Мозила спамит!

[pomidorisgogo.livejournal.com]

Ко мне в Файрфокс подселилась какая-то дрянь которая открывает чужие сайты и флэш-баннеры. Две антивирусных и две antispyware программы уже вычистили всё, что могли, включая пачку самокликающих троянцев. Из реестра и автозагрузки я тоже убрала всё подозрительное, но по-прежнему валится спам. Файрфокс иногда даже запускается самостоятельно, при том как в ИЕ всё в порядке.
Где ещё надо поискать злодея, а? Помогите, плз!

Comments

[guest-o.livejournal.com]

Муа-ха-ха!.. :-)

Видел такое. Ни один антивирус ничего не нашёл, список процессов был девственно чист. Путём N-часовых исследований было установлено, что собака порылась в dll-ке, которая цеплялась к процессу winlogon. Это системный "честный" процесс, но вот dll-ка... Удалить её нельзя -- она залочена, все файлы, которые ей нужны, она потом откуда-то вытаскивает сама, возможно, из интернета. Поэтому делай раз -- с помощью process explorer от sysinternals.com убивал dll-ку в памяти (там у неё имя что-то вроде cqx-тры-ты-ты.dll, но на имя ориентироваться не стоит -- после каждой попытки удаления оно генерирует себе новое имя. В общем, тыркаем в winlogon и внимательное изучаем его dll-ки на предмет библиотеки с именем, состоящим из случайного набора символов. Обнаружив таковую, закрываем её (библиотеку, а не winlogon!). Винде немножко поплохеет, но работать она будет. Делай два -- ищем по этому имени по диску, найдя dll-ку, удаляем её. И делай три -- запускаем autoruns от тех же самых sysinternals.com и удаляем все упоминания об этой dll-ки в реестре. Первый шаг должен быть первым, иначе, пока эта хрень в памяти, она не даст ни реестр зачистить, ни на диске себя удалить. Остальные два можно менять местами между собой по вкусу :-)

[pomidorisgogo.livejournal.com]

Спасибо, очень ценную информацию Вы дали!

Я, кстати, года полтора назад в аналогичной ситуации поступила ещё проще - прошлась в безопасном режиме по всем системным каталогам и выковыряла все файлы с левыми именами образованными в момент, когда антивирус зафиксировал нашествие. Причём, что интересно, все подобные файлы не позволяют себя удалить, зато легко поддаются переименованию или перемещению. И так я их собирала и сбрасывала в общую мусорную папку, а после следующей загрузки машины успешно прибила одним кликом. Вообщем, тогда этот способ помог мне вычистить браузер, а вот в этот раз не только вручную, но и обе программы от Sysinternals не позволили мне выгрузить ни одного процесса или DLLки из тех, что я сочла подозрительными!
И в Autoruns эти процессы и их библиотеки не отображались вообще, а только в ProcessExplorer'е, но там тоже не давали себя вырубить. Впрочем, какую-то ещё абракадабру с их помощью я поубивала, но она явно не имела отношения к эагрузке спама в браузеры.

Итог: пришлось сносить всё под корень. Обидно только, что полное восстановление системы заняло раз в десять меньше времени, чем двухдневная борьба с невидимками. Уж лучше бы я сразу отформатировала диск, всё равно он был дефрагментирован и замусорен до такой степени, что это надо было делать в любом случае...

[guest-o.livejournal.com]

Ну насчёт отображения библиотеки этой в autoruns мог попутать -- дело было ажно в начале ноября месяца, много воды утекло. Так что не исключено, что выносил я её глобальным поиском по реестру. И в моём случае переустановка как кариант не канала -- дело происходило на живом серваке с непрерывно используемыми 1С-ными базами :-)

[pomidorisgogo.livejournal.com]

Ну да, цель должна оправдывать средства - я вот ошибочно думала, что не могу себе позволить обнуление машины - во-первых, мне 50Гб информации (это только самой нужной, а не всей) забэкапить было физически некуда, да и нельзя делать перерыв в работе которая и без того уже создала авральную ситуацию. Но уже после посчитав все затраты на попытки выкрутиться без переустановки системы я пришла в ужас!
Впрочем, знать бы где упасть, соломки подстелила бы... :))