Странные логи AVZ через неделю после лечения :(

Похоже опять проблема с компьютером, вылеченным здесь: [URL]http://virusinfo.info/showthread.php?p=110690[/URL]
После лечения на следующий день поставил Kaspersky Internet Security 6.0 просканировал все, удалил несколько уже неактивных троянов и думал проблемы кончились.
Смущало только такие вещи:
периодические сообщения вида - Intrusion.Win.MSSQL.worm.Helkern! IP-адрес атакующего: 61.134.53.62. Протокол/сервис: UDP на локальный порт 1434. Время: 20.05.2007 13:09:09
сообщения вида - 26.05.2007 19:32:03 Попытка процесса с PID 668 получения доступа к процессу Kaspersky Internet Security с PID 1956 была заблокирована. Это результат срабатывания механизма самозащиты. Под PID 668 работал explorer.exe

На днях набрел на некую страницу содеражщую вирус - Kaspersky его перехватил, во всяком случае написал об этом
26.05.2007 11:43:52 Вредоносный HTTP-объект <Здесь была зараженная ссылка>: обнаружено: вирус 'Virus.Win32.Delf.bn'.

Сегодня решил запустить avz для контроля и его логи мне показались очень странными - либо это Kaspersky добавил свои драйвера, либо опять вирус пришел. :(

PS: На 99% не важно, но за эти дни запускал три программы, на которые ругался Kaspersky, но я его заставлял игнорировать - filemon.exe (скачен с sysinternals.com), regmon.exe (скачен с sysinternals.com) и IDA, которая сто лет стоит на компе. (22.05.2007 23:35:03 Процесс F:\Program Files\IDA\idag.exe, обнаружено: потенциально опасное ПО 'Invader' (модификация).
)

PPS Восстановление сейчас пока не отключал, но, если надо будет, то сразу отключу.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ecsepm.cpl','');
QuarantineFile('C:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\pexpress\hphped06.exe','');
QuarantineFile('c:\windows\system32\hphmon06.exe','');
RebootWindows(false);
end.[/CODE]Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Скорее всего чистые, но лучше проверить. Радуйтесь, что у Вас установлен KIS и что он во время распознал угрозу.

[quote=e_aleks;112273] filemon.exe (скачен с sysinternals.com), regmon.exe (скачен с sysinternals.com) и IDA, которая сто лет стоит на компе. (22.05.2007 23:35:03 Процесс F:\Program Files\IDA\idag.exe, обнаружено: потенциально опасное ПО 'Invader' (модификация).
[/quote]
KIS должен "ругаться" на эти программы: filemon.exe и regmon.exe извлекают из себя драйвера и инсталлируют их, а IDA содержит в своем составе отладчик, который внедряется в другие процессы.

Пока чисто ;) Добавились перехваты каспера , это нормально. хелкерн - для вас не опасен , к тому же каспер его отражает (просто иногда раздражает , понимаю ;) )насчёт попытки эксплорера получить доступ к кис- странно , такого не должно быть.Но возможно это был кто-то другой ;0 Сложно сказать ;)
Чтобы уменьшить шанс заражения советую :
1) работать за компьютером из под ограниченного пользователя.
2)Пользоваться для хождения по интернету другим браузером с отключёнными скриптами по умолчанию (Firefox и Opera это позволяют делать в отличии от ИЕ 7 )
[B]Сделайте следующее:[/B] [url]http://virusinfo.info/showthread.php?t=3519[/url]

, чтобы в следующий раз вас не просили присылать те же самые файлы ( они должны стать зелёными в логе ;)

Карантин я выложил.

[quote]Пока чисто ;) Добавились перехваты каспера , это нормально.[/quote]
А вот меня они более всего и смутили - я их принял за руткит.

Вот, что еще меня сильно смущает - несколько минут назад Каспер нашел у меня на диске

удалено: троянская программа Trojan-PSW.Win32.LdPinch.ady Файл: C:\Documents and Settings\Aleksey\~tmp0374.exe ALEKSEY\Aleks localhost

Это притом, что я проверял все диски Каспером и все вылечил (удалил). Откуда же тогда этот LdPinch взялся снова?

Есть у меня подозрение, что на зраженном сайте могло еще что-то сидеть, что Каспер не увидел. На всякий случай дам на него ссылку - осторожно вирус!!!
26.05.2007 11:43:52 Вредоносный HTTP-объект [B][COLOR="Red"][Link][/COLOR][/B]
: обнаружено: вирус 'Virus.Win32.Delf.bn'.

[quote]Чтобы уменьшить шанс заражения советую :
1) работать за компьютером из под ограниченного пользователя.
2)Пользоваться для хождения по интернету другим браузером с отключёнными скриптами по умолчанию (Firefox и Opera это позволяют делать в отличии от ИЕ 7 )
[/quote]
Спасибо за советы, на иной браузер я уже осбирался переходить - на Opera.

[QUOTE][B]Сделайте следующее:[/B] [URL]http://virusinfo.info/showthread.php?t=3519[/URL][/QUOTE]
Так я же это уже делал - неделю назад, могу еще раз выложить, если нужно.

[QUOTE]Есть у меня подозрение, что на зраженном сайте могло еще что-то сидеть, что Каспер не увидел. На всякий случай дам на него ссылку - осторожно вирус!!![/QUOTE]Принято к сведению ;) Ссылку убрал, чтобы ни кто не заразился.
[QUOTE]Спасибо за советы, на иной браузер я уже осбирался переходить - на Opera.[/QUOTE]У этого брауера есть свои проблемы, причем очень серьезные.
[QUOTE]Так я же это уже делал - неделю назад, могу еще раз выложить, если нужно.[/QUOTE]Повторите ещё раз :)

[quote]Так я же это уже делал - неделю назад, могу еще раз выложить, если нужно. Повторите ещё раз :)[/quote]

Уже сделал. :)

Сделал сейчас полную проверку всего Касперским. (несколько часов делалась) Из файлов не нашлось ничего зараженного. В почте удалил десяток зараженных писем еще 2004 года, но они все равно не запускались ни разу.
Всем спаcибо за помощь. :)

@e_aleks Все-таки, от лукавого ;), смените пароли. Может, тот Пинч, найденный Касперским уже успел сработать.

[QUOTE]@e_aleks Все-таки, от лукавого ;), смените пароли. Может, тот Пинч, найденный Касперским уже успел сработать.[/QUOTE]

Уже сменил. Скоро у меня фантазия иссякнет на новые пароли. :)

[QUOTE]Есть у меня подозрение, что на зраженном сайте могло еще что-то сидеть, что Каспер не увидел. На всякий случай дам на него ссылку - осторожно вирус!!! Принято к сведению ;) Ссылку убрал, чтобы ни кто не заразился.
[/QUOTE]

А известен ли сейчас вердикт по этому сайту, что же там за "зверь" все-таки обитал.

[QUOTE]Спасибо за советы, на иной браузер я уже осбирался переходить - на Opera. У этого брауера есть свои проблемы, причем очень серьезные. [/QUOTE]

А нельзя ли поподробнее?

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]