Гадский банер
 

С моими хорошими знакомыми случилась оч неприятная история. Как обычно бывает лазили по сайту, какому не известно ну и словили банер.
После самостоятельных тыканий позвали меня.
По сути конечно банером это назвать нельзя.
Это довольно умно написанная программа всплывшая поверх всех окон и недающая себя закрыть.

Первым делом я попытался вызвать диспетчер задач и посмотреть список процессов.
Ха! Да не тут то было! Эта тварь сразу же его закрывает (ну где-то около пол секунды и диспетчер пропадает).
Вызывал на Ctrl+Alt+Del и на Ctrl+Shift+Esc.
Результат один. Закрыват диспетчер.
Решил проверить автозагрузку.
Тут тоже чудеса: ни в "HKEY_LM\Run" ни в "HKEY_CU\Run" ничего лишнего нету (я даже в RunOnce смотрел. тоже ничего).
Грешным делом я даже проверил "autoexec.bat" и "confif.sys" - тоже чисто.
Возникает резонный вопрос "А как это оно так?"
Насколько я понимаю, в ОС WinXP для того чтобы что-то грузилось оно должно быть либо в "HKEY_LM\Run" либо в "HKEY_CU\Run".
Или я что-то не знаю или эта тварь умудрилась дописать какой-то стандартный виндовский файл, чтобы тот при своей загрузке загружал и её?

Интерессная особенность.
Так называемый банер появляется не сразу а через 3 минуты.

Чистить Темпы пробовал.
Я даже попробовал восстановить винду с виндовского диска (был SP2 стал SP3), но тваря (банер) осталась и после этого.


Кто что может подсказать?
И финальный вопрос: "Как это так получается, что с WEB страницы втихаря от пользователя скачивается исполняемый файл, да ещё и запускается???"
Неужели всё это может делаться посредствам JavaScript?

http://virusinfo.info/deblocker/ попробуй

По чаще обновлять систему + антивирус с абдейтами, прaвильно настроенный и все будет гуд.

(Dm), это всё понятно.
Ты мне лучше объясни посредствам чего с веб страницы качается и запускается файл?
Это JavaScript такое может или что?

по средствам наличия уязвимостей в ПО. используется сплоит который загружает и запускает файл. как-то так =)

посмотри autorunom Руссиновича! он усе показует! мож найдешь баннер

Ты думаешь - это "autorun.inf"?
Вот об этом я как раз не подумал.
Ладно. Пасибо. Попробую.

да. посредствам JavaScript.
и если браузер Файрфокс, при каждом открытии странички,
будет срабатывать нежеланный JavaScript.

Опера и ИЕ - скорее всего, поведут себя также.

добавлено:
в тонкости не вникал, новый баг

Каждый день появляются 0day сплойты и тем более их всех умудряются связать и сделать на все версий браузеров (связка сплойтов) и еще есть сплойты по бажным ПО (есть сплойт даже на notepad++, winamp, Real Player ActiveX )
Насчет баннера то у тя скрытый проццес с прогой Remote Process Explorer и почисти комп с CureIt на АВ

Баг походу правда новый и оч лютый.
Тока представь, что можно сделать...

А вот итересно.
А из флеша такие чудеса возможны?