[Lover]

У меня Win2000. Всё вышерекомендованное сделал. internat.exe в C:\Windows\System32. Никаких сдвигов!

Цитата:

Какую-то *dll засёк. Удалил. При очередном запуске браузера вредного сайта не появилось, но появилась сочувственная надпись в окошке, что "они" не нашли соответствующий модуль и сейчас же "возместят мою утрату, кинув на помощь новое ПО". Оно видимо появилось, ибо всё началось снова.

У меня такая же лабуда один к одному!!!
Да-а-а. Всё, видно, не так просто. Судя по всему, придётся последовать указаниям Erekle и скачать какую-нибудь хитрую программу.
yurfed, нет ничего подобного в реестре!

[Erekle]

Авось...

Цитата:

Trojan-Clicker.Win32.Agent.ac Троянская программа, предназначенная для «накрутки» статистики посещаемости сайтов. Периодически (каждые 5 минут) открывет окно браузера с адресом filost.com или 540.filost.com (возможны и другие варианты). Состоит из одного файла с именем vbsys2.dll и размером около около 90КБ.

(кстати, у вас "то и дело" или "с запуском IE"?)

[yurfed]

Erekle Скинь мне этот файл на мыло (см в профиле). Только запакуй с паролем, чтобы почтовый антивирус пропустил. Интересно на потрошки поглядеть.
Впредь, ссылки на подобные порнушные сайты делай некликабельными, хотя бы. Или вообще не делай! Для этого есть куча других мест.

[Erekle]

yurfed, да, не сообразил...
Но файла у меня нет, это цитата... Но на этот сайт лезёт именно этот.

Lover, у вас при запуске IE вылезает второе окно IE? Ежели так, то это на 95 % - этот dll.

Касается этого файла (если он есть):

Цитата:

Обнаружение вручную: . Поиск библиотеки Procexp-ом с характерным именем vbsys2.dll среди библиотек, загруженных процессом Explorer.exe . Поиск в реестре CLSID: 54645654-2225-4455-44A1-9F4543D34546 . Поиск посторонних элементов автозапуска, способ запуска - при помощи ключа реестра HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ ShellServiceObjectDelayLoad

Не касается этого файла (если его нет), - простейшие меры:
- Скачать Process Monitor - только если у вас Windows 2000 SP4! - включить его, сразу же запустить IE и ждать, пока появится вредный сайт. После этого сразу отключить наблюдение в ProcMon-е, найти там первое появление IE, а далее просмотреть, кто куда обращался как по приложениям, так и в реестре.
- Просмотреть содержимое Temporary Internet Files каким-нибудь браузером картинок в режиме "детали" (если стоят другие файл-менеджеры, можно и ими; разумеется, с показом скрытых файлов). Все exe, rar, zip, cab, com файлы, которых мы не скачивали, - вредность.
- В Procexp-е поискать среди dll-ов по параметру "компания".
- В папке Windows (в XP; не знаю, как в 2000) есть папка Prefetch. Очистить его, потом запустить IE и наблюдать, какие файлы будут создаваться. Если появится regsvr32, то виновник - dll. Если появится exe (или ex) файл со странным названием, то это скорее будет exe.
- На системном диске есть System Volume Information (кажется, и в 2000). Сначала отключить System Restore, включить опять (или - создать новую точку Восстановления системы), зайти в указанную папку > скрытую подпапку > в последнюю по времени создания папку с названием RP*** (если Восстановление Системы отключили, то это будет одна папка), в ней папки snapshot не касаться (это бэкап реестра), запустить IE и наблюдать. Получится не сразу, но у меня копии всех троянов (и exe и dll), пропущенных Нортоном, в конечном счёте оказывались и там. Я по их параметрам (размер...) находил их оригиналов в основном месте жительства.

[yurfed]

Lover Пройдись Hijack this и лог в студию плз.

http://www.z-oleg.com/secur/virlist/vir1100.php почитай.

[Lover]

Ура! Ура! Ура!

Цитата:

Авось...

vbsys2.dll
Так точно! Оказалась эта нечисть в наличии! Подождал три дня бить в фанфары. Теперь всё чисто! Удалил vbsys2.dll в безопасном режиме. Так запросто удаляться не собиралась (используется Windows). Огромное спасибо Erekle ! Спасибо Всем за участие!
ТЕМА ЗАКРЫТА