1

За последние несколько недель у меня произошло следующее, с использованием Windows 8.1 и Firefox V44. Единственными активными дополнениями являются Adblock Plus, Flashblock и Norton Identity Safe:

  • Во-первых, Norton Internet Security (которая уверяет меня в том, что все защищено зелеными галочками и неуклюжими чертами в области безопасности) предупреждает меня, что обнаружен большой объем исходящего трафика. Он спрашивает меня, хочу ли я запустить Power Eraser. Я сделал это дважды. Общий вклад Power Eraser в обеспечение безопасности и защиты заключается в том, чтобы по-новому взглянуть на старый инструмент Office.exe (перенесенный из Office 2000, который я разрешил удалить) и параметр реестра, позволяющий загружать профили в Powershell. , С тех пор я не удосужился использовать его снова.
  • Редактировать: как разъяренный в сторону, я пытался запустить полное сканирование с Нортоном, но он отказался. Я выбрал Full Scan, выбрал Go, и ничего не произошло. Я не мог поднять его варианты. В конце я запустил диагностику Нортона и обнаружил, что он рекомендует переустановить устройство. Отлично, он показывает мне океаны "Все в порядке здесь" зеленого цвета, и он даже не знал, что он не работает должным образом.
  • Внезапно Firefox начнет предупреждать меня, что какое-то непристойное количество всплывающих окон было заблокировано.
  • Некоторые по-прежнему пробираются, обычно предупреждая меня (вместе с подробной информацией о моем сетевом подключении), что у меня «включены всплывающие окна!«и что я должен связаться с людьми, которые" помогут "мне в этом. Другие, предположительно, представляют собой обзоры сайтов с сайта, на котором я работаю, и, как ни странно, все они выглядят одинаково, даже если речь идет о совершенно разных веб-сайтах.

Это кажется на порядок хуже, если смотреть на один конкретный сайт; smh.com.au.

Я подозреваю, но не уверен, что всплывающие всплывающие окна имеют какое-то отношение к этому элементу Flash, указывающему на точку //partners.cmptch, которая появилась на странице:

Подозреваемый Flash Элемент

По всей странице я нахожу, что некоторые слова становятся кликабельными, всегда "работают от DNS Unlocker", например так:

Элемент разблокировки DNS

Часто браузер будет отображать запущенные скрипты, указывающие на Akamai:

Akamai Script Lockup

Ниже подробно описана часть моего вопроса, которая отличается от «Как я могу удалить вредоносные шпионские, вредоносные, рекламные программы, вирусы, трояны или руткиты с моего компьютера?" один.

Вот смешная часть. Кто-то где-то должен знать, как эта штука делает то, что делает. Но я не могу найти эту информацию. Каждый веб-поиск дает ссылки о том, как "исправить" рекламное ПО. Неизменно они оказываются ссылками на скачивание «Лучшего в мире антирекламного программного обеспечения!"который волшебным образом исправит это для вас. В случаях, когда существует так называемое "ручное" исправление, оно включает в себя удаление записей поисковой системы (из которых у меня нет нестандартных) или домашней страницы (для которой по умолчанию установлен Firefox) или перезагрузку браузера ( что я уже сделал, установив Firefox обратно к заводским настройкам по умолчанию перед добавлением двух надстроек, упомянутых выше.)

В отчаянии я, наконец, поддался использованию антирекламного инструмента, рекомендованного рядом журналов для ПК; AdwCleaner v5.032.

Вот что он сделал:

***** [ Files ] *****

[-] File Deleted : C:\WINDOWS\SysWOW64\vers

...
***** [ Registry ] *****

[-] Key Deleted : HKLM\SOFTWARE\Classes\AppID\BHO.DLL
[-] Key Deleted : HKLM\SOFTWARE\Classes\.bdcm
[-] Key Deleted : HKLM\SOFTWARE\Classes\.bdcr

И результат этого? Абсолютно ничего, как только я открыл Firefox и вернулся на сайт SMH, весь бизнес начался снова.

Так что в дальнейшем отчаянии я теперь здесь надеюсь, что кто-то, чьи знания о серверах и браузерах и HTML и тому подобное намного больше, чем у меня, может дать мне некоторое представление о том, как это происходит, и что я могу сделать, чтобы провести деревянный кол через его сердце раз и навсегда.

Чтобы быть полностью ясным... Ссылка вставляется в основной текст веб-страницы ... Как? Flash-компонент вставляется в такую страницу (при условии, что это то, что здесь происходит)... как? Сценарий, который не может быть частью реального содержимого страницы, запускается ... как? Короче говоря, каков механизм возникновения этих инфекций? Это наверняка, что это не просто отходы протоплазмы, которые распространяют вирусы, которые знают такие вещи. Люди, которые борются с этими вирусами, должны были приложить некоторые усилия, чтобы понять механизмы и, следовательно, как защититься от них и победить их.

1 ответ1

2

Ваши журналы AdwCleaner показывают, что у вас есть что-то с именем BHO.DLL. Быстрый поиск BHO.DLL показывает, что BHO.DLL является шпионским ПО.

Если бы AdwCleaner не смог удалить его, я бы отнесся к нему с серьезностью вируса (не просто старого рекламного ПО).

Поэтому я бы выбрал ответ из этого сообщества вики. Хотя мне неприятно это говорить, вероятным лучшим ответом является восстановление окон.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .