52 ответов в этой теме

[Romanoff]

Здравствуйте.
Подозреваю у себя вирусную активность.
Установлена WinXP Pro SP3, пользуюсь антивирусом Dr.Web 5.0.

После открытия web-страницы (какой именно не помню) всё и началось:
1. Firefox на некоторое время (секунд 15) подвис.
2. Firewall отключился.
3. Появилось окно внешне напоминающее стандартный Проводник. В окне было указано, что обнаружены вирусы и предлагается скачать антивирус (деталей не помню). Закрыл это окно через TaskManager.
4. Через пару секунд появилось окно SpIDer Guard - "Файл xyz.tmp заражен!". Нажал кнопку "Удалить".
5. После этого в SystemTray на значке Dr.Web появился красный крестик. SpIDer Guard: error (см. drweb_screen.jpg).
6. SpIDer Guard не запускается.
7. Self-protection не отключается, даже в безопасном режиме.
8. Scanner не запускается. Поначалу выдавал сообщение "An unhandled win32 exception occured in drweb32w.exe [2180]" с предложением запустить VisualStudio для отладки. А потом окно Scanner'а стало просто пропадать через секунду после запуска.
9. Firefox и Explorer регулярно подвисают.

----

Скачал drweb-scan.zip. Scanner запустить не удалось: "unhandled exception"
Скачал CureIt (см. cureit_screen.jpg). Когда нажимаю кнопку Start - Scanner не запускается. Лог прилагается (cureit-fast.log).

----
Дополнительные логи:
HiJackThis. Скачался и отработал нормально. Лог прилагается (hijackthis.log).
RKU. При запуске показывает сообщение (см. rku_screen.jpg). Затем после нажатия кнопки Scan окно закрывается через 1-2 секунды. Лог создать не удалось.
RootRepeal. Ссылка недействительна. Скачать не удалось.
GMER. Скачался и запустился. После сканирования выдал сообщение "GMER has found system modification caused by ROOTKIT activity." Лог прилагается (GMER.log).

Подскажите что делать.

Прикрепленные файлы:

•  virus_report.rar   120,4К   51 Скачано раз

[Borka]

4. Через пару секунд появилось окно SpIDer Guard - "Файл xyz.tmp заражен!". Нажал кнопку "Удалить".

Если бы Вы еще сказали, ЧЕМ был заражен xyz.tmp...

[Romanoff]

4. Через пару секунд появилось окно SpIDer Guard - "Файл xyz.tmp заражен!". Нажал кнопку "Удалить".

Если бы Вы еще сказали, ЧЕМ был заражен xyz.tmp...

Пара строчек из spidernt.log:
17-07-2009 11:53:46 [CL] (PID = 0200) C:\Documents and Settings\Romanoff\Local Settings\Temp\prun.tmp - infected with Trojan.Click.25308
17-07-2009 11:53:46 [CL] (PID = 0200) C:\Documents and Settings\Romanoff\Local Settings\Temp\maccsnet.tmp - infected with Trojan.DownLoad.40200

Весь лог прилагается.

Прикрепленные файлы:

•  spidernt.rar   28,81К   39 Скачано раз

[sleb]

Еще бы хорошо ту страницу мерзкую найти в журнале Фаерфокса и отправить в вирлаб как ссылку...

[Borka]

4. Через пару секунд появилось окно SpIDer Guard - "Файл xyz.tmp заражен!". Нажал кнопку "Удалить".

Если бы Вы еще сказали, ЧЕМ был заражен xyz.tmp...

Пара строчек из spidernt.log:
17-07-2009 11:53:46 [CL] (PID = 0200) C:\Documents and Settings\Romanoff\Local Settings\Temp\prun.tmp - infected with Trojan.Click.25308
17-07-2009 11:53:46 [CL] (PID = 0200) C:\Documents and Settings\Romanoff\Local Settings\Temp\maccsnet.tmp - infected with Trojan.DownLoad.40200
Весь лог прилагается.

Смотрите в Диспетчере задач, у кого PID=0200. У Вас есть возможность загрузиться в внешнего носителя - LiveCD, BartPE, WinPE ?

[Borka]

Весь лог прилагается.

В логе нет информации про обнаруженные вирусы.

[Romanoff]

Еще бы хорошо ту страницу мерзкую найти в журнале Фаерфокса и отправить в вирлаб как ссылку...

После того сообщения я сразу всё вычистил: cache, cookie... и историю.

[Borka]

Еще бы хорошо ту страницу мерзкую найти в журнале Фаерфокса и отправить в вирлаб как ссылку...

После того сообщения я сразу всё вычистил: cache, cookie... и историю.

Выставьте полную детализацию лога спайдера, перегрузитесь и покажите только эту сессию.
Пофиксите в Хайджеке и посмотрите, не появляется ли запись снова:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

[Borka]

4. Через пару секунд появилось окно SpIDer Guard - "Файл xyz.tmp заражен!". Нажал кнопку "Удалить".

Если бы Вы еще сказали, ЧЕМ был заражен xyz.tmp...

Пара строчек из spidernt.log:
17-07-2009 11:53:46 [CL] (PID = 0200) C:\Documents and Settings\Romanoff\Local Settings\Temp\prun.tmp - infected with Trojan.Click.25308
17-07-2009 11:53:46 [CL] (PID = 0200) C:\Documents and Settings\Romanoff\Local Settings\Temp\maccsnet.tmp - infected with Trojan.DownLoad.40200
Весь лог прилагается.

Смотрите в Диспетчере задач, у кого PID=0200. У Вас есть возможность загрузиться в внешнего носителя - LiveCD, BartPE, WinPE ?

Стоп. Время 11:53:46 - комп уже нескольо раз перегружался. Смотреть бесполезно.
Вопрос с загрузкой с внешнего носителя остается.

[Romanoff]

Весь лог прилагается.

В логе нет информации про обнаруженные вирусы.

Поиск по слову "Trojan". Или это не та информация, что требуется?

На счет PID. Я с тех пор уже перегружался.
А вот сейчас заметил, что TaskManager не запускается. Но список процессов в far'е показывается.

[Romanoff]

4. Через пару секунд появилось окно SpIDer Guard - "Файл xyz.tmp заражен!". Нажал кнопку "Удалить".

Если бы Вы еще сказали, ЧЕМ был заражен xyz.tmp...

Пара строчек из spidernt.log:
17-07-2009 11:53:46 [CL] (PID = 0200) C:\Documents and Settings\Romanoff\Local Settings\Temp\prun.tmp - infected with Trojan.Click.25308
17-07-2009 11:53:46 [CL] (PID = 0200) C:\Documents and Settings\Romanoff\Local Settings\Temp\maccsnet.tmp - infected with Trojan.DownLoad.40200
Весь лог прилагается.

Смотрите в Диспетчере задач, у кого PID=0200. У Вас есть возможность загрузиться в внешнего носителя - LiveCD, BartPE, WinPE ?

Стоп. Время 11:53:46 - комп уже нескольо раз перегружался. Смотреть бесполезно.
Вопрос с загрузкой с внешнего носителя остается.

С внешнего носителя загрузиться возможности нет.
Как выставить полную детализацию лога спайдера?

[Borka]

4. Через пару секунд появилось окно SpIDer Guard - "Файл xyz.tmp заражен!". Нажал кнопку "Удалить".

Если бы Вы еще сказали, ЧЕМ был заражен xyz.tmp...

Пара строчек из spidernt.log:
17-07-2009 11:53:46 [CL] (PID = 0200) C:\Documents and Settings\Romanoff\Local Settings\Temp\prun.tmp - infected with Trojan.Click.25308
17-07-2009 11:53:46 [CL] (PID = 0200) C:\Documents and Settings\Romanoff\Local Settings\Temp\maccsnet.tmp - infected with Trojan.DownLoad.40200
Весь лог прилагается.

Смотрите в Диспетчере задач, у кого PID=0200. У Вас есть возможность загрузиться в внешнего носителя - LiveCD, BartPE, WinPE ?

Стоп. Время 11:53:46 - комп уже нескольо раз перегружался. Смотреть бесполезно.
Вопрос с загрузкой с внешнего носителя остается.

С внешнего носителя загрузиться возможности нет.

Хреново. У Вас инжект во все процессы, а ни КуреИт, ни сканер не запускаются...

Как выставить полную детализацию лога спайдера?

Правым пальцем по иконке Агента - "Спайдер Гард" - "Настройки" - "Отчет", выставить все птицы в "Деталях". Увеличить размер лога до трех-четырех метров.

[Borka]

Весь лог прилагается.

В логе нет информации про обнаруженные вирусы.

Поиск по слову "Trojan". Или это не та информация, что требуется?

Уже нашел. Вы сменили язык лога, а я не посмотрел.

[Romanoff]

Весь лог прилагается.

В логе нет информации про обнаруженные вирусы.

Поиск по слову "Trojan". Или это не та информация, что требуется?

Уже нашел. Вы сменили язык лога, а я не посмотрел.

У меня Windows английская

[Romanoff]

> F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe

Пофиксил. Перезагрузиться не удалось!

Посмотрел опять - строчка появилась заново. Даже без перезагрузки.

[Romanoff]

Имею ввиду, что кнопка "Restart" не работает.

[Borka]

> F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe
Пофиксил. Перезагрузиться не удалось!
Посмотрел опять - строчка появилась заново. Даже без перезагрузки.

Минимум два суслика:
C:\WINDOWS\system32\sdra64.exe
C:\WINDOWS\system32\geyekrbgpjibxr.dll

[Borka]

Имею ввиду, что кнопка "Restart" не работает.

А если "Пуск" -> "Выполнить" -> CMD [нажать Enter]
Набрать shutdown -r [нажать Enter]
?

[Romanoff]

Имею ввиду, что кнопка "Restart" не работает.

А если "Пуск" -> "Выполнить" -> CMD [нажать Enter]
Набрать shutdown -r [нажать Enter]
?

Появилось окно...

[Borka]

Имею ввиду, что кнопка "Restart" не работает.

А если "Пуск" -> "Выполнить" -> CMD [нажать Enter]
Набрать shutdown -r [нажать Enter]
?

Появилось окно...

Какое окно?