проблема с окончательным лечением компьютера

**strogv** · 02.06.2008, 19:32

Здравствуйте !
Компьютер был заражен несколькими вирусами. Какими можно посмотреть в присоединенном отчете Касперского efim2.txt. Вируса были вылечены, но зловред остался и постоянно ломился в интернет на сайт http:\spylogs.net/find/kik.php (72.9.98.66) и качал оттуда вирус, причем в определенное время. Я на фареволе заблокировала пакеты с этого и на этот адрес и выполнила все рекомендации по диагностике компьютера. CureIT нашел один вирус в каталоге C:\windows\system32\baseskslf32.dll (Trojan.Okuks.based) и вылечил его. Остальное в отчетах. Большая просьба помочь в разборе ситуации.
moderated:::Карантин загружается по красной ссылке вверху темы. Пожалуйста не прикрепляйте без указания на то хелперов никаких других файлов, кроме трех логов

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 02.06.2008, 19:59

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('AutorunsDisabled');
 DeleteService('msownu');
 DeleteService('asc355O');
 QuarantineFile('C:\WINDOWS\system32\cpssp.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\msownu.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\asc355O.sys','');
 QuarantineFile('C:\WINDOWS\system32\baseskslf32.dll','');
 DeleteFile('C:\WINDOWS\system32\baseskslf32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\asc355O.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\msownu.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExcuteRepair(1);
RebootWindows(true);
end.

После перезагрузки закачайте карантин по красной ссылке вверху темы, повторите 3 лога.

**strogv** · 03.06.2008, 10:58

Все выполнила по вашему совету. Карантин загрузила. Присоединяю повторно выполненные 3 скрипта. На данный момент активности с компьютера не наблюдается и Касперский не ругается. Но жду вашего заключения. Спасибо.

**Rene-gad** · 03.06.2008, 11:20

Пофикксите

Код:

O2 - BHO: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9801AC0-209D-4D82-882B-BE0B5A5C8BB3}: NameServer = 200.200.200.60,200.200.200.130
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\

Перегузитесь и повторите лог Хайджека.

**strogv** · 03.06.2008, 11:44

Спасибо за помощь. Пофиксила все, что вы рекомендовали кроме строки O17 - HKLM\System\CCS\Services\Tcpip\..\{D9801AC0-209D-4D82-882B-BE0B5A5C8BB3}: NameServer = 200.200.200.60,200.200.200.130. Это правильная строка. IP адреса нашей локальной сети. Так уж из-древна повелось и не хочется пока тревожить свою лок. сеть. Надеюсь теперь уже все. На всякий случай лог последний присоединяю. Еще раз спасибо.

**Rene-gad** · 03.06.2008, 11:54

Сообщение от strogv

Пофиксила все, что вы рекомендовали кроме строки O17 - HKLM\System\CCS\Services\Tcpip\..\{D9801AC0-209D-4D82-882B-BE0B5A5C8BB3}: NameServer = 200.200.200.60,200.200.200.130. Это правильная строка. IP адреса нашей локальной сети.

Пусть будет по Вашему, хотя этот адрес зарегистрирован в Уругвае для сетей в Южной Америке

Код:

OrgName:    Latin American and Caribbean IP address Regional Registry 
OrgID:      LACNIC
Address:    Rambla Republica de Mexico 6125
City:       Montevideo
StateProv:  
PostalCode: 11400
Country:    UY

http://ws.arin.net/whois/?queryinput=200.255.255.255

Так или эдак - систему обновить в ближайшее время необходимо

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Если проблем не наблюдается, то нам было бы интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".