[-Fx-] 我的Fx被駭了嗎？

作者m20081015 (想飛的哺乳類)

看板Browsers

標題[-Fx-] 我的Fx被駭了嗎？

時間Mon Dec 30 11:29:37 2013

就在剛剛 Fx突然自動重新啟動重新啟動後發現我的add-ons被清空打開附加元件管理員發現有2個不明套件分別為 GrEatSavue4U、SSaaveLotss google大神也找不到這2個套件的出處也太驚悚了 -------------------------------------- 後記當出在用Revo Uninstaller刪除上述2個怪名稱程式時發現它們的登錄檔機碼藏得很深這幾天的觀察結果就是刪除後仍有後遺症後遺症就是Fx仍會不明自動重新啟動但是附加元件並沒有被清空前往控制台查看仍有被自動安裝不明程式用Revo Uninstaller刪除則觀察到登錄檔機碼沒前述那2個怪名稱程式那麼深用小紅傘掃不明程式也沒顯示有問題(從那天後就把防毒軟體換成小紅傘而在今天突然想到如果把Fx完全刪除後重灌不知是否還會有被自動安裝不明程式的問題目前仍在觀察中而在觀看各位大大的討論之後我也是覺得可能是系統漏洞的問題而我的系統是win7 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.125.224.66

推 MadMagician:+1 不過套件名稱不一樣防毒也有叫還好有定期備份 12/30 11:35

推 jounle:+1 我發現每個瀏覽器都中..也發現被安裝到系統中.. 12/30 14:28

→ jounle:上網搜尋也搜不到這到底是什麼鬼東西..有點怕怕.... 12/30 14:29

推 timshan:幫轉防毒版 12/30 15:09

※ timshan:轉錄至看板 AntiVirus 12/30 15:09

推 timshan:可以提供Firefox設定檔嗎？ 12/30 15:11

推 timshan:這看起來很像是Great Saver http://tinyurl.com/kla2wjc 12/30 15:16

後來有在控制台程式集裡找到這2個怪名稱的程式安裝日期也是2013/12/30 不過當下沒直接刪除，而是先用MSE進行全機掃毒掃毒結果則是無任何感染＝＝後來則是用Revo Uninstaller把這2個怪名稱的程式給刪除再將Fx回復到原廠狀態(不知有沒有用，先觀察 ※ 編輯: m20081015 來自: 140.125.224.66 (12/30 15:55)

推 timshan:GreatSaver非常的新大概出來一周不到 12/30 16:34

推 chiutin:+1 狀況一樣名稱不一樣 12/30 17:02

→ m20081015:看來這個問題有點大 12/30 17:42

→ yukitowu:這種"程式"掃毒軟體通常辨識不出來... 12/30 20:30

推 easoniverson:+1 12/30 22:48

推 easoniverson:我的是ShopDRRop跟TaakaeTheCoupona 小紅傘掃到了 12/30 23:34

→ labbat:樓上提供的連結被防毒軟體擋下來，不敢點開來 12/31 01:58

推 timshan:我提供的連結？http://tinyurl.com/mj7gnl8 VirusTotal的 12/31 03:01

→ timshan:結果 12/31 03:01

推 wumins:請問中獎的大大是在什麼樣的情況下中毒的？ 12/31 07:06

推 pross:+1 超怪的 12/31 07:28

推 pretzel:還好沒中 12/31 08:48

推 wuliou:沒什麼資訊不知道中獎的人是從哪裡中的 12/31 09:24

→ pross:我用MSE也沒掃到任何東西用AdwCleaner有抓到一些 12/31 09:38

→ pross:http://ppt.cc/xiz- AdwCleaner 12/31 09:39

→ pross:國外Fx有討論到 http://ppt.cc/p43y 應該是這幾天才發生 12/31 09:41

→ kuro:Fx現在是樹大招風嗎… 12/31 10:23

→ Illus:我也莫名其妙中招了 XD 12/31 11:09

→ Illus:不過我的名字不太一樣叫roegullaardeealls 看來是亂數產生 12/31 11:14

推 timshan:如果是從網頁中標的開Sanboxie應該可以防範... 12/31 11:45

推 timshan:如果是其他途徑只能說大家真的不要打開來路不明的連結、 12/31 11:59

→ timshan:郵件 12/31 11:59

→ m20081015:怎麼中招的我也不大清楚，那時候我正在學校圖書館用筆電 12/31 13:04

→ m20081015:Fx就突然自動重新啟動，重新啟動後所有add-ons就被清空 12/31 13:05

推 timshan:用的是無線網路嗎？ 12/31 13:14

→ timshan:其他人也是在多人共用的區域網路中獎的嗎？ 12/31 13:15

推 easoniverson:我的電腦是學校外包的中華同寢應該共用IP 12/31 14:41

→ easoniverson:不過整寢只有我用FX所以其他人沒問題 12/31 14:41

→ easoniverson:剛剛發現我的IE也被加了一樣的附加元件 12/31 14:41

→ easoniverson:我的情況是下午上完課打開Fx後爬上去睡覺醒來就這 12/31 14:41

→ easoniverson:樣了沒有任何徵兆用小紅傘掃可以掃出來 12/31 14:42

推 timshan:樓上可以提供Hijackthis的報告嗎？ 12/31 15:06

推 easoniverson:可是我已經刪掉問題檔案了這樣還有用嗎 12/31 15:37

→ easoniverson:是說我也不會用hijackthis 12/31 15:37

推 timshan:那就沒辦法了.....殘念 12/31 15:54

→ m20081015:回T大，在圖書館是用無線網路沒錯 01/01 00:07

推 da452nny:那要怎麼處理啊QQ 只能用掃的嗎 01/01 12:53

推 timshan:先用Combofix或hijackthis產生報告然後用AdwCleaner清除 01/01 14:02

推 richstar:+1 我的是roboo 小紅傘有馬上測到但add on還是被清空 01/01 19:21

→ richstar:重新安裝Fx 才能重新安裝add on 01/01 19:22

推 b85040312:我也中標但是我沒有倍增加任何不明的元件 01/01 19:39

推 wuliou:如果是放著就被攻擊可能是OS層級的漏洞了 01/01 20:17

推 timshan:就怕是樓上說的這種... 01/01 20:21

→ wuliou:另外一種比較可能的是延遲引爆吧讓你中獎之後沒有馬上爆發 01/01 20:29

推 aiueokaki:請問原PO的OS是？ 01/01 20:35

→ SicInfit:回樓上，應該只有 Windows 會有這種問題 01/01 21:05

→ m20081015:回aiu大，OS是Win7 01/01 23:19

※ 編輯: m20081015 來自: 61.224.202.243 (01/01 23:40)