Борьба с рекламными модулями для Internet Explorer
- Ребенок залез на очень неприятный сайт… Теперь эта хреновина прописалась где-то в глубинах системы (у нас установлен Millenium) и при каждой перезагрузке эта страница становится домашней (с нее, соответственно, Internet Explorer начинает обзор). Вот такая проблема: как избавиться от нежелательной домашней страницы, если она прописалась в системе самостоятельно. Очень прошу мне помочь! Спасибо. Владимир Поздняков.
- Помогите решить следующую проблему: после прогулок по инету, в частности по поганым фоменкам.ру и их картинкам теперь после набора адреса в командной строке IE 6.0, набранный адрес после ввода подменяется на другой. Поиск обычным методом по этой ссылке ничего не дал, пожалуйста, подскажите, где ЭТО найти и чикнуть. Поиск на вирус (NAV2002) и на spyware (AdAware) ничего не дал. Как всегда, заранее спасибо. Стас.
- Проблема в следующем, IE6 после набора адреса выпадает на порнушные сайты, причем разные, началось это после поисков кряка на astalavista.com — видимо один из попапов при нажатие на ссылку результата поиска что-то мене прописал куда-то, очень неприятная плата за использование взломоного ПО тем более на работе (лодно еще дома) помогите плиз как это вылечить. Спасибо. Андрей.
- На Вас последняя надежда: подскажите, как мне найти URL-адрес и параметры автозагрузки, чтобы отключить позорящую меня домашнюю страницу. Я убираю ее в свойствах обозревателя, а при новой загрузке она появляется опять! Что мне делать? Очень надеюсь на вашу помощь! Заранее спасибо! Dmitry Kalinin.
- При попытке открыть любой сайт в IE-6 Win2000 Professional постоянно открывается один и тот же сайт. Обычными настройками «свойства обозревателя» проблема не устраняется. Подскажите, пожалуйста, что предпринять или дайте ссылку на материал по этому вопросу. Заранее благодарен, Владислав.
Я не случайно привел здесь сразу несколько однотипных вопросов наших читателей. Дело в том, что подобная проблема последнее время стала настолько распространена, что близка к эпидемии и заслуживает отдельного рассмотрения — в веб-конференции журнала Upgrade призывы помочь избавиться от навязчивой домашней страницы или от подмены вводимого в адресную строку обозревателя URL раздаются почти каждый день. Да и писем с похожими вопросами приходит гораздо больше, чем я здесь привожу (многие просто непечатны). Связано это не только с неискоренимой любовью нашего народа бродить в рабочее время по крайне сомнительным сайтам, но и с его беспечностью — защищаться файерволлами, к сожалению, большая часть пользователей считает ниже своего достоинства…
А ведь использование таких мощных и достаточно простых в обращении программ, как буржуйский Norton Internet Security или отечественный Outpost Firewall, избавило бы от подобных неприятностей на 90% даже при «дефолтной» настройке этих программ, и на все 100% — при ручной их доводке. Всего-то надо отключить активное содержимое веб-страниц — Java-апплеты, элементы ActiveX и всплывающие окна, плюс заблокировать неблагонадёжные URL-адреса, списки которых давно есть в Интернете. И, разумеется, никогда не следует запускать незнакомые или откровенно «левые» программы, особенно, если в то время, когда вы подключены к Интернету, вдруг ни с того ни с сего появляется запрос на установку и запуск непонятного апплета или приложения, которое вы не заказывали — именно таким способом чаще всего и проникают в последнее время на машины пользователей программы, меняющие домашнюю страницу. Появился в связи с этим даже новый термин — «popup download», то есть всплывающее автоматически, без запроса пользователя, предложение о загрузке программы или установке неподписанного цифровой подписью апплета. Если же вам не повезло, и на такую подлую уловку веб-мастеров некоторых подзаборных сайтов вы всё же попались, то сносить под корень операционную систему не спешите — вот самая подробная инструкция по решению Большой Проблемы любителей сетевой клубнички (просто модная болезнь какая-то):
Запустите ПК в режиме защиты от сбоев и выгрузите из памяти все запущенные программы от сторонних разработчиков (то есть не от Microsoft — автора файла можно узнать в его свойствах), если таковые оказались — для этого используйте не только комбинацию клавиш Ctrl+Alt+Del, но обязательно и утилиту типа TaskInfo 2002 [1] — только с её помощью можно увидеть, что в действительности находится в памяти ПК. Затем с помощью утилиты MSCONFIG.EXE
проверьте всю автозагрузку и либо отключите загрузку обнаруженной вредоносной программы (обычно это программа, назначение которой вам неясно, или которая имеет абсурдное название — набор цифр, например), либо, если визуально определить виновника невозможно, то отключите вообще все программы из автозагрузки — для ОС это абсолютно безопасно. Разумеется, сразу после этого просканируйте систему свежим антивирусом и утилитой Ad-Aware [2], удаляющей с диска более-менее известные рекламно-шпионские программные модули, формально вирусами не являющиеся.
Далее обнулите в Свойствах обозревателя домашнюю страницу и перезагрузите ПК. Если ваши установки на этот раз не изменились, и проблема исчезла, то была виновата одна из автоматически загружаемых программ — по-очереди возвращая автозагрузку каждой программы и перезагружая ПК, можно выяснить конкретного виновника — после включения его автозагрузки (или после ручного запуска) страница опять окажется подменена. В редких случаях программа, меняющая домашнюю страницу, не прописывает себя в автозагрузку и вносит изменения в настройки системы не при каждой загрузке Windows, а при своём обычном запуске — попробуйте в таком случае запускать каждую из установленных программ и смотрите, после загрузки которой из них изменились настройки обозревателя. Определить вредоносную программу можно и по URL-адресу, прописывающемуся в качестве домашней страницы, а также по названию исполнимого файла — поиск в Интернете поможет определить назначение каждой программы из автозагрузки.
Если же вы полностью отключили автозагрузку (вплоть до ручной проверки файлов WIN.INI
, AUTOEXEC.BAT
, WINSTART.BAT
), но проблема не исчезла, то следующим этапом удалите все временные интернет-файлы (Temporary Internet Files), очистите Журнал (History), очистите папку C:\WINDOWS\
и посмотрите, какие плагины установлены для Internet Explorer — возможно страницу изменяет какой-то из них. Файлы подключаемых модулей-плагинов находятся в папке C:\PROGRAM FILES\
— по свойствам каждого файла можно выяснить его предназначение. Временно удалите все файлы из этой папки и посмотрите результат — если проблема исчезла, значит виноват один из плагинов. Если — нет, то откройте на этот раз в Блокноте файл C:\WINDOWS\
(без расширения, в Windows XP он находится в папке C:\WINDOWS\
) и просмотрите его содержание — строки с упоминанием IP-адреса сайта вредоносной программы следует удалить. Если же вы не используете файл HOSTS
, или первый раз о нём слышите (учтите только, что его мог создать администратор вашей локальной сети), то можно удалить (или временно переместить в другую папку) и его.
Следующим этапом, даже если вы нашли виновника, запустите поиск этого зловредного URL-адреса (или IP) в редакторе реестра — везде, где встретите его упоминание — удаляйте. Обычно в Windows оказываются поражены чужеродным URL следующие параметры реестра (параметры, значение которых не указано, можно удалить):
HKEY_
"Search
HKEY_
"Default_
"Search Page"=
"Search Bar"=
"Search
"Window Title"=
"Window_
HKEY_
"Search
HKEY_
"ITBarLayout"=
HKEY_
"Search
"Customize
HKEY_
"Navigation
"Desktop
"Navigation
"Offline
"blank"=
"Post
"mozilla"=
HKEY_
"Default_
"Default_
"Search Page"=
"Local Page"=
"Start Page"=
"Company
"Window Title"=
HKEY_
@="http://"
HKEY_
"ftp"=
"gopher"=
"home"=
"mosaic"=
"www"=
HKEY_
"Search
HKEY_
"Search Page"=
"Default_
"Search Bar"=
"Local Page"=
"Start Page"=
HKEY_
"Search
Кроме того, непременно проверьте, какие Browser Helper Objects установлены на вашем ПК. Browser Helper Objects (BHO) — это небольшие программы, не имеющие пользовательского интерфейса и автоматически запускаемые вместе с Internet Explorer. Немногие пользователи слышали о подобной весьма небезопасной и достаточно скрытой функции Internet Explorer, но именно с её помощью делается такая мерзость, как постоянная подмена вводимого в адресной строке браузера URL. Список идентификаторов установленных BHO находится в разделе реестра
HKEY_
Подозрительные BHO можно попробовать удалить из списка (предварительно сделав резервную копию реестра) — это их полностью дезактивирует. Однако, как выяснить — подозрительные они или нет, если в вышеупомянутом разделе только ничего не говорящие длиннющие номера? Технология в данном случае такова. Например, если в этом разделе вы обнаружите подраздел {A5366673-E8CA-11D3-9CD9-0090271D075B}
, то произведите поиск во всем реестре найденного идентификатора BHO — {A5366673-E8CA-11D3-9CD9-0090271D075B}
— обнаружите его упоминание также и в разделе
HKEY_
Просмотрите всё содержимое найденного раздела, чтобы определить, к какой программе относится этот BHO — в данном случае вы обнаружите такую запись:
HKEY_
@="C:\PROGRAM FILES\
из которой можно сделать вывод, что обнаруженный BHO создан программой FlashGet и никакой угрозы не представляет. Если же вы обнаружите упоминание DLL-библиотеки непонятного происхождения, то смело удаляйте в реестре все упоминания данного BHO — скорее всего, именно он и является причиной неприятностей. Удобнее же всего (и безопаснее для реестра) не ручной поиск и идентификация установленных BHO, а использование специально для этого предназначенных программ, таких как BHODemon [3] или BHOCaptor [4], которые выдадут всю информацию об установленных модулях BHO и помогут деактивировать подозрительные BHO.
Вот, собственно, и всё — помните только, что зловредные рекламщики не дремлют, постоянно изобретая всё новые способы проникнуть на ваш компьютер, и поиметь большой длинный и зелёный доллар за счёт вашего недешёвого трафика, а потому без защиты проверенными файерволлами и антивирусами сегодня не обойтись. Профилактика всегда лучше, чем лечение.