Принудительно попадаю на порносайты.

[chups757]

Попадаю на maxoporn, velvet, eroson.com при смене страниц.
Сие явление появилось после регистрации на mail.ru.
Кто знает как с этим бороться подскажите способ.Заранее благодарен.

[yujanin]

качаешь spybot (отсюда), устанавливаешь... затем, поверх устанавливаешь обновления (которые качаешь {url=http://www.spybotupdates.com/updates/files/spybotsd_includes.exe]отсюда[/url]). запускаешь программу и вычищаешь всю дрянь. заодно включи sdhelper и teatimer (там в advanced options есть такие проги).

должно помочь. а сайты эти стали у тебя вываливаться не после регистрации на Mail.ru, а после того, как кто-то по ним интенсивно побродил

удачи.

[кадет]

ага а лучше проверь свой комп на вири и проблемой меньше))

[sturb]

Это все можно решить и без доп прог. проверь что у тебя прописано в ветках реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\URL\DefaultPrefix
и
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\URL\Prefixes
Если в первом или во втором разделе видишь запись в переменных типа: http://sexygye. бла-бла-бла, или подобную то надо эти записи исправить на http:// и все. Если все так, то mail.ru тут непричем. По порнухе надо меньше лазить

[scanNE®]

[.]
ЗЫ: во избежание недоразумений содержимое скрипта привожу ниже.

' Программа контроля "Домашней страницы и префиксов"
' удобна в клубах и инет офисах где клиентЫ любят полазить по парнухе
' Написана cherepaxa icq 93412429

' --------------
start = "www.vrn.ru" 'стартовая страница
sp = "http://" 'префикс
pause = 60 'пауза между проверками, в секундах
path = "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\UR L\DefaultPrefix\" 'путь реестра к префиксу по дефолту
path1 = "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\UR L\Prefixes\www" 'путь реестра к префиксу по ввв
path2 = "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page" 'путь реестра к стартовой странице
' --------------

dim WSHShell' объявляем переменную WSHShell
set WSHShell = CreateObject ("WScript.Shell") ' создаем объект для работы с реестром
enter = chr(13) & chr(10) 'символ переноса при выводе информации
pause = pause * 1000 'пауза в миллисекундах

do 'создаем бесконечный цикл
WScript.Sleep(pause) 'пауза перед проверкой

www = WSHShell.RegRead ("HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\U RL\DefaultPrefix\") 'считываем из реестра префикс
If www <> sp Then 'если запись в реестре не соответствует заданной ...
WSHShell.RegWrite path, sp 'возрващаем префикс
end if 'закрываем условие

www1 = WSHShell.RegRead ("HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\U RL\Prefixes\www")
If www1 <> sp Then 'если запись в реестре не соответствует заданной ...
WSHShell.RegWrite path1, sp 'возрващаем префикс
end if 'закрываем условие

StartPage = WSHShell.RegRead ("HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page") 'считываем из реестра стартовую страницу
If StartPage <> start Then 'если запись в реестре не соответствует заданной ...
WSHShell.RegWrite path2, start 'возвращаем свою страницу
end if 'закрываем условие

loop 'закрываем цикл

ЗЫЫ: в архиве VBS скрипт - распаковываем, меняем подсвеченную красным цветом в данном посте стартовую страницу на нужную Вам, запускаем скрипт. Потом запускаем IE. Удачи

[ZLO]

ЛОЛ

[ALF!]

не всё правится реестром или аидсами. кинь поиском на зараженной машине qwe*.dll, где * - любые четыре цифры. как правило лежит %SYSTEM%\system32. удалять надо из safe mode или DOS (смотря какая ось). для опасающихся можно не удалять, а просто перенести в другую директорию.

[sturb]

scanner Вот ты заморочился. А не проще ли каким-нибудь .reg файлом в две строчки тоже самое сделать

[scanNE®]

sturb можно и так тут тоже просто- шлепнул, восстановил и радуешься
chups757 помогло? если нет - пиши, придумаем что-нибудь.

[DeeP]

А я бы на месте мальчика радовалась... баб голых хоть позырить.

[scanNE®]

DeeP ну давай по теме, пожалуйста Если бы мальчик радовался, сабжевую тему он врядл ли бы создал.

[chups757]

yujanin
Скачал я spybot,обновил,проги включил:выявилось куча разного г. После "устранения отмеченных проблем" задействовал immunize.После этого,как показала проверка, все выявленные шпионы исчезли. Захожу в сеть-и опять то-же самое.Включил bot:проверка выявила DSO Exploit с какими-то параметрами реестра.Короче, как я понял,в машине был целый букет т.н. шпионов,bot их выявил и устранил-но DSO Exploit после посещения сети появляется вновь и походу он забрасывает на порнуху.Какие соображения?
scannerТы мзвини, но я в этом не силён, ты подробней поясни чё с ним(скриптом) делать.Скачал,распаковал...

[scanNE®]

chups757 запусти его = press [Enter]

[chups757]

Чёта он не запускается

[PRO]

yujanin
у меня всё очистилось... спасибо за линк...

[yujanin]

chups757 не, это не dso-эскплоит, это точно. хммм... у тебя комп в локалке? стоит какой-нить персональный файрвол? я бы тебе советовал поставить xp service pack 2, там есть встроенный файрвол. такое впечатление что либо у тебя не вычистилось что-то, либо тебе постоянно по локалке по-какому-нить 135 порту или 445 в какую-то дырку продолжают литься эти проги.

скачай hijackthis (я его прикрепил к посту), запусти его, нажми "do a system scan and save a log file" и скопипейсть сюда этот лог файл, который будет сохранен

PRO незачто

yujanin добавил [date]1104800230[/date]:
а на будущее (после того как всё выгребешь и вычистишь), возьми за хорошую привычку постоянно ставить обновления для операционки и для антивируса, а так же обязательно иметь персональный файрвол. плюс к этому, установи себе нормальный браузер - http://www.mozilla.org/products/firefox/central.html

[chups757]

Локалки и файрвола нет, а log вот:

[ALF!]

chups757 DLL искал?

[ZEUS]

O23 - Service: Reset 5 - Unknown - D:\WINDOWS\system32\srvany.exe

чТО эт такое?

ZEUS добавил [date]1105060208[/date]:
и это:
-Running processes:-

D:\WINDOWS\system32\resetservice.exe

[ALF!]

ZEUS У мя оные тоже присутствуют. Но я чист перед Богом и людьми =))

[yujanin]

chups757 уууу , ну а хули ты хотел... вот это всё удаляй (галочку ставь, а потом - fix)

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.ruserv.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.ruserv.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://turboinet.com/r.cgi?<a href="...www.vrn.ru</a>
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.ruserv.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.ruserv.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sexytetki.com/index5.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.ruserv.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.ruserv.com

...

O13 - WWW Prefix: http://turboinet.com/r.cgi?

и ещё, не знаю, нужно тебе или нет... тулбар там у тебя какой-то для радио:

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

если сам намеренно ставил и он тебе нужен, то оставляй, иначе удаляй.

по идее, тебе будет выскакивать окно teatimer с просьбой подтвердить изменения, жми в этом случае allow change, иначе ничего не изменится...

да и вообще, файрфокс себе установи, никакой головной боли не будет...

yujanin добавил [date]1105114366[/date]:
ZEUS про srvany: http://www.liutilities.com/products/...ibrary/srvany/

эта прога позволяет любое приложение запускать как сервис (то есть даже если ты сделаешь logoff, он всё равно будет бежать в бекграунде)

[ZEUS]

yujanin я в курсе,но зачем она у него работает?

[chups757]

yujanin Удалил нахрен эту заразу, пока вроде "тихо".Спасибо за помощь!!!

[chups757]

Прошу прощения,но этот глюк спустя час появился снова.Вот свежий log;подскажи где файрфокс скачать.

[ALF!]

меня просто не слышат?

[yujanin]

chups757 запусти винды в safe mode (нажать f8 перед загрузкой).

далее, опять запусти hijackthis и профиксь следующее:

O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717177651316} - D:\WINDOWS\System32\qwe1316.dll

а потом вручную иди в windows\system32 и удали этот файл (qwe1316.dll)


скорее всего, если сам не запускал, то и srvany у тебя тут участвует. фиксь вот это.

O23 - Service: Reset 5 - Unknown - D:\WINDOWS\system32\srvany.exe

хотя насколько я знаю, reset 5 - это крек для пиратской винды, чтобы не лезлась активироваться.

заодно, удали всё из windows\temp и из documents and settings\твоё имя\local settings\temp и из documents and settings\твоё имя\local settings\temporary internet files

перезагрузи комп. теперь должно почище быть.

а firefox тута: http://www.mozilla.org/products/firefox/start/

[ZEUS]

yujanin можно я добавлю? mozilla.RU - там на русском, вдруг кому понравится

[yujanin]

ALF! может просто не понимают

yujanin добавил [date]1105250671[/date]:
ZEUS обязательно

[ZEUS]

yujanin

[GliderAlex]

У меня вот тоже схожая проблема появилась))
SpyBot находит DSO Exploit вот такой вот -

HKEY_USERS\S-1-5-21-420621850-3376923406-1805212298-500\Software\Microsoft\Windows\CurrentVersion\Inte rnet Settings\Zones\0\1004!=W=3

И ещё CoolSearch кукис)) Фиксит их а потом всё заново появляется...(( Начинают окошки плодится со страшной силою

Что их запускает не пойму никак.
Hijack проверил, лог записал но я там не нахожу ничего. Прикрепляю лог сюда.

GliderAlex добавил [date]1106632427[/date]:
Было б не так обидно если порнуха, а то ссылки на мед препараты всякие)))