» Система рекламы Begun.ru взламывает системные файлы!Берегись

Заметил я странную вешь за своим браузером , если ввести неправильный URL то он в добавок к странице DNSError стал показывать страницу рекламной системы Begun.ru
Искал я на своем компьютеры следы рекламщиков, нет их и все
Стоит у меня XP Corp edition перепробовал все программы поиска троянов и рекламы (Ad-aware) , перерыл весь реестр , нет ссылок нигде на вражеский сайт ....

Стал искать образ сраницы DNSError на компьютере не нашел, пошел в интернет и получил информацию что данная страница хранится в файле shdoclc.dll
Дальнейший поиск вывел на http://www.winforums.org/viewthread.php?tid=3155, ага оказывается html страницу в данном файле можно изменить !

Проверил с помощью утилиты sfc целостность системных файлов и опа ! а файлик то подправленный !!!! Восстановление родного файлика shdoclc.dll решило проблему ..

Что самое интересное никаких программ Begun.ru я на свой компьютер не устанавливал, видимо ворвались через бреши в Браузере ;-(

Этих т.в.а.р ... товарищей .... из Begun.ru я бы


Пишу может кому поможет ..

Manevrik
а скрины есть, а то только слова. Вроде контора солидная

Tima

Цитата:

а скрины есть, а то только слова. Вроде контора солидная

Бегун здесь ни при чём, на их месте могли быть баннеры или счётчики любой службы.

Manevrik

Цитата:

Заметил я странную вешь за своим браузером , если ввести неправильный URL то он в добавок к странице DNSError стал показывать страницу рекламной системы Begun.ru

браузер твой называется Интырнет-Ыксплорер
ОС-- скорее всего win95/98/Me

Какая-то добрая программа (может сомнительная версия KaZ‘ы Lite, может сомнительная кряка, может просто скрипт на сомнительном сайте поюзал дырки MSIE) заменила тебе файл shdoclc.dll (там содержится код почти всех страниц ошибки, каких именно-- можешь посмотреть в этой ветке:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs
).
Короче перекапывай архивы дистрибутива твоей винды и заменяй из них shdoclc.dll на нормальный.
Ещё лучше напиши в support begun'a, что какая-то скотина использует их сервис в корыстных целях и кинь код, который начал у тебя выводиться в странице ошибки-- может аннулируют аккаунт умнику, сделавшему такое чудо (надеюсь, они с накрутками борятся).

Svarga
Спасибо за совет !


Цитата:

Ещё лучше напиши в support begun'a, что какая-то скотина использует их сервис в корыстных целях и кинь код, который начал у тебя выводиться в странице ошибки-- может аннулируют аккаунт умнику, сделавшему такое чудо

Выслал на их Support письмо с описанием проблемы, и HTML кодом ,
посмотрим ответят ли , сомневаюсь что-бы они заглушили одного из партнеров только по письму одного пользователя

Вот кстати и код, желающие могут сохранить как HTML страницу, и увидеть то что приходилось созерцать на протяжении недели

Код:
<script src=http://vfl.ru/js></script>
<html>

<head>
<style>
a:link{font:8pt/11pt verdana; color:red}
a:visited{font:8pt/11pt verdana; color:#4e4e4e}
</style>
<meta HTTP-EQUIV="Content-Type" Content="text-html; charset=Windows-1252">
<title>Cannot find server</title>
</head>

<SCRIPT>

function doNetDetect() {
saOC.NETDetectNextNavigate();
document.execCommand('refresh');
}

function initPage()
{
document.body.insertAdjacentHTML("afterBegin","<object id=saOC CLASSID='clsid:B45FF030-4447-11D2-85DE-00C04FA35C89' HEIGHT=0 width=0></object>");
}

</SCRIPT>

<body bgcolor="white" onload="initPage()">

<table width="400" cellpadding="3" cellspacing="5">
<tr>
<td id="tableProps" valign="top" align="left"><img id="pagerrorImg" SRC="pagerror.gif"
width="25" height="33"></td>
<td id="tableProps2" align="left" valign="middle" width="360"><h1 id="textSection1"
style="COLOR: black; FONT: 13pt/15pt verdana"><span id="errorText">The page cannot be displayed</span></h1>
</td>
</tr>
<tr>
<td id="tablePropsWidth" width="400" colspan="2"><font
style="COLOR: black; FONT: 8pt/11pt verdana">The page you are looking for is currently
unavailable. The Web site might be experiencing technical difficulties, or you may need to
adjust your browser settings.</font></td>
</tr>
<tr>
<td id="tablePropsWidth" width="400" colspan="2"><font id="LID1"
style="COLOR: black; FONT: 8pt/11pt verdana"><hr color="#C0C0C0" noshade>
<p id="LID2">Please try the following:</p><ul>
<li id="instructionsText1">Click the
<a xhref="javascript:location.reload()" target="_self">
<img border=0 src="refresh.gif" width="13" height="16"
alt="refresh.gif (82 bytes)" align="middle"></a> <a xhref="javascript:location.reload()" target="_self">Refresh</a> button, or try again later.<br>
</li>

<li id="instructionsText2">If you typed the page address in the Address bar, make sure that
it is spelled correctly.<br>
</li>
<li id="instructionsText3">To check your connection settings, click the <b>Tools</b> menu, and then click
<b>Internet Options</b>. On the <b>Connections</b> tab, click <b>Settings</b>.
The settings should match those provided by your local area network (LAN) administrator or Internet service provider (ISP). </li>
<li ID="list4">If your Network Administrator has enabled it, Microsoft Windows
can examine your network and automatically discover network connection settings.<BR>
If you would like Windows to try and discover them,
<br>click <a href="javascript:doNetDetect()" title="Detect Settings"><img border=0 src="search.gif" width="16" height="16" alt="Detect Settings" align="center"> Detect Network Settings</a>
</li>
<li id="instructionsText5">
Some sites require 128-bit connection security. Click the <b>Help</b> menu and then click <b> About Internet Explorer </b> to determine what strength security you have installed.
</li>
<li id="instructionsText4">
If you are trying to reach a secure site, make sure your Security settings can support it. Click the <B>Tools</b> menu, and then click <b>Internet Options</b>. On the Advanced tab, scroll to the Security section and check settings for SSL 2.0, SSL 3.0, TLS 1.0, PCT 1.0.
</li>
<li id="list3">Click the <a href="javascript:history.back(1)"><img valign=bottom border=0 src="back.gif"> Back</a> button to try another link. </li>


</ul>
<p><br>
</p>
<h2 id="IEText" style="font:8pt/11pt verdana; color:black">Cannot find server or DNS Error<BR> Internet Explorer

</h2>
</font></td>
</tr>
</table>
</body>
</html>

Цитата:

сомневаюсь что-бы они заглушили одного из партнеров только по письму одного пользователя

это называется накрутка и все системы (обычно) с этим борятся

Хитрее тут всё сделано , блин

Цитата:

<object id=saOC CLASSID='clsid:B45FF030-4447-11D2-85DE-00C04FA35C89' HEIGHT=0 width=0></object>

это им не даст ничего
нужно искать, какой код соответствует clsid:B45FF030-4447-11D2-85DE-00C04FA35C89

Добавлено

Цитата:

желающие могут сохранить как HTML страницу, и увидеть то что приходилось созерцать на протяжении недели

ничего они не смогут созерцать, т.к. clsid:B45FF030-4447-11D2-85DE-00C04FA35C89 у них отсутствует.
Поищи или в реестре "B45FF030-4447-11D2-85DE-00C04FA35C89", или файл/папку с таким названием-- должен в конце концов выйти на конечный код...
Также можешь просто по begun.ru внутрифайловый поиск устроить-- может и попадётся.



Добавлено
хотя нет, есть такое
Цитата:

B45FF030-4447-11D2-85DE-00C04FA35C89

в системе, это-- SearchAssistantOC
(HKEY_CLASSES_ROOT\SearchAssistantOC.SearchAssistantOC)

о... вот он полезный файлик:

Цитата:

<script src=http://vfl.ru/js></script>

Цитата:

//http404
to=setInterval(checkBody, 250);
banner='<a href="http://ad.adriver.ru/cgi-bin/click.cgi?sid=4805?bt=1?pz=0?rnd=1918938098" target=_blank><img src="http://ad.adriver.ru/cgi-bin/rle.cgi?sid=4805?bt=1?pz=0?rnd=1918938098" alt="-AdRiver-" border=0 width=468 height=60></a>';
banner2='<iframe src=http://vfl.ru/banner2.html width=468 height=60></iframe>';
banner3='<iframe width=100% height=100% border=0 src=http://vfl.ru/begun/code.htm></iframe>';
function checkBody(){
if(document.body) {
clearInterval(to);
//document.body.style.display='none';
if(location.href.indexOf('vfl.ru') < 0)
showCandy();
//document.body.onload='document.body.style.display="block"';
}
}
function showCandy(){
var tbl;
for(i in document.body.all)
if(document.body.all[i].tagName == 'TABLE' && document.body.all[i].width == 400)
tbl=document.body.all[i];
if(!tbl)
return;
tbl.align='left';
tbl.width='30%';
tbl.border=0;
tbl.cellpadding=0;
tbl.cellspacing=0;
document.body.leftmargin=0;
document.bgcolor='yellow';
document.body.topmargin=0;
//document.body.insertAdjacentHTML('afterBegin', '<span style="border: solid blue 1px; width: 468px; height:60px; overflow:hidden;">'+banner+banner2+'</span>');
document.body.insertAdjacentHTML('beforeEnd', '<table align=right border=0 width=468 height=1200><tr height=60><td>'+ '<span style="border: solid blue 1px; width: 468px; height:60px; overflow:hidden;">'+banner+banner2+'</span>' +'<tr><td>' + banner3 + '</table>');
}

вот полезная инфа в нём:
httр://ad.adriver.ru/cgi-bin/click.cgi?sid=4805

Добавлено
А вот whois-данные по нехорошим людям:

Цитата:

Checking server [whois.ripn.net]
Results:
% By submitting a query to RIPN's Whois Service
% you agree to abide by the following terms of use:
% http://www.ripn.net/nic/whois/about_whois.html (in Russian)
% http://www.ripn.net/nic/whois/en/about_whois.html (in English).

domain: VFL.RU
type: CORPORATE
descr: vfl - Virtual Flower for You
admin-o: BUDENNEY-RIPN
nserver: ns.sema.ru.
nserver: ns2.sema.ru.
created: 2001.02.14
state: Delegated till 2004.02.15
changed: 2001.04.11
mnt-by: SEMA-MNT-RIPN
source: RIPN

person: SEMEN V BUDENNEY
nic-hdl: BUDENNEY-RIPN
address: 2/62 Sadovo-Kudrinskya str.1
address: 121069, Moscow, Russia
phone: +7 095 2021234
fax-no: +7 095 2021210
e-mail: sema@sema.ru
changed: 2001.05.10
mnt-by: SEMA-MNT-RIPN
source: RIPN

Last updated on 2003.07.16 10:55:11 MSK/MSD

(по крайней мере, на этом сайте живёт чудный файлик с кодом для твоих баннеров)

Добавлено
Торможу, сразу не посмотрел в код...

Собственно, в коде три варианта баннера:

Цитата:

http://ad.adriver.ru/cgi-bin/click.cgi?sid=4805

Цитата:

http://vfl.ru/banner2.html

Код: <iframe src=http://195.161.114.145/cgi/counter.cgi?id=25></iframe>

Svarga
Manevrik

Цитата:

сообщить именно в adriver.ru, hotlog.ru и begun.ru

Надо дать ссылку на этот топик.

Письмо из support begun.ru

Цитата:

Добрый день!

Реклама Бегуна могла появиться на Вашем компьютере только по одной причине. При установке программы "ТУРБО-ИНТЕРНЕТ" www.optimizator.ru или руссификатора ICQ, что на сервере www.icqfoto.ru по умолчанию стоит галочка, подтверждающая, что Вы соглашаетесь на ошибочных страницах (404 ошибка) просматривать рекламу. В данный момент это реклама нашей компании. По вопросам удаления рекламы с компьютера, Вам необходимо обратиться к разработчикам этих программ info@sema.ru

Короче , сам виноват Сколько раз твердили родители читай документацию к программам В верном я форуме топик открыл "Психология"

А мы тут уже всех вычислили

Manevrik

Цитата:

При установке программы "ТУРБО-ИНТЕРНЕТ" www.optimizator.ru или руссификатора ICQ, что на сервере www.icqfoto.ru по умолчанию стоит галочка, подтверждающая, что Вы соглашаетесь на ошибочных страницах (404 ошибка) просматривать рекламу.

ничего подобного т.к. тут реклама не только бегуна...
у меня с год назад такая фигня была... по-моему после установки КазыЛайт, скачанной неизвестно откуда (баннеры обычно adriver'овские были).

PS. всё-таки если begun такое одобряет — то даже не знаю, как их назвать после этого можно.