Полезная информация

Общайтесь со знакомыми и друзьями в нашем сообществе в Facebook.

№118-12-2012 17:40:59

archie
Участник
 
Группа: Members
Зарегистрирован: 18-12-2012
Сообщений: 11
UA: Firefox 3.6

Вредоносное рекламное ПО с сайта LUXUP.RU

Здравствуйте, пару дней назад появилась проблема.
При открытии разных сайтов, где раньше никогда не было рекламы, выскакивает рекламное окно. Вчера целый день выскакивала реклама marketgid, сегодня поменялось на "БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ ОТ (название открываемого сайта)". На этом сайте выскочило то же самое окно.
Рекламное окно на javascript.
В других браузерах тоже самое.
Ось - вин хр.
Подскажите куда копать, не хочется менять браузер - привык уже, плюс много закладок.
Заранее спасибо за помощь.


Всем привет, немного разобрался в ситуации.

1. Дело не в браузере, в других браузерах вчера началось то же самое.
2. Проблема не в роутере и не в провайдере, на другом компе в локалке такого нет.

3. Начал копаться в html коде forum.mozilla-russia.org и кое-что нарыл:
В исходнике есть блок яндекс метрика, он загружает сценарий javascript по адресу  mc.yandex.ru/resource/watch.js, который поверх окна сайта выводит рекламное окно и загружает другой сценарий по адресу http://c.luxup.ru/t/lb123811.js, который в свою очередь скачивает картинки и заполняет ими уже созданное окно.
Окно вылазит не постоянно, а с разной периодичностью: иногда по адресу mc.yandex.ru/resource/watch.js лежит пустой файл и выполняться просто нечему.

На другом компе, где этой проблемы нет, набираю mc.yandex.ru/resource/watch.js, а там лежит обычный скрипт яндекс метрики, который никаких рекламных окон не загружает.
Естесственно сразу кинулся проверять файл hosts на предмет перенаправлений, но там все нормально.

У кого какие мысли по этому поводу?


  Watch.js

скрытый текст
function f_filterResults(n_win, n_docel, n_body) {
    var n_result = n_win ? n_win : 0;
    if (n_docel && (!n_result || (n_result > n_docel)))
        n_result = n_docel;
    return n_body && (!n_result || (n_result > n_body)) ? n_body : n_result;
}

function f_clientWidth() {
    return f_filterResults (
        window.innerWidth ? window.innerWidth : 0,
        document.documentElement ? document.documentElement.clientWidth : 0,
        document.body ? document.body.clientWidth : 0
    );
}
function f_clientHeight() {
    return f_filterResults (
        window.innerHeight ? window.innerHeight : 0,
        document.documentElement ? document.documentElement.clientHeight : 0,
        document.body ? document.body.clientHeight : 0
    );
}
function f_scrollLeft() {
    return f_filterResults (
        window.pageXOffset ? window.pageXOffset : 0,
        document.documentElement ? document.documentElement.scrollLeft : 0,
        document.body ? document.body.scrollLeft : 0
    );
}
function f_scrollTop() {
    return f_filterResults (
        window.pageYOffset ? window.pageYOffset : 0,
        document.documentElement ? document.documentElement.scrollTop : 0,
        document.body ? document.body.scrollTop : 0
    );
}

function popMove()
{
    popDiv = document.getElementById("popDiv");
    if(popDiv != null)
    {
        popDiv.style.left = ((f_clientWidth() - 850)/ 2) + f_scrollLeft () + "px";
        popDiv.style.top = ((f_clientHeight() - 550) / 2) + f_scrollTop () + "px";
    }
}

function popHide()
{
    popDiv = document.getElementById("popDiv");
    clearInterval(popMoveRun);
    popDiv.style.display = 'none';
    return false;
}

function popShowClose()
{
    popControl = document.getElementById("popControl");
    popControl.style.display = 'block';
}

if(typeof(popMutex) == "undefined" && typeof(hrMutex) == "undefined")
{
    var popMutex = true;
   
    var popDiv = document.createElement("div");
    popDiv.id = "popDiv";
    popDiv.style.position = "absolute";
    popDiv.style.width = "850px";
    popDiv.style.height = "550px";
    popDiv.style.backgroundColor = "white";
    popDiv.style.zIndex = "1000";
    popDiv.onclick = popShowClose;
    document.body.appendChild(popDiv);
   
    var advName = "DataMind";
    var popInfo = document.createElement("div");
    popInfo.id = "popInfo";
    popInfo.style.position = "absolute";
    popInfo.style.left = "10px";
    popInfo.style.fontSize = "11px";
    popInfo.style.fontWeight = "bold";
    popInfo.style.padding = "0 1px 25px";
    popInfo.style.height = "13px";
    popInfo.style.color = "black";
    popInfo.style.fontFamily = "Tahoma, Arial, sans-serif";
    popInfo.style.display = "block";
    popInfo.innerHTML = "&#1056;&#1077;&#1082;&#1083;&#1072;&#1084;&#1072; &#1089;&#1080;&#1089;&#1090;&#1077;&#1084;&#1099; " + advName + " <font color=\"red\">&#1055;&#1086;&#1089;&#1077;&#1090;&#1080;&#1090;&#1077; &#1089;&#1072;&#1081;&#1090; &#1089;&#1087;&#1086;&#1085;&#1089;&#1086;&#1088;&#1072; &#1095;&#1090;&#1086;&#1073;&#1099; &#1087;&#1088;&#1086;&#1076;&#1086;&#1083;&#1078;&#1080;&#1090;&#1100; &#1087;&#1088;&#1086;&#1089;&#1084;&#1086;&#1090;&#1088; &#1089;&#1072;&#1081;&#1090;&#1072;</font>";
    popDiv.appendChild(popInfo);
   
    var popControl = document.createElement("div");
    popControl.id = "popControl";
    popControl.style.position = "absolute";
    popControl.style.right = "10px";
    popControl.style.display = 'none';
    popDiv.appendChild(popControl);
   
    var popControlClose = document.createElement("a");
    popControlClose.href = "#";
    popControlClose.onclick = popHide;
    popControlClose.style.fontSize = "11px";
    popControlClose.style.fontWeight = "bold";
    popControlClose.style.padding = "0 1px 25px";
    popControlClose.style.color = "#096";
    popControlClose.style.height = "13px";
    popControlClose.style.fontFamily = "Tahoma, Arial, sans-serif";
    popControlClose.style.display = "block";
    popControlClose.innerHTML = "&#1047;&#1072;&#1082;&#1088;&#1099;&#1090;&#1100;";
    popControl.appendChild(popControlClose);
   
    var adDiv = document.createElement("div");
    adDiv.id = "lx_381874";
    adDiv.style.position = "absolute";
    adDiv.style.top = "15px";
    popDiv.appendChild(adDiv);
   
   
    var adScript = document.createElement("script");
    adScript.type = "text/javascript";
    adScript.language="JavaScript";
    adScript.charset = "utf-8";
    adScript.src = "http://c.luxup.ru/t/lb123811.js?rt=" + (new Date).getTime() % 1E7 * 100 + Math.round(Math.random() * 99) + (document.referrer ? ("&r=" + escape(document.referrer)) : "");
    document.body.appendChild(adScript);
   
    var popMoveRun = setInterval (popMove, 10);
    setTimeout(popShowClose, 10000);
}


lb123811.js
скрытый текст
(function(){var j=!0,l=null,z=!1;function A(){return function(){}}function e(a){return parseInt(a,10)}function oa(){return 100*((new Date).getTime()%1E7)+Math.round(99*Math.random())}function g(a){return"undefined"!=typeof a}function H(a,b){b||(b=A());var c=n.createElement("script");c.setAttribute(pa,qa);c.setAttribute("src",a);if(g(c))w?c.onreadystatechange=function(){("loaded"==this.readyState||"complete"==this.readyState)&&setTimeout(b,0)}:c.onload=function(){setTimeout(b,0)},N.appendChild(c)}function O(a){var b=n.createElement("style");b.setAttribute("rel",
"stylesheet");b.setAttribute(pa,"text/css");N.appendChild(b);w?b.styleSheet.cssText=a:b.appendChild(n.createTextNode(a))}function ra(){var a=z,b=navigator,c=l;if(g(b.plugins)&&"object"==typeof b.plugins["Shockwave Flash"]){if((c=b.plugins["Shockwave Flash"].description)&&(!g(b.mimeTypes)||!b.mimeTypes["application/x-shockwave-flash"]||b.mimeTypes["application/x-shockwave-flash"].enabledPlugin))c=c.replace(/^.*\s+(\S+\s+\S+$)/,"$1"),a=[0,0,0],a[0]=e(c.replace(/^(.*)\..*$/,"$1")),a[1]=e(c.replace(/^.*\.(.*)\s.*$/,
"$1")),a[2]=/[a-zA-Z]/.test(c)?e(c.replace(/^.*[a-zA-Z]+(.*)$/,"$1")):0}else if(g(f.ActiveXObject))try{var d=new ActiveXObject("ShockwaveFlash.ShockwaveFlash");if(d&&(c=d.GetVariable("$version")))c=c.split(" ")[1].split(","),a=[e(c[0]),e(c[1]),e(c[2])]}catch(m){}return a=a!==z?a.join("."):a}function Qa(){var a=ra(),b="10.0.42".split(".");if(a===z)return z;a=a.split(".");b[0]=parseInt(b[0],10);b[1]=parseInt(b[1],10)||0;b[2]=parseInt(b[2],10)||0;return a[0]>b[0]||a[0]==b[0]&&a[1]>b[1]||a[0]==b[0]&&
a[1]==b[1]&&a[2]>=b[2]?a.join("."):z}function D(a,b,c){a.addEventListener?a.addEventListener(b,c,z):a.attachEvent("on"+b,c)}function Ra(a,b){a.innerHTML=b;for(var c=[],d=a.childNodes,m=0;d[m];m++)c&&d[m].nodeName&&"script"===d[m].nodeName.toLocaleLowerCase()&&(!d[m].type||"text/javascript"===d[m].type.toLowerCase())&&c.push(d[m].parentNode?d[m].parentNode.removeChild(d[m]):d[m]);for(var e in c){var d=c[e],m=d.text||d.textContent||d.innerHTML||"",f=n.createElement("script");f.type="text/javascript";
f.appendChild(n.createTextNode(m));N.insertBefore(f,N.firstChild);N.removeChild(f);d.parentNode&&d.parentNode.removeChild(d)}}function aa(){var a="",a="?rt="+oa();n.referrer&&(a+="&r="+escape(n.referrer));P&&(a+="&recurring=1");ba&&(a+="&flash="+escape(ba));w&&(a+="&isie=1");if(!f[h].popunderShow)for(var b in i)if(i.hasOwnProperty(b)&&"object"==typeof i[b]&&g(i[b].type)&&"popunder"==i[b].type){a+="&pu=1";break}a+="&f="+h;g(screen.width)&&(a+="&scr="+escape(screen.width+"x"+screen.height));return a+=
f[h].multishowsAdd?"&"+f[h].multishowsAdd:""}function Sa(a){for(var b=a.length,c=[],d=0;d<b;d++)c.push(a[d].l+";"+a[d].n.join(";"));ca&&H(ca+"?"+c.join("&"),A())}function Ta(){I&&(clearTimeout(I),I=l);for(var a=E.length,b=[],c=0;c<a;c++)if(E[c]){var d;a:{var m=E[c];if(m){var e=getElementsByClass("lx__tsb",m);d=[];for(var g=[],k=void 0,i=e.length,k=0;k<i;k++){var h;if(h=e[k])b:{h=e[k];if(!(0===h.offsetWidth||0===h.offsetHeight))for(var q=C&&!f.opera?s.clientHeight:u.clientHeight,o=C&&!f.opera?s.clientWidth:
u.clientWidth,r=h.getClientRects(),v=0,w=r.length;v<w;v++){var p=r[v],t=0<=p.left&&p.left+(p.width?p.width:p.right-p.left)<o,x;if(x=0<=p.top&&p.top+(p.height?p.height:p.bottom-p.top)<q){if(t){p=n.elementFromPoint((p.left+p.right)/2,(p.top+p.bottom)/2);if(p===h)p=j;else c:{if(p)for(p=p.parentNode;p!=l;){if(p==h){p=j;break c}p=p.parentNode}p=z}t=p}x=t}if(x){h=j;break b}}h=z}h&&(d.push(e[k].getAttribute("tsbid")),g.push(e[k]))}e=g.length;for(k=0;k<e;k++)h=g[k],h.className=h.className.replace(RegExp("(^|\\s)lx__tsb(\\s|$)",
"g"),"$1").replace(/\s+/g," ").replace(/(^ | $)/g,"");if(g=d.length){m=getElementsByClass("lx__tsbc",m);m=m[0];m=m.getAttribute("tsbc");d={n:d,all:i==g,l:m};break a}}d=z}if(d!==z){d.all&&delete E[c];i=d.n;m=[];g=0;k=i.length;a:for(;g<k;g++){e=0;for(h=m.length;e<h;e++)if(m[e]==i[g])continue a;m[m.length]=i[g]}b.push({n:m,l:d.l})}}b.length&&Sa(b)}function da(){I&&clearTimeout(I);I=setTimeout(Ta,1E3)}function sa(){t.demogr&&t.interests&&!t.sent&&H("http://"+S+"/set_li_stat/?sex="+t.sex+"&lage="+t.lage+
"&uage="+t.uage+"&interest="+t.interest,function(){t.sent=j})}function x(a,b){o.style[a]=b}function Ua(){f[b].bottomReady=function(a){a=e(a);o.childNodes[1].height=a+q;x("height",a+5+q)}}function ea(a){var b=a.toString(),b=b.substr(9),b=b.substr(0,b.indexOf("("));g(J[b])?(clearTimeout(J[b]),J[b]=setTimeout(function(){clearInterval(J[b]);a();delete J.C},ta)):(J[b]=setInterval(function(){a()},ta),a())}function ua(){ea(va)}function wa(){ea(T);w&&(ea(xa),setTimeout(T,250))}function xa(){x("width",s.clientWidth?
s.clientWidth:u.clientWidth)}function va(){fa(K,{bottom:j,right:j})}function T(){fa(o,{bottom:j})}function fa(a,b){var c=a.style;if(g(b[v])&&b[v]&&!g(a.d))a.d=e(a.currentStyle[v]),g(b[v])&&b[v]&&(c[v]=U);if(g(b.right)&&b.right&&!g(a.q)&&(a.q=e(a.currentStyle.right),g(b.right)&&b.right))c.right="";if(g(b.left)&&b.left&&!g(a.u))a.u=e(a.currentStyle.left);if(g(b[v])&&b[v])c.position=L,c.top=w?0-a.d-(e(c.height)?e(c.height):a.offsetHeight)+(s.clientHeight?s.clientHeight:u.clientHeight)+e(C&&!f.opera?
s.scrollTop:u.scrollTop)+q:0-a.d-e(c.height)+e(f.innerHeight)+e(f.pageYOffset)+q;if(g(b.right)&&b.right)c.position=L,C?c.right=a.q-(s.scrollLeft?s.scrollLeft:u.scrollLeft)+q:c.left=0-a.q-(e(c.width)?e(c.width):a.offsetWidth)+(s.clientWidth?s.clientWidth:u.clientWidth)+(s.scrollLeft?s.scrollLeft:u.scrollLeft)+q;if(g(b.left)&&b.left)c.position=L,c.left=a.u+e(C&&!f.opera?s.scrollLeft:u.scrollLeft)+q}function ya(){var a=n.getElementsByTagName("object"),b=n.getElementsByTagName("embed"),c={m:z,w:[],embeds:[]};
if(V)for(var d=0;d<a.length;d++){for(var e=z,f=a[d].getElementsByTagName("param"),h=0;h<f.length;h++)if("wmode"==f[h].getAttribute("name").toLowerCase()){e=j;break}if(e)c.m=j,c.w.push(a[d])}for(d=0;d<b.length;d++){a=b[d].getAttribute("wmode");if(!(e=!a))g(a)?(a=a.toLowerCase(),a="transparent"!=a&&"opaque"!=a?z:j):a=z,e=!a;if(e)c.m=j,c.embeds.push(b[d])}return c}function Va(){for(var a=ya(),b=a.w,a=a.embeds,c=0;c<b.length;c++){var d=n.createElement("param");d.setAttribute("name","wmode");d.setAttribute("value",
"transparent");b[c].appendChild(d);b[c].outerHTML=b[c].outerHTML}for(c=0;c<a.length;c++)a[c].setAttribute("wmode","transparent"),a[c].outerHTML=a[c].outerHTML}function Q(a){var b=a.which?a.which:a.button,a=(w?a.srcElement:a.target).nodeName.toLowerCase();if(("a"==a||"img"==a)&&2!=b&&3!=b)clearTimeout(ga),ga=setTimeout(function(){ga=l;za()},500)}function Wa(){var a="";if(F)for(var b in i)i.hasOwnProperty(b)&&"object"==typeof i[b]&&(a+=escape(b.substr(1))+";");0<a.length&&(a=a.substring(0,a.length-
1));return a}function Aa(a){Ba(a.target?a.target:a.srcElement)}function Xa(a){var b=/\/i\/(a??)(\d+?)\//m,c=b.exec(a),d=z;if(c!=l&&16!=c){d=e(c[2]);d=(2*(10*d+40)-40)/10;16<=d&&(d=16);var f=10*d+40,d=a.replace(b,"/i/$1"+d+"/")}return{url:d,size:f}}function Ca(a){var b=e("CSS1Compat"==n.compatMode&&!f.opera?s.scrollTop:u.scrollTop),c=e(b+(C&&!f.opera?s.clientHeight:u.clientHeight)),d=e("CSS1Compat"==n.compatMode&&!f.opera?s.scrollLeft:u.scrollLeft),g=e(d+(C&&!f.opera?s.clientWidth:u.clientWidth)),
h=a.getClientRects()[0],i=Math.round(h.top)+b,k=Math.round(h.bottom)+b,o=Math.round(h.left)+d,h=Math.round(h.right)+d;if(i<b)a.style.top=e(a.style.top)+(b-i)+W+q;if(k>c)a.style.top=e(a.style.top)-(k-c)-W+q;if(o<d)a.style.left=e(a.style.left)+(d-o)+W+q;if(h>g)a.style.left=e(a.style.left)-(h-g)-W+q}function ha(a,b){clearTimeout(a.getAttribute("enlargeTimer"));var c=Da(b),d=e(a.height)-y;a.width=e(a.width)-y;a.height=d;d=e(c.left)>e(a.style.left)?e(a.style.left)+y/2:e(a.style.left)-y/2;a.style.top=(e(c.top)>
e(a.style.top)?e(a.style.top)+y/2:e(a.style.top)-y/2)+q;a.style.left=d+q;e(a.width)>e(b.width)?a.setAttribute("shrinkTimer",setTimeout(function(){ha(a,b)},R)):(a.style.top="-100000px",a.style.left="-100000px",b.style.visibility="",b.parentNode.style.zIndex="")}function Ea(a,b){clearTimeout(a.getAttribute("shrinkTimer"));var c=e(a.height)+y;a.width=e(a.width)+y;a.height=c;c=e(a.style.left)-y/2;a.style.top=e(a.style.top)-y/2+q;a.style.left=c+q;Ca(a);e(a.width)<b&&a.setAttribute("enlargeTimer",setTimeout(function(){Ea(a,
b)},R))}function Da(a){for(var b=0,c=0;a&&"relative"!=(a.p=a.p||a.currentStyle||getComputedStyle(a,0)).position&&"absolute"!=(a.p=a.p||a.currentStyle||getComputedStyle(a,0)).position;)b+=e(a.offsetTop),c+=e(a.offsetLeft),a=a.offsetParent;return{top:b,left:c}}function Ba(a){var b,c=Da(a),d=Xa(a.src),e=d.size;if((d=d.url)||d!=a.src){a.previousSibling&&"img"==a.previousSibling.nodeName.toLowerCase()?b=a.previousSibling:(b=a.cloneNode(z),w&&b.detachEvent("onmouseover",Aa),b.style.position=L,b.style.top=
"-100000px",b.style.left="-100000px",b.style.margin="0px",n.addEventListener?b.addEventListener("mouseout",function(){clearTimeout(b.getAttribute("enlargeTimer"));b.setAttribute("shrinkTimer",setTimeout(function(){ha(b,a)},R))},z):b.attachEvent("onmouseout",function(){clearTimeout(b.getAttribute("enlargeTimer"));b.setAttribute("shrinkTimer",setTimeout(function(){ha(b,a)},R))}),a.parentNode.insertBefore(b,a));if(b.src==a.src){var f=b.cloneNode(z);D(f,"load",function(){b.src=f.src;setTimeout(function(){f.parentNode.removeChild(f)},
100)});f.src=d;b.parentNode.insertBefore(f,b)}b.width=a.width;b.height=a.height;b.style.top=c.top+q;b.style.left=c.left+q;a.style.visibility="hidden";a.parentNode.style.zIndex=1E5;Ca(b);b.setAttribute("enlargeTimer",setTimeout(function(){Ea(b,e)},R))}}function Ya(a,b){b&&(D(n,ia,Fa(a)),X&&(Y(a)(),D(f,"resize",Ga(a)),D(f,ia,Ga(a))));for(var c=getElementsByClass("close",a.a),d=c.length,e=0;e<d;e++)D(c[e],ja,Za(a));c=getElementsByClass("ref",a.a);d=c.length;for(e=0;e<d;e++)D(c[e],ja,Ha(a))}function Za(a){return function(b){if(b||
f.event)b=b||f.event,b.stopPropagation?b.stopPropagation():b.cancelBubble=j;a.s=j;ka(a);b=new Date;b.setTime(b.getTime()+36E5*$a);n.cookie="_lxretpopupignore=1; path=/; expires="+b.toUTCString()}}function Ha(a){return function(b){if(b||f.event)b=b||f.event,b.stopPropagation?b.stopPropagation():b.cancelBubble=j;clearTimeout(a.i);a.j=j;ka(a,function(){H(la+a.B+"/"+aa(),A())})}}function Fa(a){return function(){if(!a.s&&!a.j){var b=e(s.scrollTop?s.scrollTop:u.scrollTop);!a.k&&b>=a.v?ab(a):a.k&&b<a.v&&
ka(a)}}}function Y(a){return function(){a.a[a.b+"Offset"]=e(a.a.style[a.b]);var b={bottom:j};a.b==Ia&&(b[Ia]=j);a.b==Ja&&(b[Ja]=j);fa(a.a,b)}}function Ga(a){return function(){g(a.t)&&clearTimeout(a.t);a.t=setTimeout(Y(a),100)}}function Ka(a){var b=0;return b=X?a.a[a.b+"Offset"]:e(a.a.style[a.b])}function ab(a){a.k=j;g(a.c)&&clearInterval(a.c);clearTimeout(a.i);a.i=setTimeout(Ha(a),1E3*a.refresh);a.a.style.display="block";a.c=setInterval(function(){var b=Ka(a),c=b+La;0>b&&0>c?(a.h=j,a.a.style[a.b]=
c+q):(clearInterval(a.c),a.h=z,a.a.style[a.b]=0+q);X&&Y(a)()},Ma)}function ka(a,b){a.k=z;g(a.c)&&clearInterval(a.c);clearTimeout(a.i);a.c=setInterval(function(){var c=Ka(a),d=c-La;c>=-a.width&&d>-a.width?(a.h=j,a.a.style[a.b]=d+q):(clearInterval(a.c),a.h=z,a.a.style[a.b]=-a.width+q,a.a.style.display="none",g(b)&&b());X&&Y(a)()},Ma)}function za(a){if(!Z){Z=j;var b=Wa();b&&(a?(n.write('<scr'+'ipt type="'+qa+'" language="JavaScr'+'ipt" src="'+la+b+"/"+aa()+'"><\/scr'+'ipt>'),Z=z):H(la+b+"/"+aa(),function(){Z=
z}))}}var i={"_336612":{id:"lx_336612"},"_381874":{id:"lx_381874",A:!0}},h="__lxG123811__",B="__lxG__",G={},n=document,f=window,u=n.body,s=n.documentElement,N=function(){var a=n.getElementsByTagName("head")[0];if(a)return a;for(a=s.firstChild;a&&"#text"==a.nodeName.toLowerCase();)a=a.nextSibling;if(a&&"#text"!=a.nodeName.toLowerCase())return a;a=n.createElement("head");
s.appendChild(a);return a}(),$=navigator.userAgent.toLowerCase(),w=/msie/.test($)&&!/opera/.test($),bb=(navigator.userAgent.toLowerCase().match(/.+(?:rv|it|ra|ie)[\/: ]([\d.]+)/)||[])[1],C="CSS1Compat"===n.compatMode,ma=/chrome/.test($),V=/opera/.test($),P=z,Z=z,ga=l,F=0,E=[],I=l,ba=ma?Qa():ra(),Na=z,K=l,o=l,ta=50,na=l,Oa=z,v="bottom",q="px",L="absolute",r={},qa="text/javascript",pa="type",U="auto",M="",Pa=z,ca="",W=3,y=10,R=10,Ja="right",Ia="left",ia="scroll",ja="click",$a=480,Ma=15,La=22,X=w&&(!C||
8>e(bb)&&C),S="luxup.ru",la="http://"+S+"/multishows/",J={},t={demogr:z,interests:z,sent:z};getElementsByClass=n.getElementsByClassName?function(a,b){return(b||document).getElementsByClassName(a)}:function(a,b){var c=(b||document).getElementsByTagName("*"),d=c.length,e=a.split(/\s+/),f=e.length,h=[],g,i;for(g=0;g<d;g++)for(i=0;i<f;i++)if(-1!=c[g].className.search("\\b"+e[i]+"\\b")){h.push(c[g]);break}return h};D(f,ia,da);G[h]={};G[h].g=function(){if(!M)return j;M+="?rnd="+oa()+(f[h].popunderAdd?"&"+
f[h].popunderAdd:"");var a=window;window.open(M,h+"popunder","toolbar=1,location=1,status=1, menubar=1,scrollbars=1,resizable=1");M="";a.focus();u.detachEvent?(u.detachEvent("onclick",G[h].g),u.releaseCapture()):(u.removeEventListener("click",G[h].g,j),u.removeEventListener("click",G[h].g));return j};g(f[h])||(f[h]={});g(f[b])||(f[b]={});f[h].closed=A();f[h].clicked=A();if(!g(f[h].popunderShow))f[h].popunderShow=z;if(!g(f[h].allLoaded))f[h].allLoaded=A();if(!g(f[h].popunderAdd))f[h].popunderAdd="";
if(!g(f[h].multishowsAdd))f[h].multishowsAdd="";f[b].demogr=function(a){t.sex=encodeURIComponent(a.gen);t.lage=encodeURIComponent(a.lage);t.uage=encodeURIComponent(a.uage);t.demogr=j;sa()};f[b].interests=function(a){t.interest=encodeURIComponent(a.hier_inter.join(","));t.interests=j;sa()};f[h].parser=function(a){E=[];for(var b in a)if(a.hasOwnProperty(b)){var c=a[b];if("cfg"==c.type)c.hasOwnProperty("realShowsUrl")&&(ca=c.realShowsUrl),c.hasOwnProperty("getLiData")&&setTimeout(function(){H("http://medianet.yadro.ru/hier_inter.txt",
A());H("http://medianet.yadro.ru/info.txt",A())},0);else if("counters"==c.type){if(c.hasOwnProperty("urls"))for(var d=0;d<c.urls.length;d++)(new Image).src=c.urls[d]}else if(g(i["_"+c.id])&&g(c.source)&&c.source){if((d=n.getElementById(i["_"+c.id].id))&&"html"==c.type)if(P||(O(c.style),n.addEventListener?d.addEventListener("click",Q,z):d.attachEvent("onclick",Q)),d.innerHTML=c.source,i["_"+c.id].f=j,getElementsByClass("lx__tsbc",d).length&&E.push(d),g(i["_"+c.id].A)&&i["_"+c.id].A)for(var m=d.getElementsByTagName("img"),
s=m.length,t=0;t<s;t++)n.addEventListener?m[t].addEventListener("mouseover",function(){Ba(this)},z):m[t].attachEvent("onmouseover",Aa);if(d&&"pu"==c.type&&!Pa)M="http://c."+S+"/pu/"+c.id+".html",n.addEventListener?u.addEventListener("click",G[h].g,j):(u.attachEvent("onclick",G[h].g),u.setCapture(j)),Pa=i["_"+c.id].f=j;if(d&&"js"==c.type)P||(g(c.style)&&O(c.style),n.addEventListener?d.addEventListener("click",Q,z):d.attachEvent("onclick",Q)),Ra(d,c.source),i["_"+c.id].f=j;if(d&&"flash"==c.type&&!Na)K=
d,O(c.style),f[h].closed=function(){K.parentNode.removeChild(K)},f[h].clicked=function(){K.parentNode.removeChild(K)},d.innerHTML=c.source,i["_"+c.id].f=j,w&&(f.attachEvent("onscroll",ua),f.attachEvent("onresize",ua),va()),Na=j,getElementsByClass("lx__tsbc",d).length&&E.push(d);if(d&&c.type==v)o=d,(V||ma)&&Oa&&g(i["_"+c.id].z)&&i["_"+c.id].z&&Va(),""!=c.style&&O(c.style),w?o.e=e(o.currentStyle[v]):(o.e=e(n.defaultView.getComputedStyle(o,l).bottom),V&&(o.e-=1)),f[b].bottomClosed=function(){var a=n.createElement("a");
a.innerHTML=".";a.href="medianet.adlabs.ru";o.appendChild(a);a.focus();a.blur();o.style.display="none";da()},x("position",L),x(v,U),x("top","-100000px"),x("zIndex",99999),f[b].bottomReady=function(a,b){a=e(a);if(150<a)return z;o.childNodes[1].height=a+q;x(v,"-"+(a+5+10)+q);x("top","");w?x("position",L):x("position","fixed");if(w){if(0!=b)xa(),clearInterval(na),f[b].bottomReady=A()}else f[b].bottomReady=A();na=setInterval(function(){var a=w&&g(o.d)?o.d:e(o.style[v]);if(a<o.e&&!(6.25>o.e-a)){if(x(v,
a+5+q),w)o.d=a+5,x(v,U),T()}else{clearInterval(na);x(v,o.e+q);if(w)o.d=o.e,x(v,U),T(),f.attachEvent("onscroll",wa),f.attachEvent("onresize",wa);setTimeout(Ua,100)}},25)},o.innerHTML=c.source,ba||setTimeout(function(){var a=0,a=w?o.offsetHeight:n.defaultView.getComputedStyle(o,l).height;f[b].bottomReady(e(a)-5,1)},250),i["_"+c.id].f=j;if(d&&"float"==c.type){m=z;P||(O(c.style),D(d,ja,Q));if(!g(r[k])){var k=c.id;r[k]=i["_"+k];r[k].B=k;r[k].a=d;r[k].k=z;r[k].s=z;r[k].h=z;r[k].i=0;r[k].j=z;m=j}r[k].a.innerHTML=
c.source;r[k].a.style[r[k].b]=-1E3+q;r[k].a.style.display="block";r[k].width=e(r[k].a.width?r[k].a.width:r[k].a.offsetWidth);r[k].a.style[r[k].b]=-r[k].width+q;Ya(r[k],m);if(r[k].j)r[k].j=z;Fa(r[k])();i["_"+c.id].f=j;getElementsByClass("retail__tsbc",d).length&&E.push(d)}}}for(var y in i)i.hasOwnProperty(y)&&!g(i[y].f)&&g(i[y].r)&&i[y].r();P=z;setTimeout(function(){f[h].allLoaded()},0);da()};(function(){for(var a in i)if(i.hasOwnProperty(a)&&"object"==typeof i[a]){var b=n.getElementById(i[a].id),
c=z;g(i[a].type)&&"float"==i[a].type&&-1!=n.cookie.indexOf("_lxretpopupignore=1")&&(c=j);if(!b||c)delete i[a];else if((V||ma)&&g(i[a].type)&&"bottom"==i[a].type)if(ya().m){if(Oa=j,!g(i[a].o)||g(i[a].o)&&!i[a].o)F+=1}else F+=1;else F+=1}})();(new Image).src="http://counter.yadro.ru/hit;Luxup?r"+escape(n.referrer)+("undefined"==typeof screen?"":";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth?screen.colorDepth:screen.pixelDepth))+";u"+escape(n.URL)+";"+Math.random();(new Image).src="http://"+S+"/merge_gpsid/?t="+(new Date).getTime();za(0)})();

Отредактировано archie (20-12-2012 10:27:31)

Отсутствует

 

№218-12-2012 18:07:18

feas
Участник
 
Группа: Extensions
Откуда: от DNS
Зарегистрирован: 25-08-2011
Сообщений: 5213
UA: Firefox 18.0
Веб-сайт

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

archie пишет

Подскажите куда копать, не хочется менять браузер - привык уже, плюс много закладок.

обновитесь + новый профиль

Добавлено 18-12-2012 18:07:38
Починка браузера. Перенос своих настроек на новый профиль.

Отредактировано feas (18-12-2012 18:07:38)


Добро пожаловать на форум mozilla-russia.org. Здесь вы можете посоветоваться или обратиться за помощью к фанатам и пользователям продуктов Мозиллы. Если не знаете как правильно оформить пост специально для вас расписан пункт 2.2 правил форума
Сброс на примере Firefox – лёгкое решение большинства проблем
Починка браузера. Перенос своих настроек на новый профиль.

Отсутствует

 

№318-12-2012 18:13:23

archie
Участник
 
Группа: Members
Зарегистрирован: 18-12-2012
Сообщений: 11
UA: Firefox 3.6

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

feas пишет
archie пишет

Подскажите куда копать, не хочется менять браузер - привык уже, плюс много закладок.

обновитесь + новый профиль

Добавлено 18-12-2012 18:07:38
Починка браузера. Перенос своих настроек на новый профиль.

Ну, я в принципе догадался, что зараза скорее всего где-то в файлах настройки. Просто никогда раньше такого не встречал, холельсь бы разобраться что это и где оно сидит.

Добавлено 18-12-2012 18:20:14
Кстати, забыл - примерно в это же время в %USERDIR%\aplication data появился какой-то эгзэшник что-то типа "20lg16p1s.exe", который пытался связаться с сайтом по-моему lcogum dot net (его каспер нашел). я его удалил, потом просканировал папку пользователя - каспер ничего не нашел.

Отредактировано archie (18-12-2012 18:20:14)

Отсутствует

 

№418-12-2012 18:39:48

feas
Участник
 
Группа: Extensions
Откуда: от DNS
Зарегистрирован: 25-08-2011
Сообщений: 5213
UA: Firefox 18.0
Веб-сайт

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

archie пишет

"20lg16p1s.exe", который пытался связаться с сайтом по-моему lcogum dot net (его каспер нашел). я его удалил

молодец.
подобные exe ещё стоит поискать в автозагрузке (msconfig в строке выполнить - соотв. вкладка)
Что делать, если есть подозрение на заражение системы вирусами?
Ну и я доверяю этим парням, антивирусам http://skt.admyn.ru/more.php?tid=10


Добро пожаловать на форум mozilla-russia.org. Здесь вы можете посоветоваться или обратиться за помощью к фанатам и пользователям продуктов Мозиллы. Если не знаете как правильно оформить пост специально для вас расписан пункт 2.2 правил форума
Сброс на примере Firefox – лёгкое решение большинства проблем
Починка браузера. Перенос своих настроек на новый профиль.

Отсутствует

 

№518-12-2012 18:49:41

archie
Участник
 
Группа: Members
Зарегистрирован: 18-12-2012
Сообщений: 11
UA: Firefox 3.6

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

feas пишет

подобные exe ещё стоит поискать в автозагрузке (msconfig в строке выполнить - соотв. вкладка)

Ну он собственно в автозагрузке и стоял, после удаления загружать больше нечего :)
Вопрос есть ли связь между ним и лисом, в других браузерах же все норм. Уже перерыл всю папку профиля лиса. По идее нужно искать какой-нибудь .js файл?

Отсутствует

 

№618-12-2012 18:52:17

feas
Участник
 
Группа: Extensions
Откуда: от DNS
Зарегистрирован: 25-08-2011
Сообщений: 5213
UA: Firefox 18.0
Веб-сайт

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

archie пишет

По идее нужно искать какой-нибудь .js файл?

зачем? лучше проверьте осталась ли проблема? вирус просто воспользовался тем что в [firefox] 3.6 больше необновляется ваша же безопасность. Аналогично и в [windows] ХР. Каспер видно тоже подвел.

Отредактировано feas (18-12-2012 18:53:35)


Добро пожаловать на форум mozilla-russia.org. Здесь вы можете посоветоваться или обратиться за помощью к фанатам и пользователям продуктов Мозиллы. Если не знаете как правильно оформить пост специально для вас расписан пункт 2.2 правил форума
Сброс на примере Firefox – лёгкое решение большинства проблем
Починка браузера. Перенос своих настроек на новый профиль.

Отсутствует

 

№718-12-2012 18:58:01

archie
Участник
 
Группа: Members
Зарегистрирован: 18-12-2012
Сообщений: 11
UA: Firefox 3.6

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

feas пишет

зачем? лучше проверьте осталась ли проблема? вирус просто воспользовался тем что в [firefox] 3.6 больше необновляется ваша же безопасность. Аналогично и в [windows] ХР. Каспер видно тоже подвел.

Проблема никуда не пропадала, тот эгзэшник я удалил еще позавчера, когда проблема только появилась, насчет заражения системы говорить преждевременно. повторяю проблема лишь в firefox, в остальных браузерах ее нет. Скорее всего где-то запускается какой-то сценарий javascript при работе в лисе

Добавлено 18-12-2012 19:06:04
Еще раз повторю, проблему локализировал на сколько смог :
1. Проявляется только в firefox.
2. При отключении javascript проблема исчезает.


Может кто-нибудь с этим сталкивался?

Отредактировано archie (18-12-2012 19:06:04)

Отсутствует

 

№818-12-2012 20:04:58

feas
Участник
 
Группа: Extensions
Откуда: от DNS
Зарегистрирован: 25-08-2011
Сообщений: 5213
UA: Firefox 18.0
Веб-сайт

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

папка chrome в ней userChrome.js - только так.
Папки профиля
тут список всех рабочих файлов - лишние как правило либо часть расширения либо то что ты ищешь.


Добро пожаловать на форум mozilla-russia.org. Здесь вы можете посоветоваться или обратиться за помощью к фанатам и пользователям продуктов Мозиллы. Если не знаете как правильно оформить пост специально для вас расписан пункт 2.2 правил форума
Сброс на примере Firefox – лёгкое решение большинства проблем
Починка браузера. Перенос своих настроек на новый профиль.

Отсутствует

 

№919-12-2012 23:03:41

gjurza
Участник
 
Группа: Members
Зарегистрирован: 22-07-2012
Сообщений: 6
UA: Opera 12.1

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

Такая же проблема... уже замучился... ни один антивирусник не ищет...

выскакивает тот баннер что написал ТС и еще "Бесплатное тестирование от сайта хххх"

кстати в опере тоже выскакивает...

Отредактировано gjurza (19-12-2012 23:08:51)

Отсутствует

 

№1019-12-2012 23:12:54

foka
Участник
 
Группа: Members
Зарегистрирован: 21-09-2012
Сообщений: 32
UA: Chrome 23.0

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

_http://www.toolbarcleaner.com/ позволяет удалить левое ПО, дополнения, но самостоятельно и осторожно. И Malwarebytes Anti-Malware удаляет автоматически всякие бяки.

Отсутствует

 

№1120-12-2012 01:29:26

gjurza
Участник
 
Группа: Members
Зарегистрирован: 22-07-2012
Сообщений: 6
UA: Opera 12.1

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

gjurza пишет

Такая же проблема... уже замучился... ни один антивирусник не ищет...

выскакивает тот баннер что написал ТС и еще "Бесплатное тестирование от сайта хххх"

кстати в опере тоже выскакивает...

не находит.... все напрасно

Отредактировано gjurza (20-12-2012 01:49:49)

Отсутствует

 

№1220-12-2012 06:44:37

archie
Участник
 
Группа: Members
Зарегистрирован: 18-12-2012
Сообщений: 11
UA: Firefox 3.6

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

Всем привет, немного разобрался в ситуации.

1. Дело не в браузере, в других браузерах вчера началось то же самое.
2. Проблема не в роутере и не в провайдере, на другом компе в локалке такого нет.

3. Начал копаться в html коде forum.mozilla-russia.org и кое-что нарыл:
В исходнике есть блок яндекс метрика, он загружает сценарий javascript по адресу  mc.yandex.ru/resource/watch.js, который поверх окна сайта выводит рекламное окно и загружает другой сценарий по адресу http://c.luxup.ru/t/lb123811.js, который в свою очередь скачивает картинки и заполняет ими уже созданное окно.
Окно вылазит не постоянно, а с разной периодичностью: иногда по адресу mc.yandex.ru/resource/watch.js лежит пустой файл и выполняться просто нечему.

На другом компе, где этой проблемы нет, набираю mc.yandex.ru/resource/watch.js, а там лежит обычный скрипт яндекс метрики, который никаких рекламных окон не загружает.
Естесственно сразу кинулся проверять файл hosts на предмет перенаправлений, но там все нормально.

У кого какие мысли по этому поводу?


  Watch.js

скрытый текст
function f_filterResults(n_win, n_docel, n_body) {
    var n_result = n_win ? n_win : 0;
    if (n_docel && (!n_result || (n_result > n_docel)))
        n_result = n_docel;
    return n_body && (!n_result || (n_result > n_body)) ? n_body : n_result;
}

function f_clientWidth() {
    return f_filterResults (
        window.innerWidth ? window.innerWidth : 0,
        document.documentElement ? document.documentElement.clientWidth : 0,
        document.body ? document.body.clientWidth : 0
    );
}
function f_clientHeight() {
    return f_filterResults (
        window.innerHeight ? window.innerHeight : 0,
        document.documentElement ? document.documentElement.clientHeight : 0,
        document.body ? document.body.clientHeight : 0
    );
}
function f_scrollLeft() {
    return f_filterResults (
        window.pageXOffset ? window.pageXOffset : 0,
        document.documentElement ? document.documentElement.scrollLeft : 0,
        document.body ? document.body.scrollLeft : 0
    );
}
function f_scrollTop() {
    return f_filterResults (
        window.pageYOffset ? window.pageYOffset : 0,
        document.documentElement ? document.documentElement.scrollTop : 0,
        document.body ? document.body.scrollTop : 0
    );
}

function popMove()
{
    popDiv = document.getElementById("popDiv");
    if(popDiv != null)
    {
        popDiv.style.left = ((f_clientWidth() - 850)/ 2) + f_scrollLeft () + "px";
        popDiv.style.top = ((f_clientHeight() - 550) / 2) + f_scrollTop () + "px";
    }
}

function popHide()
{
    popDiv = document.getElementById("popDiv");
    clearInterval(popMoveRun);
    popDiv.style.display = 'none';
    return false;
}

function popShowClose()
{
    popControl = document.getElementById("popControl");
    popControl.style.display = 'block';
}

if(typeof(popMutex) == "undefined" && typeof(hrMutex) == "undefined")
{
    var popMutex = true;
   
    var popDiv = document.createElement("div");
    popDiv.id = "popDiv";
    popDiv.style.position = "absolute";
    popDiv.style.width = "850px";
    popDiv.style.height = "550px";
    popDiv.style.backgroundColor = "white";
    popDiv.style.zIndex = "1000";
    popDiv.onclick = popShowClose;
    document.body.appendChild(popDiv);
   
    var advName = "DataMind";
    var popInfo = document.createElement("div");
    popInfo.id = "popInfo";
    popInfo.style.position = "absolute";
    popInfo.style.left = "10px";
    popInfo.style.fontSize = "11px";
    popInfo.style.fontWeight = "bold";
    popInfo.style.padding = "0 1px 25px";
    popInfo.style.height = "13px";
    popInfo.style.color = "black";
    popInfo.style.fontFamily = "Tahoma, Arial, sans-serif";
    popInfo.style.display = "block";
    popInfo.innerHTML = "&#1056;&#1077;&#1082;&#1083;&#1072;&#1084;&#1072; &#1089;&#1080;&#1089;&#1090;&#1077;&#1084;&#1099; " + advName + " <font color=\"red\">&#1055;&#1086;&#1089;&#1077;&#1090;&#1080;&#1090;&#1077; &#1089;&#1072;&#1081;&#1090; &#1089;&#1087;&#1086;&#1085;&#1089;&#1086;&#1088;&#1072; &#1095;&#1090;&#1086;&#1073;&#1099; &#1087;&#1088;&#1086;&#1076;&#1086;&#1083;&#1078;&#1080;&#1090;&#1100; &#1087;&#1088;&#1086;&#1089;&#1084;&#1086;&#1090;&#1088; &#1089;&#1072;&#1081;&#1090;&#1072;</font>";
    popDiv.appendChild(popInfo);
   
    var popControl = document.createElement("div");
    popControl.id = "popControl";
    popControl.style.position = "absolute";
    popControl.style.right = "10px";
    popControl.style.display = 'none';
    popDiv.appendChild(popControl);
   
    var popControlClose = document.createElement("a");
    popControlClose.href = "#";
    popControlClose.onclick = popHide;
    popControlClose.style.fontSize = "11px";
    popControlClose.style.fontWeight = "bold";
    popControlClose.style.padding = "0 1px 25px";
    popControlClose.style.color = "#096";
    popControlClose.style.height = "13px";
    popControlClose.style.fontFamily = "Tahoma, Arial, sans-serif";
    popControlClose.style.display = "block";
    popControlClose.innerHTML = "&#1047;&#1072;&#1082;&#1088;&#1099;&#1090;&#1100;";
    popControl.appendChild(popControlClose);
   
    var adDiv = document.createElement("div");
    adDiv.id = "lx_381874";
    adDiv.style.position = "absolute";
    adDiv.style.top = "15px";
    popDiv.appendChild(adDiv);
   
   
    var adScript = document.createElement("script");
    adScript.type = "text/javascript";
    adScript.language="JavaScript";
    adScript.charset = "utf-8";
    adScript.src = "http://c.luxup.ru/t/lb123811.js?rt=" + (new Date).getTime() % 1E7 * 100 + Math.round(Math.random() * 99) + (document.referrer ? ("&r=" + escape(document.referrer)) : "");
    document.body.appendChild(adScript);
   
    var popMoveRun = setInterval (popMove, 10);
    setTimeout(popShowClose, 10000);
}


lb123811.js
скрытый текст
(function(){var j=!0,l=null,z=!1;function A(){return function(){}}function e(a){return parseInt(a,10)}function oa(){return 100*((new Date).getTime()%1E7)+Math.round(99*Math.random())}function g(a){return"undefined"!=typeof a}function H(a,b){b||(b=A());var c=n.createElement("script");c.setAttribute(pa,qa);c.setAttribute("src",a);if(g(c))w?c.onreadystatechange=function(){("loaded"==this.readyState||"complete"==this.readyState)&&setTimeout(b,0)}:c.onload=function(){setTimeout(b,0)},N.appendChild(c)}function O(a){var b=n.createElement("style");b.setAttribute("rel",
"stylesheet");b.setAttribute(pa,"text/css");N.appendChild(b);w?b.styleSheet.cssText=a:b.appendChild(n.createTextNode(a))}function ra(){var a=z,b=navigator,c=l;if(g(b.plugins)&&"object"==typeof b.plugins["Shockwave Flash"]){if((c=b.plugins["Shockwave Flash"].description)&&(!g(b.mimeTypes)||!b.mimeTypes["application/x-shockwave-flash"]||b.mimeTypes["application/x-shockwave-flash"].enabledPlugin))c=c.replace(/^.*\s+(\S+\s+\S+$)/,"$1"),a=[0,0,0],a[0]=e(c.replace(/^(.*)\..*$/,"$1")),a[1]=e(c.replace(/^.*\.(.*)\s.*$/,
"$1")),a[2]=/[a-zA-Z]/.test(c)?e(c.replace(/^.*[a-zA-Z]+(.*)$/,"$1")):0}else if(g(f.ActiveXObject))try{var d=new ActiveXObject("ShockwaveFlash.ShockwaveFlash");if(d&&(c=d.GetVariable("$version")))c=c.split(" ")[1].split(","),a=[e(c[0]),e(c[1]),e(c[2])]}catch(m){}return a=a!==z?a.join("."):a}function Qa(){var a=ra(),b="10.0.42".split(".");if(a===z)return z;a=a.split(".");b[0]=parseInt(b[0],10);b[1]=parseInt(b[1],10)||0;b[2]=parseInt(b[2],10)||0;return a[0]>b[0]||a[0]==b[0]&&a[1]>b[1]||a[0]==b[0]&&
a[1]==b[1]&&a[2]>=b[2]?a.join("."):z}function D(a,b,c){a.addEventListener?a.addEventListener(b,c,z):a.attachEvent("on"+b,c)}function Ra(a,b){a.innerHTML=b;for(var c=[],d=a.childNodes,m=0;d[m];m++)c&&d[m].nodeName&&"script"===d[m].nodeName.toLocaleLowerCase()&&(!d[m].type||"text/javascript"===d[m].type.toLowerCase())&&c.push(d[m].parentNode?d[m].parentNode.removeChild(d[m]):d[m]);for(var e in c){var d=c[e],m=d.text||d.textContent||d.innerHTML||"",f=n.createElement("script");f.type="text/javascript";
f.appendChild(n.createTextNode(m));N.insertBefore(f,N.firstChild);N.removeChild(f);d.parentNode&&d.parentNode.removeChild(d)}}function aa(){var a="",a="?rt="+oa();n.referrer&&(a+="&r="+escape(n.referrer));P&&(a+="&recurring=1");ba&&(a+="&flash="+escape(ba));w&&(a+="&isie=1");if(!f[h].popunderShow)for(var b in i)if(i.hasOwnProperty(b)&&"object"==typeof i[b]&&g(i[b].type)&&"popunder"==i[b].type){a+="&pu=1";break}a+="&f="+h;g(screen.width)&&(a+="&scr="+escape(screen.width+"x"+screen.height));return a+=
f[h].multishowsAdd?"&"+f[h].multishowsAdd:""}function Sa(a){for(var b=a.length,c=[],d=0;d<b;d++)c.push(a[d].l+";"+a[d].n.join(";"));ca&&H(ca+"?"+c.join("&"),A())}function Ta(){I&&(clearTimeout(I),I=l);for(var a=E.length,b=[],c=0;c<a;c++)if(E[c]){var d;a:{var m=E[c];if(m){var e=getElementsByClass("lx__tsb",m);d=[];for(var g=[],k=void 0,i=e.length,k=0;k<i;k++){var h;if(h=e[k])b:{h=e[k];if(!(0===h.offsetWidth||0===h.offsetHeight))for(var q=C&&!f.opera?s.clientHeight:u.clientHeight,o=C&&!f.opera?s.clientWidth:
u.clientWidth,r=h.getClientRects(),v=0,w=r.length;v<w;v++){var p=r[v],t=0<=p.left&&p.left+(p.width?p.width:p.right-p.left)<o,x;if(x=0<=p.top&&p.top+(p.height?p.height:p.bottom-p.top)<q){if(t){p=n.elementFromPoint((p.left+p.right)/2,(p.top+p.bottom)/2);if(p===h)p=j;else c:{if(p)for(p=p.parentNode;p!=l;){if(p==h){p=j;break c}p=p.parentNode}p=z}t=p}x=t}if(x){h=j;break b}}h=z}h&&(d.push(e[k].getAttribute("tsbid")),g.push(e[k]))}e=g.length;for(k=0;k<e;k++)h=g[k],h.className=h.className.replace(RegExp("(^|\\s)lx__tsb(\\s|$)",
"g"),"$1").replace(/\s+/g," ").replace(/(^ | $)/g,"");if(g=d.length){m=getElementsByClass("lx__tsbc",m);m=m[0];m=m.getAttribute("tsbc");d={n:d,all:i==g,l:m};break a}}d=z}if(d!==z){d.all&&delete E[c];i=d.n;m=[];g=0;k=i.length;a:for(;g<k;g++){e=0;for(h=m.length;e<h;e++)if(m[e]==i[g])continue a;m[m.length]=i[g]}b.push({n:m,l:d.l})}}b.length&&Sa(b)}function da(){I&&clearTimeout(I);I=setTimeout(Ta,1E3)}function sa(){t.demogr&&t.interests&&!t.sent&&H("http://"+S+"/set_li_stat/?sex="+t.sex+"&lage="+t.lage+
"&uage="+t.uage+"&interest="+t.interest,function(){t.sent=j})}function x(a,b){o.style[a]=b}function Ua(){f[b].bottomReady=function(a){a=e(a);o.childNodes[1].height=a+q;x("height",a+5+q)}}function ea(a){var b=a.toString(),b=b.substr(9),b=b.substr(0,b.indexOf("("));g(J[b])?(clearTimeout(J[b]),J[b]=setTimeout(function(){clearInterval(J[b]);a();delete J.C},ta)):(J[b]=setInterval(function(){a()},ta),a())}function ua(){ea(va)}function wa(){ea(T);w&&(ea(xa),setTimeout(T,250))}function xa(){x("width",s.clientWidth?
s.clientWidth:u.clientWidth)}function va(){fa(K,{bottom:j,right:j})}function T(){fa(o,{bottom:j})}function fa(a,b){var c=a.style;if(g(b[v])&&b[v]&&!g(a.d))a.d=e(a.currentStyle[v]),g(b[v])&&b[v]&&(c[v]=U);if(g(b.right)&&b.right&&!g(a.q)&&(a.q=e(a.currentStyle.right),g(b.right)&&b.right))c.right="";if(g(b.left)&&b.left&&!g(a.u))a.u=e(a.currentStyle.left);if(g(b[v])&&b[v])c.position=L,c.top=w?0-a.d-(e(c.height)?e(c.height):a.offsetHeight)+(s.clientHeight?s.clientHeight:u.clientHeight)+e(C&&!f.opera?
s.scrollTop:u.scrollTop)+q:0-a.d-e(c.height)+e(f.innerHeight)+e(f.pageYOffset)+q;if(g(b.right)&&b.right)c.position=L,C?c.right=a.q-(s.scrollLeft?s.scrollLeft:u.scrollLeft)+q:c.left=0-a.q-(e(c.width)?e(c.width):a.offsetWidth)+(s.clientWidth?s.clientWidth:u.clientWidth)+(s.scrollLeft?s.scrollLeft:u.scrollLeft)+q;if(g(b.left)&&b.left)c.position=L,c.left=a.u+e(C&&!f.opera?s.scrollLeft:u.scrollLeft)+q}function ya(){var a=n.getElementsByTagName("object"),b=n.getElementsByTagName("embed"),c={m:z,w:[],embeds:[]};
if(V)for(var d=0;d<a.length;d++){for(var e=z,f=a[d].getElementsByTagName("param"),h=0;h<f.length;h++)if("wmode"==f[h].getAttribute("name").toLowerCase()){e=j;break}if(e)c.m=j,c.w.push(a[d])}for(d=0;d<b.length;d++){a=b[d].getAttribute("wmode");if(!(e=!a))g(a)?(a=a.toLowerCase(),a="transparent"!=a&&"opaque"!=a?z:j):a=z,e=!a;if(e)c.m=j,c.embeds.push(b[d])}return c}function Va(){for(var a=ya(),b=a.w,a=a.embeds,c=0;c<b.length;c++){var d=n.createElement("param");d.setAttribute("name","wmode");d.setAttribute("value",
"transparent");b[c].appendChild(d);b[c].outerHTML=b[c].outerHTML}for(c=0;c<a.length;c++)a[c].setAttribute("wmode","transparent"),a[c].outerHTML=a[c].outerHTML}function Q(a){var b=a.which?a.which:a.button,a=(w?a.srcElement:a.target).nodeName.toLowerCase();if(("a"==a||"img"==a)&&2!=b&&3!=b)clearTimeout(ga),ga=setTimeout(function(){ga=l;za()},500)}function Wa(){var a="";if(F)for(var b in i)i.hasOwnProperty(b)&&"object"==typeof i[b]&&(a+=escape(b.substr(1))+";");0<a.length&&(a=a.substring(0,a.length-
1));return a}function Aa(a){Ba(a.target?a.target:a.srcElement)}function Xa(a){var b=/\/i\/(a??)(\d+?)\//m,c=b.exec(a),d=z;if(c!=l&&16!=c){d=e(c[2]);d=(2*(10*d+40)-40)/10;16<=d&&(d=16);var f=10*d+40,d=a.replace(b,"/i/$1"+d+"/")}return{url:d,size:f}}function Ca(a){var b=e("CSS1Compat"==n.compatMode&&!f.opera?s.scrollTop:u.scrollTop),c=e(b+(C&&!f.opera?s.clientHeight:u.clientHeight)),d=e("CSS1Compat"==n.compatMode&&!f.opera?s.scrollLeft:u.scrollLeft),g=e(d+(C&&!f.opera?s.clientWidth:u.clientWidth)),
h=a.getClientRects()[0],i=Math.round(h.top)+b,k=Math.round(h.bottom)+b,o=Math.round(h.left)+d,h=Math.round(h.right)+d;if(i<b)a.style.top=e(a.style.top)+(b-i)+W+q;if(k>c)a.style.top=e(a.style.top)-(k-c)-W+q;if(o<d)a.style.left=e(a.style.left)+(d-o)+W+q;if(h>g)a.style.left=e(a.style.left)-(h-g)-W+q}function ha(a,b){clearTimeout(a.getAttribute("enlargeTimer"));var c=Da(b),d=e(a.height)-y;a.width=e(a.width)-y;a.height=d;d=e(c.left)>e(a.style.left)?e(a.style.left)+y/2:e(a.style.left)-y/2;a.style.top=(e(c.top)>
e(a.style.top)?e(a.style.top)+y/2:e(a.style.top)-y/2)+q;a.style.left=d+q;e(a.width)>e(b.width)?a.setAttribute("shrinkTimer",setTimeout(function(){ha(a,b)},R)):(a.style.top="-100000px",a.style.left="-100000px",b.style.visibility="",b.parentNode.style.zIndex="")}function Ea(a,b){clearTimeout(a.getAttribute("shrinkTimer"));var c=e(a.height)+y;a.width=e(a.width)+y;a.height=c;c=e(a.style.left)-y/2;a.style.top=e(a.style.top)-y/2+q;a.style.left=c+q;Ca(a);e(a.width)<b&&a.setAttribute("enlargeTimer",setTimeout(function(){Ea(a,
b)},R))}function Da(a){for(var b=0,c=0;a&&"relative"!=(a.p=a.p||a.currentStyle||getComputedStyle(a,0)).position&&"absolute"!=(a.p=a.p||a.currentStyle||getComputedStyle(a,0)).position;)b+=e(a.offsetTop),c+=e(a.offsetLeft),a=a.offsetParent;return{top:b,left:c}}function Ba(a){var b,c=Da(a),d=Xa(a.src),e=d.size;if((d=d.url)||d!=a.src){a.previousSibling&&"img"==a.previousSibling.nodeName.toLowerCase()?b=a.previousSibling:(b=a.cloneNode(z),w&&b.detachEvent("onmouseover",Aa),b.style.position=L,b.style.top=
"-100000px",b.style.left="-100000px",b.style.margin="0px",n.addEventListener?b.addEventListener("mouseout",function(){clearTimeout(b.getAttribute("enlargeTimer"));b.setAttribute("shrinkTimer",setTimeout(function(){ha(b,a)},R))},z):b.attachEvent("onmouseout",function(){clearTimeout(b.getAttribute("enlargeTimer"));b.setAttribute("shrinkTimer",setTimeout(function(){ha(b,a)},R))}),a.parentNode.insertBefore(b,a));if(b.src==a.src){var f=b.cloneNode(z);D(f,"load",function(){b.src=f.src;setTimeout(function(){f.parentNode.removeChild(f)},
100)});f.src=d;b.parentNode.insertBefore(f,b)}b.width=a.width;b.height=a.height;b.style.top=c.top+q;b.style.left=c.left+q;a.style.visibility="hidden";a.parentNode.style.zIndex=1E5;Ca(b);b.setAttribute("enlargeTimer",setTimeout(function(){Ea(b,e)},R))}}function Ya(a,b){b&&(D(n,ia,Fa(a)),X&&(Y(a)(),D(f,"resize",Ga(a)),D(f,ia,Ga(a))));for(var c=getElementsByClass("close",a.a),d=c.length,e=0;e<d;e++)D(c[e],ja,Za(a));c=getElementsByClass("ref",a.a);d=c.length;for(e=0;e<d;e++)D(c[e],ja,Ha(a))}function Za(a){return function(b){if(b||
f.event)b=b||f.event,b.stopPropagation?b.stopPropagation():b.cancelBubble=j;a.s=j;ka(a);b=new Date;b.setTime(b.getTime()+36E5*$a);n.cookie="_lxretpopupignore=1; path=/; expires="+b.toUTCString()}}function Ha(a){return function(b){if(b||f.event)b=b||f.event,b.stopPropagation?b.stopPropagation():b.cancelBubble=j;clearTimeout(a.i);a.j=j;ka(a,function(){H(la+a.B+"/"+aa(),A())})}}function Fa(a){return function(){if(!a.s&&!a.j){var b=e(s.scrollTop?s.scrollTop:u.scrollTop);!a.k&&b>=a.v?ab(a):a.k&&b<a.v&&
ka(a)}}}function Y(a){return function(){a.a[a.b+"Offset"]=e(a.a.style[a.b]);var b={bottom:j};a.b==Ia&&(b[Ia]=j);a.b==Ja&&(b[Ja]=j);fa(a.a,b)}}function Ga(a){return function(){g(a.t)&&clearTimeout(a.t);a.t=setTimeout(Y(a),100)}}function Ka(a){var b=0;return b=X?a.a[a.b+"Offset"]:e(a.a.style[a.b])}function ab(a){a.k=j;g(a.c)&&clearInterval(a.c);clearTimeout(a.i);a.i=setTimeout(Ha(a),1E3*a.refresh);a.a.style.display="block";a.c=setInterval(function(){var b=Ka(a),c=b+La;0>b&&0>c?(a.h=j,a.a.style[a.b]=
c+q):(clearInterval(a.c),a.h=z,a.a.style[a.b]=0+q);X&&Y(a)()},Ma)}function ka(a,b){a.k=z;g(a.c)&&clearInterval(a.c);clearTimeout(a.i);a.c=setInterval(function(){var c=Ka(a),d=c-La;c>=-a.width&&d>-a.width?(a.h=j,a.a.style[a.b]=d+q):(clearInterval(a.c),a.h=z,a.a.style[a.b]=-a.width+q,a.a.style.display="none",g(b)&&b());X&&Y(a)()},Ma)}function za(a){if(!Z){Z=j;var b=Wa();b&&(a?(n.write('<scr'+'ipt type="'+qa+'" language="JavaScr'+'ipt" src="'+la+b+"/"+aa()+'"><\/scr'+'ipt>'),Z=z):H(la+b+"/"+aa(),function(){Z=
z}))}}var i={"_336612":{id:"lx_336612"},"_381874":{id:"lx_381874",A:!0}},h="__lxG123811__",B="__lxG__",G={},n=document,f=window,u=n.body,s=n.documentElement,N=function(){var a=n.getElementsByTagName("head")[0];if(a)return a;for(a=s.firstChild;a&&"#text"==a.nodeName.toLowerCase();)a=a.nextSibling;if(a&&"#text"!=a.nodeName.toLowerCase())return a;a=n.createElement("head");
s.appendChild(a);return a}(),$=navigator.userAgent.toLowerCase(),w=/msie/.test($)&&!/opera/.test($),bb=(navigator.userAgent.toLowerCase().match(/.+(?:rv|it|ra|ie)[\/: ]([\d.]+)/)||[])[1],C="CSS1Compat"===n.compatMode,ma=/chrome/.test($),V=/opera/.test($),P=z,Z=z,ga=l,F=0,E=[],I=l,ba=ma?Qa():ra(),Na=z,K=l,o=l,ta=50,na=l,Oa=z,v="bottom",q="px",L="absolute",r={},qa="text/javascript",pa="type",U="auto",M="",Pa=z,ca="",W=3,y=10,R=10,Ja="right",Ia="left",ia="scroll",ja="click",$a=480,Ma=15,La=22,X=w&&(!C||
8>e(bb)&&C),S="luxup.ru",la="http://"+S+"/multishows/",J={},t={demogr:z,interests:z,sent:z};getElementsByClass=n.getElementsByClassName?function(a,b){return(b||document).getElementsByClassName(a)}:function(a,b){var c=(b||document).getElementsByTagName("*"),d=c.length,e=a.split(/\s+/),f=e.length,h=[],g,i;for(g=0;g<d;g++)for(i=0;i<f;i++)if(-1!=c[g].className.search("\\b"+e[i]+"\\b")){h.push(c[g]);break}return h};D(f,ia,da);G[h]={};G[h].g=function(){if(!M)return j;M+="?rnd="+oa()+(f[h].popunderAdd?"&"+
f[h].popunderAdd:"");var a=window;window.open(M,h+"popunder","toolbar=1,location=1,status=1, menubar=1,scrollbars=1,resizable=1");M="";a.focus();u.detachEvent?(u.detachEvent("onclick",G[h].g),u.releaseCapture()):(u.removeEventListener("click",G[h].g,j),u.removeEventListener("click",G[h].g));return j};g(f[h])||(f[h]={});g(f[b])||(f[b]={});f[h].closed=A();f[h].clicked=A();if(!g(f[h].popunderShow))f[h].popunderShow=z;if(!g(f[h].allLoaded))f[h].allLoaded=A();if(!g(f[h].popunderAdd))f[h].popunderAdd="";
if(!g(f[h].multishowsAdd))f[h].multishowsAdd="";f[b].demogr=function(a){t.sex=encodeURIComponent(a.gen);t.lage=encodeURIComponent(a.lage);t.uage=encodeURIComponent(a.uage);t.demogr=j;sa()};f[b].interests=function(a){t.interest=encodeURIComponent(a.hier_inter.join(","));t.interests=j;sa()};f[h].parser=function(a){E=[];for(var b in a)if(a.hasOwnProperty(b)){var c=a[b];if("cfg"==c.type)c.hasOwnProperty("realShowsUrl")&&(ca=c.realShowsUrl),c.hasOwnProperty("getLiData")&&setTimeout(function(){H("http://medianet.yadro.ru/hier_inter.txt",
A());H("http://medianet.yadro.ru/info.txt",A())},0);else if("counters"==c.type){if(c.hasOwnProperty("urls"))for(var d=0;d<c.urls.length;d++)(new Image).src=c.urls[d]}else if(g(i["_"+c.id])&&g(c.source)&&c.source){if((d=n.getElementById(i["_"+c.id].id))&&"html"==c.type)if(P||(O(c.style),n.addEventListener?d.addEventListener("click",Q,z):d.attachEvent("onclick",Q)),d.innerHTML=c.source,i["_"+c.id].f=j,getElementsByClass("lx__tsbc",d).length&&E.push(d),g(i["_"+c.id].A)&&i["_"+c.id].A)for(var m=d.getElementsByTagName("img"),
s=m.length,t=0;t<s;t++)n.addEventListener?m[t].addEventListener("mouseover",function(){Ba(this)},z):m[t].attachEvent("onmouseover",Aa);if(d&&"pu"==c.type&&!Pa)M="http://c."+S+"/pu/"+c.id+".html",n.addEventListener?u.addEventListener("click",G[h].g,j):(u.attachEvent("onclick",G[h].g),u.setCapture(j)),Pa=i["_"+c.id].f=j;if(d&&"js"==c.type)P||(g(c.style)&&O(c.style),n.addEventListener?d.addEventListener("click",Q,z):d.attachEvent("onclick",Q)),Ra(d,c.source),i["_"+c.id].f=j;if(d&&"flash"==c.type&&!Na)K=
d,O(c.style),f[h].closed=function(){K.parentNode.removeChild(K)},f[h].clicked=function(){K.parentNode.removeChild(K)},d.innerHTML=c.source,i["_"+c.id].f=j,w&&(f.attachEvent("onscroll",ua),f.attachEvent("onresize",ua),va()),Na=j,getElementsByClass("lx__tsbc",d).length&&E.push(d);if(d&&c.type==v)o=d,(V||ma)&&Oa&&g(i["_"+c.id].z)&&i["_"+c.id].z&&Va(),""!=c.style&&O(c.style),w?o.e=e(o.currentStyle[v]):(o.e=e(n.defaultView.getComputedStyle(o,l).bottom),V&&(o.e-=1)),f[b].bottomClosed=function(){var a=n.createElement("a");
a.innerHTML=".";a.href="medianet.adlabs.ru";o.appendChild(a);a.focus();a.blur();o.style.display="none";da()},x("position",L),x(v,U),x("top","-100000px"),x("zIndex",99999),f[b].bottomReady=function(a,b){a=e(a);if(150<a)return z;o.childNodes[1].height=a+q;x(v,"-"+(a+5+10)+q);x("top","");w?x("position",L):x("position","fixed");if(w){if(0!=b)xa(),clearInterval(na),f[b].bottomReady=A()}else f[b].bottomReady=A();na=setInterval(function(){var a=w&&g(o.d)?o.d:e(o.style[v]);if(a<o.e&&!(6.25>o.e-a)){if(x(v,
a+5+q),w)o.d=a+5,x(v,U),T()}else{clearInterval(na);x(v,o.e+q);if(w)o.d=o.e,x(v,U),T(),f.attachEvent("onscroll",wa),f.attachEvent("onresize",wa);setTimeout(Ua,100)}},25)},o.innerHTML=c.source,ba||setTimeout(function(){var a=0,a=w?o.offsetHeight:n.defaultView.getComputedStyle(o,l).height;f[b].bottomReady(e(a)-5,1)},250),i["_"+c.id].f=j;if(d&&"float"==c.type){m=z;P||(O(c.style),D(d,ja,Q));if(!g(r[k])){var k=c.id;r[k]=i["_"+k];r[k].B=k;r[k].a=d;r[k].k=z;r[k].s=z;r[k].h=z;r[k].i=0;r[k].j=z;m=j}r[k].a.innerHTML=
c.source;r[k].a.style[r[k].b]=-1E3+q;r[k].a.style.display="block";r[k].width=e(r[k].a.width?r[k].a.width:r[k].a.offsetWidth);r[k].a.style[r[k].b]=-r[k].width+q;Ya(r[k],m);if(r[k].j)r[k].j=z;Fa(r[k])();i["_"+c.id].f=j;getElementsByClass("retail__tsbc",d).length&&E.push(d)}}}for(var y in i)i.hasOwnProperty(y)&&!g(i[y].f)&&g(i[y].r)&&i[y].r();P=z;setTimeout(function(){f[h].allLoaded()},0);da()};(function(){for(var a in i)if(i.hasOwnProperty(a)&&"object"==typeof i[a]){var b=n.getElementById(i[a].id),
c=z;g(i[a].type)&&"float"==i[a].type&&-1!=n.cookie.indexOf("_lxretpopupignore=1")&&(c=j);if(!b||c)delete i[a];else if((V||ma)&&g(i[a].type)&&"bottom"==i[a].type)if(ya().m){if(Oa=j,!g(i[a].o)||g(i[a].o)&&!i[a].o)F+=1}else F+=1;else F+=1}})();(new Image).src="http://counter.yadro.ru/hit;Luxup?r"+escape(n.referrer)+("undefined"==typeof screen?"":";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth?screen.colorDepth:screen.pixelDepth))+";u"+escape(n.URL)+";"+Math.random();(new Image).src="http://"+S+"/merge_gpsid/?t="+(new Date).getTime();za(0)})();

Отредактировано archie (20-12-2012 06:56:28)

Отсутствует

 

№1320-12-2012 13:00:57

gjurza
Участник
 
Группа: Members
Зарегистрирован: 22-07-2012
Сообщений: 6
UA: Opera 12.1

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

archie

Вот http://virusinfo.info/showthread.php?t=129046 должны решить со дня на день....

Отсутствует

 

№1420-12-2012 14:29:11

lsn
Участник
 
Группа: Members
Зарегистрирован: 20-12-2012
Сообщений: 3
UA: Firefox 18.0

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

Тоже самое!
На всех браузерах при открытии любого сайта "Реклама системы DataMind Посетите сайт спонсора чтобы продолжить просмотр сайта"
Не какие антивирусы не помогают.
Что делать куда копать?

Добавлено 20-12-2012 14:33:00
Если в браузере отключаешь javascript то всплывающее окно пропадает

Отредактировано lsn (20-12-2012 14:33:00)

Отсутствует

 

№1520-12-2012 15:03:38

lsn
Участник
 
Группа: Members
Зарегистрирован: 20-12-2012
Сообщений: 3
UA: Firefox 18.0

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

Да уже все перепробовал, не помогает не чего.:(

Отсутствует

 

№1620-12-2012 20:58:34

stealthm
Участник
 
Группа: Members
Зарегистрирован: 20-12-2012
Сообщений: 1
UA: Opera 12.1

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

Я решил такую же проблему! Сам попался. Вирус просто тупо меняет адрес DNS сервера в свойствах сетевого подключения на свой, фальшивый. Соответственно, никакая антивирусная программа этого не обнаруживает.

Отсутствует

 

№1720-12-2012 21:25:02

lsn
Участник
 
Группа: Members
Зарегистрирован: 20-12-2012
Сообщений: 3
UA: Firefox 17.0

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

Что за вирус?

Отсутствует

 

№1821-12-2012 02:15:41

gjurza
Участник
 
Группа: Members
Зарегистрирован: 22-07-2012
Сообщений: 6
UA: Opera 12.1

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

stealthm пишет

Я решил такую же проблему! Сам попался. Вирус просто тупо меняет адрес DNS сервера в свойствах сетевого подключения на свой, фальшивый. Соответственно, никакая антивирусная программа этого не обнаруживает.

Да действительно, вы правы - зашел в настройки ТСП ИП и нашел там ложный ДНС... еще советую в регистре найти этот ключик и удалить: O17 - HKLM\System\CCS\Services\Tcpip\..\{F89B57C1-93A9-4205-8E74-88ECC3D07C69}: NameServer = 5.199.140.180

Отсутствует

 

№1921-12-2012 05:22:19

archie
Участник
 
Группа: Members
Зарегистрирован: 18-12-2012
Сообщений: 11
UA: Firefox 3.6

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

Все верно, в реестре в ключе HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\{abbracaddabra}: NameServer стоял адрес 5.199.140.180.
Но вопрос остается - КТО ЭТО СДЕЛАЛ ???

Отсутствует

 

№2021-12-2012 15:00:12

tetiana
Участник
 
Группа: Members
Зарегистрирован: 21-12-2012
Сообщений: 4
UA: Opera 11.6

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

archie пишет

Но вопрос остается - КТО ЭТО СДЕЛАЛ ???

Я точно знаю, кто это сделал: radikal.ru
Может, кто-то еще делает, но у меня без вариантов, загружала фотку и уже тогда у меня возникли подозрения, а после рестарта оперы началось...

У меня еще во всех браузерах стартовая поменялась на http://mailrusearchgo.ru

Отредактировано tetiana (21-12-2012 15:05:07)

Отсутствует

 

№2121-12-2012 16:10:13

archie
Участник
 
Группа: Members
Зарегистрирован: 18-12-2012
Сообщений: 11
UA: Firefox 3.6

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

Я имел в виду, что за программа сделала запись в реестр и как она вообще ко мне попала ? А то получается без меня меня женили, а я вроде как вообще не при делах :)

P.S. А на варезники я вообще никогда не захожу.

Отредактировано archie (21-12-2012 16:11:51)

Отсутствует

 

№2221-12-2012 16:31:59

feas
Участник
 
Группа: Extensions
Откуда: от DNS
Зарегистрирован: 25-08-2011
Сообщений: 5213
UA: Safari 4.0
Веб-сайт

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

Радикал? Хм... Я вроде ему доверяю. Вы смотрите, если ДНС не тот - откроется что угодно.


Добро пожаловать на форум mozilla-russia.org. Здесь вы можете посоветоваться или обратиться за помощью к фанатам и пользователям продуктов Мозиллы. Если не знаете как правильно оформить пост специально для вас расписан пункт 2.2 правил форума
Сброс на примере Firefox – лёгкое решение большинства проблем
Починка браузера. Перенос своих настроек на новый профиль.

Отсутствует

 

№2321-12-2012 16:48:04

tetiana
Участник
 
Группа: Members
Зарегистрирован: 21-12-2012
Сообщений: 4
UA: Opera 11.6

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

archie пишет

А на варезники я вообще никогда не захожу.

Это не варезник, это фотохостинг и "программа" пришла именно оттуда.

feas пишет

Радикал? Хм... Я вроде ему доверяю.

Я тоже ему доверяла, хотя каспер и предупреждал, но думала, что каспер и опера его блокируют из-за чрезмерной рекламы. Но это радикал без вариантов, потому что это единственный сайт, который я посетила перед заражением и  вообще единственное действие с моей стороны перед заражением.

Отсутствует

 

№2421-12-2012 17:49:49

voqabuhe
Участник
 
Группа: Members
Зарегистрирован: 06-12-2011
Сообщений: 3231
UA: Firefox 20.0

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

tetiana пишет

Я точно знаю, кто это сделал: radikal.ru

Бред какой-то нет ничего на радикале, тебе показалось. :dumb:

Отсутствует

 

№2521-12-2012 17:50:29

archie
Участник
 
Группа: Members
Зарегистрирован: 18-12-2012
Сообщений: 11
UA: Firefox 3.6

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

Это не варезник, это фотохостинг

Там рекламных скриптов больше, чем на варезниках. Такие сайты стараюсь обходить десятой дорогой.

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]