Firefox - pokusy o připojení i po ukončení
Zdravím. Mám Firefox 1.5.0.4. v systému Win XP Pro SP2. Používám jej na broušení webem, na co také jiného, že. Po jeho ukončení (kterému předchází "vymazání důvěrných dat" mimo hesla a formuláře; cookies, cache atd.) hlásí firewall (Sygate PF Pro) pokusy Firefoxu o připojení k adserver.itsfogo.com, port 80 (HTTP). V intervalu cca 10s to zkusí tak 8×. Docela mne to otravuje... Antivir NOD 32, aktualizovaný, AdAware 1.06 s nejnovější aktualizací nic nenajde. Mailem mi nic pdezřelého nedorazilo, vir lze téměř vyloučit. Nevíte někdo kde najít řešení?
Hm, zvláštní... asi bych to nouzově vyřešil tím, že bych ten server zapsal do hosts a přesměroval na 127.0.0.1.
Ale když je Firefox ukončený, jak to, že by se chtěl někam připojovat? Koukal ses do běžících procesů? Jestli se nějaká mrcha za něj jen nevydává...? Zkus ještě HijackThis.
no spíš jestli jej nějaká mrcha nepoužívá k otevření "vyskakovacího okna". Pokud je jako default browser, tak je to IMHO celkem jasné.
Von si Firefox často hoví ve spuštěnejch procesech i po "ukončení", mrcha jedna.
Default browser není, ten je IE7. Objevuje se jen ona zpráva od Firewallu, jinak nic. Vyskakovací okno se také neotvírá. Je to divné... Nic podezřelého ve správci úloh nevidím.
Správce úloh: http://img216.imageshack.us/img216/6889/untitled11x k1.jpg
Nacpal bych sem log z AdAware, ale obávám se že bych překročil max. velikost příspěvku. Navíc - ať připojení ve firewallu povolím nebo zakážu, stane se totéž, to jest nic.
nevim - nechce se mi ted googlovat :)
ale zjistil bych si info o:
Dkservice.exe
TFN5.exe
00THokey.exe
[dkservice.exe]
FilePath : C:\Program Files\Diskeeper\
ProcessID : 1300
ThreadCreationTime : 16.6.2006 19:39:08
BasePriority : Normal
FileVersion : 10.0.593.0
ProductVersion : 10.0.593.0
ProductName : Diskeeper (TM) Disk Defragmenter
CompanyName : Diskeeper Corporation
FileDescription : DKSERVICE.EXE
InternalName : DKSERVICE
LegalCopyright : © 1995-2005 Diskeeper Corporation
OriginalFilename : DKSERVICE
[tfnf5.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 2096
ThreadCreationTime : 16.6.2006 19:39:29
BasePriority : Normal
FileVersion : 1. 0. 1. 0
ProductVersion : 1. 0. 1. 0
ProductName : Toshiba Hotkey Utility for Display Devices
CompanyName : Toshiba Corp.
FileDescription : TFnF5
InternalName : TFnF5
LegalCopyright : Copyright © Toshiba Corp. 2001
OriginalFilename : TFnF5.Exe
Comments : Klávesová zkratka (Fn+F5) pro zobrazovací zaoízení
00thotkey.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 2132
ThreadCreationTime : 16.6.2006 19:39:31
BasePriority : Normal
FileVersion : 1, 0, 0, 20
ProductVersion : 6, 0, 2, 0
ProductName : TOSHIBA THotkey
CompanyName : TOSHIBA Corp.
FileDescription : THotkey
InternalName : THotkey
LegalCopyright : Copyright (C) 1999 - 2003
OriginalFilename : THotkey.exe
Nic nečistého to není, mám notebook Toshiba; jsou to aplikace instalované z CD dodávaného s notebookem. Diskeeper je defragmentační program.
Copak jsou ty services.exe + smss.exe + csrss.exe? Že by Sober.W?
index.php
Ale můžou to být i systémové procesy, takže to chce zkontrolovat ostatní atributy...
Hm, zvláštní. Mailem mi zip archiv nepřišel, navíc od někoho neznámého. Ani aktuální NOD32 nic nehlásí...:http://img127.imageshack.us/img127/4548/untitled13l q1.jpg
No jak jsem psal, ten červ využívá stejných názvů souborů jako OS, takže to nemusí nic znamenat. Pro jistotu zkontrolovat, jestli nemáš na disku adresář C:\Windows\System32\WinSecurity (a v něm soubory mssock1.dli, mssock2.dli, mssock3.dli, socket1.dli, atd...).
Jinak ten Firefox máš nastaven jako výchozí prohlížeč? Pak by to byla varianta, jakou psal touchwood.
V době screenshotu tabulky procesů jsi měl Firefox spuštěný? Že se tam objevil mezi procesy...
P.S.: A jaktože používáš konkurenční Sygate a ne vaše Kerio?!
Adresář C:\Windows\System32\WinSecurity není. Navíc se mi infekce virem vydaným v listopadu při používání stále aktuálního NOD32 jeví jako velice málo pravděpodobné. Firefox výchozí prohlížeč není (ač se o to snaží), tím je IE7. Jak jsem psal, situace je taková: brousím webem, pak jdu "domů" (about:blank), vymažu důvěrná data (nástroje - vymazat důvěrná data) a ukončím prohlížeč. Poté začnou vyskakovat hlášky firewallu (sygate ) že firefox.exe chce na adserver.itsfogo.com, port 80 (HTTP). Kdybych mu natvrdo zatrhl tento port tak je mi celý Firefox akorát na ozdobu... Nechápu to. Takové chování bych čekal spíše od toho IE 7 beta2, který se jeví jako bezproblémový...
Tady se řeší pdoobný problém, leč němčina není moje silná stránka: www.trojaner-board.de/archive/index.php/t-28039.htm l
Zkus pro zkoušku Firefox odinstalovat, co se bude dít?
Zkus na disku vyhledat soubor Firefox.exe - jestli tam není nějaký falešný.
V nouzovém režimu se toto neděje, předpokládám? A ten pokus o připojení je vždy jen po browsení? Když by ses k internetu nepřipojil, tak Sygate nic nehlásí?
Kdyby nic nezabralo, zkusil bych ten reklamní server nacpat do hosts, jak jsem radil v prvním příspěvku.
Děje se to jen po broušení. Ale jak jsem to teď poslední dva dny sledoval tak jen občas... V nouzovém režimu nezkoušeno; nemám-li aktivní připojení (ADSL, všemi proklínaný USB modem Sagem) tak se neděje vůbec nic. Jak to nacpu do těch hosts? Tohle jsem ještě nikdy nedělal...
c:\WINDOWS\system32\drivers\etc\hosts
Je to textový soubor, takže editovat třeba v PSPadu nebo jiném *padu.
Uvnitř je vysvětlen způsob zápisu - přidáš nový řádek: 127.0.0.1 adserver.itsfogo.com
Stejně je divný, proč se spouští Firefox, když je výchozí IE. Zkus jej odinstalovat (později přeinstalovat), jak jsem ti radil, co to udělá...?
On se ale nespouští nijak viditelně, jen vyskočí ta hláška od firewallu. Asi to dopadne tak že ho odinstaluji definitivně . Ten zápis do hosts jsem provedl, je nutný restart, aby to mělo efekt?
Jo, restartuj a pak se uvidí, jestli to bude mít nějaký efekt.
Po zápisu do souboru hosts se již nic takového neobjevilo. Díky za rady!! Označuji jako vyřešené. Zvu hosta na
No, bylo to bohužel jen obejití problému, ne jeho vyřešení... Lepší je najít příčinu, ne řešit následky. Ale lepší než drátem do oka.
Ale když na světě je tolik příjemnějších věcí. Co oči nevidí srdce nebolí. Konzultoval jsem to s bratrem, asi to budou jen nějaké cookies; sice je mám povolené jen do konce relace, ale ... Myslím že antivir by křičel kdyby tam byl nějaký nezvaný návštěvník. O tom že firefox rád zůstává viset v procesech po ukončení jsem také něco málo zaslechl. Být to od Microsoftu, tak nenapíší že je to chyba nýbrž vlastnost .
Niekto by sa mal pozrieť na tie zdrojáky FF a možno niečo vyčíta, prečo je to tak.
Mám Operu (new verze 7.0) a po ukončení to dělá to samé co jsi uváděl. Mimo SPF firewal to ukazuje i Tiny firewall. Prostě to spustí opera.exe a hlásí se to na uvedenej web. Jako hlavní prohlížeč mám IE. Škoda že to tu nikdo nevyřešil. S..e mě to
Když máš new verzi Opery 7.0, nevadí ti, že už je devítka?
Jo, jo blbnu. Myslel jsem 9. Splet jsem si to s IE 7. Tu jsem měl ve win vista (beta2 5384.4) ale je i pro xp to je ovšem jedno. Problém to stejně neřeší.
IE 7 (je beta 3) toto nedělá. Zato při každém spuštění "volá domů"...
Myslel jsem beta 2 Vistu ne IE
Ale ve Vistě je IE 7, ne? Ten se dá nainstalovat i do XP.
Dokonce už beta 3 : http://www.microsoft.com/windows/ie/ie7/about/whats new/default.mspx
Tady přímo DW : http://www.microsoft.com/windows/ie/downloads/defau lt.mspx
Jo jo, už mám staženo a nainstalováno... Ale ne z MS, nějak mi nefunguje to ověření pravosti, ani na help line MS si s tím neví rady
Novinka - reklama na onom serveru (adserver.itsfogo.com) je nahoře na zive.cz... Objevuje se mi tam nezávisle na browseru že stránku nelze zobrazit a tak dále. Takže vyřešeno ke spokojenosti!
Co je to zive.cz?
To je na dlouhé vyprávění...
Teď M.L. spolknul klávesnici...
A klasickou nebo ergonomickou? Mají tam na toto téma článek.