Дело обстоит следующим образом:
В процессе общения посредством ICQ (какой icq-клиент - не важно, пробовал разные) собеседнику присылается сообщение, содержащее ссылку и смайлик:
Ещё стоит заметить, что ссылка эта отсылается только в самом первом (!) сообщении, отправленным мною. Далее же в процессе диалога ничего необычного, вроде бы, нет.http://www.lovepostcards.net/288100 )))))))))))))))
Подобное замечено при отсылке письма. Пользуюсь программой The Bat. Отсылаю письмо, в "Отправленных" сохраняется копия, ссылки в ней нет. Получателю же приходит письмо, и в конце добавлена та самая ссылка с тем самым смайликом.
Такой же эффект при отсылке письма через Webmail, то бишь с сайта почтового сервиса.
Я так подозреваю, что это некий "прокси-троян". Но никак не могу его вычислить. "Лечение" переустановкой винды не предлагать - задействую его только в крайнем случае.
На той самой страничке (через которую я и выхватил эту гадость, как я понимаю) находится "письмо счастье" и ActiveX компонент Windows Media Player.
Внимательно изучив все процессы, видимые в диспетчере задач, наткнулся на некий "wdfmgr.exe", который показался мне подозрительным.
Обратившись к поисковику, нашёл следующее:
и вспомнил, что на страничке с "письмом счастья" был компонент Windows Media player. Может здесь "собака зарыта"?wdfmgr.exe (Windows User Mode Driver Manager ) – процесс, являющийся частью Microsoft Windows Media Player 10 и более поздних версий. Процесс увеличивает стабильность системных драйверов Microsoft Windows.
В настоящее время зарегистрирован 1 сетевой червь W32/Agobot-TB, использующий имя wdfmgr.exe для сокрытия своего присутствия в системе. В этом случае, необходимо завершить работу подозрительного процесса и проверить систему на наличие вирусов.
Вот html-код Windows Media player'a со странички:
похоже, ничего подозрительного нет (хотя я могу ошибаться). Но тогда что?<fieldset style="width: 200px;">
<legend>
<img src="view.php_files/clef.gif" border="0" height="26" width="26">
</legend>
<br>
<object id="NSPlay" classid="CLSID:22D6F312-B0F6-11D0-94AB-0080C74C7E95" codebase="http://activex.microsoft.com/activex/controls/mplayer/en/nsmp2inf.cab#Version=5,1,52,701" standby="Loading Microsoft Windows Media Player components..." type="application/x-oleobject" height="26" width="150">
<param name="FileName" value="http://www.skypomania.ru/uploads/work/672.mp3">
<param name="ShowControls" value="1">
<param name="ShowPositionControls" value="0">
<param name="ShowAudioControls" value="1">
<param name="ShowTracker" value="0">
<param name="ShowDisplay" value="0">
<param name="ShowStatusBar" value="0">
<param name="ShowGoToBar" value="0">
<param name="ShowCaptioning" value="0">
<param name="AutoStart" value="0">
<param name="AutoSize" value="0">
<param name="PlayCount" value="1000">
<embed type="application/x-mplayer2" pluginspage="http://www.microsoft.com/windows/mediaplayer/en/default.asp" filename="http://www.skypomania.ru/uploads/work/672.mp3" src="view.php_files/672.mp3" name="NSPlay" showcontrols="1" showpositioncontrols="0" showaudiocontrols="1" showtracker="0" showdisplay="0" showstatusbar="0" showgotobar="0" showcaptioning="0" autostart="1" autosize="0" playcount="1000" height="26" width="150">
</object>
</fieldset>
Удаление процесса "wdfmgr.exe" не помогло. Также удалил его из автозапуска служб в "Администрировании компьютера". - Не помогло.
Скачал утилитку Анти Spyware (http://www.antispy.ru/download.shtml) - выявил какую-то гадость, удалил. Перезагрузил компьютер, на всякий случай, с помощью кнопки Reset. После перезагрузки никакого эффекта. Ссылка также "незаметно для меня" цепляется к каждому отправляемому сообщению по ICQ, по почте.
Пробовал также применять AVZ (версию и базы перед проверкой обновил) и AVP (также, базы обновлены) - ничего подозрительного.
В общем, прямо полтергейст какой-то. ПОМОГИТЕ!
С ув., Дмитрий.
p.s. Все проверки утилитками и антивирусами проводил как в обычном режиме, так и в безопасном.