Здравствуйте, уважаемые гуру.прошу вас подсказать - как избавиться от www.apeha.ru?Эта бяка у меня стоит в стартовой странице ИЕ 7.Пытался чистильщиком ключ этот выдрать- удаляет. На старт ставлю бланк.Но через 5 дней опять она появляется.Честно говоря, сам помог прописаться по дурости, каюсь :sorry: Сегодня попробовал ваш рекомендации по лечению.CureIt нашёл 2 трояна.стартпэйдж.убил. и один ини-файл :ohmy:Тоже в топку. Лог от веба есть.Спасибо

Влачер, игры с пиратских дисков часто устанавливаете? Обычно они при инсталляции прописывают арену в качестве стартовой. Снимайте галочку в нужном месте, либо после установки меняйте стартовую страницу.
Я понимаю, что советовать сменить браузер - это не очень хорошо, но всё же попробуйте Оперу или Firefox. На них стартовые страницы пока не додумались менять таким образом:)

Coutty Кто ж из нас игрушками не грешит?Но до этого я вообщето не испытывал проблем подробного рода.Говорили что Call of Duty пиратская может вызывать эту строку.У меня была она с месяц назад, но снёс полностью, потом чистильщиком прошёлся.Я понимаю, что советовать сменить браузер - это не очень хорошо, но всё же попробуйте Оперу или Firefox. »
У меня и ИЕ и опера стоит. С помощью ИЕ статьи из нета дёргаю.Мне так удобнее, чем оперой.
У меня на работе была такая же вещь, но там уже 2 раза винду сносили. :happy:
Главное, вроде был целый наборчик прог: Нод32 v.2.70 с новой базой, троянремувер 6.6.8 с базой 6945, Spybot Search and Destroy 1.5.2, файервол Looknstop. А вишь, трояны хитрые оказались. Вот и думай- что ещё для защиты придумать. :sorry:

Говорили что Call of Duty пиратская может вызывать эту строку. »
Да у меня две из трёх игрушек прописывают её:) Как вариант, могу посоветовать вместо ярлыка на запуск IE сделать ссылку на bat-файл (иконку на свой вкус;)). Первая команда прописывает в реестре пустую стартовую страницу, а вторая запускает сам IE. Но придётся мириться с выскакивающим чёрным окошком (или искать способы его сокрытия - н/р "запускать свёрнутым").

AVZ -- меню Файл -- Восстановление системы -- Восстановление стартовой страницы IE (пункт 3)

Влачер, ещё когда лечишся, отключи службу восстановления системы.
Это я не про AVZ говорю, а в настройках Виндовс.

Влачер, В меню AVZ (http://z-oleg.com/avz4.zip) - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Chip.dll','');
QuarantineFile('C:\WINDOWS\system32\070DA73722.sys','');
QuarantineFile('C:\WINDOWS\system32\dadbd_r.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\KEYBOARDWD.SYS','');
QuarantineFile('C:\WINDOWS\kacheli.scr','');
BC_ImportQuarantineList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему, можете самостоятельно проверить файлы в карантине на virustotal.com и сообщить результат.
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.APEHA.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file)
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file)
O3 - Toolbar: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - (no file)
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - (no file)
Удалить в реестре ключ (скопировать в блокнот, сохранить как fix.reg, применить)
REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1794bfc4-7e69-11dc-a3ba-806d6172696f}]
что из перечисленного ниже не нужно?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Старт. страничка IE подменяется скорее всего при запуске игрушек или вставке CD, в рез-те автозапуска. Чтобы защитить стартовую страничку, можно поставить программу, следящую за изменениями в реестре (в spybot S&D такая возможность вроде бы существует - иммунизировать систему, или есть ещё в windows defender), кроме того рекомендую защититься от autorun.inf, скопируйте текст ниже в блокнот, сохраните как noautorun.reg, примените
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
"*.*"=""

Обычным Spybot можно запретить менять стартовую страницу. Это он умеет делать лучше, чем все остальное.

Влачер, ещё когда лечишся, отключи службу восстановления системы.
Это я не про AVZ говорю, а в настройках Виндовс. »
Правда, я , когда CureItом лечил, сначала не отключал восстановление, только когда вылезло сообщение, что вирус в restore, отключил.Но при перезагузках восстановление вроде само включилось(в панели написано "наблюдение за дисками").Чесно говоря, не знаю почему :unsure: Может не дожал чего.

Pili >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя Извиняюсь за профанство(в этих делах не очень), что из этого мне дома вообще не надо и как это отменить?

PavelA_VI Обычным Spybot можно запретить менять стартовую страницу. Это он умеет делать лучше, чем все остальное.
Где посмотреть?

RemoteRegistry - если свой реестр не правишь с других компов -отключи.
TermService - терминальная служба. Не пользуешь- отключи.
SSDPSRV - Управляет извещениями о присутствии устройств, обновлениями кэша и уведомлениями SSDP. В принципе, не нужна. У меня в "ручном" режиме стоит.
Schedule - Позволяет выполнять автоматизированные задачи. Не пользуешь - отключи.
mnmsrvc (NetMeeting Remote Desktop Sharing) - Обеспечивает соответствующим пользователям удаленный доступ к рабочему столу Windows с других компьютеров с помощью служб NetMeeting®. - отключи
автозапуск программ с CDROM - на личное усмотрение.
только когда вылезло сообщение, что вирус в restore, отключил. » Удали все точки восстановления.
.

@Влачер Режим - Расширенный, затем Инструменты - Резидент

Должен быть запущен SP Резидент(Чайный Таймер). Он будет задавать вопросы при попытке смены страницы.

Влачер, восстановление системы включил DSS
System Restore is disabled; attempting to re-enable...success.
отключаем не нужное, выполните скрипт
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.
планировщик оставил, т.к. есть AppleSoftwareUpdate.job
что насчет файлов в карантине?

Pili счас пишу с работы, естестно никаких скриптов пока не могу выполнить.Как карантин.зип получу, так обязательно пошлю.
Влачер, восстановление системы включил DSS » Эту строку надо в ДСС вставлять или в АВЗ?

Влачер, "System Restore is disabled; attempting to re-enable...success." не надо никуда вставлять, это для информации.

RemoteRegistry - если свой реестр не правишь с других компов -отключи.
TermService - терминальная служба. Не пользуешь- отключи.
SSDPSRV - Управляет извещениями о присутствии устройств, обновлениями кэша и уведомлениями SSDP. В принципе, не нужна. У меня в "ручном" режиме стоит.
Schedule - Позволяет выполнять автоматизированные задачи. Не пользуешь - отключи.
mnmsrvc (NetMeeting Remote Desktop Sharing) - Обеспечивает соответствующим пользователям удаленный доступ к рабочему столу Windows с других компьютеров с помощью служб NetMeeting®. - отключи
автозапуск программ с CDROM - на личное усмотрение. »
:sorry: :o Где хоть это отключается? а то в справке дофига всего......

Где хоть это отключается? »
см. скрипт поста 12

см. скрипт поста 12 » или Панель управления - Администрирование - Службы.

Уважаемые гуру, что то опять я удивляюсь. После чистки системы CureIt хард у меня стал отражаться как флешка.Щёлкнешь по значку в трее, а там хард с тремя дисками во всей красе.Наверно даже извлечь можно. :wacko: :swoon: Плюс ко всему прочему следующая фишка: у меня 8 усб портов, 4 спереди, 4 сзади.Так вот передние отрубились начисто.Суешь флеху, а комп не крякает и не блямкает, не видит ничего. Может вместе с 3 троянами и полезное чтото уплыло? в остальном вроде глюков не заметил.Ну там, видео захватывается и кодируется, и прочее.Если Спайбот или Троянремувер запустить- проц грузится на 50% и более.Надеюсь, что так и должно быть. Логи смогу только вечером, не факт что сегодня. Спасибо

Влачер, тема "Как убить www.apeha.ru?" в ней вы уже проверялись, правда карантина я так и не дождался.
Комп другой? Если другой - нужны логи, если тот же (и новый софт не ставился), попробуйте удалить полностью ключ в реестре
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
и выполнить скрипт в AVZ
begin
ExecuteRepair(6);
ExecuteRepair(8);
end.
Автозапуск отключили с помощью noautorun.reg тут (http://forum.oszone.net/post-771332-7.html), но это не должно мешать в проводнике отображаться съемным дискам в проводнике (или др. файловом менеджере)

Pili карантин я послал.а вот с дисками прежняя чехарда.На скрине выглядит так C:\Documents and Settings\All Users\Документы\Мои рисунки\Образцы рисунков\Скрин дисков.bmp И с усб всё тоже.Как быть дальше?

Катину не получилось чтото. В панели Безопасное удаление... под окном написано SATA Maxtor Bus Number 0. Target ID 0.LUN 0