SpyWare

Ну что ж... Программеры рассказали мне всё в подробностях и дали распечатки. Попробовал по их рекомендациям "полечить" компы у юзеров--всё получилось. Как и писал ранее, все лечится восстановлением нормальных записей в реестре с помощью regedit. Просто ручками перепечатываеш несколько строк. Не требуется скачка-установка-запуск каких-либо дополнительных программ. Времени уходит пять минут.
Но вот что-то смутные сомнения меня терзают--а надо ли? Народ что-то молчит в этом топике. Сначала много писал про то, что их Интернет Эксплорер стартует с порнушного сайта или портала, а теперь тишина.
Внимание вопрос! Если нужна эта иформация--напишите, что да, нужна. Если не интерессно, то не пишите.

Да, нужна и желательно пошагово, для чайников по работе с реестром. Ось Win98
Обнаглею совсем, желательно вывесить файликом графическим распечаточки.

По просьбе уважаемого однофамильца рассказываю про "ручное" излечение компов. Прошу прощения за задержку--был очень сильно занят. Файлики графические здесь не нужны.
И по постам форумчан, и по собственному опыту ясно, что речь идет про двух разных троянах. Очень похожих, но все-таки разных. И, соответственно, они разные области реестра портят.
Итак, по порядку:
Гад номер один.
Симптомы: при запуске Internet Explorer'a сразу же в заголовке окна (самая верхняя синяя строка) появляется гадский URL, предположим http://www.gad.com (НЕ КЛИКАТЬ НА ССЫЛКУ, ВЗЯТА ОТ БАЛДЫ!!!). Затем она сама-собой появляется в адресной строке и, соответственно, начинает загружаться гадский сайт. Как правило, портал коммерчиской направленности. Можно кликнуть на "Остановить", забить в адресную строку нужный URL и спокойно работать. При следующем запуске IE всё повторяется.
Что это означает: на комп попал вредоносный код, пробрался в систему и модифицировал ключи реестра. Следовательно необходимо
1)найти гадскую программу в системе и удалить её
2) восстановить правильные записи в реестре
Для первого пункта прекрасно подойдет обычный виндовый поиск--Пуск->Найти->Файлы и папки. Для области поиска лучше выбрать весь диск С:
А вот теперь самое интересное--в строке поиска надо забить гадский URL http://www.gad.com в нашем примере. Простая вещь, но не все программеры почему-то её знают. Поиск выдаст вам файл, содержащий гадский URL. И не удивляйтесь, что он в Windows/System, где же ему ещё быть... И удалить его так просто не получиться, Винда будет вопить, что эта программа сейчас выполняется, занята другим процессом. Лично я запоминаю папку и название гадского файла, затем перезагружаюсь и вхожу в Безопасный режим, запускаю Windows Commander, нахожу в нем гада и удаляю. У других людей могут быть другие способы и программы для этого. Но удалить надо обязательно.
Правка реестра:
Тоже все просто, обычными виндовыми средствами--Пуск->Выполнить.
В командной строке набрать regedit. И вперёд. Опять же, в regedit'e есть свой Поиск и можно также забить туда URL гада. Он сразу выдаст искомую область реестра. Но на всякий случай даю полный путь:
HKEY_LOCAL_MACHIN-->Software-->Microsoft-->Internet Explorer-->Main.
Около Main тоже будет плюсик в квадратике, но на него кликать не надо, а надо выделить Main левой кнопкой мыши, т.е. сделать синим. И сразу в правой части окна увидите ключи реестра и обнаружите там в нескольких строках гадский URL. Теперь наводите курсор мышки на строку (там, где всякие Page), кликаете правой кнопкой мышки, выбираете "Изменить" и в маленьком окошечке стираете гада и прописываете туда то, что изначально назначил добрый молодец Билли со товарищи. Лично я нашел в оффисе комп с нормальной Виндой и распечатал эту область реестра на листочек. И вы все можете. Это шпаргалка будет.
Default_Page_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Enable_Disk_Cache=yes
Cache_Percent_of_Disk=0a,00,00,00
Delete_Temp_Files_On_Exit=yes
Local Page=C:\WINDOWS\SYSTEM\blank.htm
Anchor_Visitation_Horizon=01,00,00,00
Use_Async_DNS=yes
Placeholder_Width=1a,00,00,00
Placeholder_Height=1a,00,00,00
Start Page=http://www.ofo.ru/121780/xapicomarkqzwd
Custom_Key=MICROSO
CompanyName=Microsoft Corporation
Wizard_Version=6.00.2600.0000
FullScreen=no
Search Bar=http://www.puh.ru/search.html
Check_Associations=no

Это точная копия с оффисной машины. Напечатал весь раздел полностью просто для полноты картины.
Примечания:
Количество строк и их взаимное расположение может отличаться от вашего--не обращать внимание.
Вместо Yes может стоять No--Не обращать внимание.
Интуитивно чувствую, что Local Page здесь самая важная строка, в ней обязательно будет стоять гадский URL--поменять обязательно.
Самое главное--переписать строки, где содержиться гадский URL.
Не надо ничего бояться--если что не так, то всегда можно сделать "откат" на вчерашнюю копию реестра (см. выше).
Уфф...Перекур...

Продолжаю.
Гад номер два.
Симптомы: После запуска IE вроде как бы всё нормально, в адресной строке стоит как и положенно about:blank (совершенно дурацкое словосочетание ИМХО). Но стоит только набрать какой-нибудь URL, ну,скажем www.yandex.ru, как откуда-то выскакивает порнушный URL, встаёт перед Яндексом, так, что бедный Яндекс оказывается как-бы дописанным к концу порнушного URL'а. Затем загружается, естественно этот сексуальный гид и обалдевший пользователь наблюдает на экране всякие непотребства. Хорошо, если это происходит не на работе, или рядом нет жен и детей...
Причем, если не набирать адрес вручную, а кликнуть на ранее введенный адрес в выпадающем меню, то все работает нормально. Так же все нормально работает, если кликать на гиперсылки на WEB-страничках.
Лечится точно так же, как и в предъидущем случае. То есть сначала поиск и удаление вредоносной программы. Кстати, она может и не найтись, потому что её после внедрения нашел и удалил антивирус или сам пользователь.
Затем правка реестра. Тоже запускаем regedit. Тоже можно воспользоваться его Поиском и забить в поисковую строку URL этого сексуального гада. Также дам полный путь к интересующей нас области реестра.
HKEY_LOCAL_MACHIN-->Software-->Microsoft-->Windows-->CurrentVersion-->URL-->Prefixes
Prefixes выделяем и видим... естественно гадские URL. А должно быть так:

ftp "ftp://"
gopher "gopher://"
home "http://"
mosaic "http://"
www "http://"

После правки о проклятом сексуальном гаде можно забыть.
Для порядка можно еще проверить Default Prefix, там должно быть так:
по умолчанию "http://"

Ну вроде бы и всё. Что знал--всё написал. Если хотя бы один комп будет вылечен по моим постам, то я буду считать, что не зря потратил время. Напишите, пожалуйста, о результатах.

palych, спасибо за подробное разъяснение, буду пробовать.
Я предполагаю, что троян сидел в дистрибутиве Win 98, т.к. появился сразу после перезагрузки ОСи, а перед этим я всё, что касалось системы снес вручную очень тщательно. Дистрибутив был на болванке, но пришлось воспользоваться им, т.к. все остальные доступные дистрибутивы глючные.

Есть очень хитрые трояны, записывающие себя в системную область винчестера (где винт своё состояние пишет и т.д.) т.е. даже при формате Це эта штука НЕ УДАЛЯЕТСЯ. Будьте бдительны, т.к. в этом случае поможет только очень хитрое форматирование или замена винта нафиг.

Слава богу у меня не порнуха, так что с этим можно жить.

Жить можно, но не нужно. Лично меня бесит сам факт, что моим компом управляет кто-то или что-то помимо моей воли. Это уже не говоря о не нужном расходе трафика.

Palych! Опять письмо к Вам не дошло? Но ко мне не вернулось обратно, как в прошлый раз.

Не найти мне никак эту сволочь! Ни поиск в проводнике, ни AD-AWARE 5.8 не помогают. Реестр правлю, а эта тварь всё равно себя опять прописывает там. Правда AD-AWARE нашел один ключ в реестре, но его удаление никак не повлияло на общую картину, т.е. всё осталось по-прежнему. Может ли этот гад сидеть в самом IE 6.0 Может стоит удалить Эксплорер и инсталлировать с другого дистрибутива?