Показано с 1 по 12 из 12.

Паразитный баннер, браузер тормозит (заявка № 33563)

  1. #1
    Junior Member Репутация
    Регистрация
    09.11.2008
    Сообщений
    7
    Вес репутации
    57

    Question Паразитный баннер, браузер тормозит

    Имею дома два компьютера в домашней сети с выходом в Интернет. Провайдер www.trtk.ru Троицк Телеком. Вчера вечером на обоих компьютерах на большинстве открываемых в браузерах (IE, Firefox) страницах с разными URL обнаружил одинаковый баннер, появляющийся на разных местах страницы на дополнительном слое.
    На каждом из 2-х компьютеров открывал странички в браузерах IE7 и Firefox 3, картина везде одинаковая. Плюс к этому, страницы не открываются с первого раза, приходится перезагружать их или жать F5.
    Баннер создается JS скриптом и не связан с дизайном и контентом посещаемых сайтов. Появление этого баннера происходит эпизодически, в произвольные интервалы времени. На одном компьютере работает сын, на другом дочь, интересы разные - сайты разные. Схватить одинаковую гадость не могли. Штатно стоит avast, проверял компьютеры AVZ и Cureit (launch.exe), Ad-Aware, все чисто!

    Похоже, что кто-то, где-то, как-то в получаемый код страниц внедряет JS, генерящий баннер. Такое подозрение, что заражен прокси у провайдера.

    Высылаю логи проверки одного из двух компьютеров и копию страницы с паразитным баннером.

    С уважением,
    Сергей.
    Вложения Вложения
    Последний раз редактировалось V_Bond; 10.11.2008 в 22:04.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Webalta - деинсталируйте ....
    82.138.20 - известный вам адрес ?

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Это "Троицк-Телеком". 82.138.20.130 - их законный DNS, ns3.trtk.ru. А вот 82.138.29.11 - это что-то несколько левое. Тоже из сетки Комкора, но адрес под управлением некоего "Westpromstroy", там микроподсеть на восемь адресов всего. Что особо подозрительно - PTR этого адреса даёт имя ns2.trtk.ru (то есть, как бы "Троицк-Телеком"), реальный IP которого 212.41.47.228

  5. #4
    Junior Member Репутация
    Регистрация
    09.11.2008
    Сообщений
    7
    Вес репутации
    57
    Деинсталировал Webalta, изменений увидеть не могу, т.к. вредный баннер появляется ближе к вечеру, утром все нормально. Думаю, что дело не в Webalte - на компьютере дочери Webaltа не установлена, а баннер вечером появляется и браузер так же тормозит.

    Похоже аналогичная проблема обсуждается в ветке:
    http://virusinfo.info/showthread.php?t=33558

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    вы не ответили на заданый вопрос ....
    82.138.20 - известный вам адрес ?

  7. #6
    Junior Member Репутация
    Регистрация
    09.11.2008
    Сообщений
    7
    Вес репутации
    57
    Извиняюсь, 82.138.20.130 - Primary DNS Address моего провайдера.

    Добавлено через 6 минут

    82.138.29.11 - Secondary DNS Address, рекомендуемый провайдером.

    Добавлено через 9 минут

    Дополнительно, Троицк Телеком в этом месяце начинает переход на новый диапазон IP адресов, адреса 82.138.х.х меняются на 212.41.х.х

    Добавлено через 28 минут

    В интернете нашел подобный вопрос на украинском сайте:
    http://board.lutsk.ua/index.php?show...7&#entry262827
    Баннер полностью одинаковый, и картинка и ссылка.

    И на азиатском (перевод Googlom):
    http://translate.google.ru/translate...w%3D1%26sa%3DG

    На баннере нарисованы пингвины или утки, отсылает на сайт с иероглифами.

    Добавлено через 2 часа 50 минут

    Уважаемые знатоки противовирусной обороны, очень надеюсь на вашу помощь и информацию. Ведь если эта хрень поселилась на компьютерах, то неизвестно, что она натворит.
    Последний раз редактировалось Sergey 777; 10.11.2008 в 13:32. Причина: Добавлено

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Nvacddsvvehr');
     QuarantineFile('Nvacddsvvehr.sys','');
     DeleteFile('Nvacddsvvehr.sys');
     BC_DeleteSvc('Nvacddsvvehr');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  9. #8
    Junior Member Репутация
    Регистрация
    09.11.2008
    Сообщений
    7
    Вес репутации
    57
    Карантин пуст, при выполнении скрипта (до перезагрузки) видны сообщения "ошибка прямого чтения файла Nvacddsvvehr.sys". Пробовал найти этот файл вручную - его нет на компьютере.

    Добавлено через 9 минут

    Посмотрел вчерашний лог, что отправлял - там этот процесс и файл есть. Логи отправлялись в тот момент когда был виден паразитный баннер. Сейчас он не встречается, осталось дождаться вечера, обычно он проявляется вечером.

    Добавлено через 2 часа 46 минут

    Ну вот, опять вечером появился этот баннер. Файла Nvacddsvvehr.sys на компьютере не обнаружил, равно как и других (новых за сегодняшний день) с расширениями sys, exe, dll. Еще раз проверил компьютер AVZ и Cureit со свежими базами, все чисто подозрений нет. На другом компьютере аналогично, все проверил и все чисто. А файл Nvacddsvvehr.sys может был связан с деинсталированной Webaltой? Осталось искать в нашем доме других пользователей ТроицкТелекома и проситься к ним в гости - посмотреть, есть ли у них этот баннер?
    Последний раз редактировалось Sergey 777; 10.11.2008 в 18:12. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    09.11.2008
    Сообщений
    7
    Вес репутации
    57

    Что делать? Баннер-паразит опять везде выскакивает

    Если знать, что от этого всего вреда нет, то и хрен с ним. Но всегда беспокоит, когда не знаешь, что ждать дальше. Еще раз снял все логи, может не все потеряно и можно найти причину. Только терзает меня смутное подозрение, что заражен прокси провайдера.
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    поищите файлs *.JS и пришлите согласно приложения 2 правил

  12. #11
    Junior Member Репутация
    Регистрация
    09.11.2008
    Сообщений
    7
    Вес репутации
    57
    Файл скрипта 1.js находится в архиве baidugooglesina.zip с копией странички на которой этот праааативный баннер. Архив в моем первом посте. Спасибо за участие!

    Добавлено через 2 минуты

    Извиняюсь, не по правилам прислал, сейчас исправлюсь.
    Последний раз редактировалось Sergey 777; 10.11.2008 в 22:00. Причина: Добавлено

  13. #12
    Junior Member Репутация
    Регистрация
    09.11.2008
    Сообщений
    7
    Вес репутации
    57
    Передаю отдельно файл скрипта и сохранённую страничку.

    Добавлено через 9 минут

    Еще раз прошу пардон, отправил через спец. форму.

    Добавлено через 9 часов 45 минут

    Пробовал ESET SysInspector, так он показывает уровень опасности 8 для DNS 82.138.29.11, для всего остального (файлов, процессов, драйверов) не более 5. Сегодня поменял все DNS на новые - рекомендованные провайдером: 212.41.32.66 и 212.41.47.228. Еще одна интересная особенность, этот баннер появляется не на всех сайтах, на сайтах где нет баннерообменных сетей он не появляется. Возможно на DNS происходила подмена IP баннерообменника.

    Добавлено через 2 часа 41 минуту

    Не помогло, баннер появляется и утром. Вот хрень противная!

    Добавлено через 6 минут

    Опять подозрение на баннерообменники. К примеру, на сайте http://adalin.mospsy.ru/ баннер не появлялся ни разу, а на сайте http://mk.ru/ появляется постоянно.

    Добавлено через 5 минут

    На вашем сайте этот баннер не появлялся ни разу.
    Последний раз редактировалось Sergey 777; 11.11.2008 в 10:59. Причина: Добавлено

  • Уважаемый(ая) Sergey 777, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Тормозит браузер
      От Andrey Leon в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 08.01.2012, 15:54
    2. Тормозит браузер
      От xMerdocx в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 16.08.2011, 20:52
    3. не открывается браузер, появляется баннер (заявка №32932)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 18.10.2010, 03:00
    4. Тормозит браузер
      От Mara1217 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 29.03.2010, 22:01
    5. Тормозит браузер
      От Onliner в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 04.10.2009, 16:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01252 seconds with 20 queries