Как работает заражение рекламным ПО в Firefox и как от него избавиться?

393
Alan K

За последние несколько недель у меня произошло следующее, с использованием Windows 8.1 и Firefox V44. Единственными активными дополнениями являются Adblock Plus, Flashblock и Norton Identity Safe:

  • Во-первых, Norton Internet Security (которая уверяет меня в том, что все защищено зелеными галочками и неуклюжими чертами в области безопасности) предупреждает меня, что обнаружен большой объем исходящего трафика. Он спрашивает меня, хочу ли я запустить Power Eraser. Я сделал это дважды. Общий вклад Power Eraser в обеспечение безопасности и защиты заключается в том, чтобы по-новому взглянуть на старый инструмент Office.exe (перенесенный из Office 2000, который я разрешил удалить) и параметр реестра, позволяющий загружать профили в Powershell., С тех пор я не удосужился использовать его снова.
  • Редактировать: Я был в бешенстве, пытаясь запустить полное сканирование с Нортоном, но он отказался. Я выбрал Full Scan, выбрал Go, и ничего не произошло. Я не мог поднять его варианты. В конце я запустил диагностику Нортона и обнаружил, что он рекомендует переустановить устройство. Отлично, он показывает мне океаны "Все в порядке здесь" зеленого цвета, и он даже не знал, что он не работает должным образом.
  • Внезапно Firefox начнет предупреждать меня, что какое-то непристойное количество всплывающих окон было заблокировано.
  • Некоторые по-прежнему пробираются, обычно предупреждая меня (вместе с подробной информацией о моем сетевом подключении), что у меня «включены всплывающие окна!» и что я должен связаться с людьми, которые «помогут» мне в этом. Другие, предположительно, представляют собой обзоры сайтов с сайта, на котором я работаю, и, как ни странно, все они выглядят одинаково, даже если речь идет о совершенно разных веб-сайтах.

Это кажется на порядок хуже, если смотреть на один конкретный сайт; smh.com.au.

Я подозреваю, но не уверен, что всплывающие всплывающие окна имеют какое-то отношение к этому элементу Flash, указывающему на точку //partners.cmptch, которая появилась на странице:

Подозреваемый Flash Элемент

По всей странице я нахожу, что некоторые слова становятся кликабельными, всегда «работают от DNS Unlocker», например так:

Элемент разблокировки DNS

Часто браузер будет отображать запущенные скрипты, указывающие на Akamai:

Akamai Script Lockup

Ниже подробно описана часть моего вопроса, которая отличается от "Как я могу удалить вредоносные шпионские программы, вредоносное ПО, рекламное ПО, вирусы, трояны или руткиты с моего компьютера?" один.

Вот смешная часть. Кто-то где-то должен знать, как эта штука делает то, что делает. Но я не могу найти эту информацию. Каждый веб-поиск дает ссылки о том, как «исправить» рекламное ПО. Неизменно они оказываются ссылками на скачивание "Лучшее в мире антирекламное программное обеспечение, когда-либо!" который волшебным образом исправит это для вас. В случаях, когда существует так называемое «ручное» исправление, оно включает в себя удаление записей поисковой системы (из которых у меня нет нестандартных) или домашней страницы (для которой по умолчанию установлен Firefox) или перезагрузку браузера ( что я уже сделал, установив Firefox обратно к заводским настройкам по умолчанию перед добавлением двух надстроек, упомянутых выше.)

В отчаянии я, наконец, поддался использованию антирекламного инструмента, рекомендованного рядом журналов для ПК; AdwCleaner v5.032.

Вот что он сделал:

***** [ Files ] *****  [-] File Deleted : C:\WINDOWS\SysWOW64\vers  ... ***** [ Registry ] *****  [-] Key Deleted : HKLM\SOFTWARE\Classes\AppID\BHO.DLL [-] Key Deleted : HKLM\SOFTWARE\Classes\.bdcm [-] Key Deleted : HKLM\SOFTWARE\Classes\.bdcr

И результат этого? Абсолютно ничего, как только я открыл Firefox и вернулся на сайт SMH, весь бизнес начался снова.

Так что в дальнейшем отчаянии я теперь здесь надеюсь, что кто-то, чьи знания о серверах и браузерах и HTML и тому подобное намного больше, чем у меня, может дать мне некоторое представление о том, как это происходит, и что я могу сделать, чтобы провести деревянный кол через его сердце раз и навсегда.

Чтобы быть полностью понятным ... Ссылка вставляется в основной текст веб-страницы ... Как? Flash-компонент вставляется в такую ​​страницу (при условии, что это то, что здесь происходит) ... как? Сценарий, который не может быть частью реального содержимого страницы, запускается ... как? Короче говоря, каков механизм возникновения этих инфекций? Это наверняка, что это не просто отходы протоплазмы, которые распространяют вирусы, которые знают такие вещи. Люди, которые борются с этими вирусами, должны были приложить некоторые усилия, чтобы понять механизмы и, следовательно, как защититься от них и победить их.

1
@DavidPostill: Нет, это не так, потому что я также спрашиваю, КАК эти специфические симптомы возникают. Я хочу понять врага, а не просто убить его. Alan K 8 лет назад 0
Не зная точно, что заразило вас, как вы ожидаете ответа на вопрос «как это работает»? DavidPostill 8 лет назад 1
@ ДавидPostill Ну и дела, я не знаю, Дэвид, может быть, кто-то, кто изучал подобные вещи, знает больше, чем я. Или ты. Я дал довольно подробное описание симптомов. Как ни странно, в медицине некоторые врачи могут разобраться без необходимости сначала узнавать возбудителя. Но продолжайте помечать эти «потенциальные дубликаты», потому что на этом сайте это действительно важно. Alan K 8 лет назад 0
@AlanK: Вы пояснили, почему это не дубликат в комментарии. Возможно, вы захотите добавить эту информацию к вопросу, потому что он находится в очереди на рассмотрение. Два замечания: 1) Не удивляйтесь, если люди сочтут ваш вопрос слишком широким и проголосуют за его закрытие. Вопрос о том, как работают все эти разные механизмы, довольно большой. 2) Предполагая, что вопрос остается открытым, непристойные ответы в комментариях будут препятствовать ответам. Подумайте об удалении вашего последнего комментария. Просто говорю'. fixer1234 8 лет назад 0
@ fixer1234: Я редактировал вопрос, чтобы сделать это (см. историю изменений), хотя сам вопрос действительно начинается больше с «как это происходит», чем с «как исправить». Я не ищу полный трактат о вирусной инфекции, а скорее о том, у кого возникают эти специфические симптомы. По сути, я бы хотел, чтобы кто-то со знанием пролил свет в это темное место. Если вопрос закрыт ... меня это не удивит. Ваш совет относительно тона комментария мудр, но я точно знаю, что я не единственный на бирже стэков, страдающий от "усталости модератора". (Продолжение) Alan K 8 лет назад 0
@ fixer1234: Вам нужно только взглянуть на постоянно растущее число статей, которые можно найти, запросив название сайта с действием, связанным с вакуумом, и многие из них сводятся к тому, что они «закрываются как потенциальный дубликат». «Закрыто, так как непонятно, о чем спрашивали», хотя кто-то дал точный ответ. «Отложено как не по теме, потому что боги запрещают кому-либо высказывать свое мнение». Я знаю, что это проблема Мета, которая не должна быть в комментариях, но это место, кажется, превращается из места, где люди помогают друг другу, в место, которое существует с единственной целью применения правил. Alan K 8 лет назад 0

1 ответ на вопрос

2
adgelbfish

Your AdwCleaner logs indicate that you had something named BHO.DLL. A quick search for BHO.DLL indicates that BHO.DLL is spyware.

If AdwCleaner could not remove it, I would treat it with the severity of a virus (not plain old adware).

Therefore I would pick an answer from this community wiki. Although I hate to say it, the probable best answer is to restore windows.

Благодарю. Я могу жить с этим, если мне придется. Но я хочу посмотреть, смогу ли я получить представление о том, как это происходит. Большинство вещей, которые вы можете найти с помощью простого веб-поиска, но по какой-то причине (возможно, из-за того, что они слишком глубоко погребены под так называемыми ответами «загрузите этот инструмент»), причины и причины такого рода инфекции не так легко найти. ADWCleaner удалил bho.dll, так что это что-то еще, что вызывает это. Alan K 8 лет назад 0
Это может быть перенаправление вашего DNS и проксирование всего вашего трафика, или много других вещей. Я хотел бы предложить загрузить копию Firefox Portable, установив ее в Google dns 8.8.8.8 и 8.8.4.4 с помощью [этого расширения] (https://addons.mozilla.org/en-US/firefox/addon/switchhosts/) и пытаясь снова. После этого я хотел бы проксировать весь трафик вашего браузера через любой прокси-сервер и посмотреть, будет ли он очищен. также попробуйте установить ff, чтобы не использовать настройки прокси-сервера Windows в Advanced> Network. adgelbfish 8 лет назад 0
@AlanK Мне было бы любопытно, какой метод они используют, если вы хотите, мы можем продолжить в чате. adgelbfish 8 лет назад 0

Похожие вопросы