Главная » Отслеживание загрузки шпионских программ в системе Windows

---

Последнее время в Интернете часто встречаются вопросы о том, что прииспользовании Internet Explorer происходит смена стартовой страницы,при загрузке по ссылке открываются совершенно другие страницы. Я самстолкнулся с этим и поэтому изучал проблему на себе. Первое, чтосоветовали, это воспользоваться спецпрограммами типа Ad-aware иАнтивирус Касперского с новыми базами. Это правильно и на какое-товремя решает проблему, но потом опять все повторяется. Я же решилвыяснить вручную где прописывается шпион и как мне кажется выяснил это.Я не писатель и не журналист, стиль моей писанины прошу не критиковать,пишу потому что сам не нашел в одном месте подробного описания как ичто происходит и решил восполнить это. Может кому будет интересно.Итак, встретившись с тем, что ваш Internet Explorer стал загружатьне те ссылки, первое что можно посоветовать - это поставить Ad-aware иАнтивирус Касперского с новыми базами и просканировать компьютер. Ноесли вы хотите сами решить эту проблему, то моя статья для Вас. Также япостараюсь описать свои действия подробно, может кому из начинающихпригодится в качестве методики поиска шпионов. Специалистам это можетбудет излишне. Они и без меня это знают, поэтому я адресую статью впервую очередь для начинающих.Для наблюдений я использовал два компьютера: на работе Windows XPбез сервис паков и дома сначала также Windows XP без сервис паков,потом поставил последовательно SP-1 и SP-2.Когда я впервые столкнулся с этой проблемой, то для выяснения где жечто грузиться стал проверять, во-первых, пункт "Автозагрузка". У меня внем стоит только загрузка офиса. Во-вторых, ключи реестра ответственныеза автозагрузку программ: это раздел реестра
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
ав нем подразделы Run, RunOnce, RunOnceEx, RunServices, RunServicesOnce.В этих разделах есть строковые ключи (некоторые разделы пустые),отвечающие за запуск программ. Название ключа может быть произвольным,а в качестве значения у них указывается запускаемая программа, еслинадо - то с параметрами. Обратите внимание на разделы, в названиикоторых присутствует "Once". Это разделы, в которых прописываютсяпрограммы, запуск которых надо произвести всего один раз послеследующей загрузки системы. Например, при установке новых программнекоторые из них прописывают туда ключи, указывающие на какие-нибудьнастроечные модули, которые запускаются сразу после перезагрузкикомпьютера. Такие ключи после своего запуска автоматически удаляются. Впараметре
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
янашел одну программу с именем из произвольного набора букв. Программабыла записана в папке Windows, дата создания оказалась свежая. Понявчто это шпион, решил потом с ним разобраться. Владельцам линейки Win98рекомендую заглянуть еще и в файл win.ini в раздел [windows]. В неместь два параметра load и run. Если в них записаны какие то программы,то стоит проверить какие именно и нужны ли они Вам. Кроме этого вреестре есть параметр
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionAppInit_DLLs
Внем можно прописать DLL которые будут грузиться при всех загрузках вовсе запускаемые Windows процессы, которые используют библиотекуUser32.DLL. У меня этот параметр пустой.Таким образом все проверив я нашел только одного шпиона в параметререестра, отвечающего за автозагрузку программ. Перезагрузив компьютер ясразу вывел на экран диспетчер задач Windows и понаблюдал, как этотпроцесс загрузившись при старте системы отработал несколько минут ивыгрузился. Решив что он загружает DLL в память и уже потом она играетроль шпиона, я этот параметр удалил из реестра и из папки Windows.Проверил ключи реестра:1. HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionURLDefaultPrefix
Значение параметра по умолчанию должно быть "http://"2. HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionURLPrefixes
Там должны быть следующие значения параметров:"ftp"="ftp://"

"gopher"="gopher://"

"home"="http://"

"mosaic"="http://"

"www"="http://"и не должно быть никаких адресов интернет. У меня там стояли url, которые я и удалил. Категория: Обеспечение безопасности | Просмотров: 177 Где выбирать изысканное нтв плюс ЮЗАО http://www.vegasat.ru/category_58.html.