Как воевал - с_порно, как надо?

← →
Немо © (2009-03-25 10:40) [0]

Ситуация:
Звонит друг (анекдот помню:)), типа xxx вылазит при загрузке любой страницы и надо удалить.
(на странице просят смс отправить, чтоб код получить, чтоб отключить
Да, и главное, куда то делось в IE Сервис - Управление надстройками. Нет вообще такого пункта..)

Пришел, прогнал свежим Каспером, еще всяких утилит накачал перед приходом, тоже прогнал ими.
Ничего, ноль, все равно лезет xxx

Причем, идем допустим на рамблер.ру, Вылазит xxx, смотрим html, там страница то рамблера!, только xxx приписался к ней снизу
те html рамблера кончился, и сразу начался html xxx

Поставил FireFox. .
Вышел в нет из под FF, не вылазит xxx, еще поискал, советов почитал, делал все.
Ничего, ноль, все равно лезет xxx под IE

Переставил IE, почистил все темпы - ноль

Стал удалять ветки реестра, где хоть что-то непонятное про IE (много их, подозреваю много лишнего удалил)
Час где-то удалял построчно - и чудо пропало.
Правда, в IE Сервис - Управление надстройками так и не появился

Подозреваю, это что-то все равно известное. Какие-то должны быть стандартные действия по возврату в чистое состояние.

← →
brother © (2009-03-25 10:42) [1]

не лазить на xxx сайты...

← →
@!!ex © (2009-03-25 10:44) [2]

> Подозреваю, это что-то все равно известное. Какие-то должны
> быть стандартные действия по возврату в чистое состояние.

Не пользоваться IE

← →
brother © (2009-03-25 10:49) [3]

> Не пользоваться IE

поддерживаю на все 100!

← →
Немо © (2009-03-25 10:53) [4]

> brother © (25.03.09 10:42) [1]

дык, братушка, елы палы..

Я тоже сказал, FF пользовать. Но вот привык если человек к IE
А по теме далее
Подозреваю гадость то осталась, просто вызываться перестала.

← →
Медвежонок Пятачок © (2009-03-25 10:55) [5]

Свойства обозревателя, программы, надстройки.
Выключить все что незнакомо.

← →
Медвежонок Пятачок © (2009-03-25 10:57) [6]

Какие-то должны быть стандартные действия по возврату в чистое состояние.

Ну там же написано по-русски: "для отключения окна отправь смс на короткий номер"

:)

← →
brother © (2009-03-25 10:59) [7]

> Ну там же написано по-русски: "для отключения окна отправь
> смс на короткий номер"

а ведь народ отправлят...

← →
Andy BitOff © (2009-03-25 10:59) [8]

> Медвежонок Пятачок © (25.03.09 10:57) [6]
> Ну там же написано

Откуда знаешь? Сам писал? ;)

← →
pavel_guzhanov © (2009-03-25 11:15) [9]

Откати винду на предыдущую контрольную точку востановления системы, чтобы эта точка была до возникновения проблемы.

← →
Немо © (2009-03-25 11:17) [10]

> Откати винду на предыдущую контрольную точку востановления
> системы, чтобы эта точка была до возникновения проблемы.

читал такой совет, не получится. Восстановление отключено со времен установки ради скорости.

← →
pavel_guzhanov © (2009-03-25 11:21) [11]

> Восстановление отключено со времен установки ради скорости

а вот это зря...

← →
Плохиш © (2009-03-25 11:24) [12]

> Подозреваю, это что-то все равно известное. Какие-то должны
> быть стандартные действия по возврату в чистое состояние.
>

Стандартное действие - обратиться к специалисту.

← →
Немо © (2009-03-25 11:27) [13]

я вот вообще думаю поставить proxy, виртуальную машину, настроить виртуальную машину на proxy. Пусть делает что хочет, все равно ничего не сохранится при перезагрузке. А если что качает, пусть переписывает с виртуалки на реалку.

← →
Немо © (2009-03-25 11:31) [14]

> Плохиш © (25.03.09 11:24) [12]

точно, блин
"мы то дураки думали что там каюта , а там же штаб " День выборов

← →
korneley © (2009-03-25 12:24) [15]

У меня у одного камрада похожая ситуация была. Он лечил отключением надстроек. К ним еще добраться можно и через "Сервис"-"Свойства обозревателя"- закладка "Программы", кнопа "Надстройки". Точно не помнит, что-то вида ???lib.dll отрубал. А вообще он рецепт где-то на форумах раскопал. Ну и, не хочет FF, поставь ему Оперу :)

← →
boa_kaa © (2009-03-25 12:54) [16]

> Немо © (25.03.09 10:40)

1. Идем на sysinternals.com
2. Качаем там autoruns
3. Запускаем и идем на вкладку Internet Explorer
4. В мусорную кучу все, что видим там, не относящееся к тому, что знаем. Максимум, что там должно быть - это java и adobe flash. Предварительно смотрим имя файла надстройки, штоп ее удалить вручную.
5. До кучи проверяем остальные параметры автозапуска.
6. Если не помогает (кстати, не твой случай), значит поймали трояна. Учитывая, что антивирусы его не видели, то:
--------
7. Либо качаем что-то типа Trojan Remover (шароварный), либо берем с sysinternals.com rootkitrevealer.
8. Trojan Remover удалит все сам, а вот с rootkitrevealer придется повозиться вручную. Он покажет все подозрительные файлы и разделы реестра. Все, что не знаем - удаляем (если заблокирован файл, то берем unlocker).
9. Если зараза сидит в SVI, то убираем сервис восстановления системы (галка на свойствах компьютера). А оставшиеся убираем вручную с дистрибутива какого-нибудь ливсиди линукса, который может монтировать с ntfs-3g. Я б советовал взять для этого ливсиди доктора Вебера, он заодно и сам, может, подчистит.
10. До кучи, если это XP, лучше отровнять ее с SP3.

← →
sniknik © (2009-03-25 12:55) [17]

> Поставил FireFox. .
правильно! + в него ставишь дополнение Adblock Plus, и можно жить практически без рекламы...

> Но вот привык если человек к IE
попользуется - перепривыкнет!

← →
antonn © (2009-03-25 13:24) [18]

> @!!ex © (25.03.09 10:44) [2]
>
>
> Не пользоваться IE

Аналоги ActiveX отлично ловятся и на FF, и на опере.
У автора не вирус - это расширение браузера.

← →
Немо © (2009-03-25 13:27) [19]

> boa_kaa © (25.03.09 12:54) [16]

спасибо, попробую

← →
antonn © (2009-03-25 13:31) [20]

> Немо © (25.03.09 13:27) [19]

еще раз - это не вирус, эту хрень не раз удалял с компов клиентов, это расширение браузера.

← →
Anatoly Podgoretsky © (2009-03-25 13:43) [21]

> Немо (25.03.2009 11:17:10) [10]

Дураки!!!

← →
Anatoly Podgoretsky © (2009-03-25 13:46) [22]

> sniknik (25.03.2009 12:55:17) [17]

Ну получит дополнение PornoYes

← →
sniknik © (2009-03-25 13:55) [23]

> Ну получит дополнение PornoYes
мало смысла... в FF нельзя сделать дополнение невидимым/отключить показ всех дополнений.

а в IE у него в том и проблема "Надстройки" не видны, "отключены", были бы видны просто удалил бы все "незнакомое"/подозрительное и все.

← →
Немо © (2009-03-25 14:00) [24]

> antonn © (25.03.09 13:31) [20]

да я так и думаю
Вообще надо бы конкретно все перестроить на тачке. У себя знаю что зачем - лишнего ничего не запускается, не установлено, перекрыто. А у человека как будешь ковырять, не зная.

← →
Немо © (2009-03-25 14:02) [25]

> Anatoly Podgoretsky © (25.03.09 13:43) [21]

да хуже, а чего уже сделаешь

← →
Кто б сомневался © (2009-03-25 14:04) [26]

> читал такой совет, не получится. Восстановление отключено
> со времен установки ради скорости.

И правильно. Только нужно было закрутить образ диска.
А в целом, что мешает переустановить винду? Это займет 2 часа. А вы уже больше двух часов потеряли...

← →
slava © (2009-03-25 14:08) [27]

Недавно пришлось столкнуться с такой же проблемой.

Помогло:
Свойства обозревателя -> Дополнительно -> Сброс.
Это на IE8, на IE6 Свойства обозревателя -> Программы -> Сброс параметров

← →
Anatoly Podgoretsky © (2009-03-25 14:09) [28]

> Кто б сомневался (25.03.2009 14:04:26) [26]

Так ведь только отключили, без принятие других мер. Образ это хорошо, но только быстро старее и становится сплошной дырой. И не надо говорить, что мол будет делать постоянно новые образы (вместе с вирусами) - благими намериями дорога в ад вымощена.

> Сброс.

делал, не помогло

> переустановить винду?

винду то не сложно, все программы потом заколебешься
Образ было бы неплохо делать, согласен.
Контрольные точки - тоже хорошо.
Но уже случилось при таких условиях которые даны, что после драки махать
Воообщем, попробую sysinternals Мне их софтины всегда нравились

1. Гонять вирусов тем более подсосавшихся на эксплорер имеет смысл только в "безопасном режиме с поддрежкой командной строки". (Еще лучше - вынув винчестер и унеся на другую машину, или с LiveCD загрузиться, но с LiveCD может быть пдольше сама проверка из-за стандартных драйверов IDE, без всяких UDMA и т.п.) Но хотя бы в безопасном режиме и обязательно(!) с комм. строкой.

2. Работать под пользователем с админ. правами - очень плохо. очень-очень. Хотя иначе в домашней жизни - тяжеловано местами :)

конкретно какой-то подобный вирус вполне успешно излечился тулзой CureIt! по методике из п.1.

> делал, не помогло
а добраться до надстроек через "свойства обозревателя", как предлагалось, и там по удалять лишнего?

Была такая хрень на некоторых станциях на работе (любители порнухи оказались не все подряд :) Понадобилось ровно минут 5, чтобы найти в гугле фриварную тулзу, предлагающей альтернативный интерфейс к надстройкам ИЕ. Вывод - начните с гугла, а не ДМ

P.S. Как много спецов с советами типа "не юзайте ИЕ". У вас товарищи на все проблемы один и тот же ответ, суть которого: тут я ни черта не понимаю, могу поставить то, с чем я привык работать и вроде как че-то начал понимать.

> У вас товарищи на все проблемы один и тот же ответ, суть
> которого: тут я ни черта не понимаю, могу поставить то,
> с чем я привык работать и вроде как че-то начал понимать.

наговариваешь ты на нас - грех это...

кстати, вся тема - провокация, тк данный вирус прекрасно лечится, что и было сказано в [30], еслиб автор порылся в гугле, вопросов бы не возникло.
зы

> Как много спецов с советами типа "не юзайте ИЕ".

если он действительно дырявый...

← →
Smile (2009-03-25 14:57) [35]

А, что кроме этого форума, других не существует?
Проблема решается давно, различными способами ...

http://search.otvet.mail.ru/?q=отключить%20порноинформер

> brother (25.03.2009 14:54:34) [34]

Что то у меня не удается дыру пробить.

> [36] Anatoly Podgoretsky © (25.03.09 15:00)
> > brother (25.03.2009 14:54:34) [34]
>
> Что то у меня не удается дыру пробить.

отключи файерволлы, антивирусы, используй xp sp1 ;) наглядно объяснил?)

да, забыл главное: больше посещать порно ресурсы!)

> brother (25.03.2009 15:06:37) [37]

Я чего дурак?

> brother (25.03.2009 15:08:38) [38]

За этим дело не станет.

Как воевал - с_порно, как надо? Найти похожие ветки