Установи себе троян:)

Ребята никак не угомонятся.

_http://nenaidesh.ru

Вначале это выглядело так (никаких предупреждений, при попытке скачать любую книгу скачивался файл с трояном):
[url]http://www.virustotal.com/analisis/1ffa91dd858971228b045026c53ecd5e2ab7fbc68b8d701c35ddfbba6ba63153-1245168619[/url]

Отослал файл еще паре лабораторий, теперь это выглядит так:D:D:D:

[url]http://www.virustotal.com/analisis/c633c1254603dc3005a227246f6bffd896844525682cee4828e0c35ed02b39fd-1246904962[/url]

[QUOTE]Правила Условно-бесплатного использования материалов с сайта nenaidesh.ru.

Вы выбрали условно-бесплатный способ скачивания материалов с сайта sms-referati.ru, что означает, что Вы можете получить выбранный вами файл, не производя оплату путём отправки SMS сообщения на короткий номер, указанный на странице оплаты. По условиям сервиса sms-referati.ru, пользователь желающий скачать файл, обязан установить на своём компьютере дополнительное программное обеспечение (далее «Программа») под названием «AdSubscribe» и просмотреть 1000 показов рекламных объявлений.
Цели Программы:

Установка программы является альтернативным способом оплаты материалов, полученных на сайте sms-referati.ru. Основной функцией программы является трансляция рекламных объявлений на персональном компьютере пользователя по технологии «AdSubscribe».
Способ установки:

При выборе бесплатного варианта скачивания, пользователю будет предложен самораспаковывающийся архив, содержащий в себе Программу и выбранный им файл. При распаковке данного архива программа будет установлена автоматически, а файл помещен в указанную директорию на жёстком диске.
Внешний вид и функционал программы:

В течение 1 часа после установки программы пользователь увидит первый показ рекламных объявлений. Показ рекламы представляет собой самооткрывающееся окно с коммерческими рекламными объявлениями, появляющееся по центру экрана поверх всех открытых окон. Рекламное поле состоит из:
рекламных объявлений (при клике открывается сайт рекламодателя).
кнопка «Закрыть» (при клике окно с рекламой автоматически закрывает через 1 минуту, и появляется вновь через 1 час).
кнопка «Не показывать рекламу на этом компьютере» (при клике открывается окно, где пользователю будет предложено досрочно закончить показ объявлений, оплатив при этом полную стоимость скачанных ранее материалов)

Удаление Программы:

Чтобы удалить программу пользователь должен соблюсти одно из правил сервиса:
просмотреть 1000 показов рекламных объявлений
оплатить полную стоимость скачанного файла (т.е. досрочно прекратить показ рекламных объявлений), отправив 2 платных смс* на короткий номер 1171 с текстом 7728[/QUOTE]

[size="1"][color="#666686"][B][I]Добавлено через 31 минуту[/I][/B][/color][/size]

P.S. Файл каждый раз для разных книг скачивается один и тот же.
Сейчас это файл:
2,58 МБ (2*708*026 байт)

Т.е. никаких книг внутри нет, иначе размер бы отличался

Book_5628.exe_ - Trojan-Downloader.Win32.Adload.gxt

Детектирование файла будет добавлено в следующее обновление.

Еще, если кому-то интересно [url=http://www.threatexpert.com/report.aspx?md5=e7ec42ada9d776973b774d63f9e14a49]вот[/url]

Не совсем троян, адваре агрессивное.
Хотя раз книг нет, то троян.
Хотя на сайте смс рефераты там именно реферат качается, там AdSubscribe работает как SFX-архив.
Сайт _sms-referati.ru

Да на этом сайте ненайдёш.ру всё время разные пихают каждые пару месяцев

У меня эта гадость сидит,ее можно удалить по правилам?Или нет.Что делать?

[B]ВалентинаЛ[/B], сделайте логи по правилам и создайте тему в разделе:
[url]http://virusinfo.info/forumdisplay.php?f=46[/url]

Удалить эту гадость не трудно.

Окно выскакиевает каждые пять минут и показывает рекламу на протяжении двух минут. Код инжектится из библиотеки в explorer.exe процесс, который эту же библиотеку и блочит. В папочке c:\Users\[UserName]\AppData\Roaming\CMedia незаблоченный зараженным процессом explorer.exe лежит файлик CMedia.dat. Это простой текстовый файл настроек, в самом низу которого находится счетчик оставшихся показов рекламы, меняем его на ноль и все! Дальше запускаем Uninstall.exe и удаляем программу ее же средствами.

Весьма сомнительный способ, так как в комплектах зачастую идет целый фарш из зверья. Поэтому однозначно в раздел "Помогите"!