Мозила спамит!

[pomidorisgogo.livejournal.com]

Ко мне в Файрфокс подселилась какая-то дрянь которая открывает чужие сайты и флэш-баннеры. Две антивирусных и две antispyware программы уже вычистили всё, что могли, включая пачку самокликающих троянцев. Из реестра и автозагрузки я тоже убрала всё подозрительное, но по-прежнему валится спам. Файрфокс иногда даже запускается самостоятельно, при том как в ИЕ всё в порядке.
Где ещё надо поискать злодея, а? Помогите, плз!

Comments

[krolchatina.livejournal.com]

у вас дефаултный браузер файрфокс?
тогда скорее всего просто adware, запускающий время от времени url'ы.

Ищите внимательнее, килляйте подозрительные процессы.

Кроме того, просто убитие процессов и чистка реестра не всегда помогает. Последний раз, когда я боролся с такой хренью там было два процесса -- один проверял наличие второго и если его не было, запускал. Ну и наоборот. Кроме этого они регулярно проверяли наличие себя в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и если их там не было, прописывались.

[kosta-kosta.livejournal.com]

НИРАЗУ!!! Ни разу не было траблов с файерфоксом. (касперский и оутпост)

[pomidorisgogo.livejournal.com]

В том-то и дело, что уже всё... Остались только системные процессы да мышь с клавиатурой. :(
Автозагрузка (Run) в реестре вообще девственно чиста - опять-таки только мышь с клавиатурой, проверяю её после каждой перезагрузки машины.

[krolchatina.livejournal.com]

я могу теоретически поверить в adware extensions для файрфокса, но это бы не объяснило почему он запускается сам.

Так что все же это не проблема файрфокса.

У вас не появилось новых подозрительных сервисов?
Кстати, а Run в реестре вы смотрели в HKLM только или и в HKCU тоже?

[pomidorisgogo.livejournal.com]

Нет, я как раз не считаю, что здесь что-то принципиально фарйфоксовское, просто ФФ браузер по умолчанию, поэтому он и принимает огонь на себя.

Никаких новых подозрительных сервисов, даже все новые файлы начиная с критической даты изведены даже в _restore. И что меня больше всего бесит - в safe mode запущеных процессов раз-два и обчёлся, но всё это гадство продолжается в полной мере.

HKLM и HKCU я всегда проверяю оба, без исключений. Но вот тут ниже предположили проникновение извне - может ли такое быть?

[krolchatina.livejournal.com]

Ну, вряд ли вас ломают постоянно, в том числе и в safe mode -- там по-моему, если не изменяет память, вообще сеть отключена....

Так что ищите :((. Вариант про dll вполне возможен.

Еще, у вас касперский со всеми обновлениями??

[pomidorisgogo.livejournal.com]

Так safe mode я выбираю с networking, иначе как я узнаю, срабатывает ли эта дрянь или нет? С отключеным модемом, ясное дело, у меня итак тишь да гладь на компьютере... :)

Касперский да, самый свежий. Но он ничего не находит. Поэтому я почти уверена что дело в "крючке" который цепляет "рыбку" откуда-то снаружи.

[kosta-kosta.livejournal.com]

а на форуме спрашивали?

[pomidorisgogo.livejournal.com]

На каком форуме?

[kosta-kosta.livejournal.com]

*писаю кипятком*
В вашем файерфохе встроены ссылки на русские ресурсы файерфоха. Или вы сразу всё удалили?..)))
http://forum.mozilla.ru/

[pomidorisgogo.livejournal.com]

Вы думаете, я хоть раз в жизни туда заглядывала? :)

[kosta-kosta.livejournal.com]

а очень зря..)) много полезного можно найти..))))
рекомендую...

[danvolodar.livejournal.com]

А че там делать-то?

[kosta-kosta.livejournal.com]

Вы блондинка?

[danvolodar.livejournal.com]

Вы правда верите, что на форумах бывает полезная информация? Вы смешной.

[kosta-kosta.livejournal.com]

Прошу прощения, я не учёл ваш возраст. По собственному опыту скажу - бывает. Вот как на приведённом, так например и на wapbbs.com
Если форум не посвящён вопросампокраски волос и теме ебли, то может...
Если вы настолько интересуетесь компами,как говорите то второй форум просто обязаны знать.
А на мозиловском - достаточно полезных вещей. Более того, просто задавайте воросы. Вам ответят. Или вы боитесь?..))))))))))))))

[danvolodar.livejournal.com]

AFAIK, решением любой проблемы может быть либо а) RTFM и STFW, либо б) вопрос на форуме (или в тематическом коммунити). Только вот вариант б) как правило заканчивается либо ответом "RTFM", либо ответом таким, что для его исполнения таки надо RTFM. Смысл спрашивать?

[kosta-kosta.livejournal.com]

"Насколько мне известно" решением любой проблемы кроме "чтения справочной литературы" и "поиске в этом траханом интернете" может быть именно вопрос в соответсвующем форуме. И если человек не выпедривается, как вы ( я понимаю юнешское из вас прёт..)))) то получает вполне нормальный ответ на свой вопрос с подробным если надо пошаговым разъяснением. А вообще вы конечно кое в чём правы - ЛЮБОЙ вопрос решится с помощью соответсвующей литературы. Стоит ли тратит своё время на решения таких вопросов, которые не являются ежедневно необходимыми? Если можно спросить? И получить ответ?
З.Ы. Не пытайтесь казаться умнее чем вы есть. А то люди подумают что на самом деле вы гораздо глупее... А по-поводу того как ВАМ отвечают на форумах - Ut salutas, ita salutaberis.

[starmaugli.livejournal.com]

а в винде все бреши закрыты? сервис-паки и пр. поставлены?

[pomidorisgogo.livejournal.com]

Вряд ли, я уже давно не в силах за этим так тщательно следить :(
Но если бы аттака шла через брешь в системе, то почему ФФ пытается запуститься даже при отключённой сети?

[starmaugli.livejournal.com]

Сейчас наблюдается всплеск новых вирей, вероятно это связано с весной, когда у всех сумасшедших (и вирусописателей в том числе) наблюдается обострение болезни... качните себе новых заплаток

[black-fraz.livejournal.com]

перехвалили ваш браузер)

[guest-o.livejournal.com]

Муа-ха-ха!.. :-)

Видел такое. Ни один антивирус ничего не нашёл, список процессов был девственно чист. Путём N-часовых исследований было установлено, что собака порылась в dll-ке, которая цеплялась к процессу winlogon. Это системный "честный" процесс, но вот dll-ка... Удалить её нельзя -- она залочена, все файлы, которые ей нужны, она потом откуда-то вытаскивает сама, возможно, из интернета. Поэтому делай раз -- с помощью process explorer от sysinternals.com убивал dll-ку в памяти (там у неё имя что-то вроде cqx-тры-ты-ты.dll, но на имя ориентироваться не стоит -- после каждой попытки удаления оно генерирует себе новое имя. В общем, тыркаем в winlogon и внимательное изучаем его dll-ки на предмет библиотеки с именем, состоящим из случайного набора символов. Обнаружив таковую, закрываем её (библиотеку, а не winlogon!). Винде немножко поплохеет, но работать она будет. Делай два -- ищем по этому имени по диску, найдя dll-ку, удаляем её. И делай три -- запускаем autoruns от тех же самых sysinternals.com и удаляем все упоминания об этой dll-ки в реестре. Первый шаг должен быть первым, иначе, пока эта хрень в памяти, она не даст ни реестр зачистить, ни на диске себя удалить. Остальные два можно менять местами между собой по вкусу :-)

[pomidorisgogo.livejournal.com]

Спасибо, очень ценную информацию Вы дали!

Я, кстати, года полтора назад в аналогичной ситуации поступила ещё проще - прошлась в безопасном режиме по всем системным каталогам и выковыряла все файлы с левыми именами образованными в момент, когда антивирус зафиксировал нашествие. Причём, что интересно, все подобные файлы не позволяют себя удалить, зато легко поддаются переименованию или перемещению. И так я их собирала и сбрасывала в общую мусорную папку, а после следующей загрузки машины успешно прибила одним кликом. Вообщем, тогда этот способ помог мне вычистить браузер, а вот в этот раз не только вручную, но и обе программы от Sysinternals не позволили мне выгрузить ни одного процесса или DLLки из тех, что я сочла подозрительными!
И в Autoruns эти процессы и их библиотеки не отображались вообще, а только в ProcessExplorer'е, но там тоже не давали себя вырубить. Впрочем, какую-то ещё абракадабру с их помощью я поубивала, но она явно не имела отношения к эагрузке спама в браузеры.

Итог: пришлось сносить всё под корень. Обидно только, что полное восстановление системы заняло раз в десять меньше времени, чем двухдневная борьба с невидимками. Уж лучше бы я сразу отформатировала диск, всё равно он был дефрагментирован и замусорен до такой степени, что это надо было делать в любом случае...

[guest-o.livejournal.com]

Ну насчёт отображения библиотеки этой в autoruns мог попутать -- дело было ажно в начале ноября месяца, много воды утекло. Так что не исключено, что выносил я её глобальным поиском по реестру. И в моём случае переустановка как кариант не канала -- дело происходило на живом серваке с непрерывно используемыми 1С-ными базами :-)

[pomidorisgogo.livejournal.com]

Ну да, цель должна оправдывать средства - я вот ошибочно думала, что не могу себе позволить обнуление машины - во-первых, мне 50Гб информации (это только самой нужной, а не всей) забэкапить было физически некуда, да и нельзя делать перерыв в работе которая и без того уже создала авральную ситуацию. Но уже после посчитав все затраты на попытки выкрутиться без переустановки системы я пришла в ужас!
Впрочем, знать бы где упасть, соломки подстелила бы... :))

[elmo-70.livejournal.com]

У меня такое было. Никакие антивирусы и антиспайваре не помогли.
Вылечилось посещением этой страницы:
http://www.geekstogo.com/forum/index.php?showtopic=94334

[pomidorisgogo.livejournal.com]

Большое спасибо, распечатаю всю инструкцию.

Кстати, в предыдущий раз я действовала по очень похожему, но намного более простому алгоритму, а в этот раз номер не прошёл...