Перегляд теми - як повернути ie браузером за замовчуванням

Чи не знайшов більш підходящого по темі топіка, тому вирішив ЗАПУСТИТИ сюди повідомлення, яке, можливо, буде корисним тим оригіналам (я - в їх числі), хто все ще тримає ИЕ браузером за замовчуванням:

Відстеження завантаження шпигунських програм в системі Windows

Останнім часом в Інтернеті часто зустрічаються питання про те, що при використанні Internet Explorer відбувається зміна стартової сторінки, при завантаженні по посиланню відкриваються зовсім інші сторінки. Я сам зіткнувся з цим і тому вивчав проблему на собі. Перше, що радили, це скористатися спецпрограми типу Ad-aware і Антивірус Касперського з новими базами. Це правильно і на якийсь час вирішує проблему, але потім знову все повторюється. Я ж вирішив з'ясувати вручну де прописується шпигун і як мені здається з'ясував це. Я не письменник і не журналіст, стиль моєї писанини прошу не критикувати, пишу тому що сам не знайшов в одному місці докладного опису як і що відбувається і вирішив заповнити цей. Може кому буде цікаво.

Для спостережень я використовував два комп'ютера: на роботі Windows XP без сервіс паків і вдома спочатку також Windows XP без сервіс паків, потім поставив послідовно SP-1 і SP-2.

Коли я вперше зіткнувся з цією проблемою, то для з'ясування де ж що грузиться став перевіряти, по-перше, пункт # 9562; Автозавантаження # 9577 ;. У мене в ньому варто тільки завантаження офісу. По-друге, ключі реєстру відповідальні за автозавантаження програм: це розділ реєстру
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion
а в ньому підрозділи Run, RunOnce, RunOnceEx, RunServices, RunServicesOnce. У цих розділах є строкові ключі (деякі розділи порожні), що відповідають за запуск програм. Назва ключа може бути довільним, а в якості значення у них вказується запускається програма, якщо треба - то з параметрами. Зверніть увагу на розділи, в назві яких є "Once". Це розділи, в яких прописуються програми, запуск яких треба зробити всього один раз після наступного завантаження системи. Наприклад, при установці нових програм деякі з них прописують туди ключі, що вказують на ті чи інші налагоджувальні модулі, які запускаються відразу після перезавантаження комп'ютера. Такі ключі після свого запуску автоматично видаляються. У параметрі
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
я знайшов одну програму з ім'ям з довільного набору букв. Програма була записана в папці Windows, дата створення виявилася свіжа. Зрозумівши що це шпигун, вирішив потім з ним розібратися. Власникам лінійки Win98 рекомендую заглянути ще й в файл win.ini в розділ [windows]. У ньому є два параметри load і run. Якщо в них записані якісь програми, то варто перевірити які саме і чи потрібні вони Вам. Крім цього в реєстрі є параметр
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ AppInit_DLLs
У ньому можна прописати DLL які будуть завантажуватися при всіх завантаженнях в усі запускаються Windows процеси, які використовують бібліотеку User32.DLL. У мене цей параметр порожній.

Таким чином все перевіривши я знайшов тільки одного шпигуна в параметрі реєстру, що відповідає за автозавантаження програм. Перезавантаживши комп'ютер я відразу вивів на екран диспетчер задач Windows і поспостерігав, як цей процес завантажившись при старті системи відпрацював кілька хвилин і вивантажився. Вирішивши що він завантажує DLL в пам'ять і вже потім вона грає роль шпигуна, я цей параметр видалив з реєстру і з папки Windows.

Перевірив ключі реєстру:

2. HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ URL \ Prefixes
Там повинні бути наступні значення параметрів:

Вирішивши, що зі шпигуном покінчено, я заспокоївся і деякий час працював все нормально, але через кілька днів повторилося знову те ж саме, що було відразу помітно тому що змінювалася стартова сторінка. Вирішивши, що працюючи в Інтернеті я знову ловлю заразу, я також вручну прибрав з автозавантаження з'явився файл, в імені якого були вже інший набір букв, але порівняння файлів з попереднім видавало, що вони однакові. Видалив файл і виправив ключі реєстру, тому що там знову прописувалися url. Звичайно можна було відразу хильнути сервіс паки, але я вирішив спостерігати що ж буде далі. Будинки поставив SP-1. Попрацювавши я став більш уважно стежити і звернув увагу, що в один день відбулися зміни сторінки і url в той час, коли я не був підключений до Інтернету. Зараження так само сталося і на домашньому комп'ютері при роботі в Інтернет. До цього він не був заражений з чого я зробив висновок що SP-1 не є захистом від використовуваної шпигуном діри.

Висновок: шпигун так і сидів на робочому компі; на домашньому тільки що відбулося зараження, тільки вносив зміни він мабуть не відразу, а через кілька днів, мабуть щоб залучати менше уваги. Якби він відразу вносив зміни після мене, то я б раніше зрозумів, що шпигун продовжує працювати і не припинив би пошуки. А так я втратив кілька тижнів, думаючи що ловлю шпигуна з Інтернету, в той час, як він сидів у мене і продовжував працювати.

Близько місяця все було нормально поки у мене не було вирішене одне питання - як же бібліотека вантажилася? Через місяць на робочому компі я знову побачив проблеми, стартова сторінка вже так явно не змінювалася, але відбувалися зміни url в реєстрі і при роботі в IE відкривалися зовсім інші посилання, а не ті, на які я натискав. Йдучи уторованим шляхом я виявив в папці Windows \ System32 бібліотеку qweХХХХ.dll, де замість "ХХХХ" вже інші цифри, а також ini файл з тим же ім'ям. Що стоїть на компі Каспер вже не бачив в ній шпигуна.

Перезавантажити в безпечному режимі я цю бібліотеку видалив. Все знову встало на місця. Оновив бази Каспера. Але мені все не давала спокою думка як бібліотека вантажилася. Я перевіряв все ключі відповідальні за автозавантаження програм, там видаляв все підозріле, і, навіть коли там залишалися тільки необхідні програми, яким я довіряю, бібліотека все одно вантажилася. Новомосковський літературу я зустрів інформацію, що є і ще можливість завантаження яку я не перевіряв.

В Internet Explorer вбудована технологія Browser Object Helper. Дана технологія дозволяє вбудовувати іншим програмам свої плагіни в IE і виконувати якісь дії під час його роботи. Так, наприклад, надходять качалки. У мене стоїть FlashGet. Дана технологія може бути використана і для спостереження за діями користувача в IE і замість його дій виконувати свої, в тому числі для завантаження інших сторінок замість тих на які хочемо перейти по посиланню.

Об'єкти завантажуються через BHO зберігаються в ключі:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects
де перераховані значення з ім'ям рівним CLSID завантажується об'єкта. У ключі
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID
знаходимо по CLSID розділ з ім'ям цього CLSID. У ньому можна подивитися параметри об'єкта, в тому числі і шлях до завантажується бібліотеки в параметрі \ InprocServer32 \ (За замовчуванням) = "шлях до завантаженого об'єкта".

Подивившись дані ключі я побачив, що через них вантажилися ці DLL, і хоча фактично самі файли я видалив, але ключі відповідальні за завантаження залишилися на місці. Тобто EXPLORER не змінювався, він залишався саме тим яким і був при установці WINDOWS, інші проги не Грузія бібліотеки, використовувалося те, що було вбудовано розробниками. При завантаженні EXPLORER переглядав ключі реєстру і довантажувати бібліотеки. Якщо якийсь із них не було, то це просто пропускалося не вивільняючи ніяких повідомлень.

Таким чином можна вручну розібрати що нам треба в даних ключах реєстру, а що ні, і видалити шпигуна. А можна скористатися спецпрограми, наприклад, BHO Captor або WinPatrol. Остання мені особливо сподобалася, так як крім цього видає багато іншої корисної інформації по тому що запускається на комп'ютері. Але перша, що добре, має в комплекті вихідні тексти на DELPHI. У всякому разі, та версія яку я скачав. За ісходникам можна подивитися використовувані ключі реєстру.

Ось в принципі і все, що я хотів розповісти в своїй статті. Технологія завантаження BHO для мене була відкриттям. Якщо про вищеописаних ключах і методах завантаження я чув раніше і при пошуку шпигуна їх використовував, то BHO я відкрив для себе вперше, і до цього часу загальнодоступних місцях я не зустрічав опису цього, тому вирішив заповнити прогалину.

Звичайно, якщо використовувати більш нові версії програм для спостереження за системою і регулярно оновлювати бази, то ці шпигуни будуть видалені (Каспер також повідомляє, що об'єкт DLL заражений і видалити його неможливо, тому що він заблокований. Доводилося перезавантажувати в безпечному режимі і видаляти вручну), але для мене було цікаво розібратися самому де це відбувається. Крім того хочеться сказати слово на користь установки сервіс паків: хоча SP-1 дозволяв шпигунові пролізти в систему, то SP-2, що стоїть у мене вдома, поки не дає цього зробити. Мабуть діру, через яку шпигун ліз на комп'ютер, він закриває. Зараз подумую і на роботі встановити сервіс паки.

Додано через 1 хвилину 42 секунди:

Примочки для ІЕ: