Всем доброго времени суток !
Не так давно Касперский 3.5 начал находить сабжевый троян. Вот инфа по нему с viruslist.com:
JS.Trojan.Seeker

Эта скрипт-программа на языке JavaScript скрытно изменяет домашнюю страницу и страницу поиска броузера не запрашивая подтверждения пользователя.

Скрипт, используя брешь в защите MS Internet Explorer 5.0 (Typelib security vulnerability), создает в каталоге автозагрузки Windows HTA-файл, который при следующем старте Windows изменяет ключи системного реестра, в которых записаны адреса домашней и поисковой страниц браузера. При этом старые значения этих ключей сохраняются в файлах BACKUP1.REG и BACKUP2.REG в каталоге Windows. После того как HTA-файл отработал, он удаляет сам себя.

Дело в том, что Касперский при обнаружении его не лечит, а удаляет объект, зараженный этим трояном. И какое-то время в системе его нет. Но при подключении к интернету эта бяка появляется снова. Обнаруживает его AVPMonitor.
Знаю, что подобные темы уже были, и я их читал. С реестром и настройками IE тоже шаманил, но результатов это никаких не дало.
Может Вы что-нибудь посоветуете ? Какие заплатки надо поставить ?

Система такая:
WinXp Pro SP1 Rus
IE 6.0.2800
Opera 7.22

взял с symantec. запусти полный скан системы, проверь чтоб антивирус преверял все файлы - найденные удаляй. более подробно сдесь (http://securityresponse.symantec.com/avcenter/venc/data/js.seeker.b.html)

Vich
Я все это проделал с помощью Касперского. Причем базы обновляю через день. Там проблема ИМХО в том, что IE "дырявый". А вот какую заплатку поставить - вот это вопрос.

Chieftain
Троянчик не первой свежести...
http://www.oszone.net/software/faq/faq_4.shtml#6

Vadikan
По поводу удаления - это понятно.
А вот по поводу заплатки  :idontnow:

Chieftain
Заплатки - вряд ли... Вроде у Ad Aware есть фича - сидит в трее и предупреждает об установке всякого подозрительного софта. Хорошая превентивная мера.

Vadikan
Когда у меня AVPMonitor находит этот троян, ни Ad Ware ни trojan remover его не видят:splat: (базы все обновлены). Приходится удалять его вместе с объектом. Троян появляется в IE. В Opera 7.22 все без проблем.

Вот что нашел.
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q313675
Только проблема в том, что я не знаю, что именно качать и где это найти на русском.:( Vadikan, у Вас, вроде, с английским все нормально, может подскажите, ЧТО мне нужно. Я скачал "Q313675" , но при установке выдается сообщение "для этого обновления требуется Internet Explorer 6.0". Сейчас у меня:
Версия IE:.xpsp2.030422-1633
Выпуски обновления IE:; SP1; Q824145

Подскажите, пожалуйста, плохому ученику, который английский язык в школе плохо учил.

Chieftain
Статья, на которую ты даешь ссылку, описывает уязвимость IE, которая, в принципе, может быть причиной проблемы. Речь там о том, что можно создать страницу, при попадании на которую, самостоятельо запускается исполняемый файл. Другое дело, что эта заплатка уже входит в состав SP1 для IE 6.0, потому ты и установить ее не можешь.

Здесь (http://www.microsoft.com/windows/ie/downloads/critical/default.asp) можно найти все апдейты для IE, но если ты регулярно используешь Windows Update, и загружаешь критические обновления, то скорее всего ничего тебе не надо. Судя по твоему апдейту Q824145 - так и есть, Ноябрь 2003, и ничего свежее на сайте M$ нет.

Теперь конкретно по сабжу. Лаборатория Касперского все сводит к тому, что надо заплатку ставить от M$. На том же viruslist.com, в описании сабжа есть ссылка на статью М$ (http://support.microsoft.com/default.aspx?scid=http://support.microsoft.com:80/support/kb/articles/Q275/6/09.ASP&NoWebContent=1), в которой описана уязвимость виртуальной машины (VM)  и говорится о дырках связанных с ActiveX. Там рекомендуется установить последнюю версию VM. Однако, уязвимость почему-то относится к IE версий 5.5 и ниже. Тем не менее, M$ более не поставляет VM из-за лицензионных проблем с SUN, и соответственно загрузить можно только VM от SUN. В то же время, M$ продолжает выпускать обновления для своей VM для пользователей Windows Update.

Отсюда варианты: поставить новую VM или лучше всего запретить исполнение ActiveX. Сделать это можно в настройках фаервола (Outpost, ZoneAlarm и т.д.) или в настройках IE (вкладка Безопасность->Дополнительно). И там и там можно либо полностью запретить, либо спрашивать разрешения у пользователя на исполнение. Не знаю уж насколько запрет активексов в IE предотвращает данную проблему :-)

Chieftain
Вот наткнулся на подробное описание того, как сменить M$ VM на SUN VM http://www.windows-help.net/WindowsXP/howto-21.html

Vadikan
Огромное спасибо за разъяснения и внимание.
:up:
Буду разбираться (и учить Инглиш) :)

Эхххх..... Фокус не удался:(
Поставил с нуля VM от Sun, запретил ActiveX в IE, и все равно ЭТО вылезает непонятно откуда:o

Chieftain
Информация с вирусного листа McAffee (http://vil.nai.com/vil/content/v_98882.htm), но это просто первое, что подвернулось под руку. Я переведу ключевые моменты.

js.seeker - обнаружен 10/26/200

Описание
Троян меняет стартовую и поисковую страницы бразуера. Windows Scripting Host должен быть установлен в системе для запуска трояна. Вариантов трояна существует много, и ваш случай может отличаться от описанного здесь. Вы можете получить троян под именем "runme.hta". Откртытие файла приводит к нескольким измениям в реестре:
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKCU\Software\Netscape\Netscape Navigator\Main\Home Page

Исходные значения реестра сохранены в файлы "HOMEREG111.REG", "BACKUP1.REG", and "BACKUP2.REG" в директории Windows.

Пользователи могут также встретить другую версию вируса, кот. Определяется как Reg/Seeker. Единственная разница в том, что Reg/Seeker живет в reg. файле, а не в Java скрипте.

Симптомы
Измененные стартровая и поисковая страница браузера
Наличие файлов "runme.hta", "removeit.hta" или "homereg111.reg"

Метод заражения
За редкими исключениями новые ключи реестра записываются в файл homereg111.reg". Существующие ключи сохраняются в файлы "backup1.reg", and "backup2.reg". Файл homereg111.reg затем импортируется в реестр. И в конце "removeit.hta" запускается в попыте стереть файл "C:\WINDOWS\START MENU\PROGRAMS\STARTUP\runme.hta"

Инструкции по удалению.
(тут рекомендуется использовать McAffee для обнаружения и удаления) +

-Удалите обнаруженные файлы
-Восстановите стартовую и поисковую страницы
-Установите заплатку для M$ VM
[hr]
Надеюсь, понятно, какие файлы искать, удалять и какие ключи реестра восстанавливать. Раз он у тебя снова появляется, значит ты его просто не до конца удалил. Если ничего не поможет... (сейчас меня закидают помидорами любители AVP ;-) попробуй другой антивирус - может он удачнее справится с проблемой.

Vadikan
А WinXP стерпит, если одновременно будет два антивируса стоять ?

Chieftain
Не знаю, не пробовал. Не думаю, что Касперский потерпит кого-то рядом с собой. Попробуй сначала вручную поудалять все и восстановить бэкапы реестра, созданные при установке этой заразы.

Всем !
Ахтунг !!! Этот троян обитает на халявном mp3 сайте ...www.rmp.ru *Там не только я его хватал. Будьте осторожны !

Vadikan
Если не трудно, проверьте этот сайт, пожалуйста :shuffle:. У Вас, скорее всего, файер какой-нибудь стоит, вот и посмотрим:)

Chieftain
Если не трудно, проверьте этот сайт, пожалуйста Сорри, только увидел просьбу ;-) Напиши мне на мыло, обсудим детали и критерии проверки.

Форумное мыло временно не работает. Можешь свое в аську скинуть мне.