Вопрос № 95707: Уважаемые эсперты, подскажите. Где в реестре находятся ключи ответственные за настройку браузера Internet Explorer, в частности адрес стартовой страницы. А то при каждой перезагрузке браузера устанавливается непонятная стартовая страница (http://www....
Вопрос № 95.707
Уважаемые эсперты, подскажите. Где в реестре находятся ключи ответственные за настройку браузера Internet Explorer, в частности адрес стартовой страницы. А то при каждой перезагрузке браузера устанавливается непонятная стартовая страница (http://www.web-entrance.com/main.cgi?ID=236). Через Сервис/Свойства обозревателя/Домашняя страница пробовал убирать, но не помогает - после перезагрузки данная страница сново устанавливается как стартовая. Кроме того хотелось бы все установленные настройки IE сохранить reg-файл,
чтобы при переустановке системы не пришлось бы настраивать вручную, а внести все изменения запуском reg-файла.
Система Windows XP SP2, Антивирус Касперского 6.0
Отвечает: Агеев Юрий
Здравствуйте, Авдеев Вячеслав!
Найдите или создайте следующий строковый параметр Start Page в разделе
HKCUSoftwareMicrosoftInternet ExplorerMain
Создайте новую строку или измените существующую запись на вашу.
Теперь, при запуске браузера будет загружаться указанная страница
Чтобы сохранить настройки экспортируйте всю ветку Internet Explorer в reg файл
С уважением.
--------- Нужно стараться выяснить - не кто знает больше, а кто знает лучше.
Ответ отправил: Агеев Юрий (статус: Практикант)
Ответ отправлен: 19.07.2007, 17:56
Отвечает: Шмельков Евгений Александрович aka sea
Здравствуйте, Авдеев Вячеслав!
1 Шаг. Выгрузите из памяти все несистемные (не обеспечивающие работу windows) приложения, причем важно отметить, что диспетчер задач отображает не полный список приложений, находящихся в памяти. Рекомендую использовать программу Taskinfo
http://www.iarsn.com/download.html. Затем с помощью утилиты MSCONFIG.EXE проверьте всю автозагрузку (опять таки, стандартная утилита MSCONFIG.EXE все пути автозагрузки не отображает, подробнее про автозагрузку здесь http://www.windxp.com.ru/autop.htm )и либо отключите загрузку обнаруженной вредоносной программы (обычно это программа, назначение которой вам неясно, или которая имеет абсурдное название — набор цифр, например), либо, если визуально определить виновника невозможно, то отключите вообще все программы
из автозагрузки — для ОС это абсолютно безопасно. Затем, проверьте систему свежим антивирусом и программой Adaware, взять которую можно здесь http://www.download.com/Ad-Aware-SE-Personal-Edition/3000-8022_4-10045910.html?part=dl-ad-aware&subj=dl&tag=top5 . После этого обнулите стартовую страницу и перезагрузите компьютер. Если страница осталась пустой, значит, подменял страницу кто-то из автозоагружаемых программ. Теперь по одной возвращая программы в автозагрузку, Вы
сможете определить конкретного виновника. Случается, что программа - подменятель запускается не через автозагрузку, а во время своего обычного запуска (игра например). Запускайте каждую из установленных программ и смотрите, в какой момент страница подменилась.
2 Шаг. Удалите все временные интернет-файлы (Temporary Internet Files), очистите Журнал (History), очистите папку C:WINDOWSCOOKIES и посмотрите, какие плагины установлены для Internet Explorer — возможно страницу изменяет какой-то из них. Плагины устанавливаются в PROGRAM FILESINTERNET EXPLORERPLUGINS . В свойствах файла Вы можете узнать производителя плагина. Переместите все плагины и смотрите результат - если проблема исчезла, значит, виноват один из плагинов. Если — нет, то откройте на этот раз в Блокноте
файл без расширения HOSTS, он находится в папке WINDOWSSYSTEM32DRIVERSETC) и просмотрите его содержание — строки с упоминанием IP-адреса сайта вредоносной программы следует удалить. Если же вы не используете файл HOSTS, или первый раз о нём слышите (учтите только, что его мог создать администратор вашей локальной сети), то можно удалить (или временно переместить в другую папку) и его.
3 Шаг даже если вы нашли виновника, запустите поиск этого зловредного URL-адреса (или IP) в редакторе реестра — везде, где встретите его упоминание — удаляйте. Обычно в Windows оказываются поражены чужеродным URL следующие параметры реестра (параметры, значение которых не указано, можно удалить):
HKEY_CURRENT_USER Software Microsoft Internet Explorer
"SearchURL"=
HKEY_CURRENT_USER Software Microsoft Internet Explorer Main
"Default_Search_URL"=
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"=
"SearchURL"=
"Window Title"=
"Window_Placement"=
HKEY_CURRENT_USER Software Microsoft Internet Explorer Search
"SearchAssistant"=
HKEY_CURRENT_USER Software Micrsoft Internet Explorer ToolbarW ebBrowser
"ITBarLayout"=
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Internet Explorer Search
"SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
"CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Internet Explorer AboutURLs
"NavigationFailure"="res://shdoclc.dll/navcancl.htm"
"DesktopItemNavigationFailure"="res://shdoclc.dll/navcancl.htm"
"NavigationCanceled"="res://shdoclc.dll/navcancl.htm"
"OfflineInformation"="res://shdoclc.dll/offcancl.htm"
"blank"="res://mshtml.dll/blank.htm"
"PostNotCached"="res://mshtml.dll/repost.htm"
"mozilla"="res://mshtml.dll/about.moz"
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Internet Explorer Main
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Local Page"=
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
"CompanyName"="Microsoft Corporation"
"Window Title"=
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion URL DefaultPrefix
="http://"
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion URL Prefixes
"ftp"="ftp://"
"gopher"="gopher://"
"home"="http://"
"mosaic"="http://"
"www"="http://"
HKEY_USERS .Default Software Microsoft Internet Explorer
"SearchURL"=
HKEY_USERS .Default Software Microsoft Internet Explorer Main
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Default_Search_URL"=
"Search Bar"=
"Local Page"=
"Start Page"=
HKEY_USERS .Default Software Microsoft Internet Explorer Search
"SearchAssistant"=
Кроме того, непременно проверьте, какие Browser Helper Objects установлены на вашем ПК. Browser Helper Objects (BHO) — это небольшие программы, не имеющие пользовательского интерфейса и автоматически запускаемые вместе с Internet Explorer. Немногие пользователи слышали о подобной весьма небезопасной и достаточно скрытой функции Internet Explorer, но именно с её помощью делается такая мерзость, как постоянная подмена вводимого в адресной строке браузера URL. Список идентификаторов установленных BHO находится
в разделе реестра HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion explorer Browser Helper Objects.
Подозрительные BHO можно попробовать удалить из списка (предварительно сделав резервную копию реестра) — это их полностью дезактивирует. Однако, как выяснить — подозрительные они или нет, если в вышеупомянутом разделе только ничего не говорящие длиннющие номера? Технология в данном случае такова. Например, если в этом разделе вы обнаружите подраздел HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion explorer Browser Helper Objects {A5366673-E8CA-11D3-9CD9-0090271D075B}, то произведите поиск во всем
реестре найденного идентификатора BHO — {A5366673-E8CA-11D3-9CD9-0090271D075B} — обнаружите его упоминание также и в разделе HKEY_CLASSES_ROOT CLSID {A5366673-E8CA-11D3-9CD9-0090271D075B}. Просмотрите всё содержимое найденного раздела, чтобы определить, к какой программе относится этот BHO — в данном случае вы обнаружите такую запись:
HKEY_CLASSES_ROOT CLSID {A5366673-E8CA-11D3-9CD9-0090271D075B} InprocServer32
="C:PROGRAM FILESFLASHGETJCCATCH.DLL"
из которой можно сделать вывод, что обнаруженный BHO создан программой FlashGet и никакой угрозы не представляет. Если же вы обнаружите упоминание DLL-библиотеки непонятного происхождения, то смело удаляйте в реестре все упоминания данного BHO — скорее всего, именно он и является причиной неприятностей. Удобнее же всего (и безопаснее для реестра) не ручной поиск и идентификация установленных BHO, а использование специально для этого предназначенных программ, таких как BHODemon (www.definitivesolutions.com) или
BHOCaptor (www.xcaptor.org), которые выдадут всю информацию об установленных модулях BHO и помогут деактивировать подозрительные BHO.
PS За основу ответа взята статья Сергея Трошина «Борьба с рекламными модулями
для Internet Explorer» адрес http://www.stn-vidnoye.narod.ru/
Отвечает: Jurgenix
Здравствуйте, Авдеев Вячеслав!
Есть хорошая программа, а именно RegShot, позволяющая делать снимки реестра и сравнивать их. Например можно сделать 1-й снимок, затем настроить, как вам надо браузер, а затем сделать 2-й снимок, и сравнить их (сравнивать будет сама программа), где вы увидеть, что именно было изменено в реестре. Полученные данные можно сохранить в reg-файл. Скачать программу можно по адресу:
http://winchanger.narod.ru/regshot161d.zip
С уважением.
Ответ отправил: Jurgenix (статус: 1-ый класс)
Ответ отправлен: 19.07.2007, 22:06
