Recent, există deseori întrebări pe Internet că atunci când se utilizează Internet Explorer, pagina de start se modifică, atunci când se descarcă un link, se deschid complet diferite pagini. Eu însumi am intrat în această problemă și, prin urmare, am studiat singură problema. Primul lucru care a fost recomandat este utilizarea unor programe speciale cum ar fi Ad-aware și Kaspersky Anti-Virus cu noi baze de date. Acest lucru este corect și pentru o vreme rezolvă problema, dar din nou totul se repetă. Am decis să aflu manual unde a fost prescris spionul și, așa cum mi se pare, mi-a dat seama. Nu sunt scriitor sau jurnalist, vă rog să nu criticați stilul scrierilor mele, scriu pentru că eu nu am găsit într-un loc o descriere detaliată a modului și a ceea ce se întâmplă și a decis să facă acest lucru. Poate cineva va fi interesat.
Pentru observații, am folosit două computere: Windows XP fără pachete de service și acasă, mai întâi Windows XP fără pachete de service, apoi am pus SP-1 și SP-2 în serie.
Când am întâlnit prima dată această problemă, apoi pentru a afla unde să fiu încărcat, am început să verific, în primul rând, articolul "Startup". în
Sunt în încărcarea biroului. În al doilea rând, cheile de registry responsabile pentru programele de pornire: această cheie de registry
și în subsecțiunile Run. RunOnce. RunOnceEx. RunServices. RunServicesOnce. În aceste secțiuni există chei de șir (unele secțiuni sunt goale) care sunt responsabile pentru lansarea programelor. Numele cheii poate fi arbitrară și, ca valoare, se specifică programul care va fi lansat, dacă este necesar - apoi cu parametrii. Acordați atenție secțiunilor, în titlul cărora există "O dată". Acestea sunt secțiunile în care programele sunt programate, care ar trebui lansate o singură dată după următoarea boot de sistem. De exemplu, când instalați programe noi, unele dintre ele înregistrează chei care indică modulele de tuning care sunt lansate imediat după ce computerul repornește. Aceste chei sunt șterse automat după lansare. În parametru
Am găsit un program cu un nume dintr-un set arbitrar de scrisori. Programul a fost scris în folderul Windows, data creării era proaspătă. Realizând că e vorba de un spion, am decis să mă ocup de el mai târziu. Pentru utilizatorii Win98, vă recomandăm să consultați și fișierul win.ini din secțiunea [Windows]. Are doi parametri, încărcați și executați. Dacă unele programe sunt scrise în ele, atunci merită să verificați care dintre ele și dacă au nevoie de dvs. În plus, registrul are un parametru
În acesta este posibilă înregistrarea DLL-urilor care vor fi încărcate pentru toate descărcările tuturor proceselor Windows care utilizează biblioteca User32.DLL. Am acest parametru gol.
Astfel, verificând totul, am găsit un singur spion în parametrul de registry care este responsabil pentru programele de pornire. Reporniți computerul, am afișat imediat Managerul de activități Windows și am văzut cum a fost încărcat acest proces la începutul sistemului, funcționează timp de câteva minute și descărcat. Decizia că se încarcă DLL-ul în memorie și numai atunci când acesta joacă rolul de spion, am șters acest parametru din registru și din dosarul Windows.
Am verificat cheile de registry:
Următoarele valori ale parametrilor trebuie să fie acolo:
Decât că spionul sa terminat, m-am liniștit și, pentru o vreme, a funcționat bine, dar câteva zile mai târziu același lucru sa întâmplat din nou, ceea ce a fost imediat vizibil. pagina de pornire a fost modificată. Decide că internetul am prinde din nou infecție, am eliminat, de asemenea, manual de pornire, fișierele din numele care a avut un alt set de caractere, dar comparația fișier cu trădată anterior că acestea sunt aceleași. S-a șters fișierul și au fost fixate cheile de registry, deoarece acolo a existat din nou o adresă URL. Bineînțeles că ați putut rula imediat pachetele de service, dar am decis să văd ce se va întâmpla în continuare. La domiciliu am pus SP-1. După ce am lucrat, am început să urmăresc mai îndeaproape și am observat că într-o zi au existat modificări la pagină și url în momentul în care nu eram conectat la Internet. Infecția sa produs, de asemenea, la un computer de acasă când lucrați pe Internet. Înainte de asta, nu a fost infectat, din care am ajuns la concluzia că SP-1 nu este o protecție împotriva spionului folosit de spion.
Concluzia: spionul și așezat pe calculatorul de lucru; pe casa doar infectate, a făcut doar modificări, nu pare imediat, dar în câteva zile, aparent pentru a atrage mai puțină atenție. Dacă a făcut imediat după mine schimbări, mi-aș fi dat seama mai devreme că spionul încă lucra și nu se oprea să caute. Așa că am pierdut câteva săptămâni gândindu-mă că am prins un spion de pe Internet, în timp ce el stătea cu mine și lucra.
Aproape o lună totul a fost bine până am rezolvat o întrebare - cum a fost încărcată biblioteca? O lună mai târziu, pe un calculator de lucru din nou, am văzut problema, pagina de pornire este deja acest lucru, evident, nu sa schimbat, dar au existat schimbări în registru și URL-ul la locul de muncă în IE deschise la toate celelalte link-uri, dar nu și cele pentru care am apăsat. Mergând calea bătut, am descoperit în folderul Windows \ System32 qweHHHH.dll bibliotecă, în cazul în care în loc de „XXXX“ are și alte figuri, precum și fișierul cu același .ini nume. Stând pe un computer, Casper nu mai vedea un spion în el.
Reporniți în modul de siguranță, am șters această bibliotecă. Totul a intrat din nou în loc. Am actualizat baza de date a lui Casper. Dar nu m-am deranjat de gândul cum a fost încărcat biblioteca. Am verificat toate cheile responsabile pentru programe autoloading, s-au șters toate cele suspecte și chiar și atunci când au rămas doar programe necesare în care am încredere, biblioteca era încă încărcată. Citirea literaturii am întâlnit informații că există și totuși există posibilitatea descărcării pe care nu am verificat-o.
Internet Explorer are tehnologia încorporată în Browser Object Helper. Această tehnologie vă permite să încorporați alte programe în plug-in-uri IE și să efectuați anumite acțiuni în timpul funcționării. Deci, de exemplu, există scaune balansoare. Am un FlashGet. Această tehnologie poate fi utilizată pentru a monitoriza acțiunile utilizatorului în IE și în locul acțiunilor sale de a-și realiza propriile lor, inclusiv pentru a încărca alte pagini în locul celor pentru care vrem să urmăm legătura.
Obiectele descărcate prin BHO sunt stocate în cheie:
care afișează valori cu numele egal cu CLSID al obiectului încărcat. În cheie
găsim prin CLSID o secțiune cu numele acestui CLSID. În el puteți vedea parametrii obiectului, inclusiv calea spre biblioteca încărcată în parametrul \ InprocServer32 \ (Default) = "calea către obiectul încărcat".
Privind aceste chei am văzut că aceste DLL-uri au fost încărcate prin ele și deși am șters de fapt fișierele, dar cheile responsabile pentru descărcare au rămas în loc. Ie EXPLORER nu sa schimbat, a rămas exact ca în momentul instalării WINDOWS, alte programe nu au încărcat biblioteca, au folosit ceva care a fost construit de dezvoltatori. La pornire, EXPLORER a analizat cheile de registry și bibliotecile încărcate. Dacă oricare dintre ele nu era, atunci a fost omisă fără a afișa mesaje.
Astfel, puteți să analizați manual ceea ce avem nevoie în aceste chei de registry și ce nu, și să eliminați spionul. Și puteți folosi programe speciale, de exemplu, BHO Captor sau WinPatrol. Acesta din urmă mi-a plăcut în mod special, precum și oferă multe alte informații utile cu privire la ceea ce rulează pe computerul dvs. Dar prima, care este bună, are codul sursă pentru DELPHI. În orice caz, versiunea pe care am descărcat-o. Pentru codul sursă, puteți vedea cheile de registry utilizate.
Asta e tot ce am vrut să spun în articolul meu. Tehnologia de descărcare BHO a fost o descoperire pentru mine. Dacă pe tastele de mai sus și metodele de descărcare am auzit înainte, și atunci când caută spion le folosesc, BHO, am descoperit pentru prima dată, și mai devreme în locuri publice, nu am întâlnit descrierea asta, așa că am decis să umple golul.
Desigur, dacă utilizați o versiune mai nouă a software-ului pentru a monitoriza sistemul și să actualizeze baza de date cu regularitate, acești spioni sunt eliminate (Casper rapoarte, de asemenea, că fișierul DLL este infectat și este imposibil de îndepărtat, deoarece este blocat. A trebuit să reporniți în modul de siguranță și de a elimina manual), dar pentru mine a fost interesant să dau seama unde se întâmplă acest lucru. De asemenea, vreau să spun un cuvânt în favoarea instalării de pachete de servicii: la SP-1 a permis spion să urce în, SP-2, în picioare în casa mea, nu dă să facă acest lucru. Se pare că gaura prin care spionul a urcat pe computer, se închide. Acum mă gândesc și la lucru pentru a instala pachetele de service.
Articole similare
Trimiteți-le prietenilor: