Доброго времени суток. Возникла проблема странного типа причину которой не получается найти. Какой-то зловред в системе добавляет на сайт vk.com рекламу в top. Причем работает он не во всех браузерах. Во время появления работал NOD32 с актуальными базами. после поставил касперского и сделал полную проверку компьютера. Файл host - пуст. пинг на ping vk.com [87.240.143.245] Фаерфокс, опера и эксплорер подвержены влиянию вируса, а вот хром устойчив к нему. привожу скриншеты. После переустановки фаерфокса - первый запуск проходит нормально, банер не отображается. последующие запуски - банер появляется вновь. Зловред добавляет iframe в коде ВК под <div HTML: <div id="wrap1"> <div id="content"><div id="content_adv" style="text-align: center;"><div style=" text-align:center;"><iframe src="%D0%94%D0%BE%D0%B1%D1%80%D0%BE%20%D0%BF%D0%BE%D0%B6%D0%B0%D0%BB%D0%BE%D0%B2%D0%B0%D1%82%D1%8C_files/a.htm" vspace="0" hspace="0" marginwidth="0" marginheight="0" frameborder="0" height="60" scrolling="no" width="468"></iframe></div></div><div id="index"> <iframe class="upload_frame" src="%D0%94%D0%BE%D0%B1%D1%80%D0%BE%20%D0%BF%D0%BE%D0%B6%D0%B0%D0%BB%D0%BE%D0%B2%D0%B0%D1%82%D1%8C_files/a_002.htm"></iframe> Список процессов. Code: Имя образа PID Имя сессии № сеанса Память ========================= ====== ================ ======== ============ System Idle Process 0 Console 0 28 КБ System 4 Console 0 268 КБ smss.exe 928 Console 0 432 КБ csrss.exe 976 Console 0 4*480 КБ winlogon.exe 1000 Console 0 4*060 КБ services.exe 1044 Console 0 3*360 КБ lsass.exe 1056 Console 0 7*648 КБ svchost.exe 1232 Console 0 4*988 КБ svchost.exe 1280 Console 0 4*764 КБ svchost.exe 1404 Console 0 23*420 КБ svchost.exe 1512 Console 0 4*540 КБ svchost.exe 1556 Console 0 4*284 КБ svchost.exe 1808 Console 0 3*820 КБ avp.exe 1876 Console 0 198*536 КБ svchost.exe 1908 Console 0 3*308 КБ btwdins.exe 1928 Console 0 3*196 КБ E_S40ST7.EXE 2000 Console 0 2*100 КБ E_S40RP7.EXE 2020 Console 0 1*516 КБ MDM.EXE 204 Console 0 3*452 КБ nvsvc32.exe 228 Console 0 4*068 КБ RaRegistry.exe 420 Console 0 3*276 КБ svchost.exe 808 Console 0 4*276 КБ alg.exe 2120 Console 0 3*840 КБ wmiprvse.exe 2128 Console 0 5*288 КБ explorer.exe 472 Console 0 33*404 КБ rundll32.exe 1952 Console 0 3*284 КБ HDeck.exe 636 Console 0 13*348 КБ rundll32.exe 1744 Console 0 2*972 КБ avp.exe 3080 Console 0 2*924 КБ ctfmon.exe 3096 Console 0 3*632 КБ wcescomm.exe 1164 Console 0 4*976 КБ rapimgr.exe 3168 Console 0 5*300 КБ BTTray.exe 3176 Console 0 6*052 КБ RaUI.exe 3448 Console 0 7*292 КБ BTStackServer.exe 2476 Console 0 7*948 КБ spoolsv.exe 1752 Console 0 8*980 КБ cmd.exe 4056 Console 0 1*644 КБ firefox.exe 3220 Console 0 63*640 КБ tasklist.exe 1240 Console 0 3*360 КБ wmiprvse.exe 3376 Console 0 5*764 КБ Автозагрузка:
тут как локальный прокс возможен, так и расширение самое простое решение - в хостс заблочь ип. надеюсь с расшифровкой урла не возникнет проблем?)
Как может быть поднят локальный прокси? Он бы в любом случае отображался как процесс. 87.240.143.245 - верный айпишник и принадлежит контакту. Переключал настройки браузера "работа без прокси" результата нет.
Скачай HijackThis отсюда http://sourceforge.net/projects/hjt/ запусти - просмотри лог, не разберёшься - на файлообменник - сюда ссылку.
Code: Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 14:14:46, on 26.06.2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40ST7.EXE C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Ralink\Common\RaRegistry.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Microsoft ActiveSync\Wcescomm.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Program Files\Ralink\Common\RaUI.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Total Commander XP\TOTALCMD.EXE c:\avz4\avz.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFBR.EXE C:\Program Files\AIMP2\AIMP2.exe C:\Program Files\Opera\opera.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\cmd.exe C:\Program Files\Mozilla Firefox\plugin-container.exe C:\Program Files\Opera\pluginwrapper\opera_plugin_wrapper.exe c:\avz4\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/cnt/9514 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки R3 - Default URLSearchHook is missing O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1 O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Лев\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe" O4 - HKCU\..\Run: [\\192.168.3.3\EPSON TX117_119 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFBR.EXE /FU "C:\DOCUME~1\A91C~1\LOCALS~1\Temp\E_SFB.tmp" /EF "HKCU" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\Ralink\Common\RaUI.exe O8 - Extra context menu item: &Отправить на устройство Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Добавить в избранное мобильного устройства... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: &Виртуальная клавиатура - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Проверка ссы&лок - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\plspnt.dll O10 - Unknown file in Winsock LSP: c:\windows\plspnt.dll O10 - Unknown file in Winsock LSP: c:\windows\plspnt.dll O10 - Unknown file in Winsock LSP: c:\windows\plspnt.dll O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = gudkov.local O17 - HKLM\Software\..\Telephony: DomainName = gudkov.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = gudkov.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = gudkov.local O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: EPSON V5 Service4(01) (EPSON_EB_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40ST7.EXE O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Служба Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Unknown owner - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Ralink Registry Writer (RalinkRegistryWriter) - Ralink Technology, Corp. - C:\Program Files\Ralink\Common\RaRegistry.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe -- End of file - 10101 bytes
Капитан очевидность набивающий посты, еще пару таких постов и баня тебе обеспечена. По существу - исследование dll ни к чему не привели. Кто что еще подскажет?
баня? да ну пиздец у вас фантазии мало. есть гораздо более интересные способы. А банковские инжекты для вас вообще, наверное, чудо интернетов
за банковский инжект ты сядешь а за невинный рекламный инжект с чистым контекстом используя криптованные заливы можно получать пару килобаксов
Слушай товарисч.. я смотрю ты шибко умный? Нечего сказать по делу - катись нахрен из темы. Форум создан для того чтобы показать свои знания а не отсутствие оных. Знаешь массу способов заработать - нехрен штаны просиживать, иди делом займись, а не понты тут колоти. Дублировал тему на virusinfo - после предоставления данных пока результатов нет. Обратился в техсупорт VK, может они встречались с таким и есть готовые решения. Толковых идей по поводу того КАК это работает найти не удалось.
да потому что у долбоебов вроде тебя вечно руки из жопы. я тебе уже сказал по делу - в hosts домен перепиши на локалхост и ничего у тебя вылезать не будет. а потом уже будешь разбираться почему и как, пока не схавал винлока и иже с ними. в процессах всякое гавно. поубивай все кроме системных и смотри результаты. реестр почисть. кривожопые юзеры
