Trojan.PWS.Panda.122, Trojan.PWS.Panda.114, Trojan.Click.20003, Recycled

[FONT=Times New Roman][SIZE=3]На компе установлена сборка из Symantec Client Firewall версия 8.7.4.79 и Antivirus 10.1.4.4000.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Подозреваю наличие вирусов или их следов на диске и в реестре после обнаружения и лечения следующего:[/SIZE][/FONT]

[FONT=Times New Roman][SIZE=3]Несколько дней назад при обычной «ручной» проверке SpyBot S&D показал наличие двух Троянов. К сожалению, я срочно уезжал и предполагал, что после лечения SpyBot S&D создаст какие-то логи процедур, но этого он не делает, или я не понял, куда он этот лог сохраняет, в поиске ничего не нашёл. Поэтому излагаю по памяти и своим коротким записям. [/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman][B]1. [/B][B]Trojan.[/B][B]PWS.[/B][B]Panda.122[/B] был в классически полном составе – три файла [/FONT][/SIZE]
[FONT=Symbol]· [/FONT][I]%WINDIR%\System32\sdra64.exe[/I]
[FONT=Symbol]· [/FONT][I]%WINDIR%\System32\lowsec\local.ds[/I]
[FONT=Symbol]· [/FONT][I]%WINDIR%\System32\lowsec\user.ds[/I]
[FONT=Symbol]· [/FONT][I][FONT=Times New Roman][SIZE=3]несколько ключей реестра[/SIZE][/FONT][/I]
[FONT=Times New Roman][SIZE=3]2. Вторым был [B][U]Trojan.[/U][/B][B][U]Click.20003[/U][/B] – в его составе не было файлов, одни ключи реестра.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Их уничтожение SpyBot S&D производил путем требования 2-х кратной перезагрузки компа и повторного сканирования (до входа в учётную запись).[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]3. После этого я запустил DrWeb Cure It, которая обнаружила и удалила некий файл классифицированный, как [B]Trojan.[/B][B]PWS.[/B][B]Panda.114[/B].[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]После DrWeb Cure It была запущена AVZ , которая ничего не нашла. [/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Все эти программы запускались в безопасном режиме (кроме первого раза SpyBot S&D), с отключенным восстановлением.[/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman]4. Во время этих проверок я, как обычно делаю раз-два в неделю, проверил, что с системной Корзиной, и на диске [/FONT][FONT=Times New Roman]D[/FONT][FONT=Times New Roman]: обнаружил корзину с «неправильным именем» - [/FONT][FONT=Times New Roman][B]Recycled [/B](внутри, как и в нормальной корзине, находился значок корзины с «именем») и тут же, в корне, папка с «нечитаемым» именем (с файлами [B]INFO2[/B] и Desktop.ini внутри). Имя папки примерно выглядело так [B]zymhmhzv[/B]. При одной попытке удаления папка вновь появилась уже под другим именем. Вторая попытка удалить папку уже не удалась, было отказано. Неизвестно на каком этапе, после неоднократных сканирований диска всеми перечисленными программами, папка с «нечитаемым» именем пропала. В настоящее время на диске D: находится только ложная Корзина[B]Recycled[/B], пустая внутри. Пока я решил её не трогать. до ваших рекомендаций.[/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]СТРАННОСТИ. [/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]1.[/SIZE] [SIZE=3]В течение нескольких месяцев в трее не появляются два значка - Symantec Client Firewall и Antivirus, несмотря на установленную опцию – показывать их. При этом программы загружаются и работают. После описанных выше процедур значок Антивируса вдруг появился. Значок Client Firewall так и не появился до сих пор.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]2.[/SIZE] [SIZE=3]В этот же период (несколько месяцев) в меню Файл Symantec Antivirus была неактивна опция «Выгрузить». После описанных выше проверок эта опция «Загрузить (Выгрузить)» вдруг нормально заработала.[/SIZE][/FONT]

Ничего плохого в логах не вижу.

Для порядка пофиксите в HijackThis:
[code]
O4 - HKLM\..\Policies\Explorer\Run: []

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
[/code]
и пришлите по правилам содержимое карантина AVZ.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Рекомендуется установить SP3 и последующие обновления.

[SIZE=3][FONT=Times New Roman]Доброй ночи.
Высылаю запрошенные логи и карантин.
Убедительно прошу ответить по теме на следующие вопросы:
1. Изучив описание обнаруженных троянов, в первую очередь [/FONT][/SIZE][SIZE=3][FONT=Times New Roman][B]Trojan.[/B][B]PWS.[/B][B]Panda.122, [/B]данное на сайте Др. Веба, я так понял, что он активно внедряет перехватчики на около 20 групп WinAPI-функций, а также в системные процессы WINLOGON.exe, SVCHOST.exe, EXPLORER.exe. Согласно вашего ответа получается, что фактически этот троян был вылечен мною. [/FONT][/SIZE][SIZE=3][FONT=Times New Roman]получается, этот троян фактически был уничтожен [/FONT][/SIZE][FONT=Times New Roman][SIZE=3]SpyBot S&D.[/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman]Вопрос: получается он не "заразил" перечисленные выше системнве процессы или они были восстановлены в процессе его уничтожения???
2. Я не понял для себя одного: сегодня, сейчас буквально, при подготовке логов и карантина, на диске D: по-прежнему находилась, как и при первом обращении ложная вирусная корзина[/FONT][/SIZE][SIZE=3][FONT=Times New Roman][B] (значок корзины голубого цвета) Recycled[/B][/FONT][/SIZE][SIZE=3][FONT=Times New Roman] ("нормальная" корзина идёт под именем [B]RECYCLER[/B] -ЕЁ НА ДИСКЕ НЕТ) - которая раньше всегда считалась следствием наличия знаменитого [/FONT][/SIZE][SIZE=3][FONT=Times New Roman]Autorun в системе. Только сегодня, в отличие от первого письма (прочтите первое письмо) она была совсем "пустой". Поскольку вы ничего плохого не увидели на диске, то я решил - мало ли, может тогда всё зачистилось, и это просто папка как сбой система и попробовал её уничтожить с помощью Зайцева - отложенное удаление. После перезагрузки "голубая" [/FONT][/SIZE][SIZE=3][FONT=Times New Roman][B]Recycled[/B][/FONT][/SIZE] [FONT=Times New Roman][SIZE=3]пропала[/SIZE][/FONT][FONT=Times New Roman][SIZE=3], но вместо неё повилась обычная жёлтая папка [/SIZE][/FONT][SIZE=3][FONT=Times New Roman][B]Recycled[/B][/FONT][B].[FONT=Times New Roman]bak[/FONT][/B][/SIZE][FONT=Times New Roman][SIZE=3], с файлом desktop.ini внутри. Опять с помощью Зайцева я задал уничтожение этого [/SIZE][/FONT][FONT=Times New Roman][SIZE=3]desktop.ini. После перезагрузки на диске стало уже 2 папки, обе обычные "жёлтые": [/SIZE][/FONT][SIZE=3][FONT=Times New Roman][B]Recycled.bak и [/B][/FONT][/SIZE][SIZE=3][FONT=Times New Roman][B]Recycled, [/B]при этом первая пустая, а во вновь появиввшейся [/FONT][/SIZE][SIZE=3][FONT=Times New Roman][B]Recycled[/B] находились [/FONT][/SIZE][FONT=Times New Roman][SIZE=3]2 файла: [/SIZE][/FONT][FONT=Times New Roman][SIZE=3]desktop.ini и INFO-2. Тогда я задал уничтожение [/SIZE][/FONT][FONT=Times New Roman][SIZE=3]INFO-2[/SIZE][/FONT] [FONT=Times New Roman][SIZE=3]- опять через "Зайцева[/SIZE][/FONT][FONT=Times New Roman][SIZE=3]". После этой презагрузки появилось первое сообщение о том, что [B]система восстановлена после серьёзной ошибки[/B]. На диске по-прежнему находились обе папки, но уже пустые якобы. После очередного запуска AVZ, который в этом случае, как и Др.Веб, ничего не "видит", и перезагрузки опять появилось [/SIZE][/FONT][FONT=Times New Roman][SIZE=3]сообщение о том, что [B]система восстановлена после серьёзной ошибки. [/B][/SIZE][/FONT][FONT=Times New Roman][SIZE=3]При этом сохранилась с таким же "жёлтым" значком : [/SIZE][/FONT][SIZE=3][FONT=Times New Roman][B]Recycled.bak, а [/B][/FONT][/SIZE][SIZE=3][FONT=Times New Roman][B]Recycled [/B]опять сама по себе [/FONT][/SIZE][SIZE=3][FONT=Times New Roman]стала "голубой" с характерным значком системной Корзины. В настоящее время на диске D: находятся обе описанные папки в таком виде, только с виду совершенно пустые внутри. Сообщение о [/FONT][/SIZE][FONT=Times New Roman][SIZE=3]том, что [B]система восстановлена после серьёзной ошибки[/B] больше не появляется. И появилась большая странность в работе браузера (IE 6) - до начала своих опреций с этой ложной корзиной я спокойно заходил на Яндексе в свою почту, на которую вы мне присылаете сообщения. Теперь когда я пытаюсь на Яндексе зайти в любой почтовый ящик, выдаётся сообщение о серьёзной ошибке и браузер "вылетает". Приэтом я спокойно могу делать всё - заходить на любые сайты, в том числе и на Яндексе, я спокойно захожу в почту на Рамблере, на Гугле, но как только пытаюсь опять зайти в почту Яндекса - тут же аварийно вылетаю!!! При этом с другого компьютера, рядом - с него я вынужден вам щас и писать - я на ту же почту Яндекса зашёл тут же. В карантине на всякий случай находятся и эти оба файла - которые находились в "корзинах" - [/SIZE][/FONT][FONT=Times New Roman][SIZE=3]desktop.ini и [/SIZE][/FONT][FONT=Times New Roman][SIZE=3]INFO-2.
Так что позвольте не согласиться - в системе явно присутствует какое-то дерьмо... то ли это старый, умеющий хорошо прятаться ото всех [/SIZE][/FONT][SIZE=3][FONT=Times New Roman]Autorun, то ли это такое проявление чего-то другого.. но это ненормально (((((((.
вынужден уже слёзно просить вникнуть в эту "корзину". , поскольку в первом моём письме, мне кажется, вы решили что я брежу, и не обратили внимания...???!!!
[/FONT][/SIZE]

Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportDeletedList;
ExecuteSysclean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится. Пришлите карантин согласно правилам по ссылке "[B][U][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/U][/B]" над первым сообщением в теме
Сделайте новые логи

[FONT=Times New Roman][SIZE=3]Высылаю карантин и логи.
При этом на D: по-прежнему находятся
- "жёлтая" папка [/SIZE][/FONT][SIZE=3][FONT=Times New Roman][B]Recycled.bak,
- [/B][/FONT][/SIZE][SIZE=3][FONT=Times New Roman][B]Recycled [/B][/FONT][/SIZE][SIZE=3][FONT=Times New Roman]с характерным значком системной Корзины,
обе пустые внутри.[/FONT][/SIZE]

[QUOTE]...ложная вирусная корзина (значок корзины голубого цвета) Recycled ("нормальная" корзина идёт под именем RECYCLER -ЕЁ НА ДИСКЕ НЕТ) [/QUOTE]
Имя папки корзины зависит от файловой системы:
для NTFS - RecylceR
для FAT32 - RecycleD.

Папку Recycled.bak удалите, используя сочетание клавиш [I]Shift [/I]и [I]Delete[/I].

В логах все нормально.

[QUOTE=Bratez;486404]Имя папки корзины зависит от файловой системы:
для NTFS - RecylceR
для FAT32 - RecycleD.

[QUOTE=Bratez;486404]Имя папки корзины зависит от файловой системы:
для NTFS - RecylceR
для FAT32 - RecycleD.

[B]ИСКРЕННЕ ПРОСТИТЕ, Bratez, ЗА ОТНЯТОЕ ВРЕМЯ[/B]!! с этой чёртовой корзиной!!!

[B]Объясняю:[/B] Я прекрасно знаю, какая должна быть корзина. НО Я очень "ловлю" возможность появления, имея печальный опыт, "левой корзины". Я не знал!!! что один специалист, после некоторых событий, не спросив меня!!!, отформатировал мне диск D: в FAT32!! )))) И мне в голову не пришло посмотреть, что он в ФАТ!!
И поэтому прошу прощения за эту свою невнимательность. )))) и ваше время!!

C:\WINDOWS\system32\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.acer[/B]
Троян класса Spy, рекомендуем Вам сменить все пароли

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.acer[/B] ( BitDefender: Gen:Trojan.Heur.zm3@bT8Slhii, AVAST4: Win32:Trojan-gen )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]