Как справиться с Hacktool.Rootkit и Packed.Generic.233?

[COLOR=black][FONT=Verdana]Прошу помощи!..[/FONT][/COLOR]
[FONT=Verdana]На домашнем компьютере установлен антивирус Нортон от [/FONT][FONT=Verdana]Symantec[/FONT][FONT=Verdana], который стал выдавать сообщения: найден и удален вирус [/FONT][FONT=Verdana]Hacktool[/FONT][FONT=Verdana].[/FONT][FONT=Verdana]Rootkit[/FONT][FONT=Verdana], затем два раза – найден [/FONT][FONT=Verdana]Packed[/FONT][FONT=Verdana].[/FONT][FONT=Verdana]Generic[/FONT][FONT=Verdana].233. Антивирус их якобы удаляет, но через минуту снова появляются те же сообщения, и так до бесконечности. Одновременно в правом нижнем углу беспрестанно вылезает красный кружок с сообщением: «[/FONT][FONT=Verdana]Your[/FONT][FONT=Verdana]system[/FONT][FONT=Verdana]is[/FONT][FONT=Verdana]infected[/FONT][FONT=Verdana]! (найдено [/FONT][FONT=Verdana]spyware[/FONT][FONT=Verdana]и т.д.)» и периодически пытается загрузиться [/FONT][FONT=Verdana]PC[/FONT][FONT=Verdana]Antyspyware[/FONT][FONT=Verdana] 2010 (за регистрацию которого, кстати, предлагается заплатить). Периодически несколько раз появлялось сообщение от Нортона о попытке изменить мою домашнюю страницу в [COLOR=black]Internet Explorer. Также несколько раз открывалось окошко с «черным экран» - как при работе с командной строкой, и затем – сообщение об ошибке и невозможности выполнения чего-то там (сейчас не воспроизведу, чего именно) с предложнием закрыть или пропустить.[/COLOR][/FONT]

[FONT=Verdana]Полное сканирование с помощью Нортона (которое, кстати, происходило раз в 10 медленнее обычного), находит два вируса, сообщает, что удалены. Но проблема остается.[/FONT]

[FONT=Verdana]Нашла ваш сайт, попыталась выполнить инструкцию.[/FONT]
[FONT=Verdana]1. Запустила скачивание обновления Нортона (антивирус у меня официальный, «за деньги». Обновления скачались, но в процессе были сообщения о невозможности обновить какие-то его части.[/FONT]
[FONT=Verdana]Снова запустила полное сканирование. Результат – сообщение, что найдены и удалены 2 вируса. Но после перезагрузки компьютера – те же проблемы (сообщения о вирусах от Нортона и красный кружок).[/FONT]

[FONT=Verdana]2. В безопасном режиме попыталась запустить [COLOR=black]AVPTool – он выдал сообщение, что антивирусная база повреждена. Тогда попыталась запустить CureIt! В безопасном режиме - тоже не работает. Попробовала AVPTool в обычном режиме – то же сообщение о поврежденной базе. В конце концов запустила CureIt! в обычном режиме – нашел два вируса в трех местах, удалил. ([/COLOR][/FONT][COLOR=black][FONT=Verdana]Trojan[/FONT][/COLOR][COLOR=black][FONT=Verdana].[/FONT][/COLOR][COLOR=black][FONT=Verdana]Download[/FONT][/COLOR][COLOR=black][FONT=Verdana].41506 и [/FONT][/COLOR][COLOR=black][FONT=Verdana]Trojan[/FONT][/COLOR][COLOR=black][FONT=Verdana].[/FONT][/COLOR][COLOR=black][FONT=Verdana]Fakealert[/FONT][/COLOR][COLOR=black][FONT=Verdana].4774). После чего – все те же сообщения о вирусах от Нортона и красный кружок.[/FONT][/COLOR]


[COLOR=black][FONT=Verdana]3. Распаковала AVZ и поместила в новую отдельную папку Запуститла AVZ и обновила базы успешно.[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]4. Распаковала HiJackThis и поместила в новую отдельную папку.[/FONT][/COLOR]
[FONT=Verdana]6. Отключила восстановление системы.[/FONT]
[FONT=Verdana]7. Отключилась от Интернета, закрыла все программы.[/FONT]

[FONT=Verdana]Затем диагностика с такими результатами:[/FONT]

[FONT=Verdana]1. [COLOR=black]Запустила [/COLOR][COLOR=black]AVZ, получила файл virusinfo_syscure.zip.[/COLOR][/FONT]
[FONT=Verdana]2. Подключилась к Интернету, запустила [/FONT][FONT=Verdana]AVZ[/FONT][FONT=Verdana](запустился нормально). Но через минуту компьютер без предупреждения перезагрузился!. [/FONT]

[FONT=Verdana]И теперь после каждого подключения к интернету (независимо от того, запускаю я после этого какие-либо программы или нет) компьютер самопроизвольно перезагружается (через полминуты, минуту, две минуты максимум). Сделала этот файл [COLOR=black]virusinfo_syscheck.zip[/COLOR] в [/FONT][FONT=Verdana]AVZ[/FONT][FONT=Verdana]без подключения к интернету, что делать дальше – не знаю! Пишу теперь с рабочего компьютера...[/FONT]

[FONT=Verdana]Кстати, после этого хотела еще раз повторить пункт 1 диагностики – обнаружила, что [/FONT][FONT=Verdana]AVZ[/FONT][FONT=Verdana]теперь вообще перестал запускаться (то есть, никакой реакции на попытку запустить файл). [/FONT]

1. Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Ekaterina\msword98.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
TerminateProcessByName('c:\windows\system32\braviax.exe');
QuarantineFile('c:\windows\system32\braviax.exe','');
TerminateProcessByName('c:\windows\temp\bn80.tmp');
QuarantineFile('c:\windows\temp\bn80.tmp','');
DeleteFile('c:\windows\temp\bn80.tmp');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\Documents and Settings\Ekaterina\msword98.exe');BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

2. Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

3. [B]C:\WINDOWS\system32\Drivers\Ntfs.sys[/B] заменить по [URL="http://virusinfo.info/showthread.php?t=51654"]такой методике[/URL] (с дистрибутива)

4. Сделайте новые логи

[QUOTE=thyrex;450343]
3. [B]C:\WINDOWS\system32\Drivers\Ntfs.sys[/B] заменить по [URL="http://virusinfo.info/showthread.php?t=51654"]такой методике[/URL] (с дистрибутива)

[/QUOTE]

А что делать, если нет дистрибутива? (лэптоп был куплен с предустановленной операционной системой Windows). Единственное, что есть - это созданная на DVD-диске сразу после покупки компьютера бэкап-копия...

[QUOTE=Pippi;450374]А что делать, если нет дистрибутива?[/QUOTE]Замените файлом с аналогичной системы
[QUOTE=Pippi;450374]
Единственное, что есть - это созданная на DVD-диске сразу после покупки компьютера бэкап-копия...[/QUOTE]Поищите файл на диске.

Карантин получен?

Сделала новые логи:

c:\windows\system32\braviax.exe - [B]Trojan-Downloader.Win32.FraudLoad.fgk[/B]
C:\WINDOWS\system32\Drivers\Ntfs.sys - [B]Virus.Win32.Protector.c[/B]

1. Пофиксить в HiJack
[code] O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [PC Antispyware 2010] "C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe" /hide
O4 - HKLM\..\Run: [braviax] braviax.exe
O20 - AppInit_DLLs: cru629.dat
[/code]

2. Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
QuarantineFile('C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
TerminateProcessByName('c:\windows\system32\braviax.exe');
QuarantineFile('c:\windows\system32\braviax.exe','');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFileMask('C:\Program Files\PC_Antispyware2010', '*.*', true);
DeleteDirectory('C:\Program Files\PC_Antispyware2010');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

3. Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

4. [B]C:\WINDOWS\system32\Drivers\Beep.sys[/B] заменить по [URL="http://virusinfo.info/showthread.php?t=51654"]такой методике[/URL]

5. Сделайте новые логи

Карантин выслала.

А хороший beep.sys мне совершенно негде взять... :(

[size="1"][color="#666686"][B][I]Добавлено через 26 минут[/I][/B][/color][/size]

Да, и еще: между пунктами 1. Пофиксить... и 2. Выполнить скрипт в AVZ
я компьютер перезагрузила.
Теперь сомневаюсь, надо ли было это делать?

Сделайте логи, там видно будет.

Сделала логи..

Пофиксить в HiJack
[code] O20 - AppInit_DLLs: cru629.dat
[/code]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\braviax.exe');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
ExecuteSysClean;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделайте новые логи

Новые логи:

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Обновите базы АВЗ: (Файл/Обновление баз)
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - HKLM\..\Run: [braviax] braviax.exe
O20 - AppInit_DLLs: cru629.dat
[/CODE]
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\braviax.exe');
DeleteFile('c:\windows\braviax.exe');
DeleteFile('C:\WINDOWS\cru629.dat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

После перезагрузки:

- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

Сделала.
После выполнения "фиксенья" и скрипта симптомы изменились: теперь вместо красного кружка "computer infected" после перезагрузки мастер нового оборудования.

Да, еще вопрос: на C:\i386 я нашла файл beep.sy_ - можно ли им воспользоваться для замены зараженного?

Зараженный beep.sys уже удален, увы

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\_scui.cpl','');
DeleteFile('C:\WINDOWS\system32\_scui.cpl');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новый лог virusinfo_syscheck.zip

готово

Чисто

Неизвестное оборудование удалите в [B]Диспетчере устройств[/B]

Выполнить скрипт
[code] begin
SetAVZPMStatus(False);
ExecuteStdScr(6);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Установите Adobe Acrobat 9.1.3 или удалите старый

Спасибо!... Неизвестное оборудование удалила, скрипт выполнила.
Единственное, что теперь смущает: пока лечился компьютер, упорно ставилась домашняя страница google com. Теперь, при каждой моей попытке сменить дом.страницу вылезает сообщение от Нортон антивирус, что он "has blocked attempts to change your home page" :?

Выполнить скрипт
[code] begin
ExecuteRepair(3);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Стартовая страница изменилась?

Да, теперь открывается уже нормально, а не с google. А вот когда я затем сама меняю дом.страницу на какую-нибудь другую, вылезает "home page protection alert". Раньше (до вируса) такого не наблюдалось.

И еще: я пока ждала ответа, запустила полное сканирование компьютера Нортоном, и вдруг начали вылезать вирусные угрозы - целый список Packed.Generic.233. Что это? (сканирование пока остановила)

Перекрёстная проверка: прогоните свежим CureIt. Два - три файла из подозреваемых Нортоном проверьте на [url]http://www.virustotal.com/[/url], ссылки на результаты здесь приведите.