[VladimirB]

попробуйте провериться из-под чистой системы. Например из-под диска спасения KAV. Что значит вылезает? Как именно?

[MadMaks]

Lover
А в "Безопасном Режиме" пробовал?
и что говорит Procexp?

[riissk]

При входе через IE или просто подключении к сети (dial-ul, ADSL ...)?

[Lover]

«Вылезает» - появляется свёрнутым в трэе и загружается. От этого, очевидно, замедляется загрузка открытых страниц. Появляется при входе через IE. Пробывал лечиться в безопасном режиме. Дополнительно удалил несколько подозрительных куков. Результата нет.
Procexp в момент появления вредоносного сайта:
Process PID CPU Description Company Name
System Idle Process 0 95.05
Interrupts n/a 1.98 Hardware Interrupts
DPCs n/a Deferred Procedure Calls
System 8
smss.exe 164 Windows NT Session Manager Microsoft Corporation
csrss.exe 188 Client Server Runtime Process Microsoft Corporation
winlogon.exe 184 Программа входа в систему Windows NT Корпорация Майкрософт
services.exe 236 Приложение служб и контроллеров Корпорация Майкрософт
svchost.exe 440 Generic Host Process for Win32 Services Microsoft Corporation
spoolsv.exe 472 Spooler SubSystem App Microsoft Corporation
svchost.exe 508 Generic Host Process for Win32 Services Microsoft Corporation
regsvc.exe 556 Remote Registry Service Microsoft Corporation
MSTask.exe 572 Планировщик заданий Корпорация Майкрософт
SpiderNT.exe 588 SpIDer Guard for Windows NT Doctor Web, Ltd.
WinMgmt.exe 628 Инструментарий управления Windows Корпорация Майкрософт
lsass.exe 248 Модуль и библиотека сервера LSA (экспортная версия) Корпорация Майкрософт
Explorer.EXE 772 Windows Explorer Microsoft Corporation
SpiderNT.exe 944 SpIDer Guard for Windows NT Doctor Web, Ltd.
spiderml.exe 976 DrWeb (R) SpIDer Mail(R) for Windows Workstation Doctor Web Ltd.
E_S4I0R2.EXE 984 EPSON Status Monitor 3 SEIKO EPSON CORPORATION
internat.exe 1012 Индикатор языка клавиатуры Корпорация Майкрософт
SonyTray.exe 1060
procexp.exe 828 0.99 Sysinternals Process Explorer Sysinternals
iexplore.exe 848 1.98 Internet Explorer Корпорация Майкрософт (Microsoft Corp.)

[riissk]

Поскольку появление связанно с запуском IE и в списке процессов нет ничего интересного, предлагаю следующее: в IE Tools -> Internet options -> Settings -> View Objects просмотрите какие объекты ассоциированы с IE, потом Tools -> Internet options -> Programs -> Manage Add-ons и изучи внимательно список

[MadMaks]

Lover
Меня смутил процес internat.exe, довольно редко он присутствует в системе, зато вот, что можно про него найти в сети:

Цитата:

Процесс Internat.exe выполняется при запуске и загружает поддержку языковых модулей, указанных пользователем. Загружаемые языковые модули указываются в следующем разделе системного реестра: [HKEY_USERS.DEFAULTKeyboard LayoutPreload] Internat.exe загружает значок "EN" в системный трей, позволяя пользователю быстро переключатся между языками. Этот значок исчезает, когда процесс останавливается, дополнительную настройку при этом можно выполнить с помощью панели управления. Языковые настройки для системы загружаются в следующем разделе реестра: HKEY_USERS\.DEFAULT\Keyboard Layout\Preload Эти языки используются системными службами, запущенными под учетной записью Local System или когда пользователь не вошел в систему (например, в диалоговом окне входа в систему). Файл Internat.exe всегда расположен в каталоге C:\Windows\System32. В случае если вы обнаружили файл с таким именем в другом каталоге, его необходимо немедленно удалить. В настоящее время известно несколько десятков вирусов, использующих имя Internat.exe для скрытия своего присутствия в системе.

[xoxmodav]

riissk дело говорит - проверь надстройки IE, лишнее отключи.

Если вдруг и это не поможет, то операционная система у тебя какая? XP?
Если ДА, то скорее всего это как сказал MadMaks - процесс "internat.exe" - лишний, так как у меня при наличии значка раскладки клавиатуры в системном трее такого процесса в пямяти не наблюдается! Попробуй его отключить и заодно посмотри, что ещё загружается вместе с системой (через стандартную утилиту "msconfig").

P.S. Рекомендую также безопасности ради остановить следующие службы - "Удаленный реестр" (regsvc.exe 556 Remote Registry Service Microsoft Corporation) и планировщик задач (MSTask.exe 572 Планировщик заданий Корпорация Майкрософт).

[Erekle]

Цитата:

Procexp в момент появления вредоносного сайта... Поскольку появление связанно с запуском IE

А знаете, "момент" не всегда можно гарантированно зафиксировать Procexp-ом.
2-3 года назад у меня так же появлялось. И с запуском ИЭ. Но одновременно с этим на секунду-другую включался Regsvr32, и отключался. Это выяснилось путём простого пойска вновь создаваемых+изменяемых файлов. Раз такие имелись и в Prefetch-e, обратил внимание на него, очистил полностью и стал наблюдать. Так выяснилось, что виновник - исполнитель, как выяснилось во второй серии - носит фамилию Дээлэлкин.
Не помню, где он сидел. Какую-то *dll засёк. Удалил. При очередном запуске браузера вредного сайта не появилось, но появилась сочувственная надпись в окошке, что "они" не нашли соответствующий модуль и сейчас же "возместят мою утрату, кинув на помощь новое ПО". Оно видимо появилось, ибо всё началось снова. Это - после 2-х бессонных ночей.
В общем, в конце концов вредитель, эдакий серый кардинал, был пойман в папке Temporary Internet Files, это было *exe, там было ещё несколько svchost-ов и svshost-ов на заначку, и пара *dll. Все они не были видны ни Виндоус Эксплорер-ом, ни антивирусом, но были видны в ACDSee и XnView.
(Даже XP, не говоря о 98-м, не вычищает кеш браузера полностью; наверное, следуя установкам типа "expired" когда-то. И потом, бывало, находил в нём, "очищенном", разные подозрительные **exe, zip, rar)
Ни какого-либо профилированного софта, кроме работающего само собой Нортона, и ни каких-то навыков тогда не было...

Цитата:

через стандартную утилиту "msconfig"

Есть же "хитрые" автозапуски? Лучше всех их ловит Autoruns от Sysinternals, и A-Squared Hijacj Free от Emsisoft, и HijackThis.
Ещё - новая программа от авторов Spybot S&D - Runalizer. Много чего показывает.
Ещё просканировать хорошим анти-трояном. AVZ, AVG Anty-Spyware, A-squared Free... Есть же ещё (только те, которые ориентированы только на куки, не пригодятся. Убирайте такую халтуру наравне с вредителями. ).

[yurfed]

Lover Это надо смотреть здесь
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]

Попросту во всех ветках ...\Software\Microsoft\Internet Explorer\...
или дай поиском по реестру Filost или адрес этого сайта. Как найдёшь - удаляй.
F3 - продолжить поиск.