Полезная информация

Юристы зарабатывают огромные деньги и славу, оперируя хорошим знанием законов. Правила форума — простой путь к успешному общению.

№110-09-2006 11:45:00

Поклонник ФФ
 
Группа: Guest

Помогите, шпион в ФФ. Ничем не удаляется!

Случилась неприятная штука
К ФФ (1.5.0.6 , остается и на  2.0.b) прицепился какой-то гад (даже не знаю, что это - шпион, троян или еще что-то). Делает он следующее. При запуске системы, он запускает самостоятельно firefox.exe и пытается открыть страницу uortex.no-ip.org по протоколу TCP:2000 Фаервол (Агнитум) определяет, что ФФ рвется в инет (отнего я и узнала, что этот no-ip существует). Если ему разрешить доступ в интернет, то он открывает просто пустую страницу маленького размера, которая повисает в левом верхнем углу экрана. Если ему запретить доступ в инет, то он продолжается туда рваться с интервалом в минуту (примерно), и Агнитум его все время может поймать. Но вот ни один антишпион его не видит. Если в процессах убить firefox.exe и потом просто перезапустить браузер, то этот no-ip.org исчезает. Точнее, он где-то остается, но браузер больше не пытается открыть страницу uortex.no-ip.org (по крайней мере, Агнитум его больше не определяет).

Предпринятые меры борьбы. Ни Доктор Веб, ни Аваст, ни Акронис эксперт 8, ни Ад-эвеер его не нашли. Тогда пришлось удалить ФФ, через реестр, найти все записи на firefox.exe  и просто их удалить. Но осталась одна запись, там было что-то вроде D:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1", которая отказалась удаляться (!), при попытке просмотреть ее в реестре, это тоже не удалось (машина сказала: "Доступ запрещен"). После перезагрузки системы эта запись из реестра исчезла. Но если переустановить ФФ, то все повторяется: ФФ опять запускается автоматически и пытается открыть стр. uortex.no-ip.org
Вот такая беда. Что делать, помогите! Мне очень нравится ФФ и не хочется от него отказываться из-за таких проблем. Тем более, все равно не ясно, продолжает ли этот гад свою деятельность, даже при отсутствии ФФ.
Спасибо заранее.
Поклонник ФФ.

 

№210-09-2006 12:07:52

Sergeys
Administrator
 
Группа: Administrators
Откуда: Moscow, Russia
Зарегистрирован: 23-01-2005
Сообщений: 14014
Веб-сайт

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Удали профиль (создав предварительно резервную копию) и переустанови Firefox.


Через сомнения приходим к истине. Цицерон

Отсутствует

 

№310-09-2006 13:00:36

LithTech
Участник
 
Группа: Members
Зарегистрирован: 18-01-2006
Сообщений: 178

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Похоже на обычный троян. Думаю стоит поискать его процесс через ProcessExplorer.


...Не самый последний релиз Fx... [2.0.0.1]
...И не самый последний Tb... [1.5]

Отсутствует

 

№410-09-2006 13:58:41

Поклонник ФФ
 
Группа: Guest

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Все удалял, все профили, что нашел, безжалостно. Что значит, поискать в ProcessExplorer. Есть у меня такая прога, но она показывает, что запущен ФФ, и все. А что мне с этого. Я его убиваю каждый раз при запуске системы. Это максимум, чего удалось добиться, а убить навсегда не получается. Вот такая беда.

 

№510-09-2006 14:57:17

Sergeys
Administrator
 
Группа: Administrators
Откуда: Moscow, Russia
Зарегистрирован: 23-01-2005
Сообщений: 14014
Веб-сайт

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Как может быть запущена программа, которую удалили??? Это означает, что она не удалена или есть еще (например 1.5.0.* - firefox.exe и 2.0b2 - firefox.exe, но первая устанавливается в папку с именем "Firefox", a вторая в папку Bon Echo - если это nightly, возможно и профилей несколько), но расположена где-то в другом месте.


Через сомнения приходим к истине. Цицерон

Отсутствует

 

№610-09-2006 15:59:57

LithTech
Участник
 
Группа: Members
Зарегистрирован: 18-01-2006
Сообщений: 178

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Поклонник ФФ
Если только 1 процесс показывает, то у системы большие проблемы :)

Выложи скрин из ProcessExplorer, может что интересное будет...


...Не самый последний релиз Fx... [2.0.0.1]
...И не самый последний Tb... [1.5]

Отсутствует

 

№710-09-2006 16:20:20

ego
Участник
 
Группа: Members
Откуда: Москва
Зарегистрирован: 23-06-2006
Сообщений: 1538

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Если WinXP, запусти программу msconfig (Пуск-Выполнить) и посмотри вкладку Автозагрузка. Шпион не в Firefox, а в системе.

Отсутствует

 

№810-09-2006 17:00:00

ПоклонникФФ
 
Группа: Guest

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Сейчас уже не могу сделать скриншот, потому что я удалила программу. ФФ сам запускается при старте, если он установлен. Если его нет, то в процессах ничего нет. Но если его снова установить, то все повторяется. Вот в чем проблема. Постараюсь выполнить совет ego. Потом напишу о результатах. Спасибо за отклик.

 

№910-09-2006 17:04:08

ПоклонникФФ
 
Группа: Guest

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Нет, в автоматической загрузке ничего нет. Я ее обычно контролирую через Regorganizer, но и при просмотре msconfig, тоже ничего нет. Может, надо теперь опять поставить ФФ, чтобы этот гад себя проявил...

 

№1010-09-2006 18:04:44

LithTech
Участник
 
Группа: Members
Зарегистрирован: 18-01-2006
Сообщений: 178

Re: Помогите, шпион в ФФ. Ничем не удаляется!

ПоклонникФФ
ФФ тут не причем. Что он стоит, что нет - трояну один фиг. Он все равно может в процессах висеть. Его то и надо отловить...

Ни Доктор Веб, ни Аваст, ни Акронис эксперт 8, ни Ад-эвеер

Доктор Веб встарину нифига и не находил. А щас даже не знаю.
Аваст, Акронис - это что за звери?
Нужен нормальный антивирь, типа касперского, нода, нортона. Это если вручную трояна отлавливать лень...
Червь лучше пропишется как служба, чем просто так в автозагрузку.

Отредактировано LithTech (10-09-2006 18:08:42)


...Не самый последний релиз Fx... [2.0.0.1]
...И не самый последний Tb... [1.5]

Отсутствует

 

№1110-09-2006 18:47:44

Zmeys
Участник
 
Группа: Members
Зарегистрирован: 22-11-2005
Сообщений: 173

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Если есть желание...
Kaspersky Anti-Virus 6.0 (Beta386)
Коды активации для бета-сборок старше 304-ой

Замечание за нарушение правил п. 4.9
Sergeys

Отсутствует

 

№1210-09-2006 20:22:51

zabba
Участник
 
Группа: Members
Зарегистрирован: 14-04-2006
Сообщений: 34

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Аваст, Акронис - это что за звери?

Акронис не знаю,а Аваст зверь нормальный.:offtopic:
Тут вопрос спорный.

Отсутствует

 

№1310-09-2006 20:48:41

LithTech
Участник
 
Группа: Members
Зарегистрирован: 18-01-2006
Сообщений: 178

Re: Помогите, шпион в ФФ. Ничем не удаляется!

:offtopic:
zabba
Не ну понятно. Это против шпионов или антивирь? Нужен то именно 2-й.

Для шпионов порекомендую SpyBot' ом проверить...


...Не самый последний релиз Fx... [2.0.0.1]
...И не самый последний Tb... [1.5]

Отсутствует

 

№1410-09-2006 21:45:00

ПоклонникФФ
 
Группа: Guest

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Продолжаю рассказывать про свои эксперименты. Проверила всю систему NODом, ничего не нашел. Но почему то не смог проверить файл pagefile.sys (вроде это файл подкачки, у меня система стоит на диске D). Пишет, что файл занят и невозможно его проверить. Может ли там таиться мой страшный зверь, или нет. Подскажите, пожалуйста.

 

№1510-09-2006 22:49:52

ПоклонникФФ
 
Группа: Guest

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Короче, при переустановке ФФ2 бета, опять та же история. Вот что пишет Агнитум:
FIREFOX.EXE    TCP    локальное:любое    1396    uortex.no-ip.org    2000    Режим обучения    ИСХ LEARN     22:43:04    54 сек.    0 байт    0 байт    0 байт/с    ---
:usch:

Если кто-нибудь подскажет, что с этой заразой делать, то будет большое спасибо.

 

№1610-09-2006 23:02:11

baklan
Участник
 
Группа: Members
Зарегистрирован: 19-04-2006
Сообщений: 9

Re: Помогите, шпион в ФФ. Ничем не удаляется!

может в реестре надо поискать uortex.no-ip.org
он же где то прописан , если не через третью прогу запускается. Ну и firefox.exe просмотреть все ключи

Отсутствует

 

№1710-09-2006 23:30:52

ПоклонникФФ
 
Группа: Guest

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Нет в реестре, искала Regorganizer'ом Проверила SpyBot' ом - Тоже молчит, ничего не видит. Что еще можете предложить, други? Не переставлять же систему из-за такой мелочи (хотя не знаю, что эта "мелочь" творит на моей машине)... :cry:

 

№1811-09-2006 00:33:24

Sky
Участник
 
Группа: Extensions
Откуда: Рязань
Зарегистрирован: 06-11-2004
Сообщений: 1378

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Поклонник ФФ, а ты точно удаляла профиль пользователя? Это папка в C:\Documents and Settings\[user]\Application Data\Mozilla\Firefox\Profiles\
Попробуй всю папку Profiles удалить (на всякий случай, лучше ее предварительно куда-нибудь скопировать) и запустить FF.

Добавлено Пнд 11 Сен 2006 00:36:18 :
Хотя если после загрузки Лис сам запускается, то это вряд ли поможет... :sick:


Gentoo Linux 2007-03-23 by XOR
Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.9b3pre) Gecko/2008010104
Нас мало, но мы в кедах! ;)

Отсутствует

 

№1911-09-2006 00:48:11

Wiccanmist
Забанен
 
Группа: Members
Откуда: Khimki
Зарегистрирован: 18-05-2006
Сообщений: 551
Веб-сайт

Re: Помогите, шпион в ФФ. Ничем не удаляется!

А у тебя винда легальная? Если да, попробуй Defender
Можно еще вот это (проверки подленности не требует)
После установки обновления винды, запусти Диск где винда стоит:\WINDOWS\system32\MRT.exe
Средство удаления вредоносных программ
Правда гарантий нет ...
А вообще, я бы порекомендовал раздобыть NAV 2006

Еще есть Он-лайн проверки, например OneCare (проверки на подленность не требует, запускать тока в ИЕ, в других браузерах не работает, предсталяет собой чистильщик+исправляльщик реестра+антивир сканер)
Можно и он-лайн NAV запустить (опять таки в ИЕ)
У других производителей антивиров так же есть он-лайн сервисы, они бесплатны, чем черт не шутит, может поможет ;)

Отредактировано Wiccanmist (11-09-2006 01:04:31)

Отсутствует

 

№2011-09-2006 00:49:50

Merlyel
псЫх
 
Группа: Extensions
Откуда: Уфа
Зарегистрирован: 20-12-2005
Сообщений: 2415

Re: Помогите, шпион в ФФ. Ничем не удаляется!

А в <%windows dir%>/system32/drivers/etc/lmhosts случайно не забит этот uortex.no-ip.org как localhost?


жЫзнь рандомна... и ничего с этим не поделаешь ;)

Отсутствует

 

№2111-09-2006 03:16:46

Serg_T
Участник
 
Группа: Members
Зарегистрирован: 30-03-2005
Сообщений: 180

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Можно попробовать ещё в autoruns внимательно всё посмотреть (http://download.sysinternals.com/Files/Autoruns.zip), а в ProcessExplorer надо выставить чтоб процессы в виде дерева отображались, чтоб родительский процесс был виден.

PS:Странно, но по uortex.no-ip.org ничего нет:/

Отредактировано Serg_T (11-09-2006 03:17:18)

Отсутствует

 

№2211-09-2006 11:39:15

Al_H
Away
 
Группа: Members
Откуда: SPb
Зарегистрирован: 10-06-2005
Сообщений: 5508

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Можно попробовать ещё в autoruns внимательно всё посмотреть

Вот именно. У меня подобное было. Если Файрфокс установлен браузером по умолчанию, причин может быть две.
1. Какой-то троян ломится в Сеть на этот адрес. Естественно, запускается Файрфокс. Но сам Файрфокс тут ни при чем, его запускает система в ответ на открытие адреса.
2. Какая-то программа (возможно, троян) стоит в автозагрузке. По какой-то причине - из-за удаления или сбоя - система нужный файл найти не может. Каждый раз она запускает поиск, и каждый раз автоматически находит ближайший файл в папке. В папке лежит файл-ссылка на сайт, что бывает у многих программ и библиотек. Запускается ссылка, и система запускает браузер по умолчанию. И в этом случае Файрфокс не виноват.
И решение: поискать в файлах строку с этим адресом, и поискать в autoruns несанкционированные строки.

Отсутствует

 

№2311-09-2006 14:20:56

bopUK
Участник
 
Группа: Members
Зарегистрирован: 02-09-2005
Сообщений: 171

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Его можно поймать так:
скачать программку HijackThis (ссылки можно найти в яндексе, напр. http://softsearch.ru/programs/123-687-hijackthis-download.shtml), просканировать ей систему (лучше перегрузить систему, просканировать программой) и результат выложить хоть сюда. По этому логу и можно поймать засланца.

Отсутствует

 

№2411-09-2006 15:54:15

ПоклонникФФ
 
Группа: Guest

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Когда ФФ запускается при старте системы, то с ним еще идет какой-то файл WS2HELP.dll!WahQueueUserApc+0x5c Может ли эта библиотеку быть источником проблем? Или так и должно быть?

 

№2511-09-2006 16:18:40

Wiccanmist
Забанен
 
Группа: Members
Откуда: Khimki
Зарегистрирован: 18-05-2006
Сообщений: 551
Веб-сайт

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Я не понимаю, как антивирусный сканер не может удалить злонамеренное ПО???? А комп в безопасном режиме загружала? И в этом же режиме проверки антивирусами запускала?
Кстати, а ФФ запускается значит при старте систем да? Есть такая простенькая утилитка Windows Startup Inspector
Иногда она может видеть гадости, которые хотят грузиться в системе, часто можно их удалить, если не получается, тогда кидаемя к более продвинутым вещам...

Добавлено Пнд 11 Сен 2006 16:36:30 :

ПоклонникФФ пишет

Продолжаю рассказывать про свои эксперименты. Проверила всю систему NODом, ничего не нашел. Но почему то не смог проверить файл pagefile.sys (вроде это файл подкачки, у меня система стоит на диске D). Пишет, что файл занят и невозможно его проверить. Может ли там таиться мой страшный зверь, или нет. Подскажите, пожалуйста.

Не все файлы доступны сканерам, например те которые в данный момент работают (хотя новейшие версии ведущих игроков антивирного рынка давно уже умеют все проверить!) или те которые связаны с Восстановлением системы, т.к. они находятся в папке System Volume Information доступа к которой нет. С работающими файлами можно справиться перезагрузившись в безопасном режиме (кажется F8 жмем перед загрузкой ОС и выбираем пункт, безопасный режим). Пейдж файлы можно чистить, контрольные точки удалить - через Строку Свойства контекстного меню "Мой компьютер"
На вкладке Восстановление системы ставим галку на Отключить восстановление системы, ждем пока будут удалены все файлы этой папки, а потом убираем галку, чтоб снова активировать восстановление, файлы подкачки регулируются в Дополнительно, параметры быстродействия, вкладка дополнительно, кнопка изменить, галка у Без файла подкачки, кнопка задать, потом после удаления этих файлов снова активируем первоначальные параметры.

Отредактировано Wiccanmist (11-09-2006 16:22:51)

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]