Хитрый троян Turkojan.

У меня Windows Home SP2.Критические обновления установленны с Windows Update. Установленны:AVP v5.0.385(базы обновляю каждый день),Outpost Pro 3.51.748 ,Ad-Aware SE Pro 1.0.6.r1(сканирую обновлёнными базами регулярно).Я думал что у меня нет вредоносных программ.Установил Acronis Pryvasi Expert Suite 8.0(748) и просканировал систему.Акронис нашел два Трояна:
1.Turkojan: HKEY_LM\Software\Microsoft\Windows NT\CurentVersion\Winlogon|Shell->(explorer.exe)
2.Kagee: HKEY_LM\Software\Classes\exefile\shell\open\command|defolt->( "%1"%* )
После сканирования Акронис обрабатывает эти Трояны,но после повторного сканирования Акронис снова находит их.В реестре поиском я нашел Turkojan в программе RegRun Suite Gold 4.1(она отслеживает любые изменения реестра и предлогает:принять изменения или произвести откат к прежним значениям) -> RegRun2\SearchHistory|Turkojan.Удалил SearchHistory .На сайте SecuritiLab нашел что Turkojan состоит из четырех файлов:1.ldapi32.exe 2.ntcvx32.dll 3.vssms32.exe 4. ntswrl32.dll .Поиском в реестре я нашел 1,2,3 файлы и удалил их,а 4-й не обнаружился.Просканировав снова Акронисом,то он снова нашел Turkojan и Kagee.С Kagee я незнаю что делать.Пробовал удалять параметр "%1"% но он после перезапуска восстанавливался.Явных проявлений этих Троянов я не замечаю (система не тормозит,всплывающих окн нет).Я пользуюсь Opera8.54.Иногда бывает на IE6 подмена стартовой,восстановлю и всё, даи IE6 использую только при Windows Update.Единственное что волнует так это семь штук svchost.exe и при подключении к интернету некоторым надо срочно что то принять или передать.Пробовал заблокировать Outpost-ом но потом вообще нельзя выйти в интернет.Я думал это Акронис чтото глючит и установил утилиту Anti..worm 1.009.0152. Эта утилита нашла одну вредоносную сигнатуру с ключем реестра точно такимже как у Turkojan.Просто хотелось бы знать закрытая у меня система или дырявая для этих троянов.

Логи не те ... AVZ, меню "файл", там исследование системы. Нажать "Пуск" - получится html файл с результатами исследования. Его в архив и сюда

Создал в AVZ html фаил,сделал перезапуск,вылетел синий экран,снова перезагрузился, и Outpost создал отчет об ошибке Error Signature.

Ничего вредоносного не видно. За то видно Нортон, с какими-то остатками от КАВ, с анрийспайварем от МС и еще куча прог по безопасности... Я думаю на этом компьютере троянов быть не может. Антивирусы и так все ресурсы занимают :)

Я вот тоже думаю, что показывает Акронис?

[quote=beks]Я вот тоже думаю, что показывает Акронис?[/quote]
паранойя это все

По Kagee.
Я сейчас удалил параметр "%1"%* .Акронис сразу сообщил "Spyware Prosiak has detected" пытается удалить "%1"%* .Даю команду Акронису-"разрешить" .После этого при попытке активации любого ярлыка на рабочем столе сообщается "Приложение,выполняющее эту операцию указанному файлу несоответствует", т.е. нельзя ничего запустить. Потом RegRun сообщает что удалён в реестре(конкретно где) параметр "%1"%* и предлогает оставить или вернуться назад к прежнему значению этот параметр.Я делаю возврат.Теперь опять все ярлыки запускают свои программы.

Вобщем т.к. у меня нет больших познаний в компе я хотел убедиться есть ли у меня трояны Turkojan и Kagee. На сайте SecurityLab сказано что пока нет программ способных удалить Turkojan.

Еще вопрос. Частенько процесс C:\Program Files\Symantek\Livupdate\Lucomserver_2_5.exe запрашивает исходящее сообщение через svchost.exe на update.symantec.com (TCP 21).Я разрешаю этот запрос, Нортону я доверяю.

На данный момент я ничего не вижу. Но гарантии никто не даст. Вообще, я бы посоветовал поставить Винду заново, и не из за троянов, а из за огромного количества ненужных программ по безопасности.
Советую поставить один антивирус из КАВ/НОД/ДрВеб/ВБА и одну стенку, или поставить КИС6 который это совмещает. На этом успокоиться и жить счастливо.
Длай пущего счастья можно почитать:
[url]http://virusinfo.info/showthread.php?t=4277[/url]
[url]http://virusinfo.info/showthread.php?t=2852[/url]
[url]http://virusinfo.info/showthread.php?t=4222[/url]

Всех благодарю за советы.

[QUOTE=beks]Акронис нашел два Трояна:
1.Turkojan: HKEY_LM\Software\Microsoft\Windows NT\CurentVersion\Winlogon|Shell->(explorer.exe)
2.Kagee: HKEY_LM\Software\Classes\exefile\shell\open\command|defolt->( "%1"%* )[/QUOTE]
Акронис, что называется, "жжот". Это не трояны, а ключи реестра. Ладно были бы троянские - так и сами ключи нормальные, и значения в них правильные.

Я вобщем и сам вижу что это ключи реестра.Я подумал что троян сделал подмену в этих ключах реестра,а Акронис указал на это место.
Всетки я решил переустановит свою систему и мучиюсь с выбором антивирусом.У Kaspersky Internet Sicurite 6.0.0.300 помойму встроен Ант-Хакер .Не будет ли KIS 6.0.0.300 конфликтовать с Outpost-ом?

[QUOTE=beks]У Kaspersky Internet Sicurite 6.0.0.300 помойму встроен Ант-Хакер .Не будет ли KIS 6.0.0.300 конфликтовать с Outpost-ом?[/QUOTE]
Будет. Кроме того Аутпост даст КАХ 100 очков форы. Купите лучше только КАВ 6. Только скачайте для начала триальную версию и 30 дней погоняйте её. Советую также посетить [URL="http://forum.kaspersky.com/index.php?act=idx"]КАВ-форум[/URL].

[QUOTE=beks]Я вобщем и сам вижу что это ключи реестра.Я подумал что троян сделал подмену в этих ключах реестра,а Акронис указал на это место.
Всетки я решил переустановит свою систему и мучиюсь с выбором антивирусом.У Kaspersky Internet Sicurite 6.0.0.300 помойму встроен Ант-Хакер .Не будет ли KIS 6.0.0.300 конфликтовать с Outpost-ом?[/QUOTE]
Будет. Потому нужно ставить или КАВ6+Аутпост, или КИС6. Рекомендую последнее.

[QUOTE=Rene-gad]Будет. Кроме того Аутпост даст КАХ 100 очков форы. [/QUOTE]
АХ встроенный в КИС ничем OP не уступает.

[QUOTE=Geser]АХ встроенный в КИС ничем OP не уступает.[/QUOTE]
Может и так, я сам не пробовал, а только читал: [url]http://forum.kaspersky.com/lofiversion/index.php/t11835.htm[/url]