Топик мой делится на три частиб истори и два вопроса.

С некоторых пор монитор Касперского обнаруживет всяких нехороших троянцев TrojanDownloader, Backdoor.Agent.ay. Селяться они в папку system Restore, откуда легко удаляются при перезагрузки компа. Однако, при подсоединении к сети и часу работы, злецы опят проползают. Решил, что нужно поставит заплатку от микрософта и полазить почитать про этих зверей.
С удивлением обнаружил, что сайт микрософта, а так же viruslist.com (кажется) - вирусная энциклопедия Касперского, даже после перезагрузки. Грузится не хотят.
Система ХР, браузер IE-6. DSL 256 кбс.

1) Что за брешь куда звери ползут?
2) Как предотвратить их проникновение в сложившейся ситуации?

Спасибо, заранее.

Хмм.
1)поставь фаервалл от мелкософта
2) поставь SpywareBlaster 3.2 очень нужная прога на компе. (Включи всю защиту)
3)Поставь программу против ^SpyWare^ и просканируй комп.

Спасибо спайбластер грузиться уже.
Файрвол, если включить ведь ID низкий будет.
Что имеется ввиду постав файр вол. Включить его что-ли в настройках протокола или имеется ввиду закачка чего-то с микросовтовского сайта, к которому у меня нет доступа в данный момент?

Настрой на порты емула и небудет у тебя ^low ID^

Хм. сделал все как было сказано, фиг с ним низким ID пока, но вирус все таки пролазит.

Они у тебя в ИЕ кеше сидят - в темп файлах... Поэтому когда ты с ИЕ ходишь - есть вероятность их поднять из кеша, поэтому ты этот кеш удали... Потом посмотри, кто у тебя стоит в автозапуске в регистре - посмотреть мона скажем anvir.com/index_ru.htm, покиляй все левые процессы либо анвиром либо таск манагером, потом поотключай все левые прилады из автозапуска (будут, наверное, в систем32 писать себя), потом уже перегружайся и добивай их Касперским...

А что, при обычномн скане харда каспом, он не увидит, что сидит в кеше ^IE^?

Они в кеше кажется шифруют себя, касп их там не видит...

Ето проблема Каспа или вообще?

Попорядку

1) Как я понял кеш это, то что лежит в Temporaty Internet Files - замочил всех + cookies

2) У указанная ссылка по поводу левых процкессов не грузится ( как и многие антивирусные сайты, хотя касп пока не сообшил об активности злодея), а из таск менеджера я не могу вычислить какой поцесс левый, это настройка виндов может кто кинет ссылку.

3) Из автозапуска удалил Gain, как это дерьмо туда попало - не знаю.

Можно еще попробовать codestuff.netfirms.com/shots.shtml - это тоже показывает кто и откуда...

siden
Есть очень удобная программа HijackThis - tgo99.free.fr/files/HijackThis.exe
С помощью неё можно просмотреть все процессы в автозагрузке, Browser Helper Objects и т.д. Если буду проблемы с расшифровкой результатов проверки этой прогпраммой, можеш выложить здесь Log, я помогу с расшифровкой.
Также неплохо бы проверить компьютер с помощью программы LSPfix - tgo99.free.fr/files/lspfix.zip на предмет нарушения Winsock.

ТОКО ОН ДОЛЬШОЙ ПОЛУЧИЛСЯ, Я НАДЕЮСЬ ЕСЛИ ЗА ПОСТЮ ТО ПО УШАМ НЕ НАДАЮТ

Logfile of HijackThis v1.98.0
Scan saved at 9:36:42 PM, on 7/16/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\System32\WScript.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpcc.exe
C:\Program Files\Common Files\CMEII\CMESys.exe
C:\Program Files\ABBYY Lingvo 8.0\Lvagent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpcc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpm.exe
C:\Program Files\ReGetDx\regetdx.exe
C:\Program Files\Common Files\GMT\GMT.exe
C:\Program Files\eMule\emule.exe
c:\progra~1\Support.com\client\bin\tgcmd.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
D:\Movies\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mymanitoba.sympatico.ca/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sony.com/vaiopeople
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.mymanitoba.sympatico.ca/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\adobe\acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [ZTgServerSwitch] c:\program files\support.com\client\lserver\server.vbs
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O4 - HKLM\..\Run: [System Update Process] wmiprvsc.exe
O4 - HKLM\..\Run: [AVPCC] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpcc.exe /wait
O4 - HKLM\..\Run: [System Config Manager] smssl.exe
O4 - HKLM\..\Run: [smrtdrv] runtime.exe
O4 - HKLM\..\Run: [Microsoft Update] vibgsxs.exe
O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Common Files\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [WinDNS] windns32.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [System Updater Process] wmiprvse.exe
O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 8.0\Lvagent.exe" /STARTUP
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [System Update Process] wmiprvsc.exe
O4 - HKLM\..\RunServices: [System Config Manager] smssl.exe
O4 - HKLM\..\RunServices: [smrtdrv] runtime.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vibgsxs.exe
O4 - HKLM\..\RunServices: [WinDNS] windns32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [System Updater Process] wmiprvse.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Do&wnload by ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Download A&ll by ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.sony.com/vaiopeople
O17 - HKLM\System\CCS\Services\Tcpip\..\{47DB7132-4C9B-4D90-B312-ABD5E29CF76B}: NameServer = 142.161.2.155 142.161.130.155

ЧЕ ЛИШНЕЕ,

siden
Этот процесс в автозагрузке соответствует вирусам SASSER.B и SASSER.C (те самые что компьютер перезагружают).

Это тоже весьма странные процессы:

Это Gator (spyware):

Это вирус GAOBOT.WX:

Опять какието странные процессы:

Это тоже нужно удалить:

У меня тоже есть пару вопросов по поводу процессов которые грузятся

Всё ли нормально ?