться файерволлами, к сожалению, большая часть пользователей считает ниже своего достоинства…

А ведь использование таких мощных и достаточно простых в обращении программ, как буржуйский Norton Internet Security или отечественный Outpost Firewall, избавило бы от подобных неприятностей на 90% даже при «дефолтной» настройке этих программ, и на все 100% — при ручной их доводке. Всего-то надо отключить активное содержимое веб-страниц — Java-апплеты, элементы ActiveX и всплывающие окна, плюс заблокировать неблаго­надёжные URL-адреса, списки которых давно есть в Интернете. И, разумеется, никогда не следует запускать незнакомые или откровенно «левые» программы, особенно, если в то время, когда вы подключены к Интернету, вдруг ни с того ни с сего появляется запрос на установку и запуск непонятного апплета или приложения, которое вы не заказывали — именно таким способом чаще всего и проникают в последнее время на машины пользователей программы, меняющие домашнюю страницу. Появился в связи с этим даже новый термин — «popup download», то есть всплывающее авто­мати­чески, без запроса пользователя, предложение о загрузке программы или установке непод­писанного цифровой подписью апплета. Если же вам не повезло, и на такую подлую уловку веб-мастеров некоторых подзаборных сайтов вы всё же попались, то сносить под корень операционную систему не спешите — вот самая подробная инструкция по решению Большой Проблемы любителей сетевой клубнички (просто модная болезнь какая-то):

Запустите ПК в режиме защиты от сбоев и выгрузите из памяти все запущенные программы от сторонних разработчиков (то есть не от Microsoft — автора файла можно узнать в его свойствах), если таковые оказались — для этого используйте не только комбинацию клавиш Ctrl+Alt+Del, но обязательно и утилиту типа TaskInfo 2002 [1] — только с её помощью можно увидеть, что в действи­тельности находится в памяти ПК. Затем с помощью утилиты MSCONFIG.EXE проверьте всю авто­загрузку и либо отключите загрузку обнаруженной вредо­носной программы (обычно это программа, назначение которой вам неясно, или которая имеет абсурдное название — набор цифр, например), либо, если визуально определить виновника невозможно, то отключите вообще все программы из авто­загрузки — для ОС это абсолютно безопасно. Разумеется, сразу после этого просканируйте систему свежим антивирусом и утилитой Ad-Aware [2], удаляющей с диска более-менее известные рекламно-шпионские программные модули, формально вирусами не являющиеся.

Далее обнулите в Свойствах обозревателя домашнюю страницу и пере­загрузите ПК. Если ваши установки на этот раз не изменились, и проблема исчезла, то была виновата одна из авто­мати­чески загружаемых программ — по-очереди возвращая авто­загрузку каждой программы и пере­загружая ПК, можно выяснить конкретного виновника — после включения его авто­загрузки (или после ручного запуска) страница опять окажется подменена. В редких случаях программа, меняющая домашнюю страницу, не прописывает себя в автозагрузку и вносит изменения в настройки системы не при каждой загрузке Windows, а при своём обычном запуске — попробуйте в таком случае запускать каждую из установленных программ и смотрите, после загрузки которой из них изменились настройки обозревателя. Определить вредо­носную программу можно и по URL-адресу, прописы­вающемуся в качестве домашней страницы, а также по названию исполнимого файла — поиск в Интернете поможет определить назначение каждой программы из авто­загрузки.

Если же вы полностью отключили авто­загрузку (вплоть до ручной проверки файлов WIN.INI, AUTOEXEC.BAT, WINSTART.BAT), но проблема не исчезла, то следующим этапом удалите все временные интернет-файлы (Temporary Internet Files), очистите Журнал (History), очистите папку C:\WINDOWS\COOKIES и посмотрите, какие плагины установлены для Internet Explorer — возможно страницу изменяет какой-то из них. Файлы подключаемых модулей-плагинов находятся в папке C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS — по свойствам каждого файла можно выяснить его пред­назначение. Временно удалите все файлы из этой папки и посмотрите результат — если проблема исчезла, значит виноват один из плагинов. Если — нет, то откройте на этот раз в Блокноте файл C:\WINDOWS\HOSTS (без расширения, в Windows XP он находится в папке C:\WINDOWS\SYSTEM32\DRIVERS\ETC) и просмотрите его содержание — строки с упоминанием IP-адреса сайта вредо­носной программы следует удалить. Если же вы не используете файл HOSTS, или первый раз о нём слышите (учтите только, что его мог создать администратор вашей локальной сети), то можно удалить (или временно переместить в другую папку) и его.

Следующим этапом, даже если вы нашли виновника, запустите поиск этого зло­вредного URL-адреса (или IP) в редакторе реестра — везде, где встретите его упоминание — удаляйте. Обычно в Windows оказываются поражены чуже­родным URL следующие параметры реестра (параметры, значение которых не указано, можно удалить):

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
"SearchURL"=

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"Default_Search_URL"=
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"=
"SearchURL"=
"Window Title"=
"Window_Placement"=

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
"SearchAssistant"=

HKEY_CURRENT_USER\Software\Micrsoft\Internet Explorer\Toolbar\WebBrowser
"ITBarLayout"=

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search
"SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
"CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs
"NavigationFailure"="res://shdoclc.dll/navcancl.htm"
"DesktopItemNavigationFailure"="res://shdoclc.dll/navcancl.htm"
"NavigationCanceled"="res://shdoclc.dll/navcancl.htm"
"OfflineInformation"="res://shdoclc.dll/offcancl.htm"
"blank"="res://mshtml.dll/blank.htm"
"PostNotCached"="res://mshtml.dll/repost.htm"
"mozilla"="res://mshtml.dll/about.moz"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Local Page"=
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
"CompanyName"="Microsoft Corporation"
"Window Title"=

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
@="http://"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes
"ftp"="ftp://"
"gopher"="gopher://"
"home"="http://"
"mosaic"="http://"
"www"="http://"

HKEY_USERS\.Default\Software\Microsoft\Internet Explorer
"SearchURL"=

HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Default_Search_URL"=
"Search Bar"=
"Local Page"=
"Start Page"=

HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Search
"SearchAssistant"=

Кроме того, непременно проверьте, какие Browser Helper Objects установлены на вашем ПК. Browser Helper Objects (BHO) — это небольшие программы, не имеющие пользова­тельского интерфейса и авто­мати­чески запускаемые вместе с Internet Explorer. Немногие пользователи слышали о подобной весьма небезопасной и достаточно скрытой функции Internet Explorer, но именно с её помощью делается такая мерзость, как постоянная подмена вводимого в адресной строке браузера URL. Список идентификаторов установленных BHO находится в разделе реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects

Подозрительные BHO можно попробовать удалить из списка (предварительно сделав резервную копию реестра) — это их полностью дезактивирует. Однако, как выяснить — подо­зрительные они или нет, если в выше­упомянутом разделе только ничего не говорящие длиннющие номера? Технология в данном случае такова. Например, если в этом разделе вы обнаружите подраздел {A5366673-E8CA-11D3-9CD9-0090271D075B}, то произведите поиск во всем реестре найденного идентификатора BHO — {A5366673-E8CA-11D3-9CD9-0090271D075B} — обнаружите его упоминание также и в разделе

HKEY_CLASSES_ROOT\CLSID\{A5366673-E8CA-11D3-9CD9-0090271D075B}

Просмотрите всё содержимое найденного раздела, чтобы определить, к какой программе относится этот BHO — в данном случае вы обнаружите такую запись:

HKEY_CLASSES_ROOT\CLSID\{A5366673-E8CA-11D3-9CD9-0090271D075B}\InprocServer32
@="C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL"

из которой можно сделать вывод, что обнаруженный BHO создан программой FlashGet и никакой угрозы не представляет. Если же вы обнаружите упоминание DLL-библиотеки непонятного происхождения, то смело удаляйте в реестре все упоминания данного BHO — скорее всего, именно он и является причиной неприятностей. Удобнее же всего (и безопаснее для реестра) не ручной поиск и идентификация установленных BHO, а использование специально для этого пред­назначенных программ, таких как BHODemon [3] или BHOCaptor [4], которые выдадут всю информацию об установленных модулях BHO и помогут деактивировать подо­зрительные BHO.

Вот, собственно, и всё — помните только, что зловредные рекламщики не дремлют, постоянно изобретая всё новые способы проникнуть на ваш компьютер, и поиметь большой длинный и зелёный доллар за счёт вашего недешёвого трафика, а потому без защиты проверенными файерволлами и антивирусами сегодня не обойтись. Профилактика всегда лучше, чем лечение.