При запуске IEXPLORE.EXE выводится сообщение на сохранение файла. При отказе, запуск не происходит.
Файл имеет такое описание при просмотре БЛОКНОТОМ.
Ранее с таким не сталкивался.
Растолкуйте, плЫз, что делать.
При запуске IEXPLORE.EXE выводится сообщение на сохранение файла
Сообщений: 8
• Страница 1 из 1
При запуске IEXPLORE.EXE выводится сообщение на сохранение файла
vitaliy_a » 03 июл 2008, 22:40
- Вложения
-
-
С уважением, Виталий.
-
vitaliy_a
- Откуда: Rusanovka Энт 7/1
lelikjuzer » 04 июл 2008, 00:15
vitaliy_a писал(а):Спасибо за то, что откликнулись.
К сожалению, у меня установлен антиЖУК и вэбом ничего не находит.
Вопрос остался открытым.
....?????
Зайди в Safe mode
Удали:
C:\Program Files\Internet Explorer\PLUGINS\Nocs.dll
C:\WINDOWS\System32\vbsys2.dll
Взято тут (такая же проблема): http://forum.sharereactor.ru/showthread.php?t=125402
-
lelikjuzer
- Откуда: 10.8.13....
vitaliy_a » 05 июл 2008, 09:46
Спасибо всем кто принял участие в решении данного вопроса!!!!!!!!!!!!!!!!!!!!!!
Ниже приведена статья, в которой описан алгоритм поиска неисправности по которому я действовал.
http://www.computer.auto.ru/320/articles/679.html
Как избавиться от автозапуска левых сайтов в IE
Эта проблема в последнее время стала настолько распространена, что заслуживает отдельного рассмотрения. Если вам не повезло, то сносить под корень операционную систему не спешите - вот самая подробная инструкция по решению этой проблемы.
Запустите ПК в режиме защиты от сбоев и выгрузите из памяти все запущенные программы от сторонних разработчиков (то есть не от Microsoft - автора файла можно узнать в его свойствах), если таковые оказались - для этого используйте не только комбинацию клавиш Ctrl+Alt+Del, но ОБЯЗАТЕЛЬНО и утилиту типа TaskInfo 2002 (www.iarsn.com) - только с ее помощью можно увидеть, что в действительности находится в памяти ПК.
Затем, с помощью утилиты msconfig.exe проверьте всю автозагрузку и либо отключите загрузку обнаруженной вредоносной программы (обычно это программа, назначение которой вам неясно, или которая имеет абсурдное название - набор цифр, например), либо, если визуально определить виновника невозможно, то отключите вообще все программы из автозагрузки - для ОС это абсолютно безопасно.
Разумеется, сразу после этого просканируйте систему свежим антивирусом и утилитой Ad-aware www.lavasoft.de/aaw/index.html, удаляющей с диска более-менее известные рекламно-шпионские программные модули, формально вирусами не являющиеся. Далее обнулите в свойствах обозревателя домашнюю страницу и перегрузите ПК.
Если ваши установки на этот раз не изменились и проблема исчезла, то была виновата одна из автоматически загружаемых программ - по очереди возвращая автозагрузку каждой программы и перегружая ПК, можно выяснить конкретного виновника - после включения его автозагрузки (или после ручного запуска) страница опять окажется подменена.
В редких случаях программа, меняющая домашнюю страницу, не прописывает себя в автозагрузку и вносит изменения в настройки системы не при каждой загрузке Windows, а при своем обычном запуске - попробуйте в таком случае запускать каждую из установленных программ и смотрите, после загрузки которой из них изменились настройки обозревателя.
Определить вредоносную программу можно и по URL-адресу, прописывающемуся в качестве домашней страницы, а также по названию исполнимого файла - поиск в интернете поможет определить назначение каждой программы из автозагрузки.
Если же вы полностью отключили автозагрузку (вплоть до ручной проверки файлов win.ini, autoexec.bat, winstart.bat), но проблема не исчезла, то следующим этапом удалите все временные интернет-файлы (Temporary интернет Files), очистите Журнал (History), очистите папку C:\Windows\Cookies и посмотрите, какие плагины установлены для Internet Explorer - возможно страницу изменяет какой-то из них.
Файлы подключаемых модулей-плагинов находятся в папке C:\Program Files\Internet Explorer\Plugins - по свойствам каждого файла можно выяснить его предназначение. Временно удалите все файлы из этой папки и посмотрите результат - если проблема исчезла, значит, виноват один из плагинов.
Если нет, то откройте на этот раз в Блокноте файл Windows\hosts (без расширения, в Windows XP он находится в папке Winnt\System32\Drivers\Etc) и просмотрите его содержание - строки с упоминанием IP-адреса сайта вредоносной программы следует удалить.
Если же вы не используете файл hosts или первый раз о нем слышите (учтите только, что его мог создать администратор вашей локальной сети), можно удалить (или временно переместить в другую папку) и его.
Следующим этапом, даже если вы нашли виновника, запустите поиск этого зловредного URL-адреса (или IP) в редакторе реестра - везде, где встретите его упоминание - удаляйте.
Обычно в Windows поражены чужеродным URL следующие параметры реестра (параметры, значение которых не указано, можно удалить):
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
"SearchURL"=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"Default_Search_URL"=
"Search Page"="www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"=
"SearchURL"=
"Window Title"=
"Window_Placement"=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
"SearchAssistant"=
HKEY_CURRENT_USER\Software\Micrsoft\Internet Explorer\Toolbar\WebBrowser
"ITBarLayout"=
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search
"SearchAssistant"="ie.search.msn.com//srchasst/srchasst.htm"
"CustomizeSearch"="ie.search.msn.com//srchasst/srchcust.htm"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs
"NavigationFailure"="res://shdoclc.dll/navcancl.htm"
"DesktopItemNavigationFailure"="res://shdoclc.dll/navcancl.htm"
"NavigationCanceled"="res://shdoclc.dll/navcancl.htm"
"OfflineInformation"="res://shdoclc.dll/offcancl.htm"
"blank"="res://mshtml.dll/blank.htm"
"PostNotCached"="res://mshtml.dll/repost.htm"
"mozilla"="res://mshtml.dll/about.moz"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
"Default_Page_URL"="www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Local Page"=
"Start Page"="www.microsoft.com/isapi/redir.dll?prd=&clcid=&pver=&ar=home"
"CompanyName"="Microsoft Corporation"
"Window Title"=
HKEY_USERS\.Default\Software\Microsoft\Internet Explorer
"SearchURL"=
HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main
"Search Page"="www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Default_Search_URL"=
"Search Bar"=
"Local Page"=
"Start Page"=
HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Search
"SearchAssistant"=
Кроме того, непременно проверьте, какие Browser Helper Objects установлены на вашем ПК. Browser Helper Objects (BHO) - это небольшие программы, не имеющие пользовательского интерфейса и автоматически запускаемые вместе с Internet Explorer.
Не многие пользователи слышали о подобной весьма небезопасной и достаточно скрытой функции Internet Explorer, но именно с ее помощью делается такая мерзость, как постоянная подмена вводимого в адресной строке браузера URL. Список идентификаторов, установленных BHO, находится в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\Current
Version\explorer\Browser Helper Objects.
Подозрительные BHO можно попробовать удалить из списка (предварительно сделав резервную копию реестра) - это их полностью дезактивирует. Однако, как выяснить - подозрительные они или нет, если в вышеупомянутом разделе только ничего не говорящие длиннющие номера?
Технология в данном случае такова. Например, если в этом разделе вы обнаружите подраздел HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Windows\
CurrentVersion\explorer\
Browser Helper Objects\, то произведите поиск во всем реестре найденного идентификатора BHO - - обнаружите его упоминание также и в разделе HKEY_CLASSES_ROOT\CLSID\
. Просмотрите все содержимое найденного раздела, чтобы определить, к какой программе относится этот BHO - в данном случае вы обнаружите такую запись: HKEY_CLASSES_
ROOT\CLSID\\
InprocServer32
@="C:\Program Files\Flashget\jccatch.dll"
Из этой записи можно сделать вывод, что обнаруженный BHO создан программой FlashGet и никакой угрозы не представляет. Если же вы обнаружите упоминание DLL-библиотеки непонятного происхождения, то смело удаляйте в реестре все упоминания данного BHO - скорее всего именно он и является причиной неприятностей.
Удобнее же всего (и безопаснее для реестра) не ручной поиск и идентификация установленных BHO, а использование специально для этого предназначенных программ, таких как BHODemon www.definitivesolutions.com или BHOCaptor www.xcaptor.org, которые выдадут всю информацию об установленных модулях BHO и помогут деактивировать подозрительные BHO.
Оригинал тут: http://www.computery.ru/upgrade/faq/soft/2002/sfaq_72.htm
Авторство: Сергей Трошин
Ниже приведена статья, в которой описан алгоритм поиска неисправности по которому я действовал.
http://www.computer.auto.ru/320/articles/679.html
Как избавиться от автозапуска левых сайтов в IE
Эта проблема в последнее время стала настолько распространена, что заслуживает отдельного рассмотрения. Если вам не повезло, то сносить под корень операционную систему не спешите - вот самая подробная инструкция по решению этой проблемы.
Запустите ПК в режиме защиты от сбоев и выгрузите из памяти все запущенные программы от сторонних разработчиков (то есть не от Microsoft - автора файла можно узнать в его свойствах), если таковые оказались - для этого используйте не только комбинацию клавиш Ctrl+Alt+Del, но ОБЯЗАТЕЛЬНО и утилиту типа TaskInfo 2002 (www.iarsn.com) - только с ее помощью можно увидеть, что в действительности находится в памяти ПК.
Затем, с помощью утилиты msconfig.exe проверьте всю автозагрузку и либо отключите загрузку обнаруженной вредоносной программы (обычно это программа, назначение которой вам неясно, или которая имеет абсурдное название - набор цифр, например), либо, если визуально определить виновника невозможно, то отключите вообще все программы из автозагрузки - для ОС это абсолютно безопасно.
Разумеется, сразу после этого просканируйте систему свежим антивирусом и утилитой Ad-aware www.lavasoft.de/aaw/index.html, удаляющей с диска более-менее известные рекламно-шпионские программные модули, формально вирусами не являющиеся. Далее обнулите в свойствах обозревателя домашнюю страницу и перегрузите ПК.
Если ваши установки на этот раз не изменились и проблема исчезла, то была виновата одна из автоматически загружаемых программ - по очереди возвращая автозагрузку каждой программы и перегружая ПК, можно выяснить конкретного виновника - после включения его автозагрузки (или после ручного запуска) страница опять окажется подменена.
В редких случаях программа, меняющая домашнюю страницу, не прописывает себя в автозагрузку и вносит изменения в настройки системы не при каждой загрузке Windows, а при своем обычном запуске - попробуйте в таком случае запускать каждую из установленных программ и смотрите, после загрузки которой из них изменились настройки обозревателя.
Определить вредоносную программу можно и по URL-адресу, прописывающемуся в качестве домашней страницы, а также по названию исполнимого файла - поиск в интернете поможет определить назначение каждой программы из автозагрузки.
Если же вы полностью отключили автозагрузку (вплоть до ручной проверки файлов win.ini, autoexec.bat, winstart.bat), но проблема не исчезла, то следующим этапом удалите все временные интернет-файлы (Temporary интернет Files), очистите Журнал (History), очистите папку C:\Windows\Cookies и посмотрите, какие плагины установлены для Internet Explorer - возможно страницу изменяет какой-то из них.
Файлы подключаемых модулей-плагинов находятся в папке C:\Program Files\Internet Explorer\Plugins - по свойствам каждого файла можно выяснить его предназначение. Временно удалите все файлы из этой папки и посмотрите результат - если проблема исчезла, значит, виноват один из плагинов.
Если нет, то откройте на этот раз в Блокноте файл Windows\hosts (без расширения, в Windows XP он находится в папке Winnt\System32\Drivers\Etc) и просмотрите его содержание - строки с упоминанием IP-адреса сайта вредоносной программы следует удалить.
Если же вы не используете файл hosts или первый раз о нем слышите (учтите только, что его мог создать администратор вашей локальной сети), можно удалить (или временно переместить в другую папку) и его.
Следующим этапом, даже если вы нашли виновника, запустите поиск этого зловредного URL-адреса (или IP) в редакторе реестра - везде, где встретите его упоминание - удаляйте.
Обычно в Windows поражены чужеродным URL следующие параметры реестра (параметры, значение которых не указано, можно удалить):
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
"SearchURL"=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"Default_Search_URL"=
"Search Page"="www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"=
"SearchURL"=
"Window Title"=
"Window_Placement"=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
"SearchAssistant"=
HKEY_CURRENT_USER\Software\Micrsoft\Internet Explorer\Toolbar\WebBrowser
"ITBarLayout"=
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search
"SearchAssistant"="ie.search.msn.com//srchasst/srchasst.htm"
"CustomizeSearch"="ie.search.msn.com//srchasst/srchcust.htm"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs
"NavigationFailure"="res://shdoclc.dll/navcancl.htm"
"DesktopItemNavigationFailure"="res://shdoclc.dll/navcancl.htm"
"NavigationCanceled"="res://shdoclc.dll/navcancl.htm"
"OfflineInformation"="res://shdoclc.dll/offcancl.htm"
"blank"="res://mshtml.dll/blank.htm"
"PostNotCached"="res://mshtml.dll/repost.htm"
"mozilla"="res://mshtml.dll/about.moz"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
"Default_Page_URL"="www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Local Page"=
"Start Page"="www.microsoft.com/isapi/redir.dll?prd=&clcid=&pver=&ar=home"
"CompanyName"="Microsoft Corporation"
"Window Title"=
HKEY_USERS\.Default\Software\Microsoft\Internet Explorer
"SearchURL"=
HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main
"Search Page"="www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Default_Search_URL"=
"Search Bar"=
"Local Page"=
"Start Page"=
HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Search
"SearchAssistant"=
Кроме того, непременно проверьте, какие Browser Helper Objects установлены на вашем ПК. Browser Helper Objects (BHO) - это небольшие программы, не имеющие пользовательского интерфейса и автоматически запускаемые вместе с Internet Explorer.
Не многие пользователи слышали о подобной весьма небезопасной и достаточно скрытой функции Internet Explorer, но именно с ее помощью делается такая мерзость, как постоянная подмена вводимого в адресной строке браузера URL. Список идентификаторов, установленных BHO, находится в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\Current
Version\explorer\Browser Helper Objects.
Подозрительные BHO можно попробовать удалить из списка (предварительно сделав резервную копию реестра) - это их полностью дезактивирует. Однако, как выяснить - подозрительные они или нет, если в вышеупомянутом разделе только ничего не говорящие длиннющие номера?
Технология в данном случае такова. Например, если в этом разделе вы обнаружите подраздел HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Windows\
CurrentVersion\explorer\
Browser Helper Objects\, то произведите поиск во всем реестре найденного идентификатора BHO - - обнаружите его упоминание также и в разделе HKEY_CLASSES_ROOT\CLSID\
. Просмотрите все содержимое найденного раздела, чтобы определить, к какой программе относится этот BHO - в данном случае вы обнаружите такую запись: HKEY_CLASSES_
ROOT\CLSID\\
InprocServer32
@="C:\Program Files\Flashget\jccatch.dll"
Из этой записи можно сделать вывод, что обнаруженный BHO создан программой FlashGet и никакой угрозы не представляет. Если же вы обнаружите упоминание DLL-библиотеки непонятного происхождения, то смело удаляйте в реестре все упоминания данного BHO - скорее всего именно он и является причиной неприятностей.
Удобнее же всего (и безопаснее для реестра) не ручной поиск и идентификация установленных BHO, а использование специально для этого предназначенных программ, таких как BHODemon www.definitivesolutions.com или BHOCaptor www.xcaptor.org, которые выдадут всю информацию об установленных модулях BHO и помогут деактивировать подозрительные BHO.
Оригинал тут: http://www.computery.ru/upgrade/faq/soft/2002/sfaq_72.htm
Авторство: Сергей Трошин
С уважением, Виталий.
-
vitaliy_a
- Откуда: Rusanovka Энт 7/1
Gleb » 05 июл 2008, 15:34
vitaliy_a писал(а):Как избавиться от автозапуска левых сайтов в IE
Никогда его не использовать! Поставить Firefox или Opera. Вы просто не представляете, сколько дряни может залезть через IE. Оно вам надо?
Den_Koshkin » 05 июл 2008, 19:38
Gleb писал(а):Вы просто не представляете, сколько дряни может залезть через IE.
Представляю.
Вот, какой гельминитарий образовался у меня на компе, после того как я неосторожно ткнул в IE на одну ссылочку с картинкой:
TrojanDownloader.49248
Trojan.MulDrop.14555
Trojan.MulDrop.4181
Trojan.DownLoader.59067
Trojan.Spambot.2566
BackDoor.HackDef.547
Trojan.Packed.454
Trojan.DownLoader.63901
Trojan.DownLoader.62803
BackDoor.Bulknet.103
Win32.HLLW.Autoruner.1080
BackDoor.Generic.1138
Win32.HLLW.Autoruner.1080
Trojan.MulDrop.4181
Trojan.MulDrop.6474
Trojan.Packed.454
Trojan.Spambot.2566
В современном миропорядке я ненавижу две вещи: когда бляди поют о любви и когда политики демонстративно посещают церковь. ©
-
Den_Koshkin
- Откуда: 10.8.148.xx
Сообщений: 8
• Страница 1 из 1
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 0