Вылечить Trojan.Win32.Swisyn.fnf

[vladiput]

Добрый день!

 

Компьютер заражен Trojan.Win32.Swisyn.fnf - как говорит Касперский при проверке. Полностью избавиться от вируса я не могу, постоянно появляются новые зараженные файлы. Что делать?

 

Логи прилагаю. Спасибо.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\System32\tssdis.exe','');
QuarantineFile('D:\WINDOWS\Temp\_ex-68.exe','');
DeleteFile('D:\WINDOWS\Temp\_ex-68.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

Повторите логи.

[vladiput]

Выполнил.

 

Ответа на письмо пока нет.

 

Новые логи прилагаю. Спасибо)

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[akoK]

Пофиксить в HijackThis следующие строчки

	R3 - URLSearchHook: (no name) - - (no file)

 

 

Активного заражения не вижу.

 

Установите SP3 + IE8 + все обновления безопасности.

 

! Возможно придется повторно активировать систему.

[vladiput]

Активного заражения не вижу.

 

Тем не менее, вирус функционирует. Одним из проявлений служит систематический вынос сетевых подключений, восстановить которые можно только после перезагрузки.

[snifer67]

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[akoK]

Тем не менее, вирус функционирует.

 

С таким объемом незакрытых уязвимостей... не мудрено.

[vladiput]

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

 

Раскрывающийся текст:

ComboFix 10-01-22.03 - Lolium temulentum 23.01.2010 15:35:11.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.1022.702 [GMT 3:00]

Running from: d:\documents and settings\Lolium temulentum\Рабочий стол\ComboFix.exe

AV: Антивирус Касперского *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

d:\documents and settings\All Users\Application Data\1pdfdec.dll

d:\documents and settings\Lolium temulentum\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll

d:\documents and settings\Lolium temulentum\Application Data\wiaserva.log

d:\program files\WinPCap

d:\program files\WinPCap\rpcapd.exe

d:\windows\AppPatch\Custom\{deb7008b-681e-4a4a-8aae-cc833e8216ce}.sdb

d:\windows\Fonts\MyriadPro-Regular.otf

d:\windows\system32\drivers\npf.sys

d:\windows\system32\ieuinit.inf

d:\windows\system32\Packet.dll

d:\windows\system32\pthreadVC.dll

d:\windows\system32\twain_32.dll

d:\windows\system32\WanPacket.dll

d:\windows\system32\wpcap.dll

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_NPF

-------\Service_npf

 

 

((((((((((((((((((((((((( Files Created from 2009-12-23 to 2010-01-23 )))))))))))))))))))))))))))))))

.

 

2010-01-19 16:23 . 2010-01-19 16:23 80400 ----a-w- d:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\fssync.dll

2010-01-19 16:03 . 2010-01-19 16:03 80400 ----a-w- d:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\fssync.dll

2010-01-19 15:44 . 2010-01-19 15:44 95259 ----a-w- d:\windows\system32\drivers\klick.dat

2010-01-19 15:44 . 2010-01-19 15:44 108059 ----a-w- d:\windows\system32\drivers\klin.dat

2010-01-19 15:43 . 2010-01-23 12:48 -------- d-----w- d:\documents and settings\All Users\Application Data\Kaspersky Lab

2010-01-19 15:43 . 2010-01-19 15:43 -------- d-----w- d:\program files\Kaspersky Lab

2010-01-19 15:30 . 2010-01-19 15:34 -------- d-----w- d:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files

2010-01-19 15:28 . 2010-01-19 15:28 -------- d--h--w- d:\windows\PIF

2010-01-17 10:05 . 2010-01-19 16:17 -------- d-----w- d:\windows\system32\drivers\Cache

2010-01-12 19:23 . 2010-01-12 19:25 -------- d-----w- D:\Муз

2010-01-02 10:42 . 2010-01-02 10:42 -------- d-----w- d:\program files\SwanMania

2009-12-25 18:58 . 2009-12-25 18:59 -------- d-----w- d:\program files\Aspell

2009-12-25 18:58 . 2009-12-27 16:13 -------- d-----w- d:\program files\Pidgin

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-01-23 12:28 . 2009-07-08 19:54 -------- d-----w- d:\program files\Mozilla Thunderbird

2010-01-22 13:23 . 2009-10-03 13:43 -------- d-----w- d:\documents and settings\Lolium temulentum\Application Data\vlc

2010-01-22 13:23 . 2009-06-05 22:58 -------- d-----w- d:\documents and settings\Lolium temulentum\Application Data\dvdcss

2010-01-22 09:33 . 2001-10-20 11:00 70336 ----a-w- d:\windows\system32\perfc019.dat

2010-01-22 09:33 . 2001-10-20 11:00 432796 ----a-w- d:\windows\system32\perfh019.dat

2010-01-20 22:34 . 2009-02-09 19:28 -------- d-----w- d:\documents and settings\Lolium temulentum\Application Data\.purple

2010-01-12 11:04 . 2008-12-28 20:02 39744 ----a-w- d:\documents and settings\Lolium temulentum\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-01-11 15:35 . 2008-12-25 17:10 -------- d-----w- d:\documents and settings\Lolium temulentum\Application Data\PC Suite

2009-12-27 17:56 . 2009-06-19 20:29 -------- d-----w- d:\documents and settings\Lolium temulentum\Application Data\gtk-2.0

2009-12-25 18:58 . 2009-02-09 19:27 -------- d-----w- d:\program files\Common Files\GTK

2009-12-23 19:55 . 2009-12-23 19:55 -------- d-----w- d:\documents and settings\Lolium temulentum\Application Data\Ahead

2009-12-23 18:57 . 2009-03-10 12:08 -------- d-----w- d:\documents and settings\All Users\Application Data\Nero

2009-12-03 14:31 . 2008-12-22 18:26 -------- d-----w- d:\program files\QIP

2009-11-24 03:48 . 2009-11-24 03:48 152576 ----a-w- d:\documents and settings\Lolium temulentum\Application Data\Sun\Java\jre1.6.0_17\lzma.dll

2009-11-24 03:48 . 2009-11-24 03:48 79488 ----a-w- d:\documents and settings\Lolium temulentum\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll

2009-11-22 15:54 . 2009-11-22 15:54 4782 ----a-w- d:\program files\vkontakte_mus.js

2009-11-14 12:48 . 2009-11-14 12:48 59976 ----a-w- d:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 2010 9.0.0.736\Russian\setup.exe

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="d:\program files\Messenger\msmsgs.exe" [2004-08-17 1667584]

"AlcoholAutomount"="d:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-11-23 203720]

"PC Suite Tray"="d:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-06-12 1414144]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="d:\windows\system32\NvCpl.dll" [2007-04-19 7700480]

"nwiz"="nwiz.exe" [2007-04-19 1626112]

"NvMediaCenter"="d:\windows\system32\NvMcTray.dll" [2007-04-19 86016]

"SoundMan"="SOUNDMAN.EXE" [2005-07-22 81920]

"OrderReminder"="d:\program files\Hewlett-Packard\OrderReminder\OrderReminder.exe" [2005-03-18 98304]

"IMJPMIG8.1"="d:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-03 208952]

"MSPY2002"="d:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-03 59392]

"PHIME2002ASync"="d:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]

"PHIME2002A"="d:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]

"Lingvo Launcher"="d:\program files\ABBYY Lingvo 12\Lvagent.exe" [2006-12-14 258048]

"SunJavaUpdateSched"="d:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

"AVP"="d:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe" [2009-10-20 340456]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

 

d:\documents and settings\All Users\ѓ« ў­®Ґ ¬Ґ­о\Џа®Ја ¬¬л\Ђўв®§ Јаг§Є \

Microsoft Office.lnk - d:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"FirewallOverride"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"d:\\Program Files\\NETBYNET\\DC.NETBYNET v3.0\\nbnDC.exe"=

"d:\\Program Files\\piring-net.net\\DC\\StrongDC.exe"=

"e:\\SeaGate\\Upload\\rromv\\eMule\\emule.exe"=

"d:\program files\Microsoft ActiveSync\rapimgr.exe"= d:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"d:\program files\Microsoft ActiveSync\wcescomm.exe"= d:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"d:\program files\Microsoft ActiveSync\WCESMgr.exe"= d:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"d:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"d:\\Program Files\\QIP\\qip.exe"=

"d:\\Program Files\\Total Commander\\Totalcmd.exe"=

"d:\\Program Files\\Miranda IM\\miranda32.exe"=

"d:\\Program Files\\Miranda Me\\miranda32.exe"=

"c:\\WebServers\\usr\\local\\apache\\bin\\httpd.exe"=

"d:\\Program Files\\Miranda Me 0.9.3\\miranda32.exe"=

"d:\\Program Files\\Pidgin\\pidgin.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

 

R0 AFPAnsi;Alfa File Protector Ansi;d:\windows\system32\drivers\AFPAnsi.sys [10.03.2009 17:31 43936]

R0 klbg;Kaspersky Lab Boot Guard Driver;d:\windows\system32\drivers\klbg.sys [14.10.2009 20:18 36880]

R0 sptd;sptd;d:\windows\system32\drivers\sptd.sys [17.02.2009 22:31 717296]

R1 SuperMounter;SuperMounter;d:\windows\system32\drivers\supermounter.sys [10.03.2009 17:31 11264]

R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 Licensing Service;d:\program files\ABBYY FineReader 9.0\NetworkLicenseServer.exe [24.09.2007 18:11 566560]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;d:\windows\system32\drivers\klim5.sys [14.09.2009 13:42 32272]

R3 klmouflt;Kaspersky Lab KLMOUFLT;d:\windows\system32\drivers\klmouflt.sys [02.10.2009 18:39 19472]

.

.

------- Supplementary Scan -------

.

uStart Page = about:blank

uDefault_Search_URL = hxxp://search.qip.ru

uInternet Settings,ProxyOverride = *.local

uSearchAssistant = hxxp://search.qip.ru/ie

uSearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip

IE: &SmElis WebData Extractor - d:\program files\SmElis\WebData Extractor\SWDECom.dll/220

IE: &Экспорт в Microsoft Excel - d:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000

IE: Add to Google Photos Screensa&ver - d:\windows\system32\GPhotos.scr/200

IE: Translate with ABBYY &Lingvo... - d:\program files\ABBYY Lingvo 12\Lingvo.exe/3000

IE: ? - d:\program files\ABBYY Lingvo 12\Lingvo.exe/3000

FF - ProfilePath - d:\documents and settings\Lolium temulentum\Application Data\Mozilla\Firefox\Profiles\qxwot145.default\

FF - prefs.js: browser.search.selectedEngine - Либрусек

FF - prefs.js: browser.startup.homepage - chrome://fastdial/content/fastdial.html

FF - prefs.js: keyword.URL - hxxp://search.qip.ru/search?from=FF&query=

FF - plugin: d:\documents and settings\Lolium temulentum\Application Data\Mozilla\plugins\npPxPlay.dll

FF - plugin: d:\program files\Google\Picasa3\npPicasa3.dll

.

- - - - ORPHANS REMOVED - - - -

 

URLSearchHooks-{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - d:\documents and settings\Lolium temulentum\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll

URLSearchHooks-{95289393-33EA-4F8D-B952-483415B9C955} - d:\documents and settings\Lolium temulentum\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll

BHO-{95289393-33EA-4F8D-B952-483415B9C955} - d:\documents and settings\Lolium temulentum\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll

BHO-{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - d:\documents and settings\Lolium temulentum\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll

AddRemove-HijackThis - d:\documents and settings\Lolium temulentum\Рабочий стол\Downloads\HijackThis.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-01-23 15:48

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86DDB1F8]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf7665fc3

\Driver\ACPI -> ACPI.sys @ 0xf73e0cb8

\Driver\atapi -> 0x86ddb1f8

IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80577d44

ParseProcedure -> ntkrnlpa.exe @ 0x80576964

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80577d44

ParseProcedure -> ntkrnlpa.exe @ 0x80576964

NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xf727fba0

PacketIndicateHandler -> NDIS.sys @ 0xf728cb21

SendHandler -> NDIS.sys @ 0xf726a87b

Warning: possible MBR rootkit infection !

user & kernel MBR OK

 

**************************************************************************

.

--------------------- LOCKED REGISTRY KEYS ---------------------

 

[HKEY_USERS\S-1-5-21-854245398-1757981266-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ABBYY Lingvo 12\„я˜ы0.в‰ *дввхoІ|ы0om *дв'вkќmбu|]

"Order"=hex:08,00,00,00,02,00,00,00,f4,01,00,00,01,00,00,00,03,00,00,00,8a,00,

00,00,00,00,00,00,7c,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,6a,00,32,\

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'explorer.exe'(1824)

d:\windows\system32\msi.dll

d:\program files\ABBYY Lingvo 12\LvHook.dll

.

------------------------ Other Running Processes ------------------------

.

d:\windows\SOUNDMAN.EXE

d:\program files\Microsoft ActiveSync\Wcescomm.exe

d:\program files\Bonjour\mDNSResponder.exe

d:\progra~1\MICROS~2\rapimgr.exe

d:\program files\Java\jre6\bin\jqs.exe

d:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exe

d:\windows\system32\nvsvc32.exe

d:\program files\Photodex\ProShowProducer\ScsiAccess.exe

d:\windows\system32\wscntfy.exe

d:\program files\PC Connectivity Solution\ServiceLayer.exe

d:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe

d:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe

d:\windows\system32\wbem\wmiapsrv.exe

.

**************************************************************************

.

Completion time: 2010-01-23 15:50:49 - machine was rebooted

ComboFix-quarantined-files.txt 2010-01-23 12:50

 

Pre-Run: 17 726 005 248 байт свободно

Post-Run: 20 293 308 416 байт свободно

 

- - End Of File - - B023D75E2988968639AFCEEE0D65AFF3

 

[snifer67]

Заплатки после SP3 ставили ?

[vladiput]

Заплатки после SP3 ставили ?

 

Нет. Не знаю, где их брать.

[snifer67]

http://windowsupdate.microsoft.com

[vit9696]

Нет. Не знаю, где их брать.

Запускаете IE пишите в адресе www.update.microsoft.com

Устанавливаете по надобности программу, он напишет - поиск обновлений выборочный желательно ставить все, замтьте там три вкладки (слева) проверьте и поставьте галочки! Установите так, несколько раз пока не будет ничего находить, думаю нет смысла ставить Windoiws Live, да и Windows Search 4.0, но это лишь мое мнение.

[vladiput]

Установите так, несколько раз пока не будет ничего находить

 

Windows Update предлагает для начала проверить, не контрафактная ли у меня система. И проверку я не прошел)