5

У меня проблема с Firefox. Каждый раз, когда я выполняю поиск в Google, затем щелкаю правой кнопкой мыши ссылку, чтобы открыть ее в отдельной вкладке / окне, Firefox останавливается на пару секунд, а затем открывает какую-либо ссылку на спам / рекламу вместо соответствующей страницы.

  • Я запустил SpyBot, SuperAntiSpyware, CCleaner и мой компьютер чист.
  • Я попытался переустановить Firefox и попросил удалить всю историю и данные. Это не решило проблему.
  • Я удалил содержимое папки firefox/extensions, но это не помогло.
  • У меня установлен антивирус AGV. Это даже говорит о том, что ссылки безопасны ...

Я искал решение на других форумах и сайтах, но не смог найти ни одного. Я сейчас публикую этот вопрос здесь. Кто-нибудь сталкивался с этой проблемой? Как я могу это исправить?

РЕДАКТИРОВАТЬ

Часто всплывающее окно с Firefox спрашивает меня, хочу ли я сохранить файл с именем «s».

Проблема не является специфической для браузера. Так же бывает и с Chrome.

Я запускал последние версии Ad-Ware, CCleaner, SpyBot, Emsisoft Anti-Malware, MalwareBytes и SUPERAntiSpyware, но это не решило проблему.

РЕДАКТИРОВАТЬ 2

Я следовал рекомендациям JdeBP (получать IP-адреса автоматически через DHCP). Я также нашел странную запись в моем реестре, которую я удалил. Я перезагрузился, но проблема все еще там.

Когда я выполняю ipconfig /displaydns , я получаю длинный список записей, которые, похоже, соответствуют полученному мной спаму. Все они имеют запись A (хост), установленную на 127.0.0.1 .

Когда я выполняю ipconfig /flushdns а затем ipconfig /displaydns , записи все еще там ...

Когда я выполняю ipconfig /renew , я получаю: No operation can be performed on Local Area Connection while it has its media disconnected . Я не совсем уверен, что это значит. Я получаю доступ к Интернету через беспроводную сеть (не кабель Ethernet). Когда я выключаю беспроводную связь на моем ПК, я получаю то же сообщение для беспроводного соединения.

Я отключил подключение по локальной сети и попытался ipconfig /renew , но он останавливается ...

РЕДАКТИРОВАТЬ 3

Вот вывод ipconfig /all. В настоящее время я подключен к Интернету по беспроводной сети:

Windows IP Configuration

   Host Name . . . . . . . . . . . . : NoKidding
   Primary Dns Suffix  . . . . . . . : 
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter Local Area Connection:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Marvell Yukon 88E8055 PCI-E Gigabit Ethernet Controller
   Physical Address. . . . . . . . . : 00-1D-BA-AC-D9-26
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes

Wireless LAN adapter Wireless Network Connection:

   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Intel(R) WiFi Link 5100 AGN
   Physical Address. . . . . . . . . : 00-21-5D-EB-34-A8
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::193:2bc9:cbb0:168b%10(Preferred) 
   IPv4 Address. . . . . . . . . . . : 192.168.1.148(Preferred) 
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : vendredi 10 juin 2011 2:10:57
   Lease Expires . . . . . . . . . . : samedi 11 juin 2011 2:31:02
   Default Gateway . . . . . . . . . : 192.168.1.1
   DHCP Server . . . . . . . . . . . : 192.168.1.1
   DHCPv6 IAID . . . . . . . . . . . : 268443997
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-11-91-8C-91-00-1D-BA-AC-D9-26
   DNS Servers . . . . . . . . . . . : 167.206.245.130
                                       167.206.245.129
   NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter VMware Network Adapter VMnet1:

   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : VMware Virtual Ethernet Adapter for VMnet1
   Physical Address. . . . . . . . . : 00-50-56-C0-00-01
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::ccd8:6bfa:a3a4:7dfb%18(Preferred) 
   IPv4 Address. . . . . . . . . . . : 192.168.20.1(Preferred) 
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : vendredi 10 juin 2011 2:18:29
   Lease Expires . . . . . . . . . . : vendredi 10 juin 2011 10:31:02
   Default Gateway . . . . . . . . . : 
   DHCP Server . . . . . . . . . . . : 192.168.20.254
   DHCPv6 IAID . . . . . . . . . . . : 436228182
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-11-91-8C-91-00-1D-BA-AC-D9-26
   DNS Servers . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter VMware Network Adapter VMnet8:

   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : VMware Virtual Ethernet Adapter for VMnet8
   Physical Address. . . . . . . . . : 00-50-56-C0-00-08
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::3419:22f2:c13b:e8fa%19(Preferred) 
   IPv4 Address. . . . . . . . . . . : 192.168.132.1(Preferred) 
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : vendredi 10 juin 2011 2:19:04
   Lease Expires . . . . . . . . . . : vendredi 10 juin 2011 10:31:04
   Default Gateway . . . . . . . . . : 
   DHCP Server . . . . . . . . . . . : 192.168.132.254
   DHCPv6 IAID . . . . . . . . . . . : 453005398
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-11-91-8C-91-00-1D-BA-AC-D9-26
   DNS Servers . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   Primary WINS Server . . . . . . . : 192.168.132.2
   NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter VirtualBox Host-Only Network:

   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : VirtualBox Host-Only Ethernet Adapter
   Physical Address. . . . . . . . . : 08-00-27-00-D4-EA
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::413a:949e:27db:860c%22(Preferred) 
   Autoconfiguration IPv4 Address. . : 169.254.134.12(Preferred) 
   Subnet Mask . . . . . . . . . . . : 255.255.0.0
   Default Gateway . . . . . . . . . : 
   DHCPv6 IAID . . . . . . . . . . . : 503840807
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-11-91-8C-91-00-1D-BA-AC-D9-26
   DNS Servers . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBIOS over Tcpip. . . . . . . . : Enabled

Tunnel adapter isatap.lan:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Microsoft ISATAP Adapter
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

Tunnel adapter Teredo Tunneling Pseudo-Interface:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.{8C86257F-65F0-49A9-B3DF-A61CC7F73546}:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Microsoft ISATAP Adapter #2
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.{A98786DD-7682-4826-88F4-A03BA1D824A5}:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Microsoft ISATAP Adapter #3
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.{A53A0A7E-6A3D-4A72-A11F-30A6322B957C}:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Microsoft ISATAP Adapter #4
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.{FC119556-5E94-4BAB-8451-5D240BF581A5}:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Microsoft ISATAP Adapter #5
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

По-видимому, ассоциированный DNS с беспроводной сетью - 167.206.245.130, который разрешается как «vdns2.srv.prnynj.cv.net».

РЕДАКТИРОВАТЬ 4

Я заметил, что у меня не было файла hosts . Я не знаю, как я попал в эту ситуацию. Windows 7 никогда не жаловалась на это.

Несколько резервных копий hosts там в каталоге, в том числе сделанных SpyBot. Я создал новый файл hosts и перезагрузил его, но я все еще сталкиваюсь с той же проблемой.

Я попробовал ipconfig /displaydns снова, и он по-прежнему отображает проблемные записи. Эти записи не находятся в моем файле hosts :

# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

127.0.0.1       localhost
::1             localhost
# Start of entries inserted by Spybot - Search & Destroy
127.0.0.1   www.007guard.com
127.0.0.1   007guard.com
127.0.0.1   008i.com
127.0.0.1   www.008k.com
127.0.0.1   008k.com
127.0.0.1   www.00hq.com
127.0.0.1   00hq.com
127.0.0.1   010402.com
127.0.0.1   www.032439.com
...

127.0.0.1   www.zxsex2.info
127.0.0.1   zxsex2.info
127.0.0.1   zyban-zocor-levitra.com
# This list is Copyright 2000-2008 Safer Networking Limited
127.0.0.1   suportevendas.com
127.0.0.1   www.suportevendas.com
# End of entries inserted by Spybot - Search & Destroy

РЕДАКТИРОВАТЬ 5

Извините, я отступаю. Проблемные записи, возвращаемые ipconfig /displaydns действительно появились в моем hosts file . Итак, я начал с нового:

# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

127.0.0.1       localhost
::1             localhost

Вот где это становится действительно сумасшедшим. После перезагрузки компьютера, отображение DNS возвращает:

Windows IP Configuration

    1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
    ----------------------------------------
    Record Name . . . . . : 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa.
    Record Type . . . . . : 12
    Time To Live  . . . . : 86400
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    PTR Record  . . . . . : localhost


    1.0.0.127.in-addr.arpa
    ----------------------------------------
    Record Name . . . . . : 1.0.0.127.in-addr.arpa.
    Record Type . . . . . : 12
    Time To Live  . . . . : 86400
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    PTR Record  . . . . . : localhost


    localhost
    ----------------------------------------
    Record Name . . . . . : localhost
    Record Type . . . . . : 1
    Time To Live  . . . . : 86400
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    A (Host) Record . . . : 127.0.0.1


    localhost
    ----------------------------------------
    Record Name . . . . . : localhost
    Record Type . . . . . : 28
    Time To Live  . . . . : 86400
    Data Length . . . . . : 16
    Section . . . . . . . : Answer
    AAAA Record . . . . . : ::1

После перехода в Google, найдите какой-нибудь фиктивный термин, затем щелкните правой кнопкой мыши любую ссылку, чтобы открыть страницу в новой вкладке, я получаю спам. Когда я снова выполняю отображение DNS, я получаю:

Windows IP Configuration

    1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
    ----------------------------------------
    Record Name . . . . . : 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa.
    Record Type . . . . . : 12
    Time To Live  . . . . : 86400
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    PTR Record  . . . . . : localhost


    1.0.0.127.in-addr.arpa
    ----------------------------------------
    Record Name . . . . . : 1.0.0.127.in-addr.arpa.
    Record Type . . . . . : 12
    Time To Live  . . . . : 86400
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    PTR Record  . . . . . : localhost


    clickalmost.org
    ----------------------------------------
    Record Name . . . . . : clickalmost.org
    Record Type . . . . . : 1
    Time To Live  . . . . : 30
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    A (Host) Record . . . : 69.65.49.114


    t3.gstatic.com
    ----------------------------------------
    Record Name . . . . . : t3.gstatic.com
    Record Type . . . . . : 5
    Time To Live  . . . . : 28
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    CNAME Record  . . . . : tbn.l.google.com


    www.gregorypacks.com
    ----------------------------------------
    Record Name . . . . . : www.gregorypacks.com
    Record Type . . . . . : 5
    Time To Live  . . . . : 1785
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    CNAME Record  . . . . : gregorypacks.com


    www.gap-system.org
    ----------------------------------------
    Record Name . . . . . : www.gap-system.org
    Record Type . . . . . : 5
    Time To Live  . . . . : 7185
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    CNAME Record  . . . . : turnbull.mcs.st-and.ac.uk


    www.cityofgregory.com
    ----------------------------------------
    Record Name . . . . . : www.cityofgregory.com
    Record Type . . . . . : 5
    Time To Live  . . . . : 3585
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    CNAME Record  . . . . : cityofgregory.com


    www.gregorysshoes.com
    ----------------------------------------
    Record Name . . . . . : www.gregorysshoes.com
    Record Type . . . . . : 5
    Time To Live  . . . . : 3585
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    CNAME Record  . . . . : gregorysshoes.com


    twitter.com
    ----------------------------------------
    Record Name . . . . . : twitter.com
    Record Type . . . . . : 1
    Time To Live  . . . . : 7
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    A (Host) Record . . . : 199.59.148.10


    Record Name . . . . . : twitter.com
    Record Type . . . . . : 1
    Time To Live  . . . . : 7
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    A (Host) Record . . . : 199.59.148.82


    Record Name . . . . . : twitter.com
    Record Type . . . . . : 1
    Time To Live  . . . . : 7
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    A (Host) Record . . . : 199.59.149.198


    online.wsj.com
    ----------------------------------------
    Record Name . . . . . : online.wsj.com
    Record Type . . . . . : 5
    Time To Live  . . . . : 34
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    CNAME Record  . . . . : online.wsj.akadns.net


    www.gregory1.com
    ----------------------------------------
    Record Name . . . . . : www.gregory1.com
    Record Type . . . . . : 1
    Time To Live  . . . . : 14385
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    A (Host) Record . . . : 98.190.238.71


    www.utrecsports.org
    ----------------------------------------
    Record Name . . . . . : www.utrecsports.org
    Record Type . . . . . : 5
    Time To Live  . . . . : 3585
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    CNAME Record  . . . . : utrecsports.org


    adwords.google.com
    ----------------------------------------
    Record Name . . . . . : adwords.google.com
    Record Type . . . . . : 1
    Time To Live  . . . . : 251
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    A (Host) Record . . . : 72.14.204.112


    localhost
    ----------------------------------------
    Record Name . . . . . : localhost
    Record Type . . . . . : 1
    Time To Live  . . . . : 86400
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    A (Host) Record . . . : 127.0.0.1


    localhost
    ----------------------------------------
    Record Name . . . . . : localhost
    Record Type . . . . . : 28
    Time To Live  . . . . : 86400
    Data Length . . . . . : 16
    Section . . . . . . . : Answer
    AAAA Record . . . . . : ::1


    www.newadvent.org
    ----------------------------------------
    Record Name . . . . . : www.newadvent.org
    Record Type . . . . . : 1
    Time To Live  . . . . : 3321
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    A (Host) Record . . . : 208.87.26.197

Некоторым вещам удается загрязнять мою информацию DNS только из просмотра страниц. И чтобы убедиться, что это не было в истории Firefox, я выполнил CCleaner до всего этого.

Я начинаю верить, что это исходит из сети и использует слабость в Windows 7 и браузерах.

РЕДАКТИРОВАТЬ 6

Я попытался перезагрузиться в безопасном режиме с сетью, затем я запустил Firefox. Проблема все еще происходит. Я перезапустил Firefox в безопасном месте (т.е. отключил все надстройки и т.д.). Проблема все еще происходит.

Моя домашняя страница http://www.google.com . Я печатаю KB66. URL меняется на:

http://www.google.com/#sclient=psy&hl=en&site=&source=hp&q=KB66&aq=f&aqi=&aql=&oq=&pbx=1&bav=on.2,or.r_gc.r_pw.&fp=5014d35bb6efb157&biw=1280&bih=671

Я щелкаю правой кнопкой мыши по ссылке под названием «www.faucetdirect.com» ... ... ›Kingston Brass Tub and Shower '(например), чтобы открыть его в отдельной вкладке (или окне). Ссылка в новой вкладке становится:

http://7search.com/scripts/validation/v1/validate.aspx?x=dy9ygBqjMxLd%2fx4LgOz5nQ%3d%3d_nO1ntDEYzcueda6yqGuUEeCV6c3Bxc6tmw%2fI%2fM6cQTK3SaB9RpCN6iq7Oi6xnF6w0rps%2b%2bhP2MyCTu9vIpIX4yX3Rbb3DEqizuSnIrOMbXnjc%2bPLs5ynvpAR7ks6T%2b9EdGLnPWbO2Cu7Mv3V1w1MUhZAz6VAxhb3x4jYKaGcSRGjiUq%2bq0gHn2Ztqy2ZO0SJvCokHOYmlvuWGAEsf6xaAZ6sdsUfpzQXggpBWlZYwVIMNbCU9Y%2fhVzEWcKJ6XO4HZrlIhZwXAJ9%2brzRxqtwdegQ8fzHsM1DnhYe0kpgzZi4XCYIHjW%2fg5sf%2brshMYtgq

Иногда я получаю разные ссылки на другие спам или поисковые сайты.

Когда я щелкаю правой кнопкой мыши на «кэшированном», связанном с открытым контентом на отдельной вкладке, я получаю:

http://webcache.googleusercontent.com/search?q=cache:Y5x8Fw4B-OgJ:www.faucetdirect.com/kingston-brass-kb66-px-double-handle-tub-and-shower-with-rough-in-single-function-showerhead-tub-spout-and-porcelain-cross/p1507409+KB66&cd=2&hl=en&ct=clnk&gl=us&source=www.google.com

Я следовал рекомендациям Harrymc относительно автозапуска, я не могу найти что-то подозрительное в своих элементах автозагрузки.

Я использую этот компьютер как в Европе, так и в США, и проблема возникает в обоих местах.

PS: Вчера я снова запустил все антишпионские программы, бот и антивирус, и было найдено 0 проблем.

Для записей

Переформатирование моего компьютера с нуля решило проблему. Я никогда не думал, что мне придется идти так далеко. Pffffff .....

4 ответа4

3

Вы видите это в двух разных браузерах WWW, так что это не проблема браузера WWW. Возиться с вашими WWW браузерами это не исправит.

Это проблема с вредоносным ПО. Но это не проблема, вызванная тем, что вредоносные программы действительно запускаются прямо сейчас на вашем компьютере. Вредоносная программа работала в некоторый момент в прошлом, и она перенастраивала вашу машину таким образом, чтобы она использовала только интернет-сервисы, предоставленные автором (ами)/ распространителем вредоносного ПО. В частности, он изменил представление вашей машины о том, кого запрашивать какие-либо запросы DNS - откуда получить прокси-службу DNS.

Перенаправление прокси-сервера DNS вредоносным ПО

Теперь ваш компьютер связывается с вредоносным прокси-сервером DNS для поиска всех имен DNS → IP-адресов. Этот сервер, в свою очередь, сообщает вам, что весь Интернет (или, по крайней мере, популярные части, такие как Google) существует в одной конкретной сети. (Обычный для нескольких отчетов, таких как этот от февраля 2011 года, который был 93.188.163.0/23 и 93.188.160.0/24, но это не единственные люди, которые делают этот трюк любыми способами.)

Таким образом, ваша машина связывается с IP-адресами в этой сети для всех контент-серверов HTTP, с которыми она пытается установить связь. В этой сети (помимо прочего) находятся аналогичные вредоносные HTTP-серверы, которые обслуживают слегка искаженное представление о реальной всемирной паутине. Они копируют все WWW-страницы, чтобы смягчить ваши подозрения, и хитро изменяют такие вещи, как URL-адреса на страницах результатов поиска Google, чтобы вместо того, чтобы переходить к фактическим частям WWW, которые Google публикует, они рекламируют WWW-страницы, именно так, как вы видите.

DNS-поиск переопределяется вредоносным ПО

Поведение, которое я описал выше, в исходной версии этого ответа, относится к (кроме всего прочего) варианту программы DNlohanger троянского коня Zlob. Это не единственная вредоносная программа для изменения настроек DNS, так как Promnet Ltd., IP-адреса которой были указаны выше, не является единственной целевой сетью, на которой работают вредоносные серверы. Другая вредоносная программа - это программа для троянских коней QHosts-1 (имя McAfee).

Это также изменяет настройки прокси-сервера DNS. Но то , что она и делает, кроме того, производит эффекты , наблюдаемые в добавлении к вопросу , который был добавлен после моего ответа. Он также, как указывает McAfee, изменяет файл hosts . Опять же, это не единственная вредоносная программа, которая делает это любыми способами.

Файл hosts используется одним из двух способов в Microsoft Windows. Если не работает служба DNS-клиента (dnscache), то к ней обращаются непосредственно к приложениям, которые хотят сопоставить имена с IP-адресами, прежде чем запрашивать DNS. Если один работает служба DNS - клиент, то эта служба инициализирует кэш подстановок из содержимого в файл hosts при запуске, whever изменение метки времени hosts - файл был изменен, и всякий раз , когда служба проинструктирован повторно инициализировать себя с помощью ipconfig /flushdns . Вывод ipconfig /displaydns - это то, что находится в кэше DNS-клиента, а тот факт, что его начальное содержимое представляет собой целую загрузку вредоносных записей, указывает на то, что эти записи находятся в файле hosts .

7search

Со времени моей второй версии этого ответа нам сообщили о доменном имени 7search.com. , Как я уже упоминал, Zlob DNSChanger - не единственное программное обеспечение, которое изменяет конфигурацию. Другие такие программы включают в себя 7FaSSt и BrowserAccelerator (неясно, являются ли это двумя поколениями одного и того же или двумя разными вещами.), Которые являются панелями инструментов, которые подключаются к WWW-браузерам и имеют эффект, описываемый как направление всех запросов Google через 7Search ,

Стоит отметить, что классификация этих плагинов панели инструментов браузера выглядит довольно мутно. 7Search подал в суд на McAfee в 2008 году, чтобы он прекратил называть свою панель инструментов "шпионским ПО", и в нескольких отчетах, которые можно найти явно, это классифицируется как "не вирус". (Конечно, шпионское ПО не обязательно должно быть вирусом, чтобы быть шпионским ПО.) SpyBot добавляет записи файла hosts чтобы исключить доступ к 7Search с компьютеров, на том основании, что он связан с панелями инструментов шпионских программ, а 7Search в отместку оборачивается осуждением того, что SpyBot делает "плохим", и предоставлением инструкций, чтобы помочь пользователям восстановить "чистый" Файл hosts без профилактики SpyBot.

Локальные исправления

Перенаправление прокси DNS-сервера

Поскольку сейчас вы не запускаете вредоносное ПО, локальное решение этой проблемы - просто вернуть конфигурацию вашей машины в исходное состояние, используя прокси-серверы DNS, которые вы использовали. Вы либо использовали прокси-сервер DNS вашего провайдера, либо локальный прокси-сервер DNS в своей сети (например, корпоративный контроллер домена Microsoft Windows). Вы сделали это одним из двух способов

  • Ваш провайдер / администратор домена сообщил вам один или несколько IP-адресов. В этой ситуации вам просто нужно восстановить эти IP-адреса вместо IP-адреса вредоносного DNS-сервера.
  • Вы получили IP-адреса автоматически через DHCP. Вредоносная программа отключит это и переключит вас на IP-адреса DNS-сервера, указанные вручную. Вам просто нужно включить это снова и возобновить аренду DHCP.

Для Microsoft Windows есть пошаговое руководство по выполнению этого в Technet. Не забудьте стереть все вредоносные IP-адреса DNS-сервера со всех настроек сетевого адаптера.

Обратите внимание, что я не приношу здесь никаких инструкций, чтобы вернуться к тому, чтобы ваша машина использовала публичный прокси-сервер DNS какой-либо третьей стороны, такой как Google или OpenDNS '. Вы лично видите, почему очень опасно использовать сторонние публичные прокси-серверы DNS, управляемые любым, с кем у вас нет договорных отношений или других причин для доверия. Когда прокси-серверы DNS управляются злоумышленниками, они могут делать то же самое с вашей машиной по своему усмотрению, без необходимости что-либо запускать на самой машине. И действительно, как уже отмечалось, у некоторых из них есть скрытые мотивы, и фактически, точно так же, как люди, которые похитили вашу прокси-службу DNS здесь, уже делают точно такой же трюк с отображением обширных участков Интернета обратно на свои собственные серверы.

Переопределение поиска DNS

Опять же, поскольку сейчас вы не запускаете вредоносное ПО, локальное исправление довольно просто - отредактировать все эти записи обратно из файла hosts .

И снова, Microsoft предоставляет пошаговое руководство по выполнению этого и мастер "исправления" в своей базе знаний.

7search

Некоторые утилиты удаления шпионских программ утверждают, что могут удалить 7FaSSt и BrowserAccelerator . Spyware Terminator делает, например. Возможно, более полезно то, что на WWW-странице Spyware Terminator для 7FaSSt перечислены все файлы и записи реестра, которые использует 7FaSSt . Точно так же в этом отчете ThreatExpert перечислены все файлы и записи реестра, используемые BrowserAccelerator .

1

Сообщение о "отключенном носителе", вероятно, связано с тем, что подключение по локальной сети действительно отключено.

Поскольку команда ipconfig /renew работает только с адаптерами, настроенными для динамической (DHCP) адресации, возможно, настройка отключенного подключения по локальной сети, не использующего DHCP, может решить часть проблемы.

В более общем случае вы должны настроить свой компьютер на автоматический прием DHCP и DNS от маршрутизатора. Таким образом, настройки маршрутизатора будут применяться ко всем вашим компьютерам.

На маршрутизаторе должны быть установлены DNS-серверы, предлагаемые вашим Интернет-провайдером, как наиболее близкие к сети. Или выберите Google Public DNS или OpenDNS или DNS Advantage. Проверьте относительную скорость каждого из них, например, в моем случае DNS Advantage быстрее моего провайдера.

РЕДАКТИРОВАТЬ

Дополнительные записи в хостах были добавлены иммунизацией Spybot Search and Destroy, так что ничего страшного. С другой стороны, clickalmost.org выглядит крайне подозрительно.

Я предлагаю вам загрузиться в безопасном режиме с сетью, чтобы увидеть, если это происходит. Если это перестает происходить, за это отвечает установленный продукт. Затем вы должны, используя Autoruns, изучить все элементы автозагрузки для подозрительных или вредоносных программ.

EDIT2

Я считаю, что ваша установка была скомпрометирована каким-либо вредоносным ПО, которое не обнаруживается антивирусом. Причина, по которой он остается незамеченным, может быть:

  1. Заражение в вашем DNS, которое не проверяется антивирусом.
    Следуйте моим рекомендациям, чтобы правильно сбросить их в роутере и компьютере.
  2. Вирус, который заражает вас, относится к типу, который в настоящее время неизвестен.

Во втором случае обратитесь в службу поддержки используемых вами антивирусных продуктов и обратитесь за помощью: Emsisoft, MalwareBytes или SUPERAntiSpyware, а не в Google Security. Я также рекомендую попробовать Avast и Avg: установить их и выполнить глубокое сканирование, а затем сообщить о проблеме, если ничего не найдено (оба дают разумную поддержку).

Вы также можете использовать антивирусную онлайн-проверку, такую как ESET Online Scanner, Trend Micro House Call и Kaspersky Labs Free Virus Scan. Обратите внимание, что они могут потребовать от вас использовать Internet Explorer в качестве браузера в качестве администратора и что каждое сканирование может занять несколько часов.

Если все не удается, переформатирование жесткого диска и переустановка Windows - единственное решение (некоторые люди рекомендуют его при любом подозрении на глубокое и трудно удаляемое заражение).

0

Вы вероятно заражены рекламным ПО.

Скачайте и запустите Combofix.

Скачать здесь

Запустите его в соответствии с инструкциями, приведенными здесь

Теперь опубликуйте журнал Combofix здесь (он находится в c:\Combofix.txt)

0

У меня возникла та же проблема, что вы перечислили здесь с браузером Firefox. Я смотрел на это обсуждение для решения, но ни один, казалось, не работал для меня также.

Я пошел в меню Firefox и выбрал Инструменты> Параметры. Оказавшись в окне "Параметры", я перешел на вкладку "Дополнительно" и затем настройки подключения. Под опциями прокси я увидел, что в моем браузере был выбран URL автоматической настройки прокси. Я переключил это на Автоопределение настроек прокси для этой сети.

Пока что на прошлой неделе я не сталкивался с проблемой. Я не уверен, что это изменение конфигурации сделало, но мне кажется, что оно работает до сих пор.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .