Файлы w32sys4 и Isdelete...

**AMD** · 16.05.2008, 15:50

Проблема такая: при работе на ноуте Acer 5100 раз в 20 минут вылетает ошибка Services.exe и ноут ребутится. Стоял Norton 2005 благополучно ничего не увидел, после чего был также благополучно снесен. Прошелся Adaware... что-то удалил, а что-то осталось. В частности мне не нравятся эти 2 файла w32sys4.exe и Isdelete.exe. Жду помощи и советов, как избавится от этой гадости. Заранее благодарен за помощь!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Гриша** · 16.05.2008, 15:59

Вы IceSword на этом компьютере запускали?

Отключите антивирус и интернет!

Скачать,меню,File,появится аналог проводника,найти:Yir76.sys,правая кнопка мыши Force Delete.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
QuarantineFile('C:\DOCUME~1\ztv\LOCALS~1\Temp\csrssc.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Paj08.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('C:\WINDOWS\system32\diperto5cbf-2331.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Yir76.sys','');
QuarantineFile('C:\WINDOWS\system32\hd783fdg.dll','');  
DeleteService('Yir76');
DeleteService('diperto5cbf-2331');
DeleteService('Paj08');    
DeleteFile('C:\WINDOWS\system32\hd783fdg.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Yir76.sys');
DeleteFile('C:\WINDOWS\system32\diperto5cbf-2331.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Paj08.sys');
DeleteFile('C:\DOCUME~1\ztv\LOCALS~1\Temp\csrssc.exe');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
BC_ImportALL;  
ExecuteSysClean;
BC_DeleteSvc('Yir76 ');
BC_DeleteSvc('diperto5cbf-2331 ');
BC_DeleteSvc('Paj08 ');    
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22962

Повторите логи.

Это ваш провайдер:

Код:

Japan Network Information Center
Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda
Chiyoda-ku, Tokyo 101-0047, Japan

**AMD** · 16.05.2008, 16:52

Сообщение от Гриша

Вы IceSword на этом компьютере запускали?

Запускал

Карантин отправил. Логи прикрепляю...

**Гриша** · 16.05.2008, 17:00

В карантине был только Paj08.sys-совсем свежий гад

Пофиксить

Код:

O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\

Повтор:Это ваш провайдер

Код:

Japan Network Information Center
Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda
Chiyoda-ku, Tokyo 101-0047, Japan

Ip6Fw.sys пришлите согласно приложению 2 правил

**AMD** · 17.05.2008, 13:23

Сообщение от Гриша

В карантине был только Paj08.sys-совсем свежий гад

Пофиксить

Код:

O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\

Сообщение от Гриша

Ip6Fw.sys пришлите согласно приложению 2 правил

Спасибо большое! Продолжу лечение только в понедельник ибо ноут остался на работе, тогда же и пришлю карантин...

Сообщение от Гриша

Повтор:Это ваш провайдер

Код:

Japan Network Information Center
Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda
Chiyoda-ku, Tokyo 101-0047, Japan

Нет не мой...

**AMD** · 19.05.2008, 10:32

Карантин отправил, WinLogon пофиксил...На всякий случай прикрепляю сегодняшние логи.

**V_Bond** · 19.05.2008, 10:41

пофиксите ...

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{3F6502DE-6FC8-4C34-BA7C-1F493F40FFDB}: NameServer = 150.63.3.240
O17 - HKLM\System\CCS\Services\Tcpip\..\{6BCF5523-7BEF-4E45-A865-6CD230BF8EF5}: NameServer = 150.63.3.240
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DC6BF62-37F5-439D-A178-D0CFEC9902FD}: NameServer = 150.63.3.240
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0ED61BA-ECB4-4092-989A-A8E489236F84}: NameServer = 150.63.3.240
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDBFDFED-99A0-4970-8CF7-8C58A3D3D24A}: NameServer = 150.63.3.240
O17 - HKLM\System\CS1\Services\Tcpip\..\{3F6502DE-6FC8-4C34-BA7C-1F493F40FFDB}: NameServer = 150.63.3.240

больше ничего подозрительного ...

**AMD** · 19.05.2008, 10:56

Сообщение от V_Bond

пофиксите ...

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{3F6502DE-6FC8-4C34-BA7C-1F493F40FFDB}: NameServer = 150.63.3.240
O17 - HKLM\System\CCS\Services\Tcpip\..\{6BCF5523-7BEF-4E45-A865-6CD230BF8EF5}: NameServer = 150.63.3.240
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DC6BF62-37F5-439D-A178-D0CFEC9902FD}: NameServer = 150.63.3.240
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0ED61BA-ECB4-4092-989A-A8E489236F84}: NameServer = 150.63.3.240
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDBFDFED-99A0-4970-8CF7-8C58A3D3D24A}: NameServer = 150.63.3.240
O17 - HKLM\System\CS1\Services\Tcpip\..\{3F6502DE-6FC8-4C34-BA7C-1F493F40FFDB}: NameServer = 150.63.3.240

больше ничего подозрительного ...

Ага сделал! Еще раз всем спасибо за помощь!!!

Файлы w32sys4 и Isdelete... (заявка № 22962)

Опции темы

Файлы w32sys4 и Isdelete...

Похожие темы

неизвестные файлы на флешке, плохо удаляються куки файлы

Не открываются текстовые файлы и изображения и к ним создались файлы с расшир. drweb

Как вылечить ехе-файлы от вируса Neshta.A virus не удаляя сами файлы?

вирусы файлф типа wind32.exe, w32sys4, w32sys2 и т.д

вирус Hacktool.Rookit кушает файлы wincab.sys и файлы temp .sys

Ваши права в разделе