ВасильИваныч
29-01-2013, 04:22
http://forum.oszone.net/thread-252195.html- темку нагуглил. Таже проблема. В ветку ответить не могу= пришлось создать новую.
Чтобы не парить мозги: что делал: стандарт- проверка хостс, надстроек и потрохов браузеров, автозапуска, програм файлз, процесов, очистка мусорных папок в тч кэша явы и флешплеера. Сканы: AVZ, CureIT и еще штук 5 разных= все чисто. Пробовал переустановить эксплорер, отключал яву и флешплеер=дохло. Единственное что зацепил- это в логах джека такую же строчку с сервером, но с другим айпишником с 37. начинается.. дюсельдорф..тот лог к сожалению удалил. В общем выглядит так же как в той теме /HKLM\System\CCS\Services\Tcpip\..\{*************}: NameServer айпишник/. Удалил ключ с айпишником сервера=дохло. Много еще чего попробовал.. например поиски левых dll типа ??lib, ну и там свои методы... злачные места.. коннекты..Ничерта не нашел.
Шняга подгружается случайным образом поверх окна сайта чаще всего справа в виде вертикальной колонки. Сверху кнопка-текст "закрыть". Срабатывает и в этом окне больше не появляется. Ничего не блокирует не вымогает. Предлагает порнуху и рекламу гламурного мусора. Проверил что будет если щелкнуть на нее. Просит номер мобилы для высылки пароля доступа. На набор цифр реагирует- "неправильный номер", на вбитый наобум номер, похожий на номер мобильника -реагирует "введите высланный вам пароль". Дальше не полез..Так как сделал это в порнухе а не в рекламе- с этого момента начала подсовывать исключительно порнуху. Разнообразием не отличается. Подсовывает каждый раз одно и тоже с небольшими вариантами. Картинки фото и анимация. Видимо отлавливает айпишник. Потому как несколько раз выдавала подписи под картинками с названием города ктр определяется по айпишнику..причем там есть нюанс с айпишником.. и эта штука сделала ту же ошибку.. Делаю вывод- вероятно это троян. Есть подозрение на старую версию торрент клиента(естественно он не в автозапуске..). Потому как зацепил долбаную вебалту и в ней эта штука оторвалась по полной уже с переадресацией и незакрываемым окном. Буду проверять. У какого какие соображения где искать?
Вешаю лог джека(чтобы не парились-WebAlta- удален но не все почистил). . Все остальное (да и этот лог тоже) вешать бесполезно. Если кого берут сомнения могу этот лог или свежий а также кучу всяких других с "угроз 0 подозрений 0" повесить в скрине с окном порнухи. У меня таких скринов достаточно- не вешаю по этическим соображениям.
Чтобы не парить мозги: что делал: стандарт- проверка хостс, надстроек и потрохов браузеров, автозапуска, програм файлз, процесов, очистка мусорных папок в тч кэша явы и флешплеера. Сканы: AVZ, CureIT и еще штук 5 разных= все чисто. Пробовал переустановить эксплорер, отключал яву и флешплеер=дохло. Единственное что зацепил- это в логах джека такую же строчку с сервером, но с другим айпишником с 37. начинается.. дюсельдорф..тот лог к сожалению удалил. В общем выглядит так же как в той теме /HKLM\System\CCS\Services\Tcpip\..\{*************}: NameServer айпишник/. Удалил ключ с айпишником сервера=дохло. Много еще чего попробовал.. например поиски левых dll типа ??lib, ну и там свои методы... злачные места.. коннекты..Ничерта не нашел.
Шняга подгружается случайным образом поверх окна сайта чаще всего справа в виде вертикальной колонки. Сверху кнопка-текст "закрыть". Срабатывает и в этом окне больше не появляется. Ничего не блокирует не вымогает. Предлагает порнуху и рекламу гламурного мусора. Проверил что будет если щелкнуть на нее. Просит номер мобилы для высылки пароля доступа. На набор цифр реагирует- "неправильный номер", на вбитый наобум номер, похожий на номер мобильника -реагирует "введите высланный вам пароль". Дальше не полез..Так как сделал это в порнухе а не в рекламе- с этого момента начала подсовывать исключительно порнуху. Разнообразием не отличается. Подсовывает каждый раз одно и тоже с небольшими вариантами. Картинки фото и анимация. Видимо отлавливает айпишник. Потому как несколько раз выдавала подписи под картинками с названием города ктр определяется по айпишнику..причем там есть нюанс с айпишником.. и эта штука сделала ту же ошибку.. Делаю вывод- вероятно это троян. Есть подозрение на старую версию торрент клиента(естественно он не в автозапуске..). Потому как зацепил долбаную вебалту и в ней эта штука оторвалась по полной уже с переадресацией и незакрываемым окном. Буду проверять. У какого какие соображения где искать?
Вешаю лог джека(чтобы не парились-WebAlta- удален но не все почистил). . Все остальное (да и этот лог тоже) вешать бесполезно. Если кого берут сомнения могу этот лог или свежий а также кучу всяких других с "угроз 0 подозрений 0" повесить в скрине с окном порнухи. У меня таких скринов достаточно- не вешаю по этическим соображениям.