Месяц назад начала самопроизвольно появляться программа search protect, которая меняет домашнюю страницу, поиск по умолчанию, и висит в трее.
Удалял из панели управления, шерстил лису на наличие лишних плагинов/расширений/дополнений - нету. Прогонял комп каспером (лицензия) - ничего не находит.
Когда ее удаляешь - хватает на день-два, домашняя страница не меняется, никаких программ не появляется. Через день-два все повторяется, причем заметил,что при первом запуске firefox он немного подвисает, после чего снова появляется эта прога - т.е. в этот момент она и влезает ко мне через firefox.
Иногда каспер ругается что в файле хостс появился троян и предлагает лечить с перезагрузкой.
Кстати, ради интереса ставил пробный KIS - за 15 дней использования он молчал, но и никаких чудес не происходило и херня эта не ставилась.
Я уже раз 10 пробовал ее удалять, и твиками всякими с очисткой реестра и полным затиранием следов проги - все равно она вылезает.
Как от нее избавиться? где она в мозилле сидит?
03-01-2015 21:35:27
вот, кстати - опять она вылезла. в трее значок с закосом под эксплорер (раньше была лупа на таком же синем фоне)
если лечить с перезагрузкой то он лечит только хостс - прога остается.
скрин:
https://cloud.mail.ru/public/95bc4575d9 … %D0%B9.png
Может оставила косяки, удаляй с помощью Revo Uninstaller Pro.
Проверь автозагрузку.
Профиль новий прийдется создать. 
В файле хост лишних адресов не должно бить, кроме:
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
В свойствах поставь только чтение.
сейчас находится C:\Users\Admin\AppData\Roaming\ и называется теперь webssearches
попробую рево, я использовал как виндовый встроенный, так и unistall tool
а профиль - это все мои дополнения,закладки,пароли, и тд? этож трындец.....можно без этого обойтись? я лису с 2007 года перетаскиваю при смене винды..
Если следов в профиле не оставила, то можна сидеть на старом)
Резервная копия должна бить всегда, mozbackup или дополнение febe.
Кстати заглянь в свойста ярлика, ничего лишнего там нет?
http://glashataj.info/biznes/kak-udalit … rches.html
http://ru.wikihow.com/%D1%83%D0%B4%D0%B … ch-Protect
да это я все видел, не хочу ресетить все подчистую...
кстати, вебсерч удалил,смотрю - в трее протект все равно висит, нашел в процессах,открыл папку - а там еще одна зараза Xtab в програм файлз была установлена. ее тоже снес
ярлык,кстати, эта херня изменила! видать поэтому она и возвращается, что при каждом запуске выполняет действие,которое там прописано
вот ярлыка свойства:
"C:\Program Files (x86)\Mozilla Firefox\firefox.exe" http://istart.webssearches.com/?type=sc&ts=1420306068&from=irs&uid=INTELXSSDSC2CT120A3XXXXXXXXXXXXXXXXXXX_CVMP222300ED120BGN
сейчас все удалил, посмотрим что будет через пару дней,отпишусь о результатах
03-01-2015 22:25:16
про хостс знаю, его каспер уже вылечил:
#This file has been replaced with its default version by Kaspersky Lab because of possible infection
#
#
#
127.0.0.1 localhost
::1 localhost
только проблема не в заражании,а в рецидиве всего этого
сейчас то все чисто, а вот потом снова вылезает
можеш вручную 
через поиск "поиск текста search protect в файлах" на диске С: , в профиле и в реестре.
можеш вручную
чёт я ни разу не сталкивался, как искать текст в файлах, профиле и реестре?
просто поиск по названию файлов понятно, а это как?
кстати, в той сцылке, в свойствах ярлыка мозиллы - модель моего харда системного отправляет, интересно
"C:\Program Files (x86)\Mozilla Firefox\firefox.exe" http://istart.webssearches.com/?type=sc&ts=1420306068&from=irs&uid=INTELXSSDSC2CT120A3XXXXXXXXXXXXXXXXXXX_CVMP222300ED120BGN
поиск-искать текст (webssearches) в файлах
regedit-правка-найти-webssearches
искать не файл, а текст в файлах
поиск-искать текст (webssearches) в файлах
regedit-правка-найти-webssearches
искать не файл, а текст в файлах
я понял что текст, а не файл
и до сих пор не понимаю,как это делается
где здесь можно настроить параметры поиска,чтобы искать текст, а не имя файла? последнее место,где я это видел - xp
.png){kind=link}
Как удалить Conduit Search Protect ищется нараз.
И еще: уже давно есть програмка от Руссиновича Autoruns. Все вхождения показывает автозапуска, библиотеки проводника , службы и драйверы... короче все. НО надобно аккуратно , ежели знаний мало то осторожно. Но зная название программы и ее издателя можно не бояться и поотключатьвсе что с ними связано. Удобно и в одном месте.
только проблема не в заражании,а в рецидиве всего этого
сейчас то все чисто, а вот потом снова вылезает
Есть Revo Uninstaller. В обычной версии (freeware) есть "Режим охотника", там программа превращается в синий квадрат с прицелом внутри.
Очень удобно удалять/смотреть программы висящие в трее. Например Search Protect. Перетаскиваешь синий квадрат на иконку в трее, появляется контекстное меню, откуда можно удалить/отключить автозапуск и прочее.
В win 7 мне пришлось активировать "Всегда отображать все значки и уведомления на панели задач", чтобы добраться до рекламной программы типа Baidu.
При удалении нужно выбрать "режим эксперта" и отмечать все галочки которые предложат.
...одна зараза Xtab в програм файлз была установлена. ее тоже снес
Если заражение относительно недавно, то включи отображение скрытых файлов, зайди в Program Files и отсортируй отображение папок по 1) Дата изменения 2) По убыванию.
Недавно появившиеся программы сразу "всплывут".
ярлык,кстати, эта херня изменила! видать поэтому она и возвращается, что при каждом запуске выполняет действие,которое там прописано
Проверь ярлыки других браузеров и восстанови. При чем все ярлыки, т.к. например ярлык в меню пуск и на панели задач-это 2 разных ярлыка, каждый со своими свойствами. 
спасибо всем! вопрос решен.
возвращалась постоянно эта зараза из-за того,что я не знал,что в свойствах ярлыка запуска браузеров она прописалась. и при каждом запуске ставилась снова.
удалил ее как обычно +из всех ярлыков, больше не появляется