2

Я использую Windows 7. Вчера, когда я открыл сайт с Firefox, я увидел 3 объявления в верхней части сайта.

Затем, когда я проверил другие сайты с другими браузерами, я увидел эти объявления:

В исходном коде страницы я не вижу кода для этих объявлений. После использования Inspect Element этот код был добавлен в заголовок:

<iframe src="http://85.25.138.211/index.php?3a2j"></iframe>

И код в теле этого объявления:

<a href="http://track.impreskin.pl/product/ImpreSkin/?uid=21002&amp;pid=153&amp;bid=1659" rel="nofollow" title="wygladzanie zmarszczek"><img src="http://track.impreskin.pl/banner/?uid=21002&amp;pid=153&amp;bid=1659" alt="wygladzanie zmarszczek"></a>

Я не вижу никаких новых и нежелательных плагинов в моих браузерах, и я не установил Hotspot Shield.

Это вредоносная программа, и если да, то как я могу ее удалить?

3 ответа3

1

Вы столкнулись с вредоносным ПО, которое было разработано для работы непосредственно перед тем, как веб-браузер отображает веб-страницы. Обычно он перехватывает запрос браузера на получение веб-страницы, анализирует посещаемый вами сайт и пытается внедрить HTML-объявления, которые могут иметь отношение к тому, что вы просматриваете, а могут и не иметь отношения к нему.

Вам нужно будет проверить настройки прокси во всех ваших веб-браузерах и запустить полное сканирование на наличие вредоносных программ и антивирусов на вашем компьютере, поскольку ваш компьютер сильно заражен.

Adblock вам не поможет, это вирус. Я бы с уверенностью предположил, что все веб-страницы загружаются очень медленно, и если вы проверите свой диспетчер задач, то FireFox, вероятно, использует 300-500 МБ только для просмотра одного веб-сайта.

1

После исследования я нашел этот ответ Мартина Прикрыла:

... проблема происходит в сотовой сети только из-за кеширования. После некоторого времени подключения к сотовой сети и постоянного обновления проблема исчезла. И появился снова только после подключения к Wi-Fi.

Это сделало очевидным, что проблема связана с скомпрометированным маршрутизатором. Сброс его к заводским настройкам исправил.

-1

У меня точно такая же проблема. Платформа - Windows 7 64. Он не только атакует Firefox. Он взламывает все ваши веб-браузеры (firefox, то есть, и я предполагаю, что он тоже сделал бы Chrome)... это означает, что он либо установлен как расширение, либо как некоторый фрагмент глобального кэшированного кода сценариев (для всех браузеров). ..И может быть, даже что-то более глобальное.

Мне удалось "взломать" "бандитское" решение проблемы - а именно заблокировать эти ip с помощью брандмауэра Windows, а также загрузить расширение adblock firefox, но это не решает основную проблему, а именно то, что сама система имеет был взломан.

ЧАСТИЧНОЕ РАЗРЕШЕНИЕ (устраняет большинство визуальных страданий): найдите в каталоге Windows и отредактируйте "lmhosts" или "hosts", чтобы сопоставить эти URL с

"localhost":
(promo.cityads.ru)
(track.impreskin.pl)
(rcm-na.amazon-adsystem.com)
(www.juicyads.com)

-или же-

заблокировать эти удаленные ip в настройках брандмауэра

(72.21.202.62)
(81.177.161.202)
(54.192.118.235)
(199.83.129.149)

и установить AdBlock для Firefox.

Это все равно оставит вас с именем хакера на ваших страницах.

РАЗРЕШЕННЫЕ УГЛЫ ДЛЯ ИСПРАВЛЕНИЯ ОТДЫХА: я все еще работаю над этой частью ... но я пытаюсь найти содержимое файла на диске для файлов .js и / или php / css, содержащих: "wygladzanie zmarsczek" и вышеупомянутые URL

^ удалить связанные файлы

Если нет успеха, посмотрите про очистку всех .js, php и css кэширования ... извините, но я все еще работаю над поиском того, как это сделать.

Ничто из этого не доказывает, что вы действительно удалили все вредоносные программы со своего компьютера. Это просто устранение симптома (например, если у вас было заболевание, но вы принимали аспирин, чтобы уменьшить боль). Возможно, на компьютере осталось гораздо больше этого вируса.

Таким образом, это решение далеко от "совершенства", которое заключается в том, чтобы понять вектор атаки, использованный этим вирусом, закрыть дыру в безопасности и удалить все файлы, которые он мог поместить на хранение, - но это все же намного лучше, чем ничего.

Если кто-то может придумать официальное название для этой атаки и ответить на любой из этих вопросов, это поможет создать общественное понимание, которое решит проблему.

РЕЗУЛЬТАТЫ: Эти файлы вернулись, связанные с этой подписью поиска:

C:\Users\computer_name\AppData\Local\Mozilla\Firefox\Profiles\pxxczg4r.default\cache2\entries\2E0C4058E084A83FFD5E59DF25634B4708213893

C:\Users\computer_name\AppData\Local\Mozilla\Firefox\Profiles\pxxczg4r.default\cache2\entries\C116A7489A2D13D65DA56BD218030121E46D2476

C:\Users\computer_name\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\HND03M2G\ga[1].js

Релятивизируйте путь для своего компьютера, заменив "имя_компьютера" собственным именем компьютера, на котором есть ссылки. Эти файлы кеша генерируются с тем, что может быть случайным именем в Firefox ... Обнуление всего кеша может быть лучшим решением.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .