НЕ НАЖИМАЙТЕ НА ЭТОТ ЛИНК!!!
Обнаруженая очередная *ня
http://213.159.117.134/index.php прописывается в реестре:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="http://213.159.117.134/index.php"
"Start Page"="http://213.159.117.134/index.php"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://213.159.117.134/index.php"
"Local Page"="http://213.159.117.134/index.php"
"Start Page"="http://213.159.117.134/index.php"
[HKEY_USERS\S-1-5-21-*****\Software\Microsoft\Internet Explorer\Main]
"Local Page"="http://213.159.117.134/index.php"
"Start Page"="http://213.159.117.134/index.php"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\ZoneMap\Ranges\Range1]
"*"=dword:00000002
":Range"="213.159.117.133"
При чем остаются нетронутыми обычно подверженные этому ключи:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\URL\DefaultPrefix]
@="http://"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\URL\Prefixes]
"ftp"="ftp://"
"gopher"="gopher://"
"home"="http://"
"mosaic"="http://"
"www"="http://"
Вот, как должно быть (можно сделать файл reg и припаять к реестру, предварительно звездочки * заменив на нужные циферки):
------------------------------------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\System32\\blank.htm"
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Local Page"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6 d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00 ,6d,00,33,00,32,00,5c,00,\
62,00,6c,00,61,00,6e,00,6b,00,2e,00,68,00,74,00,6d ,00,00,00
"Start
Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SU B_PVER}&ar=home"
[HKEY_USERS\S-1-5-21-****\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\System32\\blank.htm"
"Start Page"="about:blank"
------------------------------------------------------------------------
А ключа
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\ZoneMap\Ranges\Range1]
вообще быть не должно (у меня нет)! Т.е. его достаточно просто удалить.
Изменять реестр сразу - без успешно. Надо найти и удалить .../System32/Systime.exe . Может быть файл называтеся как-то по-другому, однако сразу видно, что он прописывается в автозагрузку причем дважды, и соотв в памяти висят два этих процесса. После убийства файла можно фиксить реестр
ЗЫ Тесты проводились на WXP
Социальные закладки