Comments 35
Сталкивался с DealPly, сначала даже на провайдера грешили, думали подобно мегафону вмешивается в траффик пользователя и рекламу встраивает. Оказалось DealPly, причем в систему влез серьезно, простое удаление не помогало. Ни касперский ни Dr.Web cure It тоже не помогли, хотя по идее можно и к мошенническим и вирусным программам приписать.
Без слез не взглянешь на компьютеры знакомых/родственников, которые напичканы этими «полезными» штуками.
Не успеваешь почистить, как через неделю опять жалуются…
Боль.
Не успеваешь почистить, как через неделю опять жалуются…
Боль.
Мой выбор расширения для Хромиума/Хрома:
HTTP Switchboard
И все прекрасно, без всей этой дряни и рекламы :)
Прост в подстройке под свои нужды.
Советую попробовать и подумать над заменой AdBlock'а этим расширением.
HTTP Switchboard
И все прекрасно, без всей этой дряни и рекламы :)
Прост в подстройке под свои нужды.
Советую попробовать и подумать над заменой AdBlock'а этим расширением.
Только сегодня боролся с подобной заразой. Все браузеры в системе при старте открывают левую страницу со всяким шлаком и вообще не известно, что еще делают в бэкграунде. Что удивительно, ни Касперский, ни Доктор Веб не смогли вылечить уже зараженную систему (ничего не находят)… это при том, что машина заражена уже пару месяцев, конкретный сэмпл уже давно должен был попасть в их вирлабы. Времени на ручное копание не было, пришлось пока забить.
Вообще, хотелось бы чтоб Я.браузер проактивно детектил такие подозрительные редиеркты и сообщал пользователю, что что-то странное происходит и надо бы провериться.
Вообще, хотелось бы чтоб Я.браузер проактивно детектил такие подозрительные редиеркты и сообщал пользователю, что что-то странное происходит и надо бы провериться.
Был случай когда как таковой малвари уже не было в системе, но после нее остались интересные последствия. Во все ярлыки всех браузеров была добавлена опция командной строки для открытия левой стартовой страницы. Причем при ее загрузке делался редирект на разные фишинговые страницы, похожие по виду на популярные поисковики, почтовики и соцсети. Видимо так палили пароли наивных пользователей. Решилось все ручной правкой ярлыков. Написал потому что возможно это ваш случай.
Неделю назад видел гораздо круче из этой же оперы. Больной роутер — выглядело как массовое одновременное заражение на десятке компьютеров, при этом ни один антивирус ничего не видит, а банеры лезут.
Присылайте, пожалуйста, примеры таких обёрток и/или ссылки на сайты, которые их распространяют, на virus-samples@yandex-team.ru — мы будем использовать их, чтобы учиться лучше находить страницы с таким ПО и предупреждать о нём.
А что предполагается делать с опубликованными хешами-то?
Как бороться с этой заразой? В Хроме нету никаких расширений, чтобы отключить.
Кажется хабр тоже в этом списке
набрал в гугле «BetterSurf скачать» — везде только пишут «как удалить». Ни одной ссылки скачать. Как будто такой программы и нет вовсе…
Набрал AddLyrics — таже история.
Что я делаю не так?
Набрал AddLyrics — таже история.
Что я делаю не так?
Ура! Кажется победил. Скрывалась adware под именем Net SafetyExtension
Скрин успешного удаления
В качестве временной меры можно добавить в ваших скриптах:
Если посмотреть на код, то несложно увидеть что такая строчка полностью сломает работу обертки.
Наверняка аналогичные контр-меры можно придумать и для других оберток, которые в открытую вставляют скрипты в код страницы. (А не как это делают в Greasemonkey и аналогах.)
window.__aimon = 1;Если посмотреть на код, то несложно увидеть что такая строчка полностью сломает работу обертки.
Наверняка аналогичные контр-меры можно придумать и для других оберток, которые в открытую вставляют скрипты в код страницы. (А не как это делают в Greasemonkey и аналогах.)
Сталкивался с MediaViewer на компьютере друга. Win7.
Попробую восстановить рецепт удаления по памяти:
Удаление через «Программы и компоненты» не помогло.
Отключение соответствующего плагина в браузере помогло до первой перезагрузки.
Вместе с MediaViewer возрождался ещё один плагин, название которого было как-то связано с бананами =) Критерии поиска расширись.
Выяснилось, что в автозагрузку эта гадость не прописывалась, а стартовала через «Планировщик заданий». Удаление соответствующих заданий помогло.
Для верности был осуществлён поиск на диске, где фигурировала эта прога и банановый друг.
Больше MediaViewer друга не беспокоил.
Попробую восстановить рецепт удаления по памяти:
Удаление через «Программы и компоненты» не помогло.
Отключение соответствующего плагина в браузере помогло до первой перезагрузки.
Вместе с MediaViewer возрождался ещё один плагин, название которого было как-то связано с бананами =) Критерии поиска расширись.
Выяснилось, что в автозагрузку эта гадость не прописывалась, а стартовала через «Планировщик заданий». Удаление соответствующих заданий помогло.
Для верности был осуществлён поиск на диске, где фигурировала эта прога и банановый друг.
Больше MediaViewer друга не беспокоил.
я бы еще вот на эту рекламу пожаловался
во всю высоту страницы
во всю высоту страницы
Одно не могу понять: что заставляет программистов (умных, образованных людей) тратить свой талант на создание подобного вредоносного ПО? Неужели они не могут найти честного способа заработка?
> реклама, которая отображалась у пострадавших от adware пользователей, не проходит модерации в
> крупных баннерных сетях,
Вы не правы в терминах: это не «реклама», это левое содержимое, подставленное в код страницы. Может быть рекламным баннером одной из сетей (даже и Директом, просто Яндекс, наверняка, денег за такую «рекламу» не заплатит, если заметит), а может — и что-то попроще, что закажут им открутить. С тем же успехом там могло бы быть что-то небаннерного размера и формата, а, скажем, div, закрывающий страницу сайта на 90%, и требующий нажатия на ссылку для закрытия div-а. Естественно, модерацию эта не-реклама не проходит, с чего бы ей?
Справедливости ради, скажу, что порой в «крупных» (как мерять?) российских баннерных сетях тако-о-ое содержимое встретишь, будто и там модерации особо нет.
> может содержать шокирующие изображения и заведомо ложную
> информацию, вести на вредоносные и мошеннические сайты.
«Шокирующие» — это слово утратило свой смысл после начала использования его в рекламе, в т.ч. и нечистоплотными креативщиками (читаешь на баннере «Пугачева сделала шокирующее заявление», а на странице «Алла сказала, что любит кефир»), так что в этом тексте оно выглядит не иначе как заготовка заявления в прокуратуру ). Повторюсь, в сайт можно встроить что угодно, но это не особая циничность создателей adware (им-то пофиг что вставить, главное, чтобы прибыль была), а свойство интернета, веба и html/css. Положа руку на сердце: если адвардщикам завтра Яндекс заплатит, чтобы на каждый сайт была автоматом добавлена «Метрика» (что даст Яндексу некислое преимущество в слежке за «целевой аудиторией»), уверен, что адвардщики ни разу не скажу «нет, мы злыдни, мы только нелегальный, шокирующий и вирусный контент будем вставлять» )).
> Показ такой рекламы на страницах крупных, популярных интернет-ресурсов подрывает их имидж,
> раздражает пользователей, вызывая их отток, приводит к шквалу обращений в техническую поддержку.
> Подмена оригинальной рекламы ухудшает монетизацию, снижает прибыль и возможность
> дальнейшего развития порталов. В некоторых случаях, вместо рекламы в страницу вставляются блоки
> drive-by-download атак, заражающие компьютеры вирусами.
Скажите прямо: такой баннер на странице сайта первым делом подрывает доходы сайта и его имидж. На странице Яндекса окажется — Яндекс недополучит, на странице mail.lv — mail.lv недополучит. «Ничего личного» в смысле выбора цели, это понятно. Но и в статье было бы невредно писать, что «мы оказались обеспокоены снижением прибылей», а то «раздражает пользователей»…
> монетизация также ухудшается.
Предыдущий мой абзац одной строчкой :)
> крупных баннерных сетях,
Вы не правы в терминах: это не «реклама», это левое содержимое, подставленное в код страницы. Может быть рекламным баннером одной из сетей (даже и Директом, просто Яндекс, наверняка, денег за такую «рекламу» не заплатит, если заметит), а может — и что-то попроще, что закажут им открутить. С тем же успехом там могло бы быть что-то небаннерного размера и формата, а, скажем, div, закрывающий страницу сайта на 90%, и требующий нажатия на ссылку для закрытия div-а. Естественно, модерацию эта не-реклама не проходит, с чего бы ей?
Справедливости ради, скажу, что порой в «крупных» (как мерять?) российских баннерных сетях тако-о-ое содержимое встретишь, будто и там модерации особо нет.
> может содержать шокирующие изображения и заведомо ложную
> информацию, вести на вредоносные и мошеннические сайты.
«Шокирующие» — это слово утратило свой смысл после начала использования его в рекламе, в т.ч. и нечистоплотными креативщиками (читаешь на баннере «Пугачева сделала шокирующее заявление», а на странице «Алла сказала, что любит кефир»), так что в этом тексте оно выглядит не иначе как заготовка заявления в прокуратуру ). Повторюсь, в сайт можно встроить что угодно, но это не особая циничность создателей adware (им-то пофиг что вставить, главное, чтобы прибыль была), а свойство интернета, веба и html/css. Положа руку на сердце: если адвардщикам завтра Яндекс заплатит, чтобы на каждый сайт была автоматом добавлена «Метрика» (что даст Яндексу некислое преимущество в слежке за «целевой аудиторией»), уверен, что адвардщики ни разу не скажу «нет, мы злыдни, мы только нелегальный, шокирующий и вирусный контент будем вставлять» )).
> Показ такой рекламы на страницах крупных, популярных интернет-ресурсов подрывает их имидж,
> раздражает пользователей, вызывая их отток, приводит к шквалу обращений в техническую поддержку.
> Подмена оригинальной рекламы ухудшает монетизацию, снижает прибыль и возможность
> дальнейшего развития порталов. В некоторых случаях, вместо рекламы в страницу вставляются блоки
> drive-by-download атак, заражающие компьютеры вирусами.
Скажите прямо: такой баннер на странице сайта первым делом подрывает доходы сайта и его имидж. На странице Яндекса окажется — Яндекс недополучит, на странице mail.lv — mail.lv недополучит. «Ничего личного» в смысле выбора цели, это понятно. Но и в статье было бы невредно писать, что «мы оказались обеспокоены снижением прибылей», а то «раздражает пользователей»…
> монетизация также ухудшается.
Предыдущий мой абзац одной строчкой :)
Мой способ лечения подобного:
Через Hijackthis смотрю какое ПО запускается при старте, с помощью него же удаляются ссылки на запуск, что-то удается сразу прибить, а что-то довольно хитрое и восстанавливается само автоматически. Чтобы с такими штуками побороться, нужно записать их пути просто txt, а затем загрузиться с любого LiveCD и удалить.
Я, кстати, использую LiveCD от Касперского — записываю на флешку, гружусь, делаю скан, что-то удаляется само, что-то удаляю я сам. DrWeb Cureit иногда тоже выручает. Уже после удаления через LiveCD и загрузки ОС, снова через Hijackthis подчищаю пути для автозапуска.
Нынче всякое AdWare грузится не только из привычных мест, а еще и себя в планировщик записывает, так что там тоже нужно почистить. Чаще всего AdWare устанавливается самим пользователем, поэтому может записываться как и в AppData, так и в ProgramFiles и в ProgramData. То есть не обязательно в windows\system32, оно прикидывается шлангом и мимикрирует под приличное ПО.
Само-собой не забываем смотреть в файл hosts, а так же проверять настройки соединения на предмет левого proxy.
Через Hijackthis смотрю какое ПО запускается при старте, с помощью него же удаляются ссылки на запуск, что-то удается сразу прибить, а что-то довольно хитрое и восстанавливается само автоматически. Чтобы с такими штуками побороться, нужно записать их пути просто txt, а затем загрузиться с любого LiveCD и удалить.
Я, кстати, использую LiveCD от Касперского — записываю на флешку, гружусь, делаю скан, что-то удаляется само, что-то удаляю я сам. DrWeb Cureit иногда тоже выручает. Уже после удаления через LiveCD и загрузки ОС, снова через Hijackthis подчищаю пути для автозапуска.
Нынче всякое AdWare грузится не только из привычных мест, а еще и себя в планировщик записывает, так что там тоже нужно почистить. Чаще всего AdWare устанавливается самим пользователем, поэтому может записываться как и в AppData, так и в ProgramFiles и в ProgramData. То есть не обязательно в windows\system32, оно прикидывается шлангом и мимикрирует под приличное ПО.
Само-собой не забываем смотреть в файл hosts, а так же проверять настройки соединения на предмет левого proxy.
Недавно с машины пользователя вычистил что-то подобное. Только там похоже была немного другая схема — расширение к браузерам мониторило переходы по ссылкам и к каждому переходу создавало второе окно с переходом на рекламируемый сайт + на любом веб-сайте (даже наши внутренние ресурсы) был показан баннер, правда закрывающийся. Касперский вычистил екзешник, а вот расширение надо было вручную удалять.
> Мы проанализировали состояние систем обратившихся пользователей и увидели, что у них всех на компьютере было установлено рекламное программное обеспечение класса Adware
А вот в этом месте, пожалуйста, поподробнее
А вот в этом месте, пожалуйста, поподробнее
Google, Yandex, Dropbox, Skype, Adobe и этот список можно продолжать ставят свои апдейтеры (службы) в систему. Так что резидентный модуль есть у каждого пользователя и наверняка список установленного ПО получить не проблема, а при желании, наверняка можно что нибудь и более интересное. Впрочем всегда так, тут просто вопрос в доверии к компаниям, особенно к антивирусным ибо те вообще свои корневые сертификаты ставят для проверки веб трафика и, разумеется, лезут очень глубоко.
Ну а ещё более простой способ найти каку: загруженные dll любое приложение и так видит и найти там «malware.dll» не проблема. А уж про список установленных расширений я вообще молчу ибо и так понятно что браузер о них всё знает.
P.S. вообще «мопед не мой», но раз с 2014 года не ответили, то высказываю наиболее вероятные решения, ну а так способов получить инфу с машины ещё больше. А уж если просить пользователей специально запускать что нибудь диагностическое, например, AVZ, то вообще своих установленных приложений не надо и можно разобраться что с машиной творится.
P.P.S. с долей шутки: от вашего вопроса первая серия «Южного парка» вспомнилась, «Картман и анальный зонд» :)
Ну а ещё более простой способ найти каку: загруженные dll любое приложение и так видит и найти там «malware.dll» не проблема. А уж про список установленных расширений я вообще молчу ибо и так понятно что браузер о них всё знает.
P.S. вообще «мопед не мой», но раз с 2014 года не ответили, то высказываю наиболее вероятные решения, ну а так способов получить инфу с машины ещё больше. А уж если просить пользователей специально запускать что нибудь диагностическое, например, AVZ, то вообще своих установленных приложений не надо и можно разобраться что с машиной творится.
P.P.S. с долей шутки: от вашего вопроса первая серия «Южного парка» вспомнилась, «Картман и анальный зонд» :)
Sign up to leave a comment.
Яндекс и безопасность. Как мы изучали и обезвреживали обёртки (агрессивные adware)