63 ответов в этой теме

[Злюк Сковородкин]

Можно в ие8 отладчик скриптов включить и посмотреть простыню, что/куда/откуда... Если подтвердится что скрипт, поставить монитор сетевой какой-нить и смотреть трафик, когда к сайтам скрипт приклеится, как самый последний вариант :-)

Как это сделать?

[Злюк Сковородкин]

Repair Internet Explorer with Fix IE Utility

Эта программка не помогла.

А сброс параметров в ИЕ пробовали?

Делал. И надстройки все отключены. И куки все удалил. И историю.

[mrbelyash]

В свойствах ярлыка смотрел?

[Злюк Сковородкин]

В свойствах ярлыка смотрел?

Или так. Или через меню в самом IE. Во вкладке Дополнительно, вроде.

[mrbelyash]

наДстройки и надбавка в ярлыке разные вещи.

Как себя ведет опера и FF ?

Сообщение было изменено mrbelyash: 24 Август 2012 - 12:03

[Злюк Сковородкин]

наДстройки и надбавка в ярлыке разные вещи.

Что такое надбавка? И где её посмотреть?

Как себя ведет опера и FF ?

Отлично, как и IE под другой учётной записью.

[mrbelyash]

У FF тоже есть переброс?

Сообщение было изменено mrbelyash: 24 Август 2012 - 12:19

[Злюк Сковородкин]

У FF тоже есть переброс?

Нет же.
Ни в каком другом браузере нет переброса. Также нет переброса в Internet Explorer'е под другой учёткой.

[mrbelyash]

ну то посмотрите свойства ярлыка IE
удалите его и создайт е новый

[Злюк Сковородкин]

ну то посмотрите свойства ярлыка IE
удалите его и создайт е новый

Я запускал IE непосредственно из запускающего файла C:\Program Files\Internet Explorer\iexplore.exe .
Никакой разницы.

[mrbelyash]

удалить ялыки и ипересоздать

[Grigory Lisin]

Можно в ие8 отладчик скриптов включить и посмотреть простыню, что/куда/откуда... Если подтвердится что скрипт, поставить монитор сетевой какой-нить и смотреть трафик, когда к сайтам скрипт приклеится, как самый последний вариант :-)

Как это сделать?

f12

http://msdn.microsoft.com/ru-ru/library/dd565625(v=vs.85).aspx

а веб лог делался ?

[Aleksandra]

Ну что решили проблему?

[Злюк Сковородкин]

Нет. Не решил.

[Sybiryak]

нефиг было куда попало лезть...... пере соберите лог......

[omean52]

сбросить насдстройки в IE
удалить временные файлы при помощи следующего bat файла (от имени Администратора):

del /Q /S /A:-S "%USERPROFILE%\\Local Settings\\Temp"
del /Q /S /A:-S "%USERPROFILE%\\Local Settings\\Temporary Internet Files\\Content.IE5"
del /Q /S /A:-S "%USERPROFILE%\\Local Settings\\Application Data\\Opera\\Opera\\cache"
del /Q /S /A:-S "%windir%\\Temp"

[Злюк Сковородкин]

Представляю решение, которое было недвано опробовано на одном компьютере и уже несколько дней работает без этого трояна.

Решение такое.

Под администратором.
1) Устранение имеющегося в наличии вируса.
Для этого следует удалить каталог учётной записи с вирусом (перед этим, не забыв, сохранить важные файлы из Мои Документы, Рабочий стол и др.).

2) Устранение появления вируса.
Для этого следует удалить всё из папки Defaul User, но сам пустой каталог оставить (иначе будет ругаться при попытке зайти в ОС с отсутствующим каталогом учётной записи).

3) Перезагружаем компьютер и заходим под учётной записью, в которой был вирус. ОС Windows XP снова создаст нужный каталог и настроит по умолчанию интерфейс учётной записи.

4) НЕ КОПИРУЕМ назад в папки Мои Документы, Рабочий стол и другие все файлы. Копируем только точно известные ярлыки на Рабочий стол и создаём ярлык к перемещённой папке Мои Документы. Дело в том, что скопировав назад все файлы и восстановив по максимуму прежнее состояние я снова получил этот вирус. Поэтому копируем только самое необходимое и проверенное.


Замечания.
Троян просачивается в каталог учётной записи, при которой он был получен, а также в папке Default User. Если войти по другой учётной записью, под которой раньше уже заходили на этот компьютер, то троян под этой учётной записью отсутствует. А вот если войти под учётной записью, под которой раньше не заходили на компьютер, то троян снова появится из-за его наличия в каталоге Default User. Поэтому важно очистить эту директорию.
До конца так и не понял, когда же просачивается этот троян. Было даже подозрение на пересылку сайта Интернет-Банка, но на других компьютерах Интернет-Банка нет, но троян всё равно присутствует. Поэтому троян скорее всего очень хорошо маскируется под обычный файл в папке учётной записи и в Default User.

[SpiderDrag]

Представляю решение, которое было недвано опробовано на одном компьютере и уже несколько дней работает без этого трояна.

Решение такое.

Под администратором.
1) Устранение имеющегося в наличии вируса.
Для этого следует удалить каталог учётной записи с вирусом (перед этим, не забыв, сохранить важные файлы из Мои Документы, Рабочий стол и др.).

2) Устранение появления вируса.
Для этого следует удалить всё из папки Defaul User, но сам пустой каталог оставить (иначе будет ругаться при попытке зайти в ОС с отсутствующим каталогом учётной записи).

3) Перезагружаем компьютер и заходим под учётной записью, в которой был вирус. ОС Windows XP снова создаст нужный каталог и настроит по умолчанию интерфейс учётной записи.

4) НЕ КОПИРУЕМ назад в папки Мои Документы, Рабочий стол и другие все файлы. Копируем только точно известные ярлыки на Рабочий стол и создаём ярлык к перемещённой папке Мои Документы. Дело в том, что скопировав назад все файлы и восстановив по максимуму прежнее состояние я снова получил этот вирус. Поэтому копируем только самое необходимое и проверенное.


Замечания.
Троян просачивается в каталог учётной записи, при которой он был получен, а также в папке Default User. Если войти по другой учётной записью, под которой раньше уже заходили на этот компьютер, то троян под этой учётной записью отсутствует. А вот если войти под учётной записью, под которой раньше не заходили на компьютер, то троян снова появится из-за его наличия в каталоге Default User. Поэтому важно очистить эту директорию.
До конца так и не понял, когда же просачивается этот троян. Было даже подозрение на пересылку сайта Интернет-Банка, но на других компьютерах Интернет-Банка нет, но троян всё равно присутствует. Поэтому троян скорее всего очень хорошо маскируется под обычный файл в папке учётной записи и в Default User.

Предлагаю менее радикальное решение...
Применено на W7.
Запускаем файловый менеджер под администратором (я использовал far), иначе джаже не покажет нужные файлы.

Идём в c:\windows\system32\drivers\etc
Открываем файл hosts для редактирования.
Удаляем все лишние строки после
127.0.0.1 localhost
У меня было несколько страниц пустых строк, а в самом конце оно самое...
Не ленитесь листайте до конца файла.

Идем в c:\windows\system32\tasks
Смотрим все задания шедуллера, это простые текстовые файлы. Где то к концу файла прописано действие. У меня было что то типа
cmd /e /y copy c:\users\...\temp\{много цифер} c:\windows\system32\drivers\etc\hosts
То есть какой то файлик из темпов подменяет стандартный hosts.
Удаляем это задание, ну или переносим куда не жалко...
Перегружаемся, не запуская перед этим браузеров, и смотрим результат...

Если не пройдёт так, то запускаемся с LivCD и повторяем всё то же самое.

[v.martyanov]

А нафига, если CureIt тот же hosts проверяет и меняет на нужный?

[brisyo]

А нафига, если CureIt тот же hosts проверяет и меняет на нужный?

В смысле, не нужно удалять задания эти левые? Cureit убирает их сам после подмены на чистый хостс?