Как справиться с Hacktool.Rootkit и Packed.Generic.233?

[Pippi]

Прошу помощи!..
На домашнем компьютере установлен антивирус Нортон от Symantec, который стал выдавать сообщения: найден и удален вирус Hacktool.Rootkit, затем два раза – найден Packed.Generic.233. Антивирус их якобы удаляет, но через минуту снова появляются те же сообщения, и так до бесконечности. Одновременно в правом нижнем углу беспрестанно вылезает красный кружок с сообщением: «Yoursystemisinfected! (найдено spywareи т.д.)» и периодически пытается загрузиться PCAntyspyware 2010 (за регистрацию которого, кстати, предлагается заплатить). Периодически несколько раз появлялось сообщение от Нортона о попытке изменить мою домашнюю страницу в Internet Explorer. Также несколько раз открывалось окошко с «черным экран» - как при работе с командной строкой, и затем – сообщение об ошибке и невозможности выполнения чего-то там (сейчас не воспроизведу, чего именно) с предложнием закрыть или пропустить.

Полное сканирование с помощью Нортона (которое, кстати, происходило раз в 10 медленнее обычного), находит два вируса, сообщает, что удалены. Но проблема остается.

Нашла ваш сайт, попыталась выполнить инструкцию.
1. Запустила скачивание обновления Нортона (антивирус у меня официальный, «за деньги». Обновления скачались, но в процессе были сообщения о невозможности обновить какие-то его части.
Снова запустила полное сканирование. Результат – сообщение, что найдены и удалены 2 вируса. Но после перезагрузки компьютера – те же проблемы (сообщения о вирусах от Нортона и красный кружок).

2. В безопасном режиме попыталась запустить AVPTool – он выдал сообщение, что антивирусная база повреждена. Тогда попыталась запустить CureIt! В безопасном режиме - тоже не работает. Попробовала AVPTool в обычном режиме – то же сообщение о поврежденной базе. В конце концов запустила CureIt! в обычном режиме – нашел два вируса в трех местах, удалил. (Trojan.Download.41506 и Trojan.Fakealert.4774). После чего – все те же сообщения о вирусах от Нортона и красный кружок.


3. Распаковала AVZ и поместила в новую отдельную папку Запуститла AVZ и обновила базы успешно.
4. Распаковала HiJackThis и поместила в новую отдельную папку.
6. Отключила восстановление системы.
7. Отключилась от Интернета, закрыла все программы.

Затем диагностика с такими результатами:

1. Запустила AVZ, получила файл virusinfo_syscure.zip.
2. Подключилась к Интернету, запустила AVZ(запустился нормально). Но через минуту компьютер без предупреждения перезагрузился!.

И теперь после каждого подключения к интернету (независимо от того, запускаю я после этого какие-либо программы или нет) компьютер самопроизвольно перезагружается (через полминуты, минуту, две минуты максимум). Сделала этот файл virusinfo_syscheck.zip в AVZбез подключения к интернету, что делать дальше – не знаю! Пишу теперь с рабочего компьютера...

Кстати, после этого хотела еще раз повторить пункт 1 диагностики – обнаружила, что AVZтеперь вообще перестал запускаться (то есть, никакой реакции на попытку запустить файл).

[thyrex]

1. Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Ekaterina\msword98.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
 TerminateProcessByName('c:\windows\system32\braviax.exe');
 QuarantineFile('c:\windows\system32\braviax.exe','');
 TerminateProcessByName('c:\windows\temp\bn80.tmp');
 QuarantineFile('c:\windows\temp\bn80.tmp','');
 DeleteFile('c:\windows\temp\bn80.tmp');
 DeleteFile('c:\windows\system32\braviax.exe');
 DeleteFile('C:\Documents and Settings\Ekaterina\msword98.exe');BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

3. C:\WINDOWS\system32\Drivers\Ntfs.sys заменить по такой методике (с дистрибутива)

4. Сделайте новые логи

[Pippi]

3. C:\WINDOWS\system32\Drivers\Ntfs.sys заменить по такой методике (с дистрибутива)

А что делать, если нет дистрибутива? (лэптоп был куплен с предустановленной операционной системой Windows). Единственное, что есть - это созданная на DVD-диске сразу после покупки компьютера бэкап-копия...

[Rene-gad]

А что делать, если нет дистрибутива?

Замените файлом с аналогичной системы

Единственное, что есть - это созданная на DVD-диске сразу после покупки компьютера бэкап-копия...

Поищите файл на диске.

[Pippi]

Карантин получен?

Сделала новые логи:

[thyrex]

c:\windows\system32\braviax.exe - Trojan-Downloader.Win32.FraudLoad.fgk
C:\WINDOWS\system32\Drivers\Ntfs.sys - Virus.Win32.Protector.c

1. Пофиксить в HiJack

Код:

 O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [PC Antispyware 2010] "C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe" /hide
O4 - HKLM\..\Run: [braviax] braviax.exe
O20 - AppInit_DLLs: cru629.dat

2. Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
 QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
 QuarantineFile('C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
 TerminateProcessByName('c:\windows\system32\braviax.exe');
 QuarantineFile('c:\windows\system32\braviax.exe','');
 DeleteFile('c:\windows\system32\braviax.exe');
 DeleteFile('C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe');
 DeleteFile('C:\WINDOWS\system32\cru629.dat');
 DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFileMask('C:\Program Files\PC_Antispyware2010', '*.*', true);
DeleteDirectory('C:\Program Files\PC_Antispyware2010');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

3. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

4. C:\WINDOWS\system32\Drivers\Beep.sys заменить по такой методике

5. Сделайте новые логи

[Pippi]

Карантин выслала.

А хороший beep.sys мне совершенно негде взять...

Добавлено через 26 минут

Да, и еще: между пунктами 1. Пофиксить... и 2. Выполнить скрипт в AVZ
я компьютер перезагрузила.
Теперь сомневаюсь, надо ли было это делать?

[pig]

Сделайте логи, там видно будет.

[Pippi]

Сделала логи..

[thyrex]

Пофиксить в HiJack

Код:

 O20 - AppInit_DLLs: cru629.dat

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\braviax.exe');
 DeleteFile('c:\windows\system32\braviax.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
 DeleteFile('C:\WINDOWS\system32\cru629.dat');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новые логи

[Pippi]

Новые логи:

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Обновите базы АВЗ: (Файл/Обновление баз)
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Пофиксите

Код:

O4 - HKLM\..\Run: [braviax] braviax.exe
O20 - AppInit_DLLs: cru629.dat

-Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\braviax.exe');
 DeleteFile('c:\windows\braviax.exe');
 DeleteFile('C:\WINDOWS\cru629.dat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[Pippi]

Сделала.
После выполнения "фиксенья" и скрипта симптомы изменились: теперь вместо красного кружка "computer infected" после перезагрузки мастер нового оборудования.

Да, еще вопрос: на C:\i386 я нашла файл beep.sy_ - можно ли им воспользоваться для замены зараженного?

[thyrex]

Зараженный beep.sys уже удален, увы

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\_scui.cpl','');
 DeleteFile('C:\WINDOWS\system32\_scui.cpl');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новый лог virusinfo_syscheck.zip

[Pippi]

готово

[thyrex]

Чисто

Неизвестное оборудование удалите в Диспетчере устройств

Выполнить скрипт

Код:

 begin
SetAVZPMStatus(False);
ExecuteStdScr(6);
RebootWindows(true); 
end.

Компьютер перезагрузится.

Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Установите Adobe Acrobat 9.1.3 или удалите старый

[Pippi]

Спасибо!... Неизвестное оборудование удалила, скрипт выполнила.
Единственное, что теперь смущает: пока лечился компьютер, упорно ставилась домашняя страница google com. Теперь, при каждой моей попытке сменить дом.страницу вылезает сообщение от Нортон антивирус, что он "has blocked attempts to change your home page"

[thyrex]

Выполнить скрипт

Код:

 begin
ExecuteRepair(3);
RebootWindows(true); 
end.

Компьютер перезагрузится.

Стартовая страница изменилась?

[Pippi]

Да, теперь открывается уже нормально, а не с google. А вот когда я затем сама меняю дом.страницу на какую-нибудь другую, вылезает "home page protection alert". Раньше (до вируса) такого не наблюдалось.

И еще: я пока ждала ответа, запустила полное сканирование компьютера Нортоном, и вдруг начали вылезать вирусные угрозы - целый список Packed.Generic.233. Что это? (сканирование пока остановила)

[pig]

Перекрёстная проверка: прогоните свежим CureIt. Два - три файла из подозреваемых Нортоном проверьте на http://www.virustotal.com/, ссылки на результаты здесь приведите.