Ищу «владельцев» трояна-баннерозагрузчика

[UFO.cz]

Если хотя-бы один из браузеров, установленных на вашем компьютере, при заходе на любой сайт, подгружает (обращение идёт к скриптам на доменах megacliks.com, dispatchviewers.com и contyou.com) баннер с голыми тётями (например, такого вида:

You must be registered for see links

) или показывает выплывающий сбоку рекламный блок внизу страницы (чаще всего со ссылками, ведушими на adultfriendfinder.com), то мне нужна ваша помощь. А именно — где вы предположительно это подцепили.

Суть в том, что от этой напасти страдают несколько моих хороших знакомых. Ни одним антивирусом или спайвар-ремувером эта гадость не определяется. В автозагрузке и таск менеджере никаких посторонних процессов нет. В интернете описаны случаи заражения, но никто с этой проблемой, кроме как переустановкой системы не справился. Что в нашем случае никак не вариант. Пока "лечимся" перенаправлением запросов на 127.0.0.1, но ведь виновник проблемы и дальше сидит в системе.

Мне эта гадость нужна для заражения и проведения лабораторных опытов на виртуальной машине. Если вы владеете какой-то информацией — буду благодарен.

 

[Lion3D.cg]

Встречался на работе с похожей штукой - всплываюший банер работал через автоподгрузку плагина в Internet Explorer

 

[UFO.cz]

Тоже думал про плагины. Действие этого трояна наблюдал в IE и Firefox. Все дополнительные плагины модули отключал, Firefox вообще полностью переустанавливал (после деинсталляции вручную вычищал рабочие папки и реестр). Настройки IE сбрасывал при помощи AVZ, все плагины также отключал. Никаких URL Prefix'ов не прописано.

Всё безрезультатно.

 

[alex-sw]

В свое время ковырял такую бяку. Спасло это:

Если при открытии любой страницы в Internet Explorer у вас в нижней части экрана появляется информер порнушного содержания: развратные порно картинки и предложение убрать всё это дело через отправку SMS на короткий номер не отправляйте SMS не в коем случае. Это нечего не даст. Один мой знакомый отправил сообщение – информер не убрался, а деньги с телефона снялись 300 рублей с копейками. И так приведу два варианта, как избавиться от этой штуки совершенно бесплатно.

Вариант 1: Открываем наш IE. Выбираем пункт меню “Сервис->Свойства обозревателя”. В “Свойства обозревателя” выбираем вкладку “Дополнительно” и нажимаем сначала на кнопку “Сброс”. Перезагружаемся.

Вариант 2: Открываем наш IE. Выбираем пункт меню “Сервис->Надстройки ->Включение и отключение надстроек”. В поле соответствующему надписи файл ищем все файлы оканчивающиеся на lib.dll. Отключаешь настройки для первого попавшегося такого файла. Перезапускаешь Internet Explorer. Если информер остался включаешь для этого файла надстройку и отключаешь для следующего имя которого оканчивается на lib.dll. Потом удаляешь найденный файл из папки system32.


С наработок: дата создания дкрацкого *lib.dll будет приблизительно датой заражения.

 

[UFO.cz]

Увы, "моя бяка" работает иначе

 

[madwolfa]

Встречал ещё одну бяку. Скачиваешь левый фильм (обычно какой-нить супер-пупер популярный двдрип) с левого торрент трекера и просматриваешь Windows Media Player'ом. Последний вещает о защищённом контенте и просит качнуть DRM примочку... Под видом DRM сливается некий исполняемый файл, который на деле является обычным трояном. Когда открываешь этот "фильм" нормальным плеером типа Media Player Classic, то это оказывается один порнушный кадр растянутый на 700 метровый рип.

Use condoms (c)

 

[MoGar]

You must be registered for see links

 

[UFO.cz]

Все тематические и нетематические форумы я уже пересмотрел. *lib.dll в системе нет. Надстройки выключены нафиг. Вирус отправить СМС на номер не просит Просто показывает графические или текстовые баннеры. А ссылки реферальные =) Я полагаю что работает он не уровне браузера — просто перехватывает HTTP-запросы и вклинивает в ответы линки на жаваскрипты. Ну а дальше все необходимое сделает любой браузер, установленный в системе. Думаю, что была заменена одна из системных библиотек. Но так как сейчас заражённого компьютера под рукой нет — проверить не могу.

 

[Grey Cardinal]

а не может быть заражен не браузер, а конкретный сайт на который вы заходите или группа сайтов

 

[UFO.cz]

Гугл? Яндекс? Наврядли