стартовая страница www.apeha.ru

[Vorlon]

Файлик чистый, не вирус, ничего никуда лишнего не пишет, в реестр не лезет. Я его запустил, полез на страницу http://www.cdclub.pp.ru/redirect.php?id= и все. Страница не сменилась.

Жаль я на него надеялся, странный троян (если это он) его никто не заметил, и сейчас немогу ничем выловить....

Может кто еще разберется, я конечно не специалист но раньше всегда сам всю эту мерзость вылавливал а тут даже понять немогу кто и где сидит. Страницу помнять невозможно в принципе, в spybot есть примочка, запрещает изменение стратовой страницы, так когда меняешь ручками на пустую, сразу же (пол секунды) включаешь примочку, и она, собака блокирует уже измененную арену енту :))))) цирк просто...

P.S. Народ спасибо всем кто отзывается, очень притяно что помогаете :)

Vorlon, следует обратить внимание на это:

mdm.exe должен находиться в каталоге Windows. Подробнее тут.

PS. Блин, только сейчас полностью прочитал тему. :)

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Да, тут троян поработал. Дело серьёзное. Только сомневаюсь, что наглая страница напрямую связана с этим трояном - скорее, совпадение или подстава для создателей этого ресурса кем-то скрещена с одним известным ядром вируса.

Но логи Hijack имеются и, думаю, Saule поможет разобраться.

А что, система ставилась из образа? :)

Файлик я не пробовал, так как не пользуюсь ни файрволом, не антивирусом.

Нет, система ставилась с обчного пиратского диска, но ставилась уже миллион раз и такого никогда небыло

[VanGog]

Стартовая страница прописывается в реестре здесь(на всякий случай):

Ключ реестра: HKCU\Software\Microsoft\Internet Explorer\Main

Значение ключа: Start Page

Тип: REG_SZ

Значение: about:blank

Есть программка RegMon, я ее взял здесь, она отслеживает все обращения к реестру. При запуске появляется маленькое окошко где задаются фильтры процессов которые надо отслеживать, в поле include поставь Start Page, остальные пустые, чтобы отследить все процессы которые обращаются к этому ключу. Ну и соответсвенно меняй и смотри, какие программы у тебя его меняют помимо твоей воли.

Рекомендую все лишнее программы закрыть которые могут отслеживать эти изменения, что бы не загромождать лог.

[Saule]

Есть программка RegMon, я ее взял здесь

Оф.сайт:

http://www.microsoft.com/technet/sysintern...ies/regmon.mspx

И кстати, чтобы действительно не загромождать лог, там есть возможность установить фильтр на любой определенный раздел

следует обратить внимание на это:

mdm.exe должен находиться в каталоге Windows. Подробнее тут.

В статье на securitylab, к сожалению, устаревшая информация. Файл mdm.exe (обычно при установке VS .NET) действительно ставится в папку C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG. Т.е. находится он может не только лишь в system32.

Чего я уже только не делал, неомгу понять как можно было так сделать, что бы ни один метод не помогал...

Я только что обратила внимание на то, что речь идет о IE7 :)

Пробую объяснить, как могу.

Никаких левых процессов (троянов) у вас в системе из-за apeha.ru, как я уже говорила, - нет и быть не может.

И какие-либо незаконные изменения вы тоже навряд ли поймаете, так как все эти изменения домашней страницы на самом деле законны (сам же IE её и изменит).

Решение нужно искать в ваших системных настройках.

Всё, что обычно делается в системе в момент изменения стартовой страницы на подобную apeha.ru в первый раз - это изменение стартовой страницы как таковой + возможно, запрет на любое изменение установленной стартовой страницы (видимо, не ваш случай, так как насколько я поняла, изменить вы её всё-таки можете) + изменение начальных конфигураций, которые устанавливаются по умолчанию (например устанавливаются тогда, когда вы используете кнопку сбрасывания настроек браузера и т.д.)

При третьем условии по идее и происходит примерно тоже самое, что было описано вами здесь:

Страницу поменять невозможно в принципе, в spybot есть примочка, запрещает изменение стратовой страницы, так когда меняешь ручками на пустую, сразу же (пол секунды) включаешь примочку, и она, собака блокирует уже измененную арену енту smile.gif)))) цирк просто...

Потому что Spybot также считывает начальные конфигурации, следовательно для него незаконные изменения делаете именно вы.

Поэтому и сбрасывание домашней страницы с помощью AVZ, вам также не помогло (т.к. он также сбросил её на вашу начальную конфигурацию, т.е. на apeha.ru).

Вообщем, всё бы хорошо, если бы ни IE7, который в этом плане уже немного отличается от IE6 (там вообще домашних страниц может быть несколько; первый регистрационный запуск, влияющий на настройки домашней страницы и пр.).

Раньше, скорей всего, подобное можно было бы решить с помощью файла:

C:\WINDOWS\inf\

iereset.inf

Предварительно убрав все установленные запреты, которые были сделаны (в процессе борьбы с этой домашней страницей) с помощью Spybot и других подобных программ.

А вот с IE7 ситуация немного другая (хотя файл iereset.inf всё-таки просмотрите). Поэтому вы не могли бы экспортировать содержимое следующих ключей (Start > Run; вписываем regedit; нажимаем OK; находим и останавливаемся на нужном ключе, кликаем по нему правой кнопкой мыши и выбираем в меню опцию Export; сохраняем информацию с расширением .txt):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

[lamut]

Поставь WinPatrol и будет тебе счастье.

[ser208]

Кажись, Saule, как всегда, права.

Ну мы начали включать всякие иммунизаторы, когда уже areha.ru стояла домашней страницей, тем самым сделав ее неизменяемой. Кажись так.

[PhantasM]

Доброго всем времени суток!

Прежде всего прошу уважаемых модераторов не удалять тему, понятно что она не раз поднималась, но изучив все упоминания я так и не нашёл ответа. Давайте выясним как решать эту проблемму, она постоянно возникает у многих, так что тема пригодится.

Проблемма: Собирал для клиента комп, установил (проверенную винду XP pro), потом навешал туда всяких офисов, антивирь, АД-аварьку, IE7 (по просьбе клиента, ну и в общем все, больше ничего необычного не ставил (особенно игр).

И после очередной перезагрузки стартовая страница всегда www.apeha.ru.

Победить её так и не смог, в железе разбираюсь лучше чем в новом софте. По форумам нашёл множество упоминаний о тако

При запуске CD и DVD дисков с програмным обеспечением от © 2006 Dynamite Software Group mailto:dnsoftgroup@mail.ru

произведённых ООО "Сигма" согласно коду из файла avtorun.inf запускается autorun.exe (размер 289.5 кб дата создания 22 мая 2005 г., 15:44:10 ) FaberToys Examine File

при этом KIS 7 beta выдаёт предупреждение

Перехвачена попытка записи значения в ключе системного реестра, который входит в группу Internet Explorer Settings. Эти ключи контролируют параметры работы браузера Mictosoft Internet Explorer.

Рекомендуется разрешить доступ к этим параметрам только в том случае, если вы действительно хотите их изменить. В остальных случаях рекомендуется запретить доступ.

Ключ: HKEY_USERS\S-1-5-21-1454471165-1532298954-725345543-1003\Software\Microsoft\Internet Explorer\Main

Значение: Start Page

Старые данные(Строка Unicode, заканчивающаяся нулем):

about:blank

Новые данные(Строка Unicode, заканчивающаяся нулем):

www.apeha.ru

при разрешении изменяется стартовая страница IE и только после этого запускается на выполнение файл графической оболочки диска run.exe, при запрете происходит зависание autorun.exe

Одна из многих утилит, которые охраняют стартовую страницу браузера Internet Explorer - StartPage Guard. Она проверяет прописанный пользователем URL и не даёт сторонним программам, троянам, вирусам или шпионским модулям изменить адрес, установленный при старте браузера.

Загрузить StartPage Guard

http://www.izone.ru/security/utilities/sta...rd-download.htm

[torch777]

Жмешь "Пуск"=>"Выполнить", вводишь msconfig и ищешь, в какой строке на последней закладке у тебя есть ссылка на < areha >.< ru , бьешь ее (воообще поищи там все гиперссылки, e-mail'ы, non-DNS адреса вроде 125.09.18.56 и прибей их) снятием галочки напротив строки, потом Ok, перезагружаешь машину. Все должно прийти в норму.

Или же используй альтернативный браузер=)

[Гость а.м]

Доброго всем времени суток!

Прежде всего прошу уважаемых модераторов не удалять тему, понятно что она не раз поднималась, но изучив все упоминания я так и не нашёл ответа. Давайте выясним как решать эту проблемму, она постоянно возникает у многих, так что тема пригодится.

Проблемма: Собирал для клиента комп, установил (проверенную винду XP pro), потом навешал туда всяких офисов, антивирь, АД-аварьку, IE7 (по просьбе клиента, ну и в общем все, больше ничего необычного не ставил (особенно игр).

И после очередной перезагрузки стартовая страница всегда www.apeha.ru.

Победить её так и не смог, в железе разбираюсь лучше чем в новом софте. По форумам нашёл множество упоминаний о тако

Столько всего сказано....Я избавился от от этой www.apeha.ru так-Естественно удалил из свойств обозревателя где умолчания на стартовую страницу.Потом неплохо через чистку реестра( ну разные там программулины) найти эту хрень и удалить..Понятное дело не забываем про ребут..Можно ещё в файрволлле запрет поставить...А если кардинально просто послал этот IE подальше и юзаю только Opera и Mozilla по настроению, плюс всякие файрволлы и антивири... :(

[Elient]

У меня эта www.apeha.ru уже с год сидит. Винду переустанавливал за год 3 раза с полным форматированием диска С. Еще с этим сайтом всегда ставиться яхоо тубар и гугл тубар. Яхоо делает 6 ИЕ с закладками, гугл тубар ставит поиск. строку вверху браузера. Удалял я их из Program files ничего не помогает, после перезагрузке все на место возвращалось. Да я уже смирился с этим... Вроде ИЕ не пользуюсь, тока когда с WM работаю. Виндовс у меня лицензионный.

Если кто сможет помочь удалить эти тубары, буду благодарен.

[TVS]

У нас эта замена стартовой страницы на www.apeha.ru происходит после установки одной игры.

Но я пофиксила с помощью HijackThis, помогло. Но у нас IE 6. Причем, игра до сих пор стоит и работает.

Вопрос к Saule, а вот этого тоже, наверное, быть не должно:

Как это убрать?

Мне кажется, это все оттуда же появилось.

[Гость а.м]

'Elient'

Если кто сможет помочь удалить эти тубары, буду благодарен.

Странно...вроде через пуск-программы удалить эти тубары не проблема.Только найти Google,Yahoo и деинсталировать... :)

[Saule]

Вопрос к Saule, а вот этого тоже, наверное, быть не должно:

Как это убрать?

Мне кажется, это все оттуда же появилось.

Это остатки от 'MyWebSearch'. Чтобы убрать, попробуйте найти следующий ключик в реестре:

HKLM\SOFTWARE\Classes\CLSID\{1E0DE227-5CE4-4EA3-AB0C-8B03E1AA76BC}

или (это по сути одно и то же - т.е. при удалении одного, второй удалится автоматически):

HKEY_CLASSES_ROOT\CLSID\{1E0DE227-5CE4-4EA3-AB0C-8B03E1AA76BC}

И удалите весь раздел {1E0DE227-5CE4-4EA3-AB0C-8B03E1AA76BC}. Предварительно на всякий случай можно сделать его резервную копию с помощью кнопки 'Export" (+ также на всякий случай предупрежу: один из подключей этого раздела будет ссылаться на файл: 'C:\WINDOWS\System32\shdocvw.dll', так вот сам этот файл удалять из системы не нужно).

Если кто сможет помочь удалить эти тубары, буду благодарен.

Если будет такое желание, то сделайте лог с помощью HijackThis (включаем и нажимаем на кнопку 'Do a systemscan and save a logfile'. После чего программа автоматически выдаст вам текстовый файл, содержимое которого нужно скопировать в своё сообщение).

[TVS]

Это остатки от 'MyWebSearch'. Чтобы убрать, попробуйте найти следующий ключик в реестре:

..................

Спасибо, Saule, удалила.

Кстати, искала и удалила с помощью AVZ - ну о-о-о-чень удобно!

[Elient]

Logfile of HijackThis v1.99.1

Scan saved at 1:51:02, on 24.06.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\EPoX\USDM\USDM.EXE

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

D:\Program XP Vista\Total Commander\Totalcmd.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

D:\Program XP Vista\QIP\qip.exe

C:\Program Files\Mail.Ru\Agent\Magent.exe

D:\Program XP Vista\Mozilla Firefox\firefox.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\Dexen\LOCALS~1\Temp\Rar$EX00.516\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: (no name) - {7D593456-CE40-4F17-921B-8717A3BBB60E} - (no file)

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\PROGRA~1\PASSWO~1\Plugins\DummyObj.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [EPoXUSDM] "C:\Program Files\EPoX\USDM\USDM.EXE" "5000"

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Панель задач ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O8 - Extra context menu item: &Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm

O8 - Extra context menu item: Отправить в 'Ссылки Интернета' - C:\WINDOWS\system\sendurl.htm

O8 - Extra context menu item: Показать все рисунки в оригинальном качестве - C:\Program Files\www.cproxy.com\originalAll.htm

O8 - Extra context menu item: Показать рисунок в оригинальном качестве - C:\Program Files\www.cproxy.com\original.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{609AF7F2-94D2-489D-8AED-4FB5E9C8E415}: NameServer = 66.29.89.64 66.29.89.64

O17 - HKLM\System\CCS\Services\Tcpip\..\{81596EB7-4A1C-4773-8F85-A98F7C2AC84B}: NameServer = 213.135.97.131,195.128.128.1

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Вон она хадина! А теперь как удалить?

[Saule]

Вон она хадина! А теперь как удалить?

Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {7D593456-CE40-4F17-921B-8717A3BBB60E} - (no file)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

И для верности перезагружаем компьютер.

[Elient]

Saule спасибо. все удалилась!

[adept_abp]

Всем стальных нервов и вообще хорошего здоровья, и до кучи пусть вирусы с троянами, и прочие беды обходят вас и ваш комп стороной!

Столкнулся с такой же проблемой (она и раньше меня раздражала ента апеха). Вот пошёл за советом к яндексу, а он меня послал... правильно - сюда. Я читал-читал(устал, но кое что в памяти отложилось), и как-то не увидел(может просмотрел ), раньше "Апеха" внаглую создовала папку в "Program files" - "VVC" и оттуда вносила свои вредные коррективы(это моё мнение ), и после удаления этой папки со всеми вредными файлами, и установкой в IE6 about:blank - всё было хорошо. Но... Сегодня я не нашёл такой папки(да и IEуже 7!!!)... и как я уже "говорил" пошёл к яндексу за советом... а потом сделал следующее.

1. Пуск -> Выполнить -> Regedit(альтернатива: кнопка WIN+R -> Regedit )

2. Выбираем влевом столбце "Мой компьютер"

3. На панели щёлкаем "Правка"(это та, что рядом с "Файл" :D )

4. Выбераем "Найти"

5. Вводим в поисковую строку(без кавычек) "apeha" и жмём кнопочку "Найти далее"

6. Видим в параметре "StartPage" надоевшее слово "APEHA"

7. Заменяем значение "АРЕНА" на "about:blank" и жмём кнопочку "Найти далее"(то есть F3)

8. Видим ещё один параметр(в моём случае это 001) с "apeha" правой кнопкой - изменить - и по...ить "apeha"(внимание!!! выражение лица должно быть злорадным!!!! )

9. А вот чуть выше(в моём случае это 000) параметр со значением... пральна - "VVC". Его тоже делитнуть.

10. Жмём кнопочку "Найти далее"(то есть F3). На этом у меня всё. А увас?

Мне даже перезагружаться не пришлось. Отделался легким испугом. Теперь у меня постоянно about:blank. Надеюсь и вам поможет.

[Twix]

Тема очень помогла, Спасибо!

Путь реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

Изменение (ИМЯ First Home Page ТИП REG_SZ) ЗНАЧЕНИЕ http://www.google.ru)

Иди переименование ключа "First Home Page" (пример First Home Page2) также решает проблему.

Про удаление "ключа First Home Page " в теме не нашёл ничего но попробовал и также результат положительный.

Saule Спасибо, Ваши подсказки помогли найти решение.

[mrbus]

Ну и живучая же эта апеха.

Я прибил её проще: Windows\system32\drivers\etc\hosts, добавил строку

127.0.0.1 apeha.ru

непобедимое решение.

Имхо, это сам эксплорер такой, не совсем микрософтовский - у меня даже в заголовке пишется "Windows Internet Explorer предоставлен QIP.ru" и видимо квиповцы модифицировали его так.

[AngelBody]

Всем стальных нервов и вообще хорошего здоровья, и до кучи пусть вирусы с троянами, и прочие беды обходят вас и ваш комп стороной! :1eye:

Столкнулся с такой же проблемой (она и раньше меня раздражала ента апеха). Вот пошёл за советом к яндексу, а он меня послал... правильно - сюда. :bleh: Я читал-читал(устал, но кое что в памяти отложилось), и как-то не увидел(может просмотрел :blink: ), раньше "Апеха" внаглую создовала папку в "Program files" - "VVC" и оттуда вносила свои вредные коррективы(это моё мнение :g: ), и после удаления этой папки со всеми вредными файлами, и установкой в IE6 about:blank - всё было хорошо. Но... Сегодня я не нашёл такой папки(да и IEуже 7!!!)... и как я уже "говорил" пошёл к яндексу за советом... а потом сделал следующее.

1. Пуск -> Выполнить -> Regedit(альтернатива: кнопка WIN+R -> Regedit :nerd: )

2. Выбираем влевом столбце "Мой компьютер"

3. На панели щёлкаем "Правка"(это та, что рядом с "Файл" :D )

4. Выбераем "Найти"

5. Вводим в поисковую строку(без кавычек) "apeha" и жмём кнопочку "Найти далее"

6. Видим в параметре "StartPage" надоевшее слово "APEHA"

7. Заменяем значение "АРЕНА" на "about:blank" и жмём кнопочку "Найти далее"(то есть F3)

8. Видим ещё один параметр(в моём случае это 001) с "apeha" правой кнопкой - изменить - и по...ить "apeha"(внимание!!! выражение лица должно быть злорадным!!!! :sly: )

9. А вот чуть выше(в моём случае это 000) параметр со значением... пральна - "VVC". Его тоже делитнуть.

10. Жмём кнопочку "Найти далее"(то есть F3). На этом у меня всё. А увас? :g:

Мне даже перезагружаться не пришлось. Отделался легким испугом. Теперь у меня постоянно about:blank. Надеюсь и вам поможет. :bye1:

Спасибо автору!!! Это лучший способ. Но вот только хотел кое-что добавить.... в Вашем случая в дальнейшем нету возможности устанавливать какую либо домашнюю страницу, так как в регестре запрограмировано чисто на чистую страницу, по этому всё что в регестре связано с Ареной нужно просто удалить :)

Вот мой коверт Вашей находки....

1. Вызываем командную строку (cmd) и там вызываем утилиту отвечаещую за изменение регестра Regedit (альтернатива: кнопка WIN+R -> Regedit )

2. Выбираем влевом столбце "Компьютер"

3. На панели щёлкаем "Правка" (это та, что рядом с "Файл" )

4. Выбераем "Найти"

5. Вводим в поисковую строку (без кавычек) "apeha" и жмём кнопочку "Найти далее"

6. Видим в параметре "StartPage" надоевшее слово "APEHA"

7. Удаляем все что связано с ареной "(внимание!!! выражение лица должно быть злорадным!!!! ) и жмём кнопочку "Найти далее" (то есть F3)

Желаю вам не встречать таких троянов и тд., у пусть в вашем компьютере всегда будет празник =)

[Юpий]

Спасибо автору!!! Это лучший способ. Но вот только хотел кое-что добавить.... в Вашем случая в дальнейшем нету возможности устанавливать какую либо домашнюю страницу, так как в регестре запрограмировано чисто на чистую страницу, по этому всё что в регестре связано с Ареной нужно просто удалить :)

Всем спасибо:

в регестре всё что связано с Ареной поменял на google.ru теперь у меня стартовая страница Google :blush2:

[Brasil]

Для Vista например в реестре (Пуск, щелкните Все программы и в папке Стандартные щелкните Выполнить, наберите – regedit ) сначало слева нажми на папку весь «компьютер» , потом сверху Правка>Найти>впиши «www.apeha.ru» или просто «apeha» он найдет ключи с содержанием http://www.apeha.ru и покажет их справа, правой кнопкой мыши – удалить

Удачи

!

Предупреждение:

И зачем практически дословно повторять пост, бывший чуть выше? Разве что с целью продемонстрировать умение менять слова местами?

Посему - флуд. Причём злостный...

Изменено 16 февраля, 2011 пользователем Yezhishe

[Klukva]

Не поленилась зарегистрироваться, чтобы сказать Вам СПАСИБО!!! С перерывами на валерьянку ))) 10 часов сегодня на эту гадость убила - ничего не помогало, поэтому примечание к Вашему п.8 особенно удалось ))). Еще раз огромное спасибо!

i

Уведомление:

Ну зачем же полностью цитировать пост четырёхлетней давности?

Изменено 16 февраля, 2011 пользователем Yezhishe

[ССК]

Спасибо, все удалилось. :rolleyes: До этого все попытки были безрезультатны

[RicoTelaran]

Vorlon: Попробуй тогда так: вставь в ярлыки запуска IE после заверщающих кавычек через пробел ключ -nohome

При этом и IE должен запускаться быстрее.

Спасибо, огромное! Намучился с apeha, попробовал ключ - бомба, правда и открывается быстрее... Теперь думаю окончательно с мозиллы соскачить.