Я использую Windows 7. Вчера, когда я открыл сайт в Firefox, я увидел 3 объявления в верхней части сайта.
Затем, когда я проверил другие сайты с помощью разных браузеров, я увидел эти объявления:
В исходном коде страницы я не вижу кода для этих объявлений. После использования Inspect Element этот код был добавлен в заголовок:
<iframe src="http://85.25.138.211/index.php?3a2j"></iframe>
А код в теле этого объявления такой:
<a href="http://track.impreskin.pl/product/ImpreSkin/?uid=21002&pid=153&bid=1659" rel="nofollow" title="wygladzanie zmarszczek"><img src="http://track.impreskin.pl/banner/?uid=21002&pid=153&bid=1659" alt="wygladzanie zmarszczek"></a>
Я не вижу никаких новых и нежелательных плагинов в своих браузерах, и я не устанавливал Hotspot Shield.
Является ли это вредоносным ПО, и если да, то как его удалить?
решение1
Вы столкнулись с вредоносным ПО, которое было разработано для работы непосредственно перед тем, как ваш веб-браузер отобразит веб-страницы. Обычно оно перехватывает запрос браузера на получение веб-страницы, анализирует посещаемый вами сайт и пытается внедрить HTML-рекламу, которая может иметь отношение или не иметь к тому, что вы просматриваете.
Вам придется проверить настройки прокси-сервера всех ваших веб-браузеров и запустить полное сканирование вашего ПК на наличие вредоносных программ и вирусов, поскольку ваш компьютертяжело инфицирован
Adblock вам не поможет, это вирус. Я бы с уверенностью предположил, что все веб-страницы загружаются очень медленно, и если вы проверите свой диспетчер задач, то FireFox, вероятно, использует 300-500 МБ только для просмотра одного веб-сайта.
решение2
После исследования я обнаружилэтот ответМартин Прикрыл:
... проблема возникает только в сотовой сети из-за кэширования. После некоторого времени подключения к сотовой сети и постоянного обновления проблема исчезла. И снова появилась только после подключения к Wi-Fi.
Это сделало очевидным, что проблема связана со скомпрометированным маршрутизатором. Сброс настроек до заводских исправил ситуацию.
решение3
У меня точно такая же проблема. Платформа - windows 7 64. Он атакует не только firefox. Он взламывает все ваши веб-браузеры (firefox, и я предполагаю, что он также сделал бы это с chrome)... это означает, что он установлен либо как расширение, либо как часть глобального кэшированного кода скрипта (для всех браузеров)... или, может быть, даже что-то более глобальное.
Мне удалось «взломать» «временное» решение проблемы, а именно заблокировать эти IP-адреса с помощью брандмауэра Windows, а также загрузить расширение Firefox AdBlock, но это не решает основную проблему, а именно, что сама система была взломана.
ЧАСТИЧНОЕ РЕШЕНИЕ (решает большую часть визуальных проблем): Найдите каталог Windows и отредактируйте «lmhosts» или «hosts», чтобы сопоставить эти URL-адреса с
"localhost":
(promo.cityads.ru)
(track.impreskin.pl)
(rcm-na.amazon-adsystem.com)
(www.juicyads.com)
-или-
заблокируйте эти удаленные IP-адреса в настройках брандмауэра
(72.21.202.62)
(81.177.161.202)
(54.192.118.235)
(199.83.129.149)
-и- установитьблокировщик рекламыдляFire Fox.
Это =все равно= оставит имя хакера на ваших страницах.
НЕРАЗРЕШЕННЫЕ УГЛЫ ДЛЯ ИСПРАВЛЕНИЯ ОСТАЛЬНОГО: Я все еще работаю над этой частью... но я пытаюсь выполнить поиск по содержимому файла на диске для файлов .js и/или php / css, содержащих: "wygladzanie zmarsczek" и указанные выше URL-адреса
^удалить связанные файлы
Если все не получится, попробуйте очистить все кэши .js, php и css... Извините, но я все еще работаю над тем, как это сделать.
Ничто из этого не доказывает, что вы действительно очистили свой ПК от всех вредоносных программ. Это просто устранение симптома (например, если бы у вас была болезнь, но вы принимали аспирин, чтобы облегчить боль). На ПК может остаться гораздо больше этого вируса.
Таким образом, это решение далеко от «совершенства», которое заключалось бы в понимании вектора атаки, используемого этим вирусом, закрытии дыры в безопасности и удалении всех файлов, которые он мог разместить, — но это все равно намного лучше, чем ничего.
Если кто-то сможет дать официальное название этой атаке и ответить на любой из этих вопросов, это поможет сформировать общественное понимание, которое решит проблему.
РЕЗУЛЬТАТЫ: Эти файлы были сопоставлены с этой поисковой сигнатурой:
C:\Users\computer_name\AppData\Local\Mozilla\Firefox\Profiles\pxxczg4r.default\cache2\entries\2E0C4058E084A83FFD5E59DF25634B4708213893
C:\Users\computer_name\AppData\Local\Mozilla\Firefox\Profiles\pxxczg4r.default\cache2\entries\C116A7489A2D13D65DA56BD218030121E46D2476
C:\Users\computer_name\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\HND03M2G\ga[1].js
Сделайте относительным путь для вашего собственного ПК, заменив "computer_name" на ваше собственное самореферентное имя ПК. Эти файлы кэша генерируются с тем, что может быть случайным именем в Firefox... уничтожение всего кэша может быть лучшим решением.