Как избавиться от порносайтов?!

← →
Defunct © (2004-11-19 19:24) [0]

Задолбало уже, при переходе со страници на страницу в Explorer"e выскакивают порно сайты...

Может есть какая-нить прога, которая может это вылечить. (пробовал NAV 8.0 и Spybots S&D v 1.3 - не помогают)
И еще.. уже месяц при загрузке компа стартовой страничкой ставится www.tetki.ru....... чтоб они сгорели..

Проблема появилась после того как на моем домашнем компе без моего ведома поработал мой младший братец.. Уже перерыл весь реестр, ничего не нашел. Перерыл все файлы на диски на предмет наличия в теле файлов названий порносайтов, которые появляются, тоже глухо...

← →
Sanek_Metaller © (2004-11-19 19:29) [1]

У меня было тоже самое,все перерыл-ничего не нашел.
Винду переустановил,и все пучком+винт стерильный:)

← →
Ihor Osov'yak © (2004-11-19 19:30) [2]

хм..
http://www.lavasoftusa.com/software/adaware/ - помогает в 99 проц. похожих случаев.

← →
ИМХО © (2004-11-19 19:38) [3]

как говорил один мой озабоченный приятель, Интернет создали ради порнухи....

← →
wicked © (2004-11-19 19:40) [4]

в добавок к Ihor Osov"yak [2]:
братцу в бубен...

также настроить нормально права юзеров на компьютере...

← →
Ihor Osov'yak © (2004-11-19 19:45) [5]

если очень же повезло - то есть угодил в 1 процент - алгоритм примерно таков - берем regmon с сисинтерналс и следим, какой процесс прописывает в реестри насторойки иешки.. Задача может осложняться тем, что соотв. процессы делают запись при перезагрузке системы. Тогда можно пытаться просто снимать подозрительные процессы. Они часто процес снимания расценивают как перезагрузку. Здесь также может быть проблема - трояны часто работают парами - и при убиении одного напарник перезапускает убитого. В таком случае тянем какой-то утиль, переспрашивающий на запуск каждого процесса - некоторые персональные фаерволы имеют такую фишку. Если ничено не найдешь - могу также дать програмулину, в которой ставишь галочку, и она блокирует запуск процесса (для NT-ряда) - на условиях нераспространения.
Далее. Особо неприятный случай если троян оформлен в виде dll для BHO или LPS - тогда наверное ручками соотв. ветви реестри.. Если просто ручками убить длл, которая подцепилась как расширение LPS - без чистки реестри - сеть перестанет работать.

← →
sniknik © (2004-11-19 19:57) [6]

> www.tetki.ru
оно по моему какойто прогой устанавливается, прога в автозапуск прописывается (adaware может не найти)
найди такую утилиту что показывает откуда запускается (у меня autoruns.exe есть, могу прислать) посмотри и повыкидывай все лишнее.
или http://www.unhsolutions.net/Browser-Sentinel/index.shtml тут не только показывает но и блокирует (проверить) и чистит.

← →
SergP © (2004-11-19 19:59) [7]

> Проблема появилась после того как на моем домашнем компе
> без моего ведома поработал мой младший братец..

Не забудь надавать пилюлей младшему братцу...Для профилактики...

← →
Defunct © (2004-11-19 20:09) [8]

Ihor Osov"yak © (19.11.04 19:30) [2]

Спасибо, сейчас пробую

> если очень же повезло - то есть угодил в 1 процент

эх будем надеяться...

← →
sniknik © (2004-11-19 20:09) [9]

Ihor Osov"yak © (19.11.04 19:45) [5]
....
+
все что описано хорошо видно в Browser-Sentinel (все места куда эта мерзость может внедриться) но чистить на свой страх и риск (хороших от плохих оно не отличает)

тетки легко снимаются в процессах таск менеджера (чистил у подруги одной), но вот точно имя сказать не могу не помню. (там попутно еще 50 троянов и 130 вирусов (!!!) было)

← →
ИМХО © (2004-11-19 20:14) [10]

"Мастера - они Мастера во всём! В том числе, и в деле борьбы с порнухой!" (с) ИМХО

← →
DrPass © (2004-11-19 20:26) [11]

Тетки РУ у меня пропали после того, как я прибил несколько "типа системных" программ из автозагрузки - explorer, system32 и kernel32. Кто из них был этой дрянью, я не экспериментировал. Может быть, все три. После того, как надавал по рукам "порноактивным" сотрудникам, эта дрянь больше не появлялась

← →
Sergey_Masloff (2004-11-19 20:27) [12]

>Должны быть сделаны определенные инвестиции. Компьютер куплен, >стоит LCD монитор, один или два пятидесяти гиговых винчестера, >забитых mp3. И при этом очень хочется зарабатывать деньги.
>Нужно просто решить, хобби это для вас или профессия.
Молодец Орлик, хорошо сказал.

← →
Sergey_Masloff (2004-11-19 20:28) [13]

Пардон не в ту ветку... После рабочей недели как зомби :(

← →
SergP © (2004-11-19 20:48) [14]

Я вот удивляюсь почему существуют всякие заразные сайты (а в основном это порносайты). Почему их не закрывают? Понятно конечно что не все можно закрыть. Но доступ ведь перекрыть можно... хотя бы контролировать наличие их в DNS можно, ну и соответственно вытирать там? Укртелеком например перекрывал ведь доступ к сайту (не помню УРЛ) про Януковича. ИМХО с заразными сайтами нужно поступать еще пожесче.
Я не против наличия нормальных порносайтов, где озабоченные могут посмотреть что хотят. Но если сайт создан с деструктивными намерениями (трояны всякие, изменение домашней странички и прочие ненормальные действия) то их нужно удалять либо блокировать без разговоров.
У меня на работе один сотрудник полазил по порносайтам. Так я потом часа полтора возился с той машиной где он "работал". С десяток разновидностей троянов нашел и удалил и прочее безобразие пришлось уничтожать.

← →
Defunct © (2004-11-19 20:51) [15]

Ура!!

Нет больше этого дерьма!

Спасибо Ihor Osov"yak © и sniknik ©

← →
Anatoly Podgoretsky © (2004-11-19 21:05) [16]

SergP © (19.11.04 20:48) [14]
Замена домашней страницы не деструктивное действие, а способ продвижения/рекламы.

Defunct © (19.11.04 20:51) [15]
А ты уверен, что все удалил, это же только поверхностные действия, а скольок еще скрытых осталось, гораздо более опасных?

← →
Verg © (2004-11-19 21:21) [17]

> Как избавиться от порносайтов?!
> Defunct © (19.11.04 19:24)

Их не посещать. Откровенный ты наш...

← →
Ihor Osov'yak © (2004-11-19 21:26) [18]

> Замена домашней страницы не деструктивное действие, а способ продвижения/рекламы.

.. много кого встретить можно в виртуальном мире, много чего произойти может.. Так уж случилось, что познакомился я с одним пареньком, практикующим как средство раскрутки "впаривание" троянов, подменяющих эту пресловутою хоум пейдж (это он уже потом, в порыве откровенности рассказывал). Так вот, приводил он фрагменты писем, которые приходили на контактный емейл сайта, прооизводящего "впаривание". Судя по некоторым письмам, с точки зрения жертв "впаривания" - это далеко не "способ продвижения"... Могу предположить, что если бы этот паренек в руки некоторым жертвам попал - живим бы не ушел..
Да, как я потом понял - у него определенные неприятности из-за его деятельности все же были..

← →
DrPass © (2004-11-19 21:27) [19]

> Я вот удивляюсь почему существуют всякие заразные сайты
> (а в основном это порносайты). Почему их не закрывают?

Знаешь анекдот: ковыряются танкисты около танка, чинят лопнувшую гусеницу. Вдруг появляется фея:
- Что вы тут делаете?
- Тр@#$емся...
- А по-настоящему хотите?
- Хотим, конечно!
Фея взмахивает волшебной палочкой... и у танка отваливается башня.

Так же рассуждают и владельцы порносайтов - чтобы у их посетителей был полноценный секс с компьютером

← →
Ihor Osov'yak © (2004-11-19 21:29) [20]

> [19] DrPass ©

Cool!!

← →
Mihey_temporary © (2004-11-19 21:34) [21]

А я вот недавно понял, что IE - полный отстой и что его никакими руками не вылечишь. Совсем недавно он пропустил на комп безо всякого разрешения файл, который запустился, прописался и если бы не файервол, то разжился бы.

← →
Defunct © (2004-11-19 22:20) [22]

> А ты уверен, что все удалил, это же только поверхностные действия, а скольок еще скрытых осталось, гораздо более опасных?

Ad-Aware удалил все подозрительные ключи и cookie.
А Browser-Sentinel это нечто монитора + MS-Config, который показывает, что попыток смены стартовой страницы больше нет.
Ну и еще убрал несколько подозрительных процессов из автозагрузки.
Перезагрузился несколько раз, проблем вроде бы нет.

Буду надеяться, что все исправлено.

← →
Defunct © (2004-11-19 22:24) [23]

> Их не посещать. Откровенный ты наш...

Это конечно классный совет, но речь о том, что они сами вылазят.
А от спама и прочей галимотьи, что пролазить по почте, никто не застрахован.

← →
Anatoly Podgoretsky © (2004-11-19 22:34) [24]

Используй OE

← →
ИМХО © (2004-11-19 22:38) [25]

outlook express?

← →
Anatoly Podgoretsky © (2004-11-19 22:41) [26]

Да и просматривать полученную почту при выключенном Preview Pane, никаких попыток сходить куда то, выполнить скрипт не будет и в помине. Одних заголовок и отправителя достаточно, что бы отправить весь спам и вирусы в корзину. Как ветеринар ветеринару говорю, объем ежедневного спама и вирусов превышает 500 ежедневно.

← →
ИМХО © (2004-11-19 22:44) [27]

АП, тебе хорошо так говорить, у тебя траффик неограниченный...

← →
Defunct © (2004-11-19 22:56) [28]

Defunct © (19.11.04 22:24) [23]

вот кстати примерчик..
хохма просто, как это письмо попало ко мне? черт его знает.

From: Nance <djnzqgmhvg@wildmail.com>
To: Deejaysera <deejaysera@freenet.de>

а пришло на адрес указанный в анкете...

Anatoly Podgoretsky © (19.11.04 22:41) [26]

Хороший совет, вообще-то приблизительно так и делаю.
Даже не читаю, сразу в корзину. Но иногда бывало прокалывался, особенно если вирусня лезет с доверенного адреса..

← →
Anatoly Podgoretsky © (2004-11-19 23:03) [29]

ИМХО © (19.11.04 22:44) [27]
Не про траффик же речь.

Defunct © (19.11.04 22:56) [28]
Конечно ни в коем случае не читать, а если есть постоянные отправители, то надо сделать правила и разбрасывать все по папкам, а оставшее в папку СПАМ и там уже удалять по заголовкам.
Для удобства на пенель вынести кнопку включения-выключение просмотра. На работе также всех научил пользоваться данной технологией.
А как и куда рвется подобная почта вижу в сообственной программе мониторинга Интернет трафика, сделал себе и пользователям подарок на свой день рождения.

← →
Defunct © (2004-11-19 23:13) [30]

А как и куда рвется подобная почта вижу в сообственной программе мониторинга Интернет трафика, сделал себе и пользователям подарок на свой день рождения.

Было бы просто замечательно, если бы Вы смогли поделиться столь полезной программой.
Разумеется, не для коммерческих целей...
Эх.. день рождения у меня только в марте.. ;)

← →
cyborg © (2004-11-20 11:50) [31]

> Defunct © (19.11.04 19:24)

http://www.opera.com/ и проблемы отвалятся.

← →
Kolan © (2004-11-20 11:58) [32]

SpyBot + RegCleaner + НеЛазить по проносйтам.

Defunct © (19.11.04 23:13) [30]
Здесь немного офтопик, надо отдельную тему, но ты и сам в состоянии написать ее самостоятельно. Мой вариант сильно завязан на несколько серверов.

1. Squid как прзначный proxy сервер, связаный с файрволом
2. Программа обрабатывает логи прокси сервера, парсинг и запись в MS SQL сервер
3. Эта же программа анализирует таблицы в MS SQL, раз в 5 минут, 1 час и сутки и формирует множество страниц и графиков
4. В интерактивном режиме можно делать любые запросы к базе данных, для любого анализа в дополнение к тому что формируется автоматически, это позволяет искать вирусы, источник заражение и прочее.

Получается следующая цепочка

1. Файрвол -> прокси -> программа -> SQL база
2. Программа -> SQL база -> веб сервер (или статические страницы на сервере или локально)
3. Клиент -> Веб сервер

Статистика защищена паролями пользователя, то есть можно видеть тоьку свою и общую статистику, и есть группа привилигированных пользователей (те которые пряники раздают), которые могут видеть всю статистику. Веб сервер не является обязательной часть, можно работать и со статическими таблицами. Ценральное звено SQL база, средняя нагрузка около 500 000 записей в месяц, для конторы из 20-30 машин.

Только сам факт внедрения данной системы привел к 3 кратному уменьшению трафика.

[5] Ihor Osov"yak © (19.11.04 19:45)
через regmon выяснилось, что домашнюю страницу и т.д. прописывает сам explorer - c:\winnt\explorer.exe
закрываешь процесс - перестаёт писать. что можно сделать?

2 [34] uny © (20.11.04 12:35)

Вероятнее всего либо в настройках безопасности разрешено установление домашней странички скриптами сайта, либо, что более вероятно, троян сделан как BHO (browser helper object) - см. секцию реестри
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects - делее там есть секции, имя которых - GUID. По соотв. GUID в classes определяем, что за com подгружается - в подсекции InprocServer32 соотв. ветки для COM есть путь к подгружаемой длл. Обращаем на нее внимание.
Более маловероятно, но все же - троян как расширение LPS - тогда смотрим ветку реестри
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries
и ее подветки.. Кстати, кажется, на сайте того же ранее упоминаемого мною http://www.lavasoftusa.com есть тулса, анализирующая всякие довески к LPS

2 uny

на всякий случай - в упомянутых мною ветках обитают и полезные вещи, в том числе и необходимые для нормального функционирования (в первую очередь это о NameSpace_Catalog5) - то есть нужно с каждой длл разбираться индивидуально, а не сносить все подряд. Хотя, BHO можно снести и все - подумаешь, акроридер с иешки не запустится, либо какой-то довнлоадер перестанет перехватывать загрузку файлов..

← →
RusLAN_ (2004-11-20 13:24) [37]

для XP Home Edition поставил SP1 и SP2 теперь тетки.ру ни куда не прописываются.

Ihor Osov"yak
получилось удалить половину вируса, он = BHO, qwe7972.dll
спасибо!

Anatoly Podgoretsky © (20.11.04 12:11) [33]
Anatoly Podgoretsky © (20.11.04 14:02) [38]

Идею понял, спасибо!
Осталось теперь найти время на реализацию.

могу по сабжу подкинуть пару мест, где могут ещё обитать трояны ;)

однако .. имхо SP2 - решение ВСЕХ проблем ;)

> имхо SP2 - решение ВСЕХ проблем ;)

Ну это только имхо.
У меня SP2 был установлен с августа. И тем не менее не уберег от проблем.

> братцу в бубен...

А братец то поди виртуальный...

>> братцу в бубен...
> А братец то поди виртуальный...

Настоящий.
Уже получил люлей, в виде стертого акаунта.

Как избавиться от порносайтов?! Найти похожие ветки