Trojan.Win32.Swisyn, Paced.Win32.Krap.I

[petrovich758]

У меня был установлен МакАффи, но во время работы в комп попал вирус, который постоянно генерирует троянские программы. Эти сгенерированные программы видят и вычищают и МакАффи, который я уже удалил и установленная мной пробная 30-дневная версия 7.0.1.325 Антивируса Касперского.

То есть причина - генератор троянских программ остается не затронутым.

Хотелось бы получить рекомендации

 

Это копия отчетов из установленного антивируса

обнаружено: потенциально опасное ПО Hidden data sending Процесс: C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

обнаружено: потенциально опасное ПО Invader Процесс: C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP121\A0013699.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP121\A0013700.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP121\A0013701.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP122\A0013769.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP122\A0013770.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP122\A0013771.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP123\A0013860.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP123\A0013861.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP123\A0013862.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP125\A0013946.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP125\A0013947.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP125\A0013948.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP125\A0013972.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP125\A0013973.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP125\A0013974.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP126\A0013994.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP126\A0013995.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP126\A0013996.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP127\A0014060.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP127\A0014061.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP127\A0014062.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP128\A0014088.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP128\A0014089.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP128\A0014090.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP129\A0014129.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP129\A0014130.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP129\A0014131.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP130\A0014249.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP130\A0014250.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP130\A0014251.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP131\A0014299.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP131\A0014300.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP131\A0014301.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP132\A0014358.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP132\A0014363.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP132\A0014364.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP133\A0014389.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP133\A0014391.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP133\A0014393.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP133\A0014410.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP133\A0014411.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP133\A0014412.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP134\A0014462.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP134\A0014463.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP134\A0014464.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP134\A0014513.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP134\A0014514.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP134\A0014515.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP134\A0014520.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP134\A0014521.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\System Volume Information\_restore{05BA87B4-8CCF-4330-BA3B-5913F6C93E60}\RP134\A0014522.scr

удалено: вирус Virus.Win32.Induc.a Файл: C:\Program Files\dx10\dx10_xp.exe//data0036

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\ Games.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\ Антивирусы.scr

удалено: троянская программа Packed.Win32.Krap.l (модификация) Файл: C:\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\orufwn.exe//8BAB480875F91363.au3.tbl.decoded

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\Documents and Settings\All Users\Документы\ Книжки.scr

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\ XXX.scr

[mvs]

установленная мной пробная 30-дневная версия 7.0.1.325

данная версия устарела...скачайте последную доступную версию антивируса

 

выполните правила http://forum.kasperskyclub.ru/index.php?showtopic=1698

[EldaR-007]

Проверь комп AVZ или CureIt

[petrovich758]

данная версия устарела...скачайте последную доступную версию антивируса

 

выполните правила http://forum.kasperskyclub.ru/index.php?showtopic=1698

 

Выполнил все рекомендации данные в вашей ссылке - вирус не обнаруживается, но уверенности, что компьютер очищен нет...

Попытаюсь еще установить версию 9.0

[Денис-НН]

Выполнил все рекомендации данные в вашей ссылке - вирус не обнаруживается, но уверенности, что компьютер очищен нет...

Кем не обнаруживается вирус? Вы уже успели дать логи хелперам и они вынесли вердикт?

Создайте тему в Борьбе с вирусами и хелперы ваши логи проверят, скажут что надо делать.

[petrovich758]

Дополняю результатами анализа

http://www.getsysteminfo.com/read.php?file...b097c3899e11223

GetSystemInfo_5C7E7A6C14294A3_Ната_2009_12_18_11_09_46.zip

[vit9696]

Где логи AVZ, HijackThis?

[apq]

тему надо переносить в Уничтожение вирусов, тут логи хоть и были бы но читать их не кому

[thyrex]

petrovich758, сделайте логи по правилам

[petrovich758]

Добавляю логи сделанные по инструкции

avz_log.txt

hijackthis.log

[Roman_Five]

Добавляю логи сделанные по инструкции

 

 

логи AVZ надо было дать не в текстовом формате, а в html с разметкой xml (2 комплекта - syschek и syscure).

 

в логах HJ у Вас упоминается файл C:\WINDOWS\system32\wscntfy.exe

похож на зверька

скопируйте его куда нибудь и отошлите на virustotal.com через "отправить"

[petrovich758]

логи AVZ надо было дать не в текстовом формате, а в html с разметкой xml (2 комплекта - syschek и syscure).

 

в логах HJ у Вас упоминается файл C:\WINDOWS\system32\wscntfy.exe

похож на зверька

скопируйте его куда нибудь и отошлите на virustotal.com через "отправить"

После отсылки:

 

Файл уже проанализирован:

MD5: 1c2b181dcdbfad31417c4c0196175d87

First received: 2009.02.24 15:20:35 UTC

Дата: 2009.12.11 18:50:47 UTC [>6D]

Результаты: 0/41

Permalink: analisis/530d62b4b548cd6b60da8af244d80bee6cb64d42ad6387260f29ebfc8e9706b5-1260557447

 

Пока бежит новая проверка AVZ отсылаю вам этот отчет. После окончания проверки постараюсь разобраться как переслать отчеты в нужном вам виде...

 

надеюсь теперь правильно...

virusinfo_syscheck.htm

virusinfo_syscheck.xml

virusinfo_syscure.htm

virusinfo_syscure.xml

[snifer67]

Выполните скрипт в avz

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\drivers\smss.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\smss.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NvCplDeamon');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи.

[petrovich758]

Не знаю почему, но новые логи не сохраняются возможно только сохранить отчет, который я и прилагаю

avz_log.txt

[petrovich758]

удалено: троянская программа Trojan.Win32.Swisyn.fnf Файл: C:\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\ XXX.scr

20.12.2009 16:27:26 Файл C:\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\ Книжки.scr удален.

 

 

Это как и обещал новое проявление того же вируса