Тоже замучил totour.exe

Добрый день!

WinXPSP2, стоят НОД и Аутпост.

Totour.exe появляется в system32, блокируется и удаляется НОДом, но успевает сделать dll с абракадаброй в названии, и этот dll - что-то нехорошее сделать с LSP, что связь через браузер блокирется. LSP восстанавливаю утилитой, все ОК. Через какое-то время, снова при запуске IE, НОД снова ругается на dll, созданный totour.exe... И все по новой... Вирусов не обнаруживаю.

Еще одна проблема - не могу сделать большой лог при помощи AVZ. Не знаю, с этим ли вирусом это связано, или уже просто мой глюк... Хотя закрыто все, в самом конце проверки комп повисает, и выскакивает синий экран с ошибкой. Так 2 раза подряд, после часовой проверки. Вот кое-что с экрана:

[QUOTE]
KERNEL_DATA_INPAGE_ERROR
...
atapi.sys - address F7395384 base at F7388000 datestamp 4110764d
[/QUOTE]
Прикладываю второй лог AVZ и лог HJThis...

Буду очень рад записать первый лог AVZ и сделаю это, если кто-нибудь посоветует, как... :embarasse

Пришлите по правилам файл
[b]C:\WINDOWS\system32\ntoskrnl.exe[/b]
Похоже, патченный...

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Сделайте дополнительный лог в безопасном режиме, как написано тут:
[url]http://virusinfo.info/showthread.php?t=10387[/url]

Bratez, спасибо за ответ.

Файл прислал по правилам, он, кстати, копироваться (именно копироваться, не перемещаться) в другую папку не хотел, только в безопасном режиме удалось его "отцепить".

Прикладываю логи.

(script1.txt - это текст из окна AVZ после скрипта 1 в безопасном режиме, скопированный мной в блокнот, т.к. лога никакого после скрипта не сохранилось.)

(script1b.txt - тоже результат выполнения скрипта 1, но в обычном режиме)

выполните скрипт....
[code]
begin
QuarantineFile('\??\C:\WINDOWS\System32\MLPTDR_C.SYS','');
QuarantineFile('\??\C:\WINDOWS\system32\drivers\REMOVE.SYS','');
QuarantineFile('C:\fwdrv.sys','');
BC_QrSvc('fwdrv.sys');
BC_QrSvc('MLPTDR_C');
BC_QrSvc('REMOVE');
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

ntoskrnl.exe -[B]Trojan.Win32.Patched.au[/B] - лечится касперским ... но лучше заменить на чистый... [B]внимание [/B]этот файл системный его удалять нельзя ....

[B]V_Bond[/B], спасибо, буду разбираться с ntoskrnl.exe

Карантин выслал (там еще пара файлов в него "влезла", я не стал удалять).

"Поврежденный архив"

Прошу прощения, я дважды его закачивал. Один раз через такую ссылку темы: .../showthread.php?t=147685. У меня порвалась связь, и думаю, он и оказался поврежденным. Второй раз через ссылку темы .../showthread.php?t=13879, тут мне сообщили, что он был закачан, и у меня этот файл открывается.

Могу еще раз закачать. Надо?

Soloilya, ntoskrnl.exe лечится CureIt. Читайте 2-й пункт Правил.
Лечите в безопасном режиме загрузки.

заново не стоит ..
в карантин попало 2 файла...
Documents and Settings\Ilya\Мои документы\OLD Docs\OLD work\переводы\NORD\sent\TEC_PDW_noblesse_1_2004.doc чистый
C:\WINDOWS\System32\MLPTDR_C.SYS чистый

[quote=AndreyKa;147796]Soloilya, ntoskrnl.exe лечится CureIt. Читайте 2-й пункт Правил.[/quote]

Спасибо, попробую. Это в безопасном режиме лучше (или нужно) делать, да?

И в обычном должно работать - выполните не "экпресс", а "полную" проверку главное

Да, можно и в обычном попробовть, только антивирус надо отключить.

[quote=V_Bond;147797]в карантин попало 2 файла...[/quote]

Прошу прощения, что-то недокарантинил...
Провел еще раз, закачал новый файл с карантином...

[size="1"][color="#666686"][B][I]Добавлено через 53 секунды[/I][/B][/color][/size]

[B]rubin, AndreyKa, [/B]спасибо, буду пробовать.

CureIt нашел и разобрался:
[QUOTE]
ntkrnlpa.exe C:\WINDOWS\system32 Trojan.Spambot.2450 Исцелен.
ntoskrnl.exe C:\WINDOWS\system32 Trojan.Spambot.2450 Исцелен.
sysdrv6.exe C:\WINDOWS\system32 Trojan.PWS.Tanspy Удален.
[/QUOTE]

Вирус перестал меня беспокоить - по всей видимости, исчез! Ура! :D

А что с моим вторым карантином? На всякий случай хотелось бы знать все же...

Вы посмотрите на пост [b]V_Bond[/b]... Он уже про него ответил :)

>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: разрешен автоматический вход в систему

Что Вам не нужно из этого списка?

[b]rubin,[/b] подскажете, где их включают/отключают? Хочу посмотреть и поотключать ненужное...

можно посмотреть [URL="http://wiki.oszone.net/index.php/Службы_Windows_XP"] тут [/URL] , а можно написать скрипт ...

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\ntoskrnl.exe - [B]Trojan.Win32.Patched.au[/B] (DrWEB: Trojan.Spambot.2450)[/LIST][/LIST]