Вылезает вредоносный сайт
 

Здравствуйте, уважаемые эксперты! С праздниками! Мой вопрос, наверное, банален. Но самостоятельно решить не удаётся, как не пытался.
При входе в интернет то и дело вылезает в трэе вредоносный сайт «Filost». Ad-Aware (постоянно обновляю) и Dr.Web не помогают. В реестре ничего похожего на врагов не нахожу. Есть программы поиска активных процессов Starter и Procexp. Но, то ли я с ними не разобрался, то ли что-то не вижу. Сможете ли помочь? Что мне делать?

попробуйте провериться из-под чистой системы. Например из-под диска спасения KAV. Что значит вылезает? Как именно?

Lover
А в "Безопасном Режиме" пробовал?
и что говорит Procexp?

При входе через IE или просто подключении к сети (dial-ul, ADSL ...)?

«Вылезает» - появляется свёрнутым в трэе и загружается. От этого, очевидно, замедляется загрузка открытых страниц. Появляется при входе через IE. Пробывал лечиться в безопасном режиме. Дополнительно удалил несколько подозрительных куков. Результата нет.
Procexp в момент появления вредоносного сайта:
Process PID CPU Description Company Name
System Idle Process 0 95.05
Interrupts n/a 1.98 Hardware Interrupts
DPCs n/a Deferred Procedure Calls
System 8
smss.exe 164 Windows NT Session Manager Microsoft Corporation
csrss.exe 188 Client Server Runtime Process Microsoft Corporation
winlogon.exe 184 Программа входа в систему Windows NT Корпорация Майкрософт
services.exe 236 Приложение служб и контроллеров Корпорация Майкрософт
svchost.exe 440 Generic Host Process for Win32 Services Microsoft Corporation
spoolsv.exe 472 Spooler SubSystem App Microsoft Corporation
svchost.exe 508 Generic Host Process for Win32 Services Microsoft Corporation
regsvc.exe 556 Remote Registry Service Microsoft Corporation
MSTask.exe 572 Планировщик заданий Корпорация Майкрософт
SpiderNT.exe 588 SpIDer Guard for Windows NT Doctor Web, Ltd.
WinMgmt.exe 628 Инструментарий управления Windows Корпорация Майкрософт
lsass.exe 248 Модуль и библиотека сервера LSA (экспортная версия) Корпорация Майкрософт
Explorer.EXE 772 Windows Explorer Microsoft Corporation
SpiderNT.exe 944 SpIDer Guard for Windows NT Doctor Web, Ltd.
spiderml.exe 976 DrWeb (R) SpIDer Mail(R) for Windows Workstation Doctor Web Ltd.
E_S4I0R2.EXE 984 EPSON Status Monitor 3 SEIKO EPSON CORPORATION
internat.exe 1012 Индикатор языка клавиатуры Корпорация Майкрософт
SonyTray.exe 1060
procexp.exe 828 0.99 Sysinternals Process Explorer Sysinternals
iexplore.exe 848 1.98 Internet Explorer Корпорация Майкрософт (Microsoft Corp.)

Поскольку появление связанно с запуском IE и в списке процессов нет ничего интересного, предлагаю следующее: в IE Tools -> Internet options -> Settings -> View Objects просмотрите какие объекты ассоциированы с IE, потом Tools -> Internet options -> Programs -> Manage Add-ons и изучи внимательно список

Lover
Меня смутил процес internat.exe, довольно редко он присутствует в системе, зато вот, что можно про него найти в сети:

riissk дело говорит - проверь надстройки IE, лишнее отключи.

Если вдруг и это не поможет, то операционная система у тебя какая? XP?
Если ДА, то скорее всего это как сказал MadMaks - процесс "internat.exe" - лишний, так как у меня при наличии значка раскладки клавиатуры в системном трее такого процесса в пямяти не наблюдается! Попробуй его отключить и заодно посмотри, что ещё загружается вместе с системой (через стандартную утилиту "msconfig").

P.S. Рекомендую также безопасности ради остановить следующие службы - "Удаленный реестр" (regsvc.exe 556 Remote Registry Service Microsoft Corporation) и планировщик задач (MSTask.exe 572 Планировщик заданий Корпорация Майкрософт).

А знаете, "момент" не всегда можно гарантированно зафиксировать Procexp-ом. :)
2-3 года назад у меня так же появлялось. И с запуском ИЭ. Но одновременно с этим на секунду-другую включался Regsvr32, и отключался. :) Это выяснилось путём простого пойска вновь создаваемых+изменяемых файлов. Раз такие имелись и в Prefetch-e, обратил внимание на него, очистил полностью и стал наблюдать. Так выяснилось, что виновник - исполнитель, как выяснилось во второй серии - носит фамилию Дээлэлкин. :)
Не помню, где он сидел. Какую-то *dll засёк. Удалил. При очередном запуске браузера вредного сайта не появилось, но появилась сочувственная надпись в окошке, что "они" не нашли соответствующий модуль и сейчас же "возместят мою утрату, кинув на помощь новое ПО". Оно видимо появилось, ибо всё началось снова. Это - после 2-х бессонных ночей.
В общем, в конце концов вредитель, эдакий серый кардинал, был пойман в папке Temporary Internet Files, это было *exe, там было ещё несколько svchost-ов и svshost-ов на заначку, и пара *dll. Все они не были видны ни Виндоус Эксплорер-ом, ни антивирусом, но были видны в ACDSee и XnView.
(Даже XP, не говоря о 98-м, не вычищает кеш браузера полностью; наверное, следуя установкам типа "expired" когда-то. И потом, бывало, находил в нём, "очищенном", разные подозрительные **exe, zip, rar)
Ни какого-либо профилированного софта, кроме работающего само собой Нортона, и ни каких-то навыков тогда не было...
Есть же "хитрые" автозапуски? Лучше всех их ловит Autoruns от Sysinternals, и A-Squared Hijacj Free от Emsisoft, и HijackThis.
Ещё - новая программа от авторов Spybot S&D - Runalizer. Много чего показывает.
Ещё просканировать хорошим анти-трояном. AVZ, AVG Anty-Spyware, A-squared Free... Есть же ещё (только те, которые ориентированы только на куки, не пригодятся. :) Убирайте такую халтуру наравне с вредителями. :) ).

Lover Это надо смотреть здесь
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]

Попросту во всех ветках ...\Software\Microsoft\Internet Explorer\...
или дай поиском по реестру Filost или адрес этого сайта. Как найдёшь - удаляй.
F3 - продолжить поиск.

У меня Win2000. Всё вышерекомендованное сделал. internat.exe в C:\Windows\System32. Никаких сдвигов!
У меня такая же лабуда один к одному!!!
Да-а-а. Всё, видно, не так просто. Судя по всему, придётся последовать указаниям Erekle и скачать какую-нибудь хитрую программу.
yurfed, нет ничего подобного в реестре!

Авось...
(кстати, у вас "то и дело" или "с запуском IE"?)

yurfed, да, не сообразил...
Но файла у меня нет, это цитата... Но на этот сайт лезёт именно этот.

Lover, у вас при запуске IE вылезает второе окно IE? Ежели так, то это на 95 % - этот dll.

Касается этого файла (если он есть):
Не касается этого файла (если его нет), - простейшие меры:
- Скачать Process Monitor - только если у вас Windows 2000 SP4! - включить его, сразу же запустить IE и ждать, пока появится вредный сайт. После этого сразу отключить наблюдение в ProcMon-е, найти там первое появление IE, а далее просмотреть, кто куда обращался как по приложениям, так и в реестре.
- Просмотреть содержимое Temporary Internet Files каким-нибудь браузером картинок :) в режиме "детали" (если стоят другие файл-менеджеры, можно и ими; разумеется, с показом скрытых файлов). Все exe, rar, zip, cab, com файлы, которых мы не скачивали, - вредность.
- В Procexp-е поискать среди dll-ов по параметру "компания".
- В папке Windows (в XP; не знаю, как в 2000) есть папка Prefetch. Очистить его, потом запустить IE и наблюдать, какие файлы будут создаваться. Если появится regsvr32, то виновник - dll. Если появится exe (или ex) файл со странным названием, то это скорее будет exe.
- На системном диске есть System Volume Information (кажется, и в 2000). Сначала отключить System Restore, включить опять (или - создать новую точку Восстановления системы), зайти в указанную папку > скрытую подпапку > в последнюю по времени создания папку с названием RP*** (если Восстановление Системы отключили, то это будет одна папка), в ней папки snapshot не касаться (это бэкап реестра), запустить IE и наблюдать. Получится не сразу, но у меня копии всех троянов (и exe и dll), пропущенных Нортоном, в конечном счёте оказывались и там. Я по их параметрам (размер...) находил их оригиналов в основном месте жительства.

Lover Пройдись Hijack this и лог в студию плз.

http://www.z-oleg.com/secur/virlist/vir1100.php почитай.

Ура! Ура! Ура!
vbsys2.dll
Так точно! Оказалась эта нечисть в наличии! Подождал три дня бить в фанфары. Теперь всё чисто! Удалил vbsys2.dll в безопасном режиме. Так запросто удаляться не собиралась (используется Windows). Огромное спасибо Erekle ! Спасибо Всем за участие!
ТЕМА ЗАКРЫТА