Wydaje mi się że prawdopodobnie temat już był lecz nie jestem pewien czy dotyczy to mojego problemu i szczerze mówiąc nie wiem gdzie szukać,toteż z góry przepraszam że byćmoże zawracam głowe.
Otóż podczas uruchamiania przeglądarki "nagminnie"wyskakuje mi strona:
Wszystkim serdecznie dzięki za odpowiedzi,co do podpowiedzi Monczkina niestety robiłem to wcześniej i bez powodzenia,skożystałem narazie z rady jak zwykle nieocenionego Goldena,jednak nie ukrywam iz Angielski nie jest moją domeną a po przeskanowaniu kompa zalecanym (CWShredder)programem ukazał sie napis ściślej mówiąc informacja że coś jest nie tak w Windows Media Player (z tego co zrozumiałem).Narazie problemu nie widać ale wczoraj miałem podobnie po wyczyszczeniu Ad-aware i niestety powrót strony nastąpił.Jeśli nadal jak bumerang wkradnie się ta strona to skożystam z rady Jamaicy.
SuryKat ma rację, temat był już wielokrotnie na Forum. Marku, opcja szukaj jest u góry strony. Łatwy interfejs pozwoli szybko znaleźć Tobie to, czego szukasz.
Sam niedawno miałem podobny przypadek. Po uruchomieniu IE ładowała się strona searchpage.cc. Kiedy przechodziłem do jakiejkolwiek wyszukiwarki, zawsze wyskakiwał searchpage.cc. A autostarcie nie było nic, ani w kluczach rejestru, ani w menu start.
W Temporary Internet Files znalazłem podejrzany elemet. Inst.exe. Spakowany UPXem. Ponieważ nie miałem najmniejszego pojęcia jak hijacker uruchamia się z przeglądarką, rozpakowałem exe. Przy uzyciu edytora zasobów wyodrębniłem dwa binaria, z których jeden okazał się być biblioteką o nazwie mshelper.dll. Sprawdziłem katalog windows\system32. Była tam taka biblioteka, co więcej, jej usunięcie było niemożliwe, bowiem plik był używany przez system. ProcessExplorer wszystko wyjaśnił.
Nie pozostało nic innego, jak poszukać w wyodrębnionych binariach ciągów będących kluczami rejestru. Bingo!
Pousuwałem wszystkie klucze związane ze swoim odkryciem. Po restarcie usunąłem felerną bibliotekę. Po problemie.
Usuwanie kluczy rozpoczęło się od HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions
Tak więc jeśli występuje tam jakiś wpis ewidentnie nie dotyczący używanego oprogramowania związanego z IE, np. FlashGet, warto go usunąć wyśledziwszy uprednio powiązania tego klucza i innymi częściami rejestru (które najczęściej też można spokojnie usunąć).
Oczywiście, zanim zrobisz cokolwiek w rejestrze, najpierw wykonaj jego kopię zapasową. To na wszelki wypadek.
Inna możliwość: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search oraz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main.
Jakże się dzisiaj mocno zdziwiłem, kiedy znów wyskoczyło mi searchpage.cc :o
He, spryciarze! W systemie pozostał jeszcze jeden plik, mtwirl.dll. A może pograny został z jakiejś strony? Nie wiem, profilaktycznie ustawiłem w Avaście informowanie mnie o zapisywaniu, usuwaniu i modyfikacji plików wykonywalnych (exe, com, dll), nic jednakże nie wyczaiłem. Albo więc coś zostało, albo pobrane zostało przez kogoś (z mojego kompa korzysta jeszcze jedna osoba).
No w każdym razie odkryłem dziś (Ameryka!
Hijackerom mówimy stanowcze NIE! Dlatego wszystko usunąłem, mtwirl.dll przywitał się z Koszem, a ZoneAlarm wzbogacił o nowe reguły blokujące dostęp do searchpage.cc i http://www.nkvd.us.
Kurde, czy ktoś zna jakąś metodę na zablokowanie cichego uruchamiania execów po pobraniu ze stron WWW? Bo Avast albo daje ciała albo… nie wiem co…
Aha, jeszcze jedno. Warto sprawdzić klucz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL i wpisy prefiksów. U mnie wszystkie prefixy zamienione były na http://www.nkvd.us/1526, co powodowało różne cuda ze stronami WWW.