Имеется: Portable FF 1.5.0.1 на флешке (взятый с официального сайта).
Расширения: AdBlock+, AutoCopy, CopyPlainText, FlashGot, HumanURL, MinimizeToTray, NoScript, TabClickingOptions, SuperDrag&Go (с официальных сайтов также).
Запустил небольшую программку, реально показывающую, что творится на портах компьютера: CurrPorts (www.nirsoft.net). Обнаруживаю следующую милую картину:
Имя процесса : firefox.exe
Процесс ID : 1784
Протокол : TCP
Локальный порт : 1433
Имя локального сервиса : ms-sql-s
Локальный адрес : 127.0.0.1
Удаленный порт : 1434
Имя удаленного сервиса: ms-sql-m
Удаленный адрес : 127.0.0.1
Remote Host Name : www.silvercash.com
Статус : Установлено
Путь к образу : Z:\PortableFirefox\firefox\firefox.exe
Наименование продукта: Firefox
Описание файла : Firefox
File Version : 1.8.0.1: 2006011112
Компания : Mozilla Corporation
Процесс создан : 04.07.2006 13:53:08
Имя пользователя : Nobody
Сервисы процесса :
Process Attributes: A
Вопрос к пользователям: не сталкивался кто-нибудь с подобным коннектом с сайтом www.silvercash.com? Имечко-то у сайт говорящее! Кто какую причину может назвать.
Только большая просьба: слово "Вирусы" не произносить! Так как машина сегодня последовательно была проверена следующими АВ-программами:
AVP, AVG-free, ClaWin + Ad-Aware (везде свежие базы).
RSS в закладках не стоит никаких, соответственно, дополнительного скрытого коннекта, по идее, быть по этой причине не должно?
Расширения шпионят? Или FF?
...
Только большая просьба: слово "Вирусы" не произносить!...
Есть ещё трояны и диалеры. А с целью маскировки творения компьютерных хулиганов могут "прикидываться" процессом браузера по умолчанию.
Да, я отдаю себе отчет в том, что трояны и диалеры... НО(!) - попутно запустил только что Portable Thunderbird... и... на тебе:
Имя процесса : thunderbird.exe
Процесс ID : 2684
Протокол : TCP
Локальный порт : 1471
Имя локального сервиса:
Локальный адрес : 127.0.0.1
Удаленный порт : 1472
Имя удаленного сервиса:
Удаленный адрес : 127.0.0.1
Remote Host Name : www.silvercash.com
Статус : Установлено
Путь к образу : Z:\PortableThunderbird\thunderbird\thunderbird.exe
Наименование продукта: Thunderbird
Описание файла : Mozilla Thunderbird
File Version : 1.8: 2005102519
Компания : Mozilla.org
Процесс создан : 04.07.2006 14:36:41
Имя пользователя :
Сервисы процесса :
Process Attributes: A
Сдается мне что-то с продуктами от Мозиллы творится...
Локальный адрес : 127.0.0.1
…
Удаленный адрес : 127.0.0.1
А это как понимать? Сам к себе коннектиться по имени домена www.silvercash.com? Проверь файл hosts
В файле hosts обнаружил следующие записи:
# NetDetox Hosts File (DO NOT REMOVE THIS LINE)
127.0.0.1 www.silvercash.com
127.0.0.1 exit.silvercash.com
127.0.0.1 click.silvercash.com
127.0.0.1 smc.silvercash.com
# NetDetox Hosts File (DO NOT REMOVE THIS LINE)
127.0.0.1 www.silvercash.com
127.0.0.1 exit.silvercash.com
127.0.0.1 click.silvercash.com
127.0.0.1 smc.silvercash.com
Что-то я недопонимаю... Элементарных знаний не хватает, увы...
Самого сайта сейчас не существует.
Гу-у-у-уугл дал копию сайта из кеша! Вот же (... -censored)! Читайте сами:
Commitment to Excellence!
Silvercash is, and has always been, the leader in online adult entertainment since 1997. We run the hottest adult sites and pay webmasters the MOST MONEY.. on time, every time.Abundance of marketing tools that really work!
Silvercash has nearly 100 popular sites that convert like MAD! You have virtually every niche to promote, from Amateur to Ethnic.. from Bizarre to Reality. If you have surfers, we can sell them! In addition to our Huge selection of sites to choose from, we give your surfers access to ALL of the sites in our collection, which keeps them recurring month after month after month. We know what your surfers want and we give it to them!Great tips and resources!
Silvercash not only offers BIGGER paychecks, but also a huge community of knowledgeable & experienced webmasters to learn from and have fun with. Once you sign up be sure to visit our many message boards, our invaluable business tips and tutorials along with our vast collection of resources that will guide you in the right direction in LESS time!Excellent customer support!
Silvercash is well known for offering webmasters the most complete and timely support in the industry. You will be amazed at how easy and fast your questions and concerns are satisfied. You have the freedom to choose to contact any of our qualified staff through our lightning fast Support Desk, through our many Message Boards, through email, through ANY Instant Messanger you choose, and of course even by telephone. We understand that the sooner your concerns are satisfied, the sooner you can get back to making money.Simply the best!
Silvercash... Earn More, Learn More, Get Paid Today.
Т.е. порнуха и прочая хрень! Но все-таки кто мне объяснил бы вразумительно - почему продукты Мозилла к ним прут коннектом?!
Rosenfeld
А обычный фокс проверял?
Стоит NetDetox?
Я так понимаю - это какой то антиспайварь, который модифицирует host-файл и не пускает на сайты из своего списка.
Т.е. фактически на silvercash.com ты не попадаешь.
Скорей всего у тебя засел Trojan-Clicker.
Покажи процессы в диспетчере задач, хотя скорей всего он маскируется.
Только что общался по ICQ на эту тему с израильским коллегой. Он протестировал: ответ, увы, отрицательный!
Вечером буду дома, попробую запустить на домашней машине. Причем сделаю эксперимент следующим: вначале попробую запустить FF и TB в НЕ-портэйбл-версии.
Потом воткну флешку и стартану переносные.
Т.е. мне уже самому интересно стало: либо рабочая машина подхватила что-то... либо дело в версиях портэйбл-продуктов от Халлера с http://portableapps.com/ ... Короче говоря, обязательно отпишу потом здесь о результатах.
Т.е. порнуха и прочая хрень! Но все-таки кто мне объяснил бы вразумительно - почему продукты Мозилла к ним прут коннектом?!
Полтора года назад нечто подобное наблюдал, когда на работе юзеры подхватывали троянцев через Фокс. Хотя, думается, старые дыры версий 1.0.x должны были уже заткнуть.
Rosenfeld
AVG-free, ClaWin не детектируют адварь, ad-aware - слабоват.
Если пользовал каспера, то какую версию и включены ли расширенные базы?
Касперский ОЧЕНЬ старый - 3.5. Кумулятивная база свежая, от 26 июня 2006 г. Поставлю-ка я машину на ночь на избыточное сканирование.
Пока что скачал и поставил NetDetox... вот только повисшая в трее белая иконка меня что-то не впечатлила! Что он вообще делает: там ведь в контекстном меню кроме Enable-Disable и нет ничего?
Касперский ОЧЕНЬ старый - 3.5. Кумулятивная база свежая, от 26 июня 2006 г. Поставлю-ка я машину на ночь на избыточное сканирование.
Пока что качаю NetDetox.
Не надо его качать. 
Понятия не имею, что за прога. Я спросил, установлен ли NetDetox? Просто видно, что host модифицирован этой прогой.
Принтскрин процессов покажи.
Каспер 3,5 по-моему тоже адварь не видит или там чтото прописывать надо.
А может все проще? Фокс лезет на локальный комп (127.0.0.1), а винда бек резолвит IP из файла hosts и возвращает его не как localhost, а как этот самый мегасайт. Вот он и видет как доменное имя, находящееся по IP 127.0.0.1.
Для проверки — измени эти записи в hosts на bla-bla-bla.com. Если покажет их, то нарушитель найден, а если снова за старое, то дело в чем-то другом.
Да нет там ничего хорошего! :-)
http://forum.mozilla.ru/uploaded/processes2.jpg
http://forum.mozilla.ru/uploaded/processes.jpg
Rosenfeld
В процессах вроде чисто, сначала снеси на всякий случай Netdetox, врядли поможет.
Скачай DrWeb CureIt ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
или триал каспера 6 ftp://d-ru-1f.kaspersky-labs.com/trial/registered/8NGILSWTCHAPVSJ1NTX8/kav6.0.0.300ru.exe
посмотри в них настройки, поставь на максимум.
Если ничего не найдут и ничего не изменится, то сюда сходи : http://helpme.virusinfo.info/
P.C. что за процесс i disc.exe?
Для проверки — измени эти записи в hosts на bla-bla-bla.com. Если покажет их, то нарушитель найден, а если снова за старое, то дело в чем-то другом.
Наверное, уже завтра, ОК? (рабочий день заканчивается) Спасибо всем за подсказки!
Зараза может самовольно прописать браузеру расширение через extensions.ini - как это делает веб-усоритель от google, например.
Если установлена WindowsXP и используется файловая система NTFS, можно вычислить, какая программа меняет файл hosts:
Восстанавливаем в нем оригинальную запись 127.0.0.1 localhost
1. в Панель управления - Администрирование - Локальная политика - Локальные политики - Политики аудита включить Аудит доступа к объектам.
2. в свойствах файла hosts на вкладке Безопасность (активизируется эта вкладка снятием галочки Использовать простой общий доступ к файлам в Панель управления - Свойства папки - Вид) нажать кнопку Дополнительно, открыть вкладку Аудит, вписать (или через Дополнительно - Поиск найти Все или All для англоязычной ХР) и поставить галочки Создание файлов/Запись данных и Создание папок/дозапись данных в колонке Успех
3. После того, как файл снова поменяется, в Панель управления - Администрирование - Просмотр событий - Безопасность можно просмотреть, какая программа имела доступ к файлу и производила в него запись, так как для этого файла велся аудит доступа на запись.
P.S. Можно еще попробовать FileMon - эта программа отслеживает доступ к файлам.