Trojan.PWS.Panda.122, Trojan.PWS.Panda.114, Trojan.Click.20003, Recycled

[СтаниславБК]

На компе установлена сборка из Symantec Client Firewall версия 8.7.4.79 и Antivirus 10.1.4.4000.
Подозреваю наличие вирусов или их следов на диске и в реестре после обнаружения и лечения следующего:

Несколько дней назад при обычной «ручной» проверке SpyBot S&D показал наличие двух Троянов. К сожалению, я срочно уезжал и предполагал, что после лечения SpyBot S&D создаст какие-то логи процедур, но этого он не делает, или я не понял, куда он этот лог сохраняет, в поиске ничего не нашёл. Поэтому излагаю по памяти и своим коротким записям.
1. Trojan.PWS.Panda.122 был в классически полном составе – три файла
· %WINDIR%\System32\sdra64.exe
· %WINDIR%\System32\lowsec\local.ds
· %WINDIR%\System32\lowsec\user.ds
· несколько ключей реестра
2. Вторым был Trojan.Click.20003 – в его составе не было файлов, одни ключи реестра.
Их уничтожение SpyBot S&D производил путем требования 2-х кратной перезагрузки компа и повторного сканирования (до входа в учётную запись).
3. После этого я запустил DrWeb Cure It, которая обнаружила и удалила некий файл классифицированный, как Trojan.PWS.Panda.114.
После DrWeb Cure It была запущена AVZ , которая ничего не нашла.
Все эти программы запускались в безопасном режиме (кроме первого раза SpyBot S&D), с отключенным восстановлением.
4. Во время этих проверок я, как обычно делаю раз-два в неделю, проверил, что с системной Корзиной, и на диске D: обнаружил корзину с «неправильным именем» - Recycled (внутри, как и в нормальной корзине, находился значок корзины с «именем») и тут же, в корне, папка с «нечитаемым» именем (с файлами INFO2 и Desktop.ini внутри). Имя папки примерно выглядело так zymhmhzv. При одной попытке удаления папка вновь появилась уже под другим именем. Вторая попытка удалить папку уже не удалась, было отказано. Неизвестно на каком этапе, после неоднократных сканирований диска всеми перечисленными программами, папка с «нечитаемым» именем пропала. В настоящее время на диске D: находится только ложная КорзинаRecycled, пустая внутри. Пока я решил её не трогать. до ваших рекомендаций.
СТРАННОСТИ.
1. В течение нескольких месяцев в трее не появляются два значка - Symantec Client Firewall и Antivirus, несмотря на установленную опцию – показывать их. При этом программы загружаются и работают. После описанных выше процедур значок Антивируса вдруг появился. Значок Client Firewall так и не появился до сих пор.
2. В этот же период (несколько месяцев) в меню Файл Symantec Antivirus была неактивна опция «Выгрузить». После описанных выше проверок эта опция «Загрузить (Выгрузить)» вдруг нормально заработала.

[Bratez]

Ничего плохого в логах не вижу.

Для порядка пофиксите в HijackThis:

Код:

O4 - HKLM\..\Policies\Explorer\Run: [] 

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

и пришлите по правилам содержимое карантина AVZ.

Добавлено через 1 минуту

Рекомендуется установить SP3 и последующие обновления.

[СтаниславБК]

Доброй ночи.
Высылаю запрошенные логи и карантин.
Убедительно прошу ответить по теме на следующие вопросы:
1. Изучив описание обнаруженных троянов, в первую очередь Trojan.PWS.Panda.122, данное на сайте Др. Веба, я так понял, что он активно внедряет перехватчики на около 20 групп WinAPI-функций, а также в системные процессы WINLOGON.exe, SVCHOST.exe, EXPLORER.exe. Согласно вашего ответа получается, что фактически этот троян был вылечен мною. получается, этот троян фактически был уничтожен SpyBot S&D.
Вопрос: получается он не "заразил" перечисленные выше системнве процессы или они были восстановлены в процессе его уничтожения???
2. Я не понял для себя одного: сегодня, сейчас буквально, при подготовке логов и карантина, на диске D: по-прежнему находилась, как и при первом обращении ложная вирусная корзина (значок корзины голубого цвета) Recycled ("нормальная" корзина идёт под именем RECYCLER -ЕЁ НА ДИСКЕ НЕТ) - которая раньше всегда считалась следствием наличия знаменитого Autorun в системе. Только сегодня, в отличие от первого письма (прочтите первое письмо) она была совсем "пустой". Поскольку вы ничего плохого не увидели на диске, то я решил - мало ли, может тогда всё зачистилось, и это просто папка как сбой система и попробовал её уничтожить с помощью Зайцева - отложенное удаление. После перезагрузки "голубая" Recycled пропала, но вместо неё повилась обычная жёлтая папка Recycled.bak, с файлом desktop.ini внутри. Опять с помощью Зайцева я задал уничтожение этого desktop.ini. После перезагрузки на диске стало уже 2 папки, обе обычные "жёлтые": Recycled.bak и Recycled, при этом первая пустая, а во вновь появиввшейся Recycled находились 2 файла: desktop.ini и INFO-2. Тогда я задал уничтожение INFO-2 - опять через "Зайцева". После этой презагрузки появилось первое сообщение о том, что система восстановлена после серьёзной ошибки. На диске по-прежнему находились обе папки, но уже пустые якобы. После очередного запуска AVZ, который в этом случае, как и Др.Веб, ничего не "видит", и перезагрузки опять появилось сообщение о том, что система восстановлена после серьёзной ошибки. При этом сохранилась с таким же "жёлтым" значком : Recycled.bak, а Recycled опять сама по себе стала "голубой" с характерным значком системной Корзины. В настоящее время на диске D: находятся обе описанные папки в таком виде, только с виду совершенно пустые внутри. Сообщение о том, что система восстановлена после серьёзной ошибки больше не появляется. И появилась большая странность в работе браузера (IE 6) - до начала своих опреций с этой ложной корзиной я спокойно заходил на Яндексе в свою почту, на которую вы мне присылаете сообщения. Теперь когда я пытаюсь на Яндексе зайти в любой почтовый ящик, выдаётся сообщение о серьёзной ошибке и браузер "вылетает". Приэтом я спокойно могу делать всё - заходить на любые сайты, в том числе и на Яндексе, я спокойно захожу в почту на Рамблере, на Гугле, но как только пытаюсь опять зайти в почту Яндекса - тут же аварийно вылетаю!!! При этом с другого компьютера, рядом - с него я вынужден вам щас и писать - я на ту же почту Яндекса зашёл тут же. В карантине на всякий случай находятся и эти оба файла - которые находились в "корзинах" - desktop.ini и INFO-2.
Так что позвольте не согласиться - в системе явно присутствует какое-то дерьмо... то ли это старый, умеющий хорошо прятаться ото всех Autorun, то ли это такое проявление чего-то другого.. но это ненормально (((((((.
вынужден уже слёзно просить вникнуть в эту "корзину". , поскольку в первом моём письме, мне кажется, вы решили что я брежу, и не обратили внимания...???!!!

[Никита Соловьев]

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 BC_ImportDeletedList;
 ExecuteSysclean;
 BC_Activate;
 RebootWindows(true);
end.

Компьютер перезагрузится. Пришлите карантин согласно правилам по ссылке "Прислать запрошенный карантин" над первым сообщением в теме
Сделайте новые логи

[СтаниславБК]

Высылаю карантин и логи.
При этом на D: по-прежнему находятся
- "жёлтая" папка Recycled.bak,
- Recycled с характерным значком системной Корзины,
обе пустые внутри.

[Bratez]

...ложная вирусная корзина (значок корзины голубого цвета) Recycled ("нормальная" корзина идёт под именем RECYCLER -ЕЁ НА ДИСКЕ НЕТ)

Имя папки корзины зависит от файловой системы:
для NTFS - RecylceR
для FAT32 - RecycleD.

Папку Recycled.bak удалите, используя сочетание клавиш Shift и Delete.

В логах все нормально.

[СтаниславБК]

[QUOTE=Bratez;486404]Имя папки корзины зависит от файловой системы:
для NTFS - RecylceR
для FAT32 - RecycleD.

[QUOTE=Bratez;486404]Имя папки корзины зависит от файловой системы:
для NTFS - RecylceR
для FAT32 - RecycleD.

ИСКРЕННЕ ПРОСТИТЕ, Bratez, ЗА ОТНЯТОЕ ВРЕМЯ!! с этой чёртовой корзиной!!!

Объясняю: Я прекрасно знаю, какая должна быть корзина. НО Я очень "ловлю" возможность появления, имея печальный опыт, "левой корзины". Я не знал!!! что один специалист, после некоторых событий, не спросив меня!!!, отформатировал мне диск D: в FAT32!! )))) И мне в голову не пришло посмотреть, что он в ФАТ!!
И поэтому прошу прощения за эту свою невнимательность. )))) и ваше время!!

[Никита Соловьев]

C:\WINDOWS\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.acer
Троян класса Spy, рекомендуем Вам сменить все пароли

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 7
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.acer ( BitDefender: Gen:Trojan.Heur.zm3@bT8Slhii, AVAST4: Win32:Trojan-gen )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !