Nu am găsit un subiect potrivit pe, așa că am decis să posta aici un mesaj care poate fi util pentru originalele (I - printre ei), care deține încă IE ca browser prestabilit:
Urmări descărcările de spyware în Windows
Recent, întrebările sunt adesea găsite pe internet că, dacă utilizați Internet Explorer este o schimbare a paginii de start, în timp ce încărcarea link-ul se deschide o pagină cu totul diferită. Eu însumi am întâlnit acest lucru și, prin urmare, a studiat problema pe ei înșiși. Primul lucru pe care sfătuit, este de a utiliza un program special, cum ar fi Ad-conștient și Kaspersky Anti-Virus cu noua bază de date. Asta este corect, și de ceva timp rezolvă problema, dar apoi totul se repetă din nou. Am decis să aflu unde manualul prevede un spion și mi se pare să aflu. Nu sunt un scriitor, nu un jurnalist, un stil de scribbling'm meu nu critica, eu scriu pentru că nu am putut găsi într-un singur loc o descriere detaliată a modului în care și ceea ce se întâmplă și a decis să-l umple. Poate cineva va fi interesat.
Am folosit pentru a observa două calculatoare care lucrează pe Windows XP fără pachete de servicii și acasă mai întâi ca Windows XP fără pachete de service, apoi pune seria SP-1 și SP-2.
Când am întâlnit prima dată această problemă, pentru a afla care este faptul că Georgia a început să verifice, primul paragraf # 9562; Auto # 9577;. Am nevoie să-l descărcați numai Office. , cheile de al doilea registru responsabil pentru programul de pornire: această cheie de registry
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion
Rulați-l și subsecțiuni, RunOnce, RunOnceEx, RunServices, RunServicesOnce. Aceste secțiuni au chei de coarde (unele secțiuni sunt goale), responsabile pentru executarea programelor. Numele cheii poate fi arbitrară, precum și valoarea pe care a declanșat programul este indicat, dacă este necesar - cu parametrii. Fii atent la secțiunile „Once“ este prezent în titlul acestei. Aceasta este secțiunea în care programul prevăzut, a cărui lansare este necesar să se facă doar o singură dată după ce sistemul următorul boot. De exemplu, atunci când instalați programe noi, unele dintre ele sunt prescrise pentru chei care indica orice module de tuning care sunt pornite imediat după ce calculatorul este repornit. Astfel de chei de la lansare șterse automat. parametru
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Am găsit un program cu numele unui set aleator de litere. Programul a fost înregistrat în folderul Windows, data de creare a fost în stare proaspătă. Dându-și seama că acest lucru este un spion, apoi m-am decis să se ocupe de ea. Detin o gama Win98 recomanda sa se uite mai mult și win.ini fișier în secțiunea [Windows]. Ea are doi parametri, sarcină și a alerga. În cazul în care acestea au înregistrat programul, ar trebui să verificați ce fel și dacă aveți nevoie de ele. În plus, există un parametru în registru
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ AppInit_DLLs
Este posibil să se înregistreze DLL, care va fi încărcată când toate descărcările în toate procesele pentru Windows executați care utilizează biblioteca User32.dll. Am acest parametru este necompletat.
Astfel, toate verificările, am găsit doar un singur spion în cheia de registru responsabil pentru programele de pornire. Repornirea calculatorului, am adus imediat la managerul de ecran de Windows și sarcini cum ar fi booting vizionat, acest proces a lucrat câteva minute atunci când sistemul este pornit și descărcate. Decide că se încarcă DLL în memorie și apoi mai târziu, ea joacă rolul de spion, am eliminat această opțiune din registru și din folderul Windows.
Am verificat cheile de registry:
2. HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ URL \ prefixe
Ar trebui să existe următoarele valori:
Decide ca un spion peste, m-am calmat și a petrecut ceva timp de lucru bine, dar din nou a repetat același lucru în câteva zile, a fost imediat vizibil, deoarece Pagina de start schimbat. Decide că internetul am prinde din nou infecție, am eliminat, de asemenea, manual de pornire, fișierele din numele care a avut un alt set de caractere, dar comparația fișier cu trădată anterior că acestea sunt aceleași. Ștergeți fișierul și să stabilească cheile de registry, deoarece au fost prescrise din nou URL. Desigur, ai putea pur și simplu să se rostogolească pachetele de servicii, dar am decis sa ma uit la ceea ce se întâmplă în continuare. Case set SP-1. După ce a lucrat ca am devenit mai atent și am observat că într-o zi a fost o schimbare în adresa URL a paginii și în momentul în care nu am fost conectat la Internet. Infectarea același lucru sa întâmplat pe computerul de acasă atunci când se utilizează internetul. Înainte de aceasta, el nu a fost infectat de la care am ajuns la concluzia că SP-1 nu este o protecție împotriva utilizării găuri spion.
Concluzie: Spionul era încă așezat pe computer; la domiciliu doar a devenit infectat, dar se pare că el a făcut modificări imediat, dar după câteva zile, pare să atragă mai puțină atenție. În cazul în care el a făcut imediat modificările după mine, am dat seama imediat anterior că spionul continuă să lucreze și nu s-ar opri în căutarea. Și așa am pierdut câteva săptămâni, gândindu-se că prinderea unui spion de pe Internet, în timp ce el a stat cu mine și a continuat să lucreze.
Cam la o lună totul a fost bine, atâta timp cât nu am fost rezolvat o singură întrebare - cum poate o sarcină bibliotecă? O lună mai târziu, pe un calculator de lucru din nou, am văzut problema, pagina de pornire este deja acest lucru, evident, nu sa schimbat, dar au existat schimbări în registru și URL-ul la locul de muncă în IE deschise la toate celelalte link-uri, dar nu și cele pentru care am apăsat. Mergând calea bătut, am descoperit în folderul Windows \ System32 qweHHHH.dll bibliotecă, în cazul în care în loc de „XXXX“ are și alte figuri, precum și fișierul cu același .ini nume. În picioare pe un calculator Casper nu a văzut în ea un spion.
Reboot în Safe Mode, am șters această bibliotecă. Totul a căzut în loc din nou. Casper baze de date actualizate. Dar eu nu dau odihnă ideii ca Biblioteca Georgiei. Am verificat toate cheile responsabile pentru programele de pornire, se șterge toate suspecte, și chiar și atunci când au existat doar programele necesare pe care am încredere, biblioteca este încă Georgia. Citind literatura de specialitate am găsit informația că există, de asemenea, posibilitatea de a descărca că nu am verificat.
În Internet Explorer, tehnologia integrata in browser. Această tehnologie vă permite să încorporați alte programe plugin-uri lor în IE și de a efectua orice acțiune în timpul funcționării. De exemplu, introduceți balansoar. Ar trebui să FlashGet. Această tehnologie poate fi folosită pentru a monitoriza acțiunile utilizatorului în IE și în locul acțiunilor sale îndeplinesc, inclusiv pentru a descărca alte pagini în locul celor care doresc să se leagă de.
Obiectele încărcate prin intermediul BHO stocate în cheie:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ obiecte Browser Helper
care enumeră CLSID numit egal cu obiectul încărcat. În cheia
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID
Am găsit CLSID pentru secțiunea cu numele CLSID. Este posibil de a vedea parametrii obiectului, inclusiv calea către biblioteca link-ul din parametrul \ InprocServer32 \ (implicit) = „calea către obiectul încărcat.“
Verificați cheile de date le-am văzut prin ele încărcate DLL, și cu toate că, de fapt, fișierele șterse, dar am cheile sunt responsabile pentru descărcarea rămâne în vigoare. Ie Explorer nu sa schimbat, el a rămas exact ceea ce sa întâmplat în instalarea Windows, îndoiți altele nu sunt livrate în bibliotecă, a fost folosit, care a fost construit de către dezvoltatori. Când descărcarea de chei de registry EXPLORER de navigare și biblioteci încărcate. Dacă unii dintre ei nu au fost, pur și simplu trece fără să afișeze nici un mesaj.
Astfel, este posibil să se demonteze manual ceea ce avem nevoie în aceste chei de registry, și ceea ce nu este, și elimina programele spyware. Și puteți beneficia de programe speciale, de exemplu, BHO Captor sau WinPatrol. Ultima Mi-a placut mai ales pentru că, în plus, oferă alte informații utile cu privire la faptul că, care rulează pe un computer. Dar, mai întâi, ceea ce este bun, are un cod sursă complet la DELPHI. În orice caz, versiunea am descarcat. Conform codului sursă poate fi folosit pentru a vedea cheile de registry.
Asta e, practic tot ce am vrut să spun în articolul său. BHO tehnologia de descărcare a fost pentru mine o revelație. Dacă pe tastele de mai sus și metodele de descărcare am auzit înainte, și atunci când caută spion le folosesc, BHO, am descoperit pentru prima dată, și mai devreme în locuri publice, nu am întâlnit descrierea asta, așa că am decis să umple golul.
Desigur, dacă utilizați o versiune mai nouă a software-ului pentru a monitoriza sistemul și să actualizeze baza de date cu regularitate, acești spioni sunt eliminate (Casper rapoarte, de asemenea, că fișierul DLL este infectat și este imposibil de îndepărtat, deoarece este blocat. A trebuit să reporniți în modul de siguranță și de a elimina manual), dar în cazul în care se întâmplă a fost interesant pentru mine să mă înțeleg. De asemenea, vreau să spun un cuvânt în favoarea instalării de pachete de servicii: la SP-1 a permis spion să urce în, SP-2, în picioare în casa mea, nu dă să facă acest lucru. Aparent gaura prin care spion a urcat la un computer, acesta se închide. Acum, de gândire și de lucru pentru a instala pachetele de servicii.
Adăugat după 1 minut 42 secunde:
Loțiunile pentru IE: