-
Junior Member
- Вес репутации
- 59
Файлы w32sys4 и Isdelete...
Проблема такая: при работе на ноуте Acer 5100 раз в 20 минут вылетает ошибка Services.exe и ноут ребутится. Стоял Norton 2005 благополучно ничего не увидел, после чего был также благополучно снесен. Прошелся Adaware... что-то удалил, а что-то осталось. В частности мне не нравятся эти 2 файла w32sys4.exe и Isdelete.exe. Жду помощи и советов, как избавится от этой гадости. Заранее благодарен за помощь!
Последний раз редактировалось AMD; 05.06.2008 в 16:47.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Вы IceSword на этом компьютере запускали?
Отключите антивирус и интернет!
Скачать,меню,File,появится аналог проводника,найти:Yir76.sys,правая кнопка мыши Force Delete.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
QuarantineFile('C:\DOCUME~1\ztv\LOCALS~1\Temp\csrssc.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Paj08.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('C:\WINDOWS\system32\diperto5cbf-2331.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Yir76.sys','');
QuarantineFile('C:\WINDOWS\system32\hd783fdg.dll','');
DeleteService('Yir76');
DeleteService('diperto5cbf-2331');
DeleteService('Paj08');
DeleteFile('C:\WINDOWS\system32\hd783fdg.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Yir76.sys');
DeleteFile('C:\WINDOWS\system32\diperto5cbf-2331.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Paj08.sys');
DeleteFile('C:\DOCUME~1\ztv\LOCALS~1\Temp\csrssc.exe');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Yir76 ');
BC_DeleteSvc('diperto5cbf-2331 ');
BC_DeleteSvc('Paj08 ');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22962
Повторите логи.
Это ваш провайдер:
Код:
Japan Network Information Center
Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda
Chiyoda-ku, Tokyo 101-0047, Japan
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
Гриша
Вы IceSword на этом компьютере запускали?
Запускал
Карантин отправил. Логи прикрепляю...
Последний раз редактировалось AMD; 10.06.2008 в 12:01.
-
В карантине был только Paj08.sys-совсем свежий гад
Пофиксить
Код:
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
Повтор:Это ваш провайдер
Код:
Japan Network Information Center
Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda
Chiyoda-ku, Tokyo 101-0047, Japan
Ip6Fw.sys пришлите согласно приложению 2 правил
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
Гриша
В карантине был только Paj08.sys-совсем свежий гад
Пофиксить
Код:
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
Сообщение от
Гриша
Ip6Fw.sys пришлите согласно приложению 2 правил
Спасибо большое! Продолжу лечение только в понедельник ибо ноут остался на работе, тогда же и пришлю карантин...
Сообщение от
Гриша
Повтор:Это ваш провайдер
Код:
Japan Network Information Center
Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda
Chiyoda-ku, Tokyo 101-0047, Japan
Нет не мой...
-
Junior Member
- Вес репутации
- 59
Карантин отправил, WinLogon пофиксил...На всякий случай прикрепляю сегодняшние логи.
Последний раз редактировалось AMD; 10.06.2008 в 12:01.
-
пофиксите ...
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F6502DE-6FC8-4C34-BA7C-1F493F40FFDB}: NameServer = 150.63.3.240
O17 - HKLM\System\CCS\Services\Tcpip\..\{6BCF5523-7BEF-4E45-A865-6CD230BF8EF5}: NameServer = 150.63.3.240
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DC6BF62-37F5-439D-A178-D0CFEC9902FD}: NameServer = 150.63.3.240
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0ED61BA-ECB4-4092-989A-A8E489236F84}: NameServer = 150.63.3.240
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDBFDFED-99A0-4970-8CF7-8C58A3D3D24A}: NameServer = 150.63.3.240
O17 - HKLM\System\CS1\Services\Tcpip\..\{3F6502DE-6FC8-4C34-BA7C-1F493F40FFDB}: NameServer = 150.63.3.240
больше ничего подозрительного ...
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
V_Bond
пофиксите ...
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F6502DE-6FC8-4C34-BA7C-1F493F40FFDB}: NameServer = 150.63.3.240
O17 - HKLM\System\CCS\Services\Tcpip\..\{6BCF5523-7BEF-4E45-A865-6CD230BF8EF5}: NameServer = 150.63.3.240
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DC6BF62-37F5-439D-A178-D0CFEC9902FD}: NameServer = 150.63.3.240
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0ED61BA-ECB4-4092-989A-A8E489236F84}: NameServer = 150.63.3.240
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDBFDFED-99A0-4970-8CF7-8C58A3D3D24A}: NameServer = 150.63.3.240
O17 - HKLM\System\CS1\Services\Tcpip\..\{3F6502DE-6FC8-4C34-BA7C-1F493F40FFDB}: NameServer = 150.63.3.240
больше ничего подозрительного ...
Ага сделал! Еще раз всем спасибо за помощь!!!