Имею дома два компьютера в домашней сети с выходом в Интернет. Провайдер www.trtk.ru Троицк Телеком. Вчера вечером на обоих компьютерах на большинстве открываемых в браузерах (IE, Firefox) страницах с разными URL обнаружил одинаковый баннер, появляющийся на разных местах страницы на дополнительном слое.
На каждом из 2-х компьютеров открывал странички в браузерах IE7 и Firefox 3, картина везде одинаковая. Плюс к этому, страницы не открываются с первого раза, приходится перезагружать их или жать F5.
Баннер создается JS скриптом и не связан с дизайном и контентом посещаемых сайтов. Появление этого баннера происходит эпизодически, в произвольные интервалы времени. На одном компьютере работает сын, на другом дочь, интересы разные - сайты разные. Схватить одинаковую гадость не могли. Штатно стоит avast, проверял компьютеры AVZ и Cureit (launch.exe), Ad-Aware, все чисто!
Похоже, что кто-то, где-то, как-то в получаемый код страниц внедряет JS, генерящий баннер. Такое подозрение, что заражен прокси у провайдера.
Высылаю логи проверки одного из двух компьютеров и копию страницы с паразитным баннером.
С уважением,
Сергей.
Последний раз редактировалось V_Bond; 10.11.2008 в 22:04.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Это "Троицк-Телеком". 82.138.20.130 - их законный DNS, ns3.trtk.ru. А вот 82.138.29.11 - это что-то несколько левое. Тоже из сетки Комкора, но адрес под управлением некоего "Westpromstroy", там микроподсеть на восемь адресов всего. Что особо подозрительно - PTR этого адреса даёт имя ns2.trtk.ru (то есть, как бы "Троицк-Телеком"), реальный IP которого 212.41.47.228
Деинсталировал Webalta, изменений увидеть не могу, т.к. вредный баннер появляется ближе к вечеру, утром все нормально. Думаю, что дело не в Webalte - на компьютере дочери Webaltа не установлена, а баннер вечером появляется и браузер так же тормозит.
На баннере нарисованы пингвины или утки, отсылает на сайт с иероглифами.
Добавлено через 2 часа 50 минут
Уважаемые знатоки противовирусной обороны, очень надеюсь на вашу помощь и информацию. Ведь если эта хрень поселилась на компьютерах, то неизвестно, что она натворит.
Последний раз редактировалось Sergey 777; 10.11.2008 в 13:32.
Причина: Добавлено
Карантин пуст, при выполнении скрипта (до перезагрузки) видны сообщения "ошибка прямого чтения файла Nvacddsvvehr.sys". Пробовал найти этот файл вручную - его нет на компьютере.
Добавлено через 9 минут
Посмотрел вчерашний лог, что отправлял - там этот процесс и файл есть. Логи отправлялись в тот момент когда был виден паразитный баннер. Сейчас он не встречается, осталось дождаться вечера, обычно он проявляется вечером.
Добавлено через 2 часа 46 минут
Ну вот, опять вечером появился этот баннер. Файла Nvacddsvvehr.sys на компьютере не обнаружил, равно как и других (новых за сегодняшний день) с расширениями sys, exe, dll. Еще раз проверил компьютер AVZ и Cureit со свежими базами, все чисто подозрений нет. На другом компьютере аналогично, все проверил и все чисто. А файл Nvacddsvvehr.sys может был связан с деинсталированной Webaltой? Осталось искать в нашем доме других пользователей ТроицкТелекома и проситься к ним в гости - посмотреть, есть ли у них этот баннер?
Последний раз редактировалось Sergey 777; 10.11.2008 в 18:12.
Причина: Добавлено
Что делать? Баннер-паразит опять везде выскакивает
Если знать, что от этого всего вреда нет, то и хрен с ним. Но всегда беспокоит, когда не знаешь, что ждать дальше. Еще раз снял все логи, может не все потеряно и можно найти причину. Только терзает меня смутное подозрение, что заражен прокси провайдера.
Файл скрипта 1.js находится в архиве baidugooglesina.zip с копией странички на которой этот праааативный баннер. Архив в моем первом посте. Спасибо за участие!
Добавлено через 2 минуты
Извиняюсь, не по правилам прислал, сейчас исправлюсь.
Последний раз редактировалось Sergey 777; 10.11.2008 в 22:00.
Причина: Добавлено
Передаю отдельно файл скрипта и сохранённую страничку.
Добавлено через 9 минут
Еще раз прошу пардон, отправил через спец. форму.
Добавлено через 9 часов 45 минут
Пробовал ESET SysInspector, так он показывает уровень опасности 8 для DNS 82.138.29.11, для всего остального (файлов, процессов, драйверов) не более 5. Сегодня поменял все DNS на новые - рекомендованные провайдером: 212.41.32.66 и 212.41.47.228. Еще одна интересная особенность, этот баннер появляется не на всех сайтах, на сайтах где нет баннерообменных сетей он не появляется. Возможно на DNS происходила подмена IP баннерообменника.
Добавлено через 2 часа 41 минуту
Не помогло, баннер появляется и утром. Вот хрень противная!
Добавлено через 6 минут
Опять подозрение на баннерообменники. К примеру, на сайте http://adalin.mospsy.ru/ баннер не появлялся ни разу, а на сайте http://mk.ru/ появляется постоянно.
Добавлено через 5 минут
На вашем сайте этот баннер не появлялся ни разу.
Последний раз редактировалось Sergey 777; 11.11.2008 в 10:59.
Причина: Добавлено
Уважаемый(ая) Sergey 777, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: