Тоже замучил totour.exe

[soloilya]

Добрый день!

WinXPSP2, стоят НОД и Аутпост.

Totour.exe появляется в system32, блокируется и удаляется НОДом, но успевает сделать dll с абракадаброй в названии, и этот dll - что-то нехорошее сделать с LSP, что связь через браузер блокирется. LSP восстанавливаю утилитой, все ОК. Через какое-то время, снова при запуске IE, НОД снова ругается на dll, созданный totour.exe... И все по новой... Вирусов не обнаруживаю.

Еще одна проблема - не могу сделать большой лог при помощи AVZ. Не знаю, с этим ли вирусом это связано, или уже просто мой глюк... Хотя закрыто все, в самом конце проверки комп повисает, и выскакивает синий экран с ошибкой. Так 2 раза подряд, после часовой проверки. Вот кое-что с экрана:

KERNEL_DATA_INPAGE_ERROR
...
atapi.sys - address F7395384 base at F7388000 datestamp 4110764d

Прикладываю второй лог AVZ и лог HJThis...

Буду очень рад записать первый лог AVZ и сделаю это, если кто-нибудь посоветует, как...

[Bratez]

Пришлите по правилам файл
C:\WINDOWS\system32\ntoskrnl.exe
Похоже, патченный...

Добавлено через 2 минуты

Сделайте дополнительный лог в безопасном режиме, как написано тут:
http://virusinfo.info/showthread.php?t=10387

[soloilya]

Bratez, спасибо за ответ.

Файл прислал по правилам, он, кстати, копироваться (именно копироваться, не перемещаться) в другую папку не хотел, только в безопасном режиме удалось его "отцепить".

Прикладываю логи.

(script1.txt - это текст из окна AVZ после скрипта 1 в безопасном режиме, скопированный мной в блокнот, т.к. лога никакого после скрипта не сохранилось.)

[soloilya]

(script1b.txt - тоже результат выполнения скрипта 1, но в обычном режиме)

[V_Bond]

выполните скрипт....

Код:

begin
 QuarantineFile('\??\C:\WINDOWS\System32\MLPTDR_C.SYS','');
 QuarantineFile('\??\C:\WINDOWS\system32\drivers\REMOVE.SYS','');
 QuarantineFile('C:\fwdrv.sys','');
 BC_QrSvc('fwdrv.sys'); 
 BC_QrSvc('MLPTDR_C');
 BC_QrSvc('REMOVE');
 BC_Activate;
 RebootWindows(true);
 end.

пришлите карантин согласно приложения 3 правил...

Добавлено через 6 минут

ntoskrnl.exe -Trojan.Win32.Patched.au - лечится касперским ... но лучше заменить на чистый... внимание этот файл системный его удалять нельзя ....

[soloilya]

V_Bond, спасибо, буду разбираться с ntoskrnl.exe

Карантин выслал (там еще пара файлов в него "влезла", я не стал удалять).

[rubin]

"Поврежденный архив"

[soloilya]

Прошу прощения, я дважды его закачивал. Один раз через такую ссылку темы: .../showthread.php?t=147685. У меня порвалась связь, и думаю, он и оказался поврежденным. Второй раз через ссылку темы .../showthread.php?t=13879, тут мне сообщили, что он был закачан, и у меня этот файл открывается.

Могу еще раз закачать. Надо?

[AndreyKa]

Soloilya, ntoskrnl.exe лечится CureIt. Читайте 2-й пункт Правил.
Лечите в безопасном режиме загрузки.

[V_Bond]

заново не стоит ..
в карантин попало 2 файла...
Documents and Settings\Ilya\Мои документы\OLD Docs\OLD work\переводы\NORD\sent\TEC_PDW_noblesse_1_2004.do c чистый
C:\WINDOWS\System32\MLPTDR_C.SYS чистый

[soloilya]

Soloilya, ntoskrnl.exe лечится CureIt. Читайте 2-й пункт Правил.

Спасибо, попробую. Это в безопасном режиме лучше (или нужно) делать, да?

[rubin]

И в обычном должно работать - выполните не "экпресс", а "полную" проверку главное

[AndreyKa]

Да, можно и в обычном попробовть, только антивирус надо отключить.

[soloilya]

в карантин попало 2 файла...

Прошу прощения, что-то недокарантинил...
Провел еще раз, закачал новый файл с карантином...

Добавлено через 53 секунды

rubin, AndreyKa, спасибо, буду пробовать.

[soloilya]

CureIt нашел и разобрался:

ntkrnlpa.exe C:\WINDOWS\system32 Trojan.Spambot.2450 Исцелен.
ntoskrnl.exe C:\WINDOWS\system32 Trojan.Spambot.2450 Исцелен.
sysdrv6.exe C:\WINDOWS\system32 Trojan.PWS.Tanspy Удален.

Вирус перестал меня беспокоить - по всей видимости, исчез! Ура!

А что с моим вторым карантином? На всякий случай хотелось бы знать все же...

[rubin]

Вы посмотрите на пост V_Bond... Он уже про него ответил

>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: разрешен автоматический вход в систему

Что Вам не нужно из этого списка?

[soloilya]

rubin, подскажете, где их включают/отключают? Хочу посмотреть и поотключать ненужное...

[V_Bond]

можно посмотреть тут , а можно написать скрипт ...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 10
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\ntoskrnl.exe - Trojan.Win32.Patched.au (DrWEB: Trojan.Spambot.2450)