Проблема с браузером?
 

Обнаружил странную штуку, при загрузке страницы в панели состояния(ну там внизу браузера) виден адрес такой http://www.sexyque.com/cgi-bin/proliv/proliv.cgi? а дальше тот адрес который я набирал.Чё за фигня???По этому адресу находится какой-то Modem Booster Speed, но я такой прогой не пользуюсь и никогда её не устанавливал.Браузер у меня MyIE2.В нём проблема или в чёт то ещё?

меньше по порно сайтам гулять надо
есть прога IE doctor
юзай поиск качай и лечи

Ээээ...Сумневаюсь,давно не был, может это из-за ad-munchera?А мож кто подскажет где и как это ручками в реестре правиить?

Добавлено через 9 минут:
На работе у меня такая же фигня, а там я "весёлые картинки" не гляжу.Низя.Зато стоит у меня там тоже MiIE2 и ad muncher. Может кто из них безобразничает?

glооk
У меня тоже Ad Muncher стоит, и MyIE2 тоже. Никаких глюков не наблюдаю...
Правда Ad Muncher у меня старый(4.3d)

Re: Проблема с браузером?
 

Были и у нас такие грабли;)

№1. Открой регедит и устрой поиск на "sexyque". Удаляй все ключи.

№2. Internet Options->Programs->Reset Web Settings

№3. Установи Ad-Watch или другой какой монитор чтобы впредь на эти грабли ...

№4. Не ходи на порносайты, и другим со своего компа не давай (на работе поставь пароль)

Вышел я первый раз погулять в Сеть 11.08.03 и попал (случайно, клянусь!!) на весёлые картинки по неверной ссылке. Ну, слегка остался(интересно, акто бы ушёл?!) ну и попал под раздачу. Фигня была как и у glook'a. Но после этого: 12.08 ко мне каждые 5-10 мин. стучался JS.Exception.Exploit, на что нортон отвечал, а иногда и нет(пропускал). Вопрос вот в чём: после всего этого у меня в ZoneAlarm изнутри стали стучаться 2 файла- winmgts.exe с библиотекой .dll и wincomp.exe, и сидят они в windir'e. Я их удалил на дискету, пока тихо. Так это вирус или нет? Проверял всем чем мог, посылал к симантеку, к Вебу- все пишут вируса нет! А поставил обратно- тоже тихо. Пока. Смотрел в Листере- ничего не увидел, спросил Мелкомягких.рус- зарегистрируйся, потом поговорим... Так это файлы Винды(обновления?) или нет, кто-нибудь поможет узнать?Пожалуйста! У меня Windows ME, IE6 с обновлениями (успел 12.08):(

Сверь верси/размеры файлов с аналогичными в каб-архивах на диске WindowsME.

Ну это уже слишком:D

Поправка - не ходи на "халявные" сайты и не кликай по баннерам, а лучше пользуй форум

CапёР
Да в реестре действительно оказалось много всяких левых ключей,с "sexyque" и ещё какой-то www.puh.ru/.... Мне непонятно вот что, все эти ключи были в разделах search... тоесть если я правильно понял. при забивке мной адреса в браузере, меня сначала направляли на ти левые сайты (хотя я этого и не замечал), а потом шёл редирект на вбитый адрес.тока на фиг это им было нужно?

Работает дурка так: при наборе ТОЧНОГО адреса (аш-те-те-пе, двоеточие, слеш 2 раза, дабл-ве 3 раза точка ...) мы имеем заказанный адресс. Во всех остальных случаях запрос передаётса примитивному поисковому двигателю адресс которого прописан в регистрах. Всё что умеет делать оригинальный "поисковик" - добавлять аш-те-те-пе со слешами. Что умеет делать его "заместитель" - наступившие на грабли уже знают. :rolleyes:
На кой оно - наверное рекламма. Мягко и почти ненавязчиво. Поубывав бы. :mad:

Сверил их в дистрибуте МЕ- нету! Вот я идумаю или это update такой или типа троян. Смотрел текст в листере: имя файла, упаковка там и т.д.- не въехал. А в реестре на эту хрень есть ссылки! Решил попробовать запустить в коммандере- эффект 0. Не хотят. Чё делать то- чистить или не чистить? Сейчас они на дискете, вроде всё работает... А вдруг это подарок Мелкомягких? У них не спросишь- дистрибут-то на рынке брал:) Если кто хочет- могу файлы прислать- а чё/ мне не жалко!:) :)

В базе данных МелкоМагких таких файлов нет. Ни в какой версии МЕ/9х/NT.
Делаем выводы:kill:

Ликвидаю ссылки в реестре на эту дрянь. Но всё же интересно, где их можно посмотреть изнутри, разобрать по деталям? Мне как инженеру хочется узнать как они устроены- а в листере только непонятные значки или HEX код. Я не программист, не математик, просто очень любопытно. Всёж-таки первая отловленная дрянь...:)

Скорее всего - троянец вулгарис (он же шпиён-разведчик) : укоренился, замаскировался, вызывает центр на связь и ждёт инструкций.

Если хочешь узнать что он точно делает - отключи засчиту, включи мониторинг и отдай троянцу комп "на откуп". Большинство троянцев пытаются размножаться через почту - находят адресбук и посылают себя всем твоим знакомым (или посылают адреса в центр а оттуда уже размножаются)

Если хочеш узнать именно как он устроенн - прийдётся сначала подучить матчасть (программирование), иначе все обьяснения будут иметь вид "контачит, фурычит или глючит"

Блин!:blin: Почистил реестр, захожу в инет набираю адрес без http , в точности как CапёР сказал опять проскакиват в панели состояния этот грёбаный http://www.sexyque.com/cgi-bin/proliv/proliv.cgi? И я не понимаю при чём здесь реклама? Я ж не захожу на их страницу.Бесят меня эти уроды!Кстати по этому полному адресу какая-то порнуха, и при заходе на страницу мой DrWeb реагирует чётко даже при выключенном мониторинге сваливает меня в дос сообщением о трое.

Добавлено через 4 минуты:
Единственное могу сказать, что ad-muncher действительно ни при чём... Ща работаю без него.Я вот думаю, а вот если в файле hosts сделать такую запись 127.0.0.1 http://www.sexyque.com/ А?

Вот ещё проблема: уже 2 дня где-то, мой файрвел ловит чужие "пинги"- каждые 10-15 мин. Причём с разных IP. И адреса странные- первые цифры две, а не три(68,64,62...). Окошко-то у меня выскакивает постоянно- мешает работать. Что-то с этим сделать можно? Это конкретный крендель какой-то или робот? Короче, их как-то окоротить можно или это нереально? Симантек говорит: это шум в интернете, но у других так не шумит- может не любит кто?:(
Где-бы побольше почитать про вирусы? Лучше на бумаге- легче воспринимается.

Добавлено через 4 минуты:
glook'у. Аналогично, приятель- те же грабли. Вот только опыта у меня меньше. Спросим умных...:confused:

Умные, ау!!!!!!:D Я вот подумал, мож хостеру этих придурков пожаловаться? Ябедничать конечно нехорошо, но уж сильно они меня достали...

для полной чистки компа от такой фигни качаем ad-aware. Прога сканирует комп на все известные варианты того что вы описываете, выводит список и даёт возможность изолировать/вычистить. Работает на ура.

Ага, прошелся AD-Aware 6.0, выкинуло все куки(В том числе и те), заодно и imho.ws выкинуло(!). После чего набираю mts.ru, а он добавляет sexyque и т.д. А куки опять там! Значит он слетал туда опять! Так что АА не помогает. В реестре этой фигни нет(может под другим именем?), WEB установки -начальные, а всё по-прежнему. Выход по- моему только один- при каждом вкл. вручную чистить куки(или плюнуть и сделать домашней страницей:) ). Кстати интересно: если попадаешь на страницу МТС через эту дрянь-она на англ., если по полному адресу- на русском, что доказывает ,что попадаешь туда через их сайт(но его не видишь!) и чем-то там тебя в тот момент и отоваривают. Вот только чем...

Добавлено через 34 минуты:
Парни, прошёлся по реестру, поиск на "sex"- столько дряни наковырял! причём в разных местах! потом msconfig - ещё немало всяких вкусностей. Может тут они все и зарыты были? Ща перегружусь-поглядим.

Охота на слонопотама, часть 2
Регистры мы уже чистили. Куки тоже (Ад-Аваром и ручками). А оно всё равно есть :( И лежит оно и в регистрах, и само по себе на диске.

MSConfig хорошо - а руками - лучше
- заходим регистрах в след. точки :
CurrentUser\Software\Microsoft\Windows\CurrentVersion\Run
CurrentUser\Software\Microsoft\Windows\CurrentVersion\RunOnce
CurrentUser\Software\Microsoft\Windows\CurrentVersion\RunService
LocalMashine\Software\Microsoft\Windows\CurrentVersion\Run
LocalMashine\Software\Microsoft\Windows\CurrentVersion\RunOnce
- Бекапим и стираем все подозрительные ключи
- Находим на харде проги на которые указывали подозрительные ключи, бекапим и стираем.
РЕБУТ (кнопка ресет)

Посмотрим по новой на регистры.
Подготовка:
- Чистим
- Стираем браузер хистори
- Стираем (уносим в другое место) куки
- Врубаем Ад-Ватч (Прилагаетця к Ад-Адwаре)

Ловля на живца:
- Включаем браузер, набираем ве-ве-ве точка ком, ждём загрузки мусора, делаем стоп. Смотрим хистори. Копируем названия мест где успели побывать са последние 5 секунд ( в названиях не обязательно будет слово секс :) ) Идём искать их в регистрах с целью искоренения и уничтожения
РЕБУТ

о результатах доложить

Жаль не успел прочитать сапёра... пробэкапить-то я и забыл... Снесло нафиг эксплорер- завис и всё. перезагрузка по "пуск" не шла. синий экран. Клавиша на мозгах не помогла. Грузился с аварийного диска(хорошо сделал вовремя!). Заново установил IE6 без обновления. Ща деньжат подкину провайдеру и пойду за обновой. AD Aware у меня б/платная, видимо поэтому AD Watch не работает. Но всё остальное я почистил. Вроде больше не выскакивает. Кстати, кому интересно: в книге В.П.Леонтьева "Новейшая энциклопедия пер. комп" на стр.400 ссылка на ресурс http://customizer.tripod.com/, якобы там прога RAMIdle- не верьте, вот так я и попал, куда попал.:) Что в жизни, что в И-нете- или СПИД или вирус! Как жить?!

лечилку к Ad-Aware можно найти через http://astalavista.box.sk

Кажись нашупал!! Эта дрянь сидела: в wininit.sav, wininit.ini -здесь я её повывел, а вот что она сидит ещё и в restore! Хотел удалить архив restore -фиг! Снимите защиту от записи- как её снять и отключить эту restore ? В DOS через attribb? или проще? Кстати, вся хистори тоже не удаляется- снимите защиту от записи- а на живца ничего не поймал, всё легально!

Это для winXP, а у меня МЕ.Как снять защиту с файлов? Иначе я не удалю restore и ... всё сначала...

Добавлено через 3 минуты:
В сеансе MS DOS? или надо грузиться с CD?

Люди, нашел!:yees: glook' у на заметку.
HKLM/Software/Microsoft/Windows/currentVersion/URL/ ...DefaultPrefix и ...Prefix
строковые параметры-сидела эта дрянь sexy...!
Ну не молодец ли я! Правда пришлось Винду рухнуть- потом восстановить.
Я теперь понял, как это работало. И не забыть почистить файлы wininit.sav и wininit.ini (они вызываются прогой wiinit.exe- внутри нуё это можно почитать через Дос Нортоном). Кстати, если бы не нортоновский регедит- в нашем ничего не видно! И тракером запомнить, что сделал. На всякий пожарный...
Отдельное СПАСИБО всем, кто помогал- лично Сапёру!!!!!:dance:

veg
Ай молодца!!!:yees: Держи заслуженный "пятак"!!!:dance:

Для борьбы с подобными штуками надо юзать Browser Sentinel v1.3: http://www.imho.ws/showthread.php?po...120#post353120

А более подробно написать что и как делал не затруднит?
Особенно по файлам как их чистил.
А то с реестром разобрался а дальше;(((

oper и все остальные, кто не знает как и что чистить ручками - Вам
СЮДА.
Почитайте посты и станет все понятно.