Помогите, шпион в ФФ. Ничем не удаляется!

Поклонник ФФ · №1

Случилась неприятная штука
К ФФ (1.5.0.6 , остается и на 2.0.b) прицепился какой-то гад (даже не знаю, что это - шпион, троян или еще что-то). Делает он следующее. При запуске системы, он запускает самостоятельно firefox.exe и пытается открыть страницу uortex.no-ip.org по протоколу TCP:2000 Фаервол (Агнитум) определяет, что ФФ рвется в инет (отнего я и узнала, что этот no-ip существует). Если ему разрешить доступ в интернет, то он открывает просто пустую страницу маленького размера, которая повисает в левом верхнем углу экрана. Если ему запретить доступ в инет, то он продолжается туда рваться с интервалом в минуту (примерно), и Агнитум его все время может поймать. Но вот ни один антишпион его не видит. Если в процессах убить firefox.exe и потом просто перезапустить браузер, то этот no-ip.org исчезает. Точнее, он где-то остается, но браузер больше не пытается открыть страницу uortex.no-ip.org (по крайней мере, Агнитум его больше не определяет).

Предпринятые меры борьбы. Ни Доктор Веб, ни Аваст, ни Акронис эксперт 8, ни Ад-эвеер его не нашли. Тогда пришлось удалить ФФ, через реестр, найти все записи на firefox.exe и просто их удалить. Но осталась одна запись, там было что-то вроде D:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1", которая отказалась удаляться (!), при попытке просмотреть ее в реестре, это тоже не удалось (машина сказала: "Доступ запрещен"). После перезагрузки системы эта запись из реестра исчезла. Но если переустановить ФФ, то все повторяется: ФФ опять запускается автоматически и пытается открыть стр. uortex.no-ip.org
Вот такая беда. Что делать, помогите! Мне очень нравится ФФ и не хочется от него отказываться из-за таких проблем. Тем более, все равно не ясно, продолжает ли этот гад свою деятельность, даже при отсутствии ФФ.
Спасибо заранее.
Поклонник ФФ.

Sergeys · №2

Удали профиль (создав предварительно резервную копию) и переустанови Firefox.

LithTech · №3

Похоже на обычный троян. Думаю стоит поискать его процесс через ProcessExplorer.

Поклонник ФФ · №4

Все удалял, все профили, что нашел, безжалостно. Что значит, поискать в ProcessExplorer. Есть у меня такая прога, но она показывает, что запущен ФФ, и все. А что мне с этого. Я его убиваю каждый раз при запуске системы. Это максимум, чего удалось добиться, а убить навсегда не получается. Вот такая беда.

Sergeys · №5

Как может быть запущена программа, которую удалили??? Это означает, что она не удалена или есть еще (например 1.5.0.* - firefox.exe и 2.0b2 - firefox.exe, но первая устанавливается в папку с именем "Firefox", a вторая в папку Bon Echo - если это nightly, возможно и профилей несколько), но расположена где-то в другом месте.

LithTech · №6

Поклонник ФФ
Если только 1 процесс показывает, то у системы большие проблемы

Выложи скрин из ProcessExplorer, может что интересное будет...

ego · №7

Если WinXP, запусти программу msconfig (Пуск-Выполнить) и посмотри вкладку Автозагрузка. Шпион не в Firefox, а в системе.

ПоклонникФФ · №8

Сейчас уже не могу сделать скриншот, потому что я удалила программу. ФФ сам запускается при старте, если он установлен. Если его нет, то в процессах ничего нет. Но если его снова установить, то все повторяется. Вот в чем проблема. Постараюсь выполнить совет ego. Потом напишу о результатах. Спасибо за отклик.

ПоклонникФФ · №9

Нет, в автоматической загрузке ничего нет. Я ее обычно контролирую через Regorganizer, но и при просмотре msconfig, тоже ничего нет. Может, надо теперь опять поставить ФФ, чтобы этот гад себя проявил...

LithTech · №10

ПоклонникФФ
ФФ тут не причем. Что он стоит, что нет - трояну один фиг. Он все равно может в процессах висеть. Его то и надо отловить...

Ни Доктор Веб, ни Аваст, ни Акронис эксперт 8, ни Ад-эвеер

Доктор Веб встарину нифига и не находил. А щас даже не знаю.
Аваст, Акронис - это что за звери?
Нужен нормальный антивирь, типа касперского, нода, нортона. Это если вручную трояна отлавливать лень...
Червь лучше пропишется как служба, чем просто так в автозагрузку.

Отредактировано LithTech (10-09-2006 18:08:42)

Zmeys · №11

Если есть желание...
Kaspersky Anti-Virus 6.0 (Beta386)
Коды активации для бета-сборок старше 304-ой

Замечание за нарушение правил п. 4.9
Sergeys

zabba · №12

Аваст, Акронис - это что за звери?

Акронис не знаю,а Аваст зверь нормальный. :offtopic:
Тут вопрос спорный.

LithTech · №13

:offtopic:
zabba
Не ну понятно. Это против шпионов или антивирь? Нужен то именно 2-й.

Для шпионов порекомендую SpyBot' ом проверить...

ПоклонникФФ · №14

Продолжаю рассказывать про свои эксперименты. Проверила всю систему NODом, ничего не нашел. Но почему то не смог проверить файл pagefile.sys (вроде это файл подкачки, у меня система стоит на диске D). Пишет, что файл занят и невозможно его проверить. Может ли там таиться мой страшный зверь, или нет. Подскажите, пожалуйста.

ПоклонникФФ · №15

Короче, при переустановке ФФ2 бета, опять та же история. Вот что пишет Агнитум:
FIREFOX.EXE TCP локальное:любое 1396 uortex.no-ip.org 2000 Режим обучения ИСХ LEARN 22:43:04 54 сек. 0 байт 0 байт 0 байт/с ---
:usch:

Если кто-нибудь подскажет, что с этой заразой делать, то будет большое спасибо.

baklan · №16

может в реестре надо поискать uortex.no-ip.org
он же где то прописан , если не через третью прогу запускается. Ну и firefox.exe просмотреть все ключи

ПоклонникФФ · №17

Нет в реестре, искала Regorganizer'ом Проверила SpyBot' ом - Тоже молчит, ничего не видит. Что еще можете предложить, други? Не переставлять же систему из-за такой мелочи (хотя не знаю, что эта "мелочь" творит на моей машине)... :cry:

Sky · №18

Поклонник ФФ, а ты точно удаляла профиль пользователя? Это папка в C:\Documents and Settings\[user]\Application Data\Mozilla\Firefox\Profiles\
Попробуй всю папку Profiles удалить (на всякий случай, лучше ее предварительно куда-нибудь скопировать) и запустить FF.

Добавлено Пнд 11 Сен 2006 00:36:18 :
Хотя если после загрузки Лис сам запускается, то это вряд ли поможет... :sick:

Wiccanmist · №19

А у тебя винда легальная? Если да, попробуй Defender
Можно еще вот это (проверки подленности не требует)
После установки обновления винды, запусти Диск где винда стоит:\WINDOWS\system32\MRT.exe
Средство удаления вредоносных программ
Правда гарантий нет ...
А вообще, я бы порекомендовал раздобыть NAV 2006

Еще есть Он-лайн проверки, например OneCare (проверки на подленность не требует, запускать тока в ИЕ, в других браузерах не работает, предсталяет собой чистильщик+исправляльщик реестра+антивир сканер)
Можно и он-лайн NAV запустить (опять таки в ИЕ)
У других производителей антивиров так же есть он-лайн сервисы, они бесплатны, чем черт не шутит, может поможет

Отредактировано Wiccanmist (11-09-2006 01:04:31)

Merlyel · №20

А в <%windows dir%>/system32/drivers/etc/lmhosts случайно не забит этот uortex.no-ip.org как localhost?

Serg_T · №21

Можно попробовать ещё в autoruns внимательно всё посмотреть (http://download.sysinternals.com/Files/Autoruns.zip), а в ProcessExplorer надо выставить чтоб процессы в виде дерева отображались, чтоб родительский процесс был виден.

PS:Странно, но по uortex.no-ip.org ничего нет

Отредактировано Serg_T (11-09-2006 03:17:18)

Al_H · №22

Можно попробовать ещё в autoruns внимательно всё посмотреть

Вот именно. У меня подобное было. Если Файрфокс установлен браузером по умолчанию, причин может быть две.
1. Какой-то троян ломится в Сеть на этот адрес. Естественно, запускается Файрфокс. Но сам Файрфокс тут ни при чем, его запускает система в ответ на открытие адреса.
2. Какая-то программа (возможно, троян) стоит в автозагрузке. По какой-то причине - из-за удаления или сбоя - система нужный файл найти не может. Каждый раз она запускает поиск, и каждый раз автоматически находит ближайший файл в папке. В папке лежит файл-ссылка на сайт, что бывает у многих программ и библиотек. Запускается ссылка, и система запускает браузер по умолчанию. И в этом случае Файрфокс не виноват.
И решение: поискать в файлах строку с этим адресом, и поискать в autoruns несанкционированные строки.

bopUK · №23

Его можно поймать так:
скачать программку HijackThis (ссылки можно найти в яндексе, напр. http://softsearch.ru/programs/123-687-hijackthis-download.shtml), просканировать ей систему (лучше перегрузить систему, просканировать программой) и результат выложить хоть сюда. По этому логу и можно поймать засланца.

ПоклонникФФ · №24

Когда ФФ запускается при старте системы, то с ним еще идет какой-то файл WS2HELP.dll!WahQueueUserApc+0x5c Может ли эта библиотеку быть источником проблем? Или так и должно быть?

Wiccanmist · №25

Я не понимаю, как антивирусный сканер не может удалить злонамеренное ПО???? А комп в безопасном режиме загружала? И в этом же режиме проверки антивирусами запускала?
Кстати, а ФФ запускается значит при старте систем да? Есть такая простенькая утилитка Windows Startup Inspector
Иногда она может видеть гадости, которые хотят грузиться в системе, часто можно их удалить, если не получается, тогда кидаемя к более продвинутым вещам...

Добавлено Пнд 11 Сен 2006 16:36:30 :

ПоклонникФФ пишет

Продолжаю рассказывать про свои эксперименты. Проверила всю систему NODом, ничего не нашел. Но почему то не смог проверить файл pagefile.sys (вроде это файл подкачки, у меня система стоит на диске D). Пишет, что файл занят и невозможно его проверить. Может ли там таиться мой страшный зверь, или нет. Подскажите, пожалуйста.

Не все файлы доступны сканерам, например те которые в данный момент работают (хотя новейшие версии ведущих игроков антивирного рынка давно уже умеют все проверить!) или те которые связаны с Восстановлением системы, т.к. они находятся в папке System Volume Information доступа к которой нет. С работающими файлами можно справиться перезагрузившись в безопасном режиме (кажется F8 жмем перед загрузкой ОС и выбираем пункт, безопасный режим). Пейдж файлы можно чистить, контрольные точки удалить - через Строку Свойства контекстного меню "Мой компьютер"
На вкладке Восстановление системы ставим галку на Отключить восстановление системы, ждем пока будут удалены все файлы этой папки, а потом убираем галку, чтоб снова активировать восстановление, файлы подкачки регулируются в Дополнительно, параметры быстродействия, вкладка дополнительно, кнопка изменить, галка у Без файла подкачки, кнопка задать, потом после удаления этих файлов снова активируем первоначальные параметры.

Отредактировано Wiccanmist (11-09-2006 16:22:51)

Полезная информация

Помогите, шпион в ФФ. Ничем не удаляется!

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Board footer