Серверная (www.it-simple.ru)

Удаление расширения Microsoft .NET Framework Assistant из Firefox

Проблеме уже больше двух лет, но актуальна она до сих пор.

Источник: http://forum.mozilla-russia.org/viewtopic.php?pid=374178#p374178 (http://forum.mozilla-russia.org/viewtopic.php?pid=374178#p374178)


C февраля 2009 года при обновлении Windows и установке Microsoft .NET Framework 3.5 Service Pack 1, не спрашивая вашего согласия устанавливается ещё и расширение Microsoft .NET Framework Assistant для Firefox.

И дырявый плагин «Windows Presentation Foundation», но об этом — ниже.

Это обновление добавляет в Firefox одну из самых опасных уязвимостей Internet Explorer — способность веб-сайтов легко и непринуждённо устанавливать программное обеспечение на вашем ПК. Так как этот недостаток является одной из причин выбора безопасного браузера Firefox, то нужно как можно быстрее удалить это расширение.

К сожалению, Microsoft предприняла дополнительные меры для того, чтобы сделать удаление этого расширения особо трудным, а для простого пользователя и вовсе невозможным. Это становится понятно, когда вы откроете окно Дополнений Firefox и увидите, что кнопка удаления расширения не активна (по ней нельзя щёлкнуть).

Это потому, что данное расширение установлено на уровне системы, а не на уровне пользователя.

Вообще расширения/дополнения для файрфокса описываются в четырёх местах:


  1. В профиле Firefox (действуют только для этого профиля)
    %userprofile%\Application Data\Mozilla\Firefox\Profiles\[firefox.профиль]\extensions

  2. В профиле пользователя (действуют для всех профилей Firefox этого пользователя)
    %userprofile%\Application Data\Mozilla\Extensions

  3. В каталоге с установленной программой (действуют для всех пользователей)
    %programfiles%\Mozilla Firefox\extensions\

  4. В машинном реестре, он же HKLM, он же HKEY_LOCAL_MACHINE (для всех)
    32-bit: HKLM\SOFTWARE\Mozilla\Firefox\Extensions
    64-bit: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions

Наш пациент лежит именно в машинном реестре, пункт 4. Что сильно затрудняет его удаление (нужны права администратора, доступ к реестру и навыки работы с ним).

Вот способ, благодаря которому можно избавиться от этого мусора.

Чистим реестр

  1. Откройте редактор реестра. Для его запуска введите regedit в строке поиска Windows 7 [«Пуск» → «Начать поиск»] или в строке выполнения Windows XP [«Пуск» → «Выполнить»])
  2. В левой части редактора найдите и выделите ветку: (32-bit системы): HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions (64-bit системы): HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions
  3. Удалите ключ {20a82645-c095-46ed-80e3-08825760534b}, который появится в правой части. После этого редактор реестра можно закрыть, он больше не понадобится.

Проверяем настройки Firefox

  1. Наберите в адресной строке Файрфокса about:config и нажмите Enter
  2. Введите в поле «Фильтр» значение microsoftdotnet, чтобы найти ключ general.useragent.extra.microsoftdotnet Если этого ключа нет — отлично, смело пропускайте остальные шаги и переходите к п.8
  3. Наведите курсор на этот ключ, нажмите правой кнопкой мыши и в контекстном меню выберите «Reset» («Сбросить»).
  4. Перезагрузите Firefox.

Чистим файлы

  1. Найдите каталог: %windir%\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation
  2. Зайдите в папку с названием DotNetAssistantExtension и удалите всё её содержимое.

Всё. Можно открыть Firefox и удостовериться, что расширения Microsoft .NET Framework Assistant у нас больше нет.

Ну и, раз уж зашла речь про Windows Presentation Foundation,

Удаление плагина Windows Presentation Foundation из Firefox

Как известно, компания Microsoft при использовании пользователем браузера Firefox принудительно устанавливает собственные расширения, при попытке обновить .NET Framework через систему Windows Update. В одном из таких расширений "Windows Presentation Foundation" найдена (http://hackademix.net/2009/10/16/microsoft-windows-exploitation-foundation-for-firefox/) серьезная уязвимость (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2529), позволяющая злоумышленнику выполнить свой код при открытии специально подготовленной страницы.

Радует то, что плагин "Windows Presentation Foundation" можно легко отключить через стандартный менеджер дополнений, что не сделаешь с другим навязываемым дополнением 'Microsoft .NET Framework Assistant'. Стандартными средствами Firefox из списка дополнений данное расширение не удаляется, избавиться от расширения можно (http://support.microsoft.com/kb/963707) только через ручную правку реестра Windows и удаление файлов с диска.

В принудительно устанавливаемом Microsoft расширении для Firefox найдена уязвимость (http://www.opennet.ru/opennews/art.shtml?num=23881)

Чистим реестр

  1. В редакторе реестра найдите и разверните ветку: HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins
  2. Удалите всю подветвь: @microsoft.com/WPF,version=3.5 Сделать это можно кликнув по ней правой кнопкой мыши и выбрав «Удалить» из раскрывающегося меню. После этого редактор реестра можно закрыть.

Чистим файлы (необязательно)

  1. Зайдите в каталог: %windir%\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation
  2. Удалите файл NPWPF.dll

Автоматизация

Если проблемных машин много, пишем скрипт для командного интерпретатора:

fuckdotnet35.bat


reg DELETE "HKLM\SOFTWARE\Mozilla\Firefox\Extensions" /v "{20a82645-c095-46ed-80e3-08825760534b}" /f
reg DELETE "HKLM\SOFTWARE\MozillaPlugins@microsoft.com/WPF,version=3.5" /f
del /F /S /Q "%windir%\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\*"
del /F /Q "%windir%\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll"