| автор |
сообщение |
kastian 
философ
 
|
|
YetAnotherReader
авторитет
|
|
localhost
новичок
|
|
Лунатица 
философ
|
 24 декабря 2014 г. 23:03 [нажмите здесь чтобы увидеть текст поста]
|
|
Интересует вопрос борьбы с паразитарными ссылками. Последние три дня при просмотре интернета (Оперой) Касперский примерно каждые 5-10 минут выплевывает сообщение "заблокирована ссылка deli**shop***org", и тут же убирает. Это происходит на любом сайте.
Прошерстила поиском по названию ссылки диск С — ничего. В расширениях Оперы и Мозиллы — ничего. В установленных программах, вроде бы, ничего лишнего. В реестре через поиск нашелся один пунктик с этим словом, я его удалила, но ссылка все равно лезет, а антивирус ее исправно ловит. В отчетах Касперского — никаких следов.
Не то чтобы это сообщение очень мешало, но раздражает неизвестность: где-то же зараза сидит. Что это может быть?
О, вот опять выскочило, снизу подпись: "Прорамма Microsoft Windows operating system". Но скрывается слишком быстро, не успеваю толком прочитать.
|
|
|
Опоссум
философ
|
|
25 декабря 2014 г. 04:42 [нажмите здесь чтобы увидеть текст поста]
|
Лунатица, раз уж вы знаете что такое реестр и где в нём искать — копайте глубже. Скорее всего где-то засел вирус, который запись реестра подновляет, возможно даже в автозагрузке. Ну и напишите содержимое этой записи и её расположение, может распространённая зараза. Как временное решение можете добавить в C:/Windows/System32/drivers/ets/hosts такую строку:
цитата >C:/Windows/System32/drivers/ets/hosts
127.0.0.1 *табуляция* delishop.org
Должно закруглить все ссылки левого сайта на родной компьютер. Только г-н Кашпировский может не разрешить.
|
–––
волю память и весло
слава небу унесло |
|
|
vacendak
гранд-мастер
|
|
25 декабря 2014 г. 12:12 [нажмите здесь чтобы увидеть текст поста]
|
цитата Лунатица вопрос борьбы с паразитарными ссылками
- скачайте DrWeb CureIt на флешку (лучше на другом, гарантированно чистом компЕ);
- перезагрузИтесь с F8 (Safe Mode);
- запустИте с флешки тот сАмый CureIt.
Если Бяка есть (похоже, что так) — с большой вероятностью отловит и прибьёт. |
–––
if you keep looking at me, you'll see me kill you |
|
|
Опоссум
философ
|
|
25 декабря 2014 г. 16:22 [нажмите здесь чтобы увидеть текст поста]
|
цитата vacendak — запустИте с флешки тот сАмый CureIt.
Конфликта с Касперским не случится?
P.S. Если решили последовать совету vacendak, то не трогайте hosts — CureIt блокирует его, если видит, что он изменён. Потом уже фиг разблокируешь для изменения. |
–––
волю память и весло
слава небу унесло |
|
|
_Y_
миродержец
|
|
25 декабря 2014 г. 17:20 [нажмите здесь чтобы увидеть текст поста]
|
|
kastian YetAnotherReader localhost, спасибо за советы.
Сравнил описания CDBurnerXP — ImgBurn — Infrarecorder. По описаниям — ну очень похожи. Для начала взял Infrarecorder. Причина: наличие версии Portable. Ну очень мне нравятся программы, которые можно запускать без интсталляции.
Вроде, работает как надо. Так что врядли буду пробовать две другие. Но, все равно, большое спасибо за ответы!
|
–––
Человек, нажимающий где-то там пальцами на клавиши, не имеет никакого отношения к тому, что я здесь говорю и думаю. |
|
|
Лунатица
философ
|
|
27 декабря 2014 г. 19:26 [нажмите здесь чтобы увидеть текст поста]
|
vacendak, спасибо за совет, но пока что я не решусь лезть с другим антивирусом. Я так однажды устроила конфликт двух антивиров и замыкание мозгов у компа, которое вылечил только мастер.
цитата Опоссум Лунатица, раз уж вы знаете что такое реестр и где в нём искать — копайте глубже. Скорее всего где-то засел вирус, который запись реестра подновляет, возможно даже в автозагрузке.
Не то, чтобы я знаю, но "в лицо" реестр узнаю. :) Мало понимая, что там и зачем. Залезаю только по четко расписанной ссылке. А виновника нынешнего разговора нашла через Ctrl+F.
В реестре оно сидит в HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603
и в HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604
По значениям из этого раздела я вычислила папку C:\WINDOWS\srchasst, но в ней чисто, никаких признаков ни в названиях файлов, ни текстовым поиском по ним. Глубже лезть я не решаюсь, потому что не разбираюсь совершенно.
|
|
|
Marmotta
магистр
|
|
27 декабря 2014 г. 20:20 [нажмите здесь чтобы увидеть текст поста]
|
|
В принципе не проблема, но немного достало, как загружается Вики: загружается первый раз страница, потом начинает резко перезагружаться. Сначала думала, что это из-за расширения для Вики, которое добавлено у меня в Хром, но на мамином компе с тем же Хромом, но без всяких дополнений – то же самое. Кто знает, что это такое и как его победить?
|
–––
Идите лесом. (с)
Трандуил |
|
|
Евгений Борисов
магистр
|
|
27 декабря 2014 г. 20:34 [нажмите здесь чтобы увидеть текст поста]
|
|
Википедия некоторое время так и у меня грузится, в Хромах на разных компьютерах черех разных провайдеров. Вероятно, что-то в коде у самой Вики так. Вот через другой браузер не пробовал.
|
|
|
Beksultan
миродержец
|
|
27 декабря 2014 г. 20:48 [нажмите здесь чтобы увидеть текст поста]
|
|
Это из-за принудительного редиректа с http на https, с некоторых пор практикуемого в Википедии на постоянной основе. Для собственных ссылок в вики, которые уже все переписаны с использованием https, такого не наблюдается. Перезагружается только если вы зашли по сторонней ссылке, которая по-старому использует http.
|
–––
Mors certa, hora incérta |
|
|
Marmotta
магистр
|
|
Лунатица
философ
|
|
27 декабря 2014 г. 23:34 [нажмите здесь чтобы увидеть текст поста]
|
|
А я все о своей ссылке. Помимо статьи реестра удалось-таки подловить окошко Касперского и нажать "подробнее". Пишет, мол, ссылка "обнаружена в списке вредоносных адресов". А где может храниться этот список? В почте нет, в куках ни Оперы, ни Мозиллы нет, в закладках нет
|
|
|
Опоссум
философ
|
|
28 декабря 2014 г. 21:35 [нажмите здесь чтобы увидеть текст поста]
|
Лунатица, в этих ключах (и в Windows/srchasst) лежат вроде помощники для поиска в Ворде.
Всё-таки — поизучайте внимательно ветки автозагрузки (ну и ещё парочку). С большой вероятностью там лежит ссылка на файл с малопонятным называнием, который и надо потереть. Прогуглите оттуда все названия, ну или сюда сбросьте.
цитата HKCU\Software\Microsoft\Windows\CurrentVersion\Run (Winlogon, Windows, RunOnce, RunServices etc)
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCR\exefile\shell\open\command
HKLM\System\CurrentControlSet\Control\SessionManager
HKLM\Software\Microsoft\Active Setup\Installed Components
И ещё в ХР (речь ж о нём?) файлы автозагрузки могут лежать в специальной папке (Пуск — Все программы — автозагрузка), мне почему-то кажется, что Касперский не должен был допустить вмешательства в реестр, скорее всего в папке автозагрузке должно лежать.
|
–––
волю память и весло
слава небу унесло |
|
|
Лунатица
философ
|
|
28 декабря 2014 г. 22:13 [нажмите здесь чтобы увидеть текст поста]
|
Опоссум, вот, попыталась прошерстить указанные вами места.
В папку автозагрузок я ничего не отправляла, но вдруг там оказались две ссылки:
"C:\Documents and Settings\All Users\Application Data\Kbrowser utility\kbrowser-updater-utility.exe" /S
"C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE" /tsr
Что это за ерунда, особенно первая? Я еще вчера попыталась из автозагрузок это дело стереть, но наутро система при включении ругнулась, что загрузится не общим способом, а каким-то, типа, диагностическим, что ли (забыла точное слово). Я прошла по тем окнам, которые комп мне сам указал и вернула Общую загрузку. После чего все в автозагрузке осталось, как было.
Вот, что удалось накопировать в разделах реестра. Ничего, на мой несведущий взгляд, криминального.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Run
цитата C:\WINDOWS\system32\ctfmon.exe
"C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
"C:/QGNA/qgna.exe" /minimized
"C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun"C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Windowssystem.vbs"
C:\Program Files\VistaDriveIcon\VistaDrv.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run
цитата RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
C:\PROGRA~1\Pinnacle\SHARED~1\Programs\USBTip\USBTip.e xe
HKEY_CLASSES_ROOT\exefile\shell\open\command
цитата "%1" %*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Se ssion Manager
цитата autocheck autochk *
\Windows \RPC Control
и еще 14 пунктов, где в значениях только цифры с нулями, все их копировать окаянства не хватило
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
в самом этом разделе только один пункт и "значение не присвоено", но есть еще 40 с лишним подпапок, в каждой по нескольку пунктов, но ничего похожего на тот адрес "делишоп".
|
|
|
Jozef Nerino
авторитет
|
|
Лунатица
философ
|
|
Опоссум
философ
|
|
28 декабря 2014 г. 22:48 [нажмите здесь чтобы увидеть текст поста]
|
Лунатица, ну, дальше на свой страх и риск:
Тут и тут про скайп, который зачем то лезет в AppData/Microsoft.
Тут про kbrowser. Судя по этой ссылке зараза свежая, заплатка от Касперского должна выйти скоро, хотя праздники...
|
–––
волю память и весло
слава небу унесло |
|
|
Jozef Nerino
авторитет
|
|
28 декабря 2014 г. 22:52 [нажмите здесь чтобы увидеть текст поста]
|
|
Лунатица не знаю — у меня Outpost стоит, конфликт возник только с его файрволом, когда они какие-то файлы файрфокса проверить захотела. Нужно установить. Проверяется быстро, в пределах 5 минут.
|
|
|
цитировать