Fejlfinding på MyWebSearch: Adware eller malware?

Det præsenterende symptom på dette Windows-problem (som blev opdraget som et XP-problem, men jeg formoder, at det kunne have været en hvilken som helst version af Windows) var, at brugeren ikke kunne få adgang til nogen søgemaskine: ikke Google, ikke Bing, ikke Yahoo. Andre websteder, der ikke søger? Intet problem. Faktisk kunne brugeren ikke engang pinge søgesiderne. Først virket dette som et browser-tilføjelsesproblem, men problemet varede uanset hvilken som helst browser. Tracert ville få en del af vejen til webstedet, men derefter time out. Da der ikke umiddelbart blev synligt noget andet netværksproblem, blev min opmærksomhed henledt til MyWebSearch, en browser-tilføjelse, som sikkerhedsleverandører generøst klassificerer som adware.

Problemet var, at adware ikke ville forsvinde, når tilføjelsen blev deaktiveret. Det vises igen, fuldt aktiveret, efter hver genstart.

Havde værtsfilen angivet et andet sted for søgemaskinerne? Med Windows Stifinder kunne jeg slet ikke se nogen. Mistænksom. En download af et Qhosts-fjernelsesværktøj antydede, at Qhosts, nogle ældre malware, der er kendt for at rodet med værter, ikke var skylden.

Jeg startede med SuperAntiSpyware i sikker tilstand. Efter en genstart fjernede det nogle af sporene i applikationen, men jeg fandt, at det ikke ville tillade mig at skjule og gøre læsbar filen % WINDOWS% \ system32 \ drivers \ etc \ hosts . Det skal være muligt at udføre det fra CMD ved hjælp af denne kommando:

 attrib -r -h -s værter 

("Efter design" pr. Microsoft kan Windows Stifinder ikke ændre read-only-attributen på denne fil, selvom filen ikke er skjult. CMD-vinduet er det vigtigste køretøj til ændring af tilladelser på værter .)

Filen blev skjult fra Windows Explorer, og selv efter at den var blevet skjuet ved hjælp af attrib, kunne den kun åbnes i skrivebeskyttet tilstand med redigeringsprogrammet til CMD-tilstand. Jeg flyttede til MalwareBytes, som - stadig i fejlsikret tilstand - fandt stadig flere poster i registreringsdatabasen og filer, der skal fjernes. Efter at have foretaget disse flytninger forventedes det, at dette ville rydde op.

Nej, værtsfilen kunne stadig ikke gøres læsbar eller slettet.

Heldigvis leverer MalwareBytes et værktøj kaldet File Assassin, og dette værktøj behandlede MyWebSearch, eller rettere dets tilsyneladende hosing af værter, coup de grace. De talrige linjer, der var tilføjet værter, blev fjernet, hvilket kun blev efterladt på denne maskine 127.0.0.1 som vist i nogle versioner af Windows som hosts.sam . Der blev leveret en opdateret vært, hvor den dræbte version havde gjort sit onde. At få det til at læse igen virkede forsigtigt.

Fristende som det kan være at klassificere MyWebSearch som malware, er det muligt, at det simpelthen var "ødelagt" eller var blevet angrebet af en anden bit malware. I så fald var den meget stædigt ødelagt og gav ingen antydninger til, hvordan det rigtige rod blev gjort. Sælgers (ja, sælgeren tør vise sig selv på nettet) Ofte stillede spørgsmål tilbyder andre tip end de almindelige instruktioner til fjernelse af browserplugin.

Forskellige fora og ofte stillede spørgsmål ofte mangler en kort opskrift til at tackle dette særlige problem. Er der nogen andre, der støder på dette problem med MyWebSearch - eller et lignende problem? Hvordan løste du dit problem, hvis det er tilfældet?

© Copyright 2021 | pepebotifarra.com