[Megacucumber]

Может хоть подскажите где примерно искать? Ато реестр большой.

sd:\WINDOWS\Downloaded Program Files вот тут 2 левых файла нашёл, удалил вроде браузер повисать перестал, но окна один хрен выкидывает и ещё в избранное ссылки добавляет левые.

[ShaddyR]

Цитата:

Megacucumber: команда msconfig, закладка Автозагрузка - приведи содержимое. Какой антивирус?

[VladimirB]

Более конкретно что произошло?

Да, учтите, не всегда msconfig покажет все, что грузится через автозагрузку!



Настройка IExplorer с помощью реестра
В этом разделе названия опций говорят сами за себя, поэтому даны только краткие комментарии.
IExplorer: Hide General Page from Internet Properties
Чтобы спрятать вкладку Общие в параметрах Internet Explorer'a, добавьте в реестр:
[HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Internet Explorer\ Control Panel]
"GeneralTab"=dword:1
IExplorer: Hide Securiry Page from Internet Properties
Чтобы спрятать вкладку Безопасность в параметрах Internet Explorer'a, добавьте в реестр:
[HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Internet Explorer\ Control Panel]
"SecurityTab"=dword:1

IExplorer: Hide Privacy Page from Internet Properties
Чтобы спрятать вкладку Конфиденциальность в параметрах Internet Explorer'a:
[HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Internet Explorer\ Control Panel]
"PrivacyTab"=dword:1

IExplorer: Hide Content Page from Internet Properties
Чтобы спрятать вкладку Содержание в параметрах Internet Explorer'a, проведите соответствующие изменения в реестре:
[HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Internet Explorer\ Control Panel]
"ContentTab"=dword:1

IExplorer: Hide Connections Page from Internet Properties
Чтобы спрятать вкладку Подключения в параметрах Internet Explorer'a, добавьте в реестр:
[HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Internet Explorer\ Control Panel]
"ConnectionsTab"=dword:1

IExplorer: Hide Programs Page from Internet Properties
Чтобы спрятать вкладку Программы в параметрах Internet Explorer'a:
[HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Internet Explorer\ Control Panel]
"ProgramsTab"=dword:1

IExplorer: Hide Advanced Page from Internet Properties
Чтобы спрятать вкладку Дополнительно в параметрах Internet Explorer'a, добавьте в реестр:
[HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Internet Explorer\ Control Panel]
"AdvancedTab"=dword:1
IExplorer: Change Default Download Path
Для изменения папки для закачек по умолчанию добавьте ключ с именем вашей папки:
[HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer]
"Download Directory"="C:\ My Downloads"

IExplorer: Wallpaper for Internet Explorer Toolbar
Для изменения обоев для панели инструментов добавляем ключ:
[HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Toolbar]
"BackBitmap"="c:\ папка\ имя_файла"

IExplorer: Change Internet Explorer Large Animation
Замена эмблемы IE
Для этого необходимо два изображения. Первое размером 38х38 пикселей, а второе 22х22. Если захотите вернуться к значениям по умолчанию, то либо удалите ключи, либо присвойте им пустые значения.
Итак, добавляем ключ:
[HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Toolbar]
"BrandBitmap"="c:\ папка\ имя_файла_1"
IExplorer: Change Internet Explorer Small Animation
И добавляем еще:
[HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Toolbar]
"SmBrandBitmap"="c:\ папка\ имя_файла_2"

IExplorer: Remove the Outlook Express Splash Screen
Не показывать заставку при загрузке OE. Измените значение ключа с 0 на 1:
[HKEY_CURRENT_USER\ Identities\ {8D48CF80-251E-46D0-9EAF-6633E2DBD392}\ Software\ Microsoft\ Outlook Express\ 5.0]
"NoSplash"=dword:1
IExplorer: Change the Outlook Express Title Bar
Для изменения заголовка окна OE добавьте ключ:
[HKEY_CURRENT_USER\ Identities\ {8D48CF80-251E-46D0-9EAF-6633E2DBD392}\ Software\ Microsoft\ Outlook Express\ 5.0]
"WindowTitle"="ваш заголовок"

Добавление вашего текста к стандартному заголовку IE
Чтобы добавить ваш текст к стандартному заголовку IE, добавьте в реестр ключ:
[HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main]
"Window Title"="ваш заголовок"

IExplorer: Auto Complete Feature
IE имеет режим Автозаполнение, то есть он может запоминать, какие данные и пароли вы вводите в веб-формах и пользуясь этой "памятью" помогает вводить данные в дальнейшем. Хотя это хорошая особенность, но она может привести к проблемам защиты.
Для включения возможностей автозаполнения измените или добавьте три ключа:
[HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main]
"Use FormSuggest"="yes"
"FormSuggest Passwords"="yes"
[HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ AutoComplete]
"AutoSuggest"="yes"

IExplorer: Disable the Ability to Customize IE Toolbar

Запрет возможности изменения панели инструментов IE
Для запрета возможности изменения панели инструментов IE измените значение ключа с 0 на 1:
[HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer]
"NoToolbarCustomize"=dword:1

IExplorer: Disable Internet Explorer Auto-Updates
Для запрета автообновления IE измените значение с 0 на 1:
[HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main]
"NoUpdateCheck"=dword:1

IExplorer: Disable Smart Favorites Menu Feature
По умолчанию редко используемые элементы меню Избранное не отображаются. Для отключения этой особенности нужно изменить значение ключа с "YES" на "NO":
[HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main]
"FavIntelliMenus"="NO"

IExplorer: Delete Content Advisor Password
Для удаления пароля на изменение настроек свойств обозревателя на закладке Содержание удалите ключ:
[HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ policies\ Ratings]
"Key"=-

Итак, основные места регистрации spyware в реестре:
Ключ HKCR
В этом ключе прописываются в основном spyware-модули, выполненные в виде COM-объектов. Вручную вычистить оттуда ссылки на spyware вы вряд-ли сможете, так как уж очень много информации в этом ключе. Для вычистки этой ветки лучше воспользоваться spyware-сканером.
Также встречаются случаи, когда spyware переопределяет на себя регистрацию какого-либо известного типа файлов. В этом случае можно, например, дважды щелкнув по иконке документа Word, попросить spyware заново зарегистрировать себя в системе и начать творить свое черное дело. Общий рецепт борьбы с этим:
1. Открываете редактор реестра.
2. Переходите на ключ HKCR\.ext (где .ext – расширение нужного типа файлов).
3. Смотрите значение ключа по умолчанию (например, «Word.Document»).
4. Идете на ключ HKCR\type (где type – значение ключа по умолчанию, полученное на предыдущем шаге).
5. Анализируете значения подключей shell\open\command, shell\edit\command, shell\print\command.
Ключ HKCU
Из всех подключей ключа HKCU для нас важнейшим является, безусловно, подключ Software\Microsoft. Ниже – краткий перечень подвергающихся атаке мест в этом подключе:
• HKCU\Software\Microsoft\Internet Explorer, значение «SearchURL».
• HKCU\Software\Microsoft\Internet Explorer\Main, значения «Default_Page_URL», «Default_Search_URL», «Local Page», «Search Bar», «Search Page», «Start Page».
• Все подключи ключа HKCU\Software\Microsoft\Internet Explorer\MenuExt.
• Ключ HKCU\Software\Microsoft\Internet Explorer\Search, значение «SearchAssistant».
• Ключ HKCU\Software\Microsoft\Internet Explorer\SearchUrl, значение «provider».
• Все подключи и значения HKCU\Software\Microsoft\Internet Explorer\Toolbar (здесь селятся тулбары, как вы догадались).
• Все значения ключа HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks.
• Ключ HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
• Ключ HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce.
• Ключ HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
• Ключ HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
• Ключ HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
• Ключ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
• Ключ HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
• Ключ HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows, значение «Load»
• Ключ HKCU\Software\Policies\Microsoft\Windows\System\Scripts
• Ключ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Ключ HKLM
• Все значения ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs
• Все подключи HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
• Ключ HKLM\SOFTWARE\Microsoft\Internet Explorer\Main, значения «Default_Page_URL», «Default_Search_URL», «Local Page», «Search Page», «Start Page»
• Ключ HKLM\SOFTWARE\Microsoft\Internet Explorer\Search, значения «CustomizeSearch», «SearchAssistant»
• Все значения ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
• Все подключи ключа HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
• Ключ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• Ключ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
• Ключ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
• Ключ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
• Ключ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
• Ключ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
• Ключ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, значение «AppInit_DLLs»
• Ключ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, значение «Userinit»
• Ключ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, значение «Shell»
• Ключ HKLM\Software\Policies\Microsoft\Windows\System\Scripts
• Ключ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Далеко не все места регистрации spyware в реестре перечислены выше. Всего не знает никто, к сожалению.


PS А курс я все же отчитал сегодня Приятно!
PPS Я ж его не слушаю! Я его автор

[Shumakov]

может все же стоит попробовать Opera 9.01
только предварительно удалив ослика.
_______________________________________________________________________
Нужно быть действительно великим человек, чтобы устоять против здравого смысла.

[VladimirB]

Shumakov
Такой вариант не всегда оправдан. Т.е. существует куча приложений, в которых корректно работает только IE

[Megacucumber]

В internet explorer ставится 'хитрая куки' и сразу начинает выкидывать левые окна, отключаю получение всех куки - окна не выскакивают, вопрос: что заставляет ie ставить эту куки?
Вот эта куки

[pos2man]

Megacucumber, ответ и описание

[Forest_G]

С недавнего вермени появилась эта гадость на компе, плодятся процессы services.exe. При админе еше можно работать но в юзвере совсем не возможно жрет проц. ХР СП2, антивирус symantec 10й ничего найти не может. Подскажите как избавится от него!

[Pliomera]

Ну вообще-то процесс с таким именем существует и в нормальной системе. Если это действительно троян, попробуй просканировать программой Ad-Aware к.-нибудь последней версии с обновленными базами.

[Forest_G]

Что то их слишком много для обычных процессов, 4 шт. Скачал Ad-Aware SE, шас обновится попробую просканить.