yurfed, да, не сообразил...
Но файла у меня нет, это цитата... Но на этот сайт лезёт именно этот.
Lover, у вас при запуске IE вылезает второе окно IE? Ежели так, то это на 95 % - этот dll.
Касается этого файла (если он есть):
Цитата:
Обнаружение вручную:
. Поиск библиотеки Procexp-ом с характерным именем vbsys2.dll среди библиотек, загруженных процессом Explorer.exe
. Поиск в реестре CLSID: 54645654-2225-4455-44A1-9F4543D34546
. Поиск посторонних элементов автозапуска, способ запуска - при помощи ключа реестра HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ ShellServiceObjectDelayLoad
|
Не касается этого файла (если его нет), - простейшие меры:
- Скачать
Process Monitor - только если у вас Windows 2000 SP4! - включить его, сразу же запустить IE и ждать, пока появится вредный сайт. После этого сразу отключить наблюдение в ProcMon-е, найти там первое появление IE, а далее просмотреть, кто куда обращался как по приложениям, так и в реестре.
- Просмотреть содержимое Temporary Internet Files каким-нибудь браузером картинок
в режиме "детали" (если стоят другие файл-менеджеры, можно и ими; разумеется, с показом скрытых файлов). Все exe, rar, zip, cab, com файлы, которых мы не скачивали, - вредность.
- В Procexp-е поискать среди dll-ов по параметру "компания".
- В папке Windows (в XP; не знаю, как в 2000) есть папка Prefetch. Очистить его, потом запустить IE и наблюдать, какие файлы будут создаваться. Если появится regsvr32, то виновник - dll. Если появится exe (или ex) файл со странным названием, то это скорее будет exe.
- На системном диске есть System Volume Information (кажется, и в 2000). Сначала отключить System Restore, включить опять (или - создать новую точку Восстановления системы), зайти в указанную папку > скрытую подпапку > в последнюю по времени создания папку с названием RP*** (если Восстановление Системы отключили, то это будет одна папка), в ней папки snapshot не касаться (это бэкап реестра), запустить IE и наблюдать. Получится не сразу, но у меня копии всех троянов (и exe и dll), пропущенных Нортоном, в конечном счёте оказывались и там. Я по их параметрам (размер...) находил их оригиналов в основном месте жительства.
