Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

perfc000.dat, winload.dll (заявка № 10083)

  1. #1
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    12
    Вес репутации
    35

    Question perfc000.dat, winload.dll

    Помогите, пожалуйста,

    1. Предистория (суть в пункте 2)

    Я Установил новый XP неделю назад, сразу же поставил НОД32 2,7 (на сегодня обновление 30,5,2007) и Outpost Security Suite Pro 2007 (5.0.1214.7627.616) все всегда было спокойно НОД молчит (кстати до сиих пор - партизан).
    Оутпост после установки новых програм (яко Adobe, Corel и других) при первом их запуске всегда спрашивал о доступе этих солидных! програм к appinit_dlls. Я, имея новый Оутпост, и доверяя этим почтенным програмам, разумеется разрешал им доступ, не предпологая, что воспользовавшись этими програмами, какой нибудь паразит начнет внедряться мне в систему.

    В последнее время комп стал сильно тормозить и выдывать ошибки (ошибки выдавали разные програмы, наиболее часто EXPLORER.EXE, IEXPLORE.EXE, WUAUCLT.EXE, MAXTHON.EXE, SysMech7.exe).
    Потом попрсился с такой же просьбой (appinit_dlls) какой то c:\windows\zzzx.exe, c:\document and set......temp\9.tmp, и 109x.exe(его я не нашел). Я им отказал (надеюсь).

    Стал смотреть в процессах, в SysMech7 нашел только с:\windows\winload.dll. Стал читать в нете о нем - это вирус! проверил НОДом - говорит, что ничего нету. Удалил

    Поставил Hijack, сканировал - нашел winload winload.dll и с:\windows\perfc000.dat , нажал ФИХ - perfc000.dat остался навсегда. (рисунок capture2)
    Второй день с ним борюсь, ничего не помогает.

    2. Все сделал по Вашим правилам (логи высылаю)

    Да кстати, нашел еще кучу файлов с префиксом perf (capture, capture 3) и еще несколько уже удалил из сис32 с именами perfc009, perfc007
    perfi009, perff003 и в таком духе)

    Да и глянув на лог AVZ понял, что в svchost седит какая то зараза,
    доступ к appinit_dlls я ему запретил, а как на счет доступв к DNS?
    Вложения Вложения

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Еще одно лога не хватает.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\perfc000.dat','');
    QuarantineFile('C:\WINDOWS\svchost.exe','');
     DeleteFile('C:\WINDOWS\system32\perfc000.dat');
     DeleteFile('C:\WINDOWS\svchost.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    Пофиксите в HijackThis (что останется):
    Код:
    O4 - HKLM\..\Run: [Install.exe] C:\WINDOWS\svchost.exe
    O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    После этого сделайте все 3 лога по правилам (п.8 и далее).
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    12
    Вес репутации
    35
    1. Ваш скрипт выполнить неудалось, по-скольку при запуске системы она тут же выключилась, как только я вошел в windows.

    2. Подсоединил хард к другому компу и спокойно удалил c:\windows\zzzx.exe, с:\windows\perfc000.dat и с:\windows\svhost.exe.

    3. На всякий случай заменил с:\windows\system32\svhost.exe, взяв его с другого компа.

    4. Вернул хард на свою машину,(ха - жить стало веселее):
    - комп порезвел
    - перестал ругаться
    - тех злосчастных 3 файла не нашел на местах

    5. Выполнил все по правилам

    6. отфиксил в хийаке с:\windows\svhost.exe

    7. Логи высылаю

    Все ли у меня в порядке теперь незнаю, но меня очень беспокоят оставшиеся файлы с префиксом perf в с:\windows\system32\ и с:\windows\temp\. Посмотрел на других компах они тоже есть.
    Что это за файлы и надо ли их оставлять?
    Если да то как мне быть с тем, что я сражаясь с perfc000.dat убил у себя perfc005.dat и perfc009.dat и прочие 005 009? И что это за расширение .h ? (img1.jpg, img2.jpg)

    Заранее спасибо
    Вложения Вложения

  6. #5
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    12
    Вес репутации
    35
    Форум недает мне присоединить файл virusinfo_cure.zip 162 kb

    virusinfo_cure.zip:
    115.9 Кбайт превысил(а) предел на форуме. Нажмите здесь для просмотра ваших вложений

    нажав на просьотр приложений вижу:

    janhacek, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
    1. Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
    2. Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.

    PLEASE HELP

  7. #6
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Форум недает мне присоединить файл virusinfo_cure.zip
    Этот пришлите по правилам как карантин.

    Лог должен называться virusinfo_syscure.zip
    Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.
    Вы активировали свой аккаунт после регистрации?

  8. #7
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    12
    Вес репутации
    35
    1.
    Цитата Сообщение от MaXim Посмотреть сообщение
    Этот пришлите по правилам как карантин.
    Послал как карантин, как просили (через шапку темы). Извиняюсь, что я не последовал предупреждению о совести, но я понял что вы сами попросили в качестве исключения.

    2.
    Цитата Сообщение от MaXim Посмотреть сообщение
    Лог должен называться virusinfo_syscure.zip
    У меня сам AVZ назвал так файл - virusinfo_cure.zip!
    Мне его нужно было переименовать?

    3.
    Цитата Сообщение от MaXim Посмотреть сообщение
    Вы активировали свой аккаунт после регистрации?
    Нет. До сиих пор, к сожалению, не получил Ваш е-майл с активацией.
    Проверил правильно ли я его указал. Да правильно.
    Пошлите пожалуйста еще раз или предложите другой способ активации.

    С уважением к Вашей работе,
    В ожидании ответов на предыдущее письмо,
    janhacek

  9. #8
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    12
    Вес репутации
    35
    Результат загрузки

    Файл сохранён как070531_221440_virusinfo_cure_465f109051a89.zipР азмер файла165362MD534200bda4e24d227e237de78d4fc1b5eФайл закачан, спасибо!

  10. #9
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Извиняюсь, что я не последовал предупреждению о совести, но я понял что вы сами попросили в качестве исключения.
    О каком предупреждении Вы говорите?
    У меня сам AVZ назвал так файл - virusinfo_cure.zip!
    Ещё должен быть virusinfo_syscure.zip в той же папке.
    Мне его нужно было переименовать?
    Ни чего переименовывать не нужно!
    Нет. До сиих пор, к сожалению, не получил Ваш е-майл с активацией.
    Письмо случайно в спам не попало?

  11. #10
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    12
    Вес репутации
    35
    1. (неважно)
    uote=MaXim;113264]О каком предупреждении Вы говорите?[/quote]
    Когда открываеш форму закачки файлов из шапки темы - крупными буквами:
    Закачать файл
    Имейте совесть, читайте правила!!!
    .......Не нужно закачивать через эту форму логи...........


    2.
    Цитата Сообщение от MaXim Посмотреть сообщение
    Ещё должен быть virusinfo_syscure.zip в той же папке.
    В папке ...\avz4ru\LOG создается у меня только virusinfo_cure.zip, virusinfo_syscheck.htm, virusinfo_syscheck.zip (скриншот и все 3 файла посылаю таким же способом в одном архиве к этой теме)

    Результат загрузки
    Файл сохранён как 070531_234512_virusinfopost_465f25c88d5af.zip
    Размер файла 352798
    MD5 f8a5d4b1475c082652516976348cb039
    Файл закачан, спасибо!


    3.
    Цитата Сообщение от MaXim Посмотреть сообщение
    Письмо случайно в спам не попало?
    Письма проверяю прямо на сервере (ч/з веб-интерфейс, не через мэйл-клиента), функция антиспама отключена, папка СПАМ пуста.
    Может конечно сами владельцы моего майл-сервиса банят по каким то параметрам, хотя с регистрациями у меня проблем раньше не возникало
    Последний раз редактировалось janhacek; 01.06.2007 в 00:19.

  12. #11
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Не нужно закачивать через эту форму логи
    Это был не лог, а карантин.
    Письма проверяю прямо на сервере (ч/з веб-интерфейс, не через мэйл-клиента), функция антиспама отключена, папка СПАМ пуста.
    Странно. Запросите ещё раз подтверждение активации (где-то в настройках Вашего профиля должно быть).

  13. #12
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    12
    Вес репутации
    35
    Цитата Сообщение от MaXim Посмотреть сообщение
    Это был не лог, а карантин.Странно. Запросите ещё раз подтверждение активации (где-то в настройках Вашего профиля должно быть).
    Во всех пунктах моего профиля (кроме Редактировать email и пароль) сообщение:
    ...вы не имеете прав для доступа к этой странице...

  14. #13
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    12
    Вес репутации
    35
    Ну активацию можно решить и потом, для меня сегодня важнее здоровье компьютера.

  15. #14
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    12
    Вес репутации
    35
    Пожалуйста, помогите мне. Я пятый день страдаю, комп все еще шалит. Интернет пашет с перерывами, да и проги отказывают.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    1.Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\svchost.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    2.Сделать новые 3 лога и прикрепить к Вашему следующему ответу . Если места не хватает, то удалить старые логи.
    Последний раз редактировалось drongo; 04.06.2007 в 19:34.

  17. #16
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    12
    Вес репутации
    35
    1. Выполнил (хотя от 'C:\WINDOWS\svchost.exe' избавился давно (см. сообщение #4 ))

    2. Все снова сделал по правилам (AVZ, AVZ, Hijak)

    3. Логи высылаю (Приложением не удается (см. сообщение #5 ) так что высылаю все 3 файла через карантин
    Цитата Сообщение от MaXim Посмотреть сообщение
    Этот пришлите по правилам как карантин.
    Результат загрузки
    Файл сохранён как 070606_200206_06.06.07_4666da7e447a0.zip
    Размер файла 186688
    MD5 a9ccf9672dbd9e6f55d2b9173b196b26
    Файл закачан, спасибо!


    4. Хотел бы получить ответ на вопрос в п.7 сообщение #4 . Да и комп чего то шалит и IE внезапно перестает работать (хотя USDownloader продолжает качать). ????? После перезагрузки начинает снова все работать.
    Вложения Вложения

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Мне в логах не понравилось одновременный контроль протоколов Инета Outpostom и NOD.

    "Грустно, но мы так и не услышали начальника транспортного цеха" (с) Жванецкий.

    Нет, даже в карантине, третьего протокола. Трудно без него разбираться.
    Последний раз редактировалось PavelA; 07.06.2007 в 11:19.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2265
    Цитата Сообщение от janhacek Посмотреть сообщение
    Ну активацию можно решить и потом, для меня сегодня важнее здоровье компьютера.
    Активировал вручную.

  20. #19
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    12
    Вес репутации
    35
    1.
    Цитата Сообщение от PavelA Посмотреть сообщение
    Мне в логах не понравилось одновременный контроль протоколов Инета Outpostom и NOD.
    А как это исправить? (так чтобы всем нравилось)

    2.
    Цитата Сообщение от PavelA Посмотреть сообщение
    "Грустно, но мы так и не услышали начальника транспортного цеха" (с) Жванецкий.Нет, даже в карантине, третьего протокола.
    Я уже писал
    Цитата Сообщение от janhacek Посмотреть сообщение
    В папке ...\avz4ru\LOG создается у меня только virusinfo_cure.zip, virusinfo_syscheck.htm, virusinfo_syscheck.zip
    так посоветуйте где же мне взять этот сискаа, ведь выполняю в AVZ именно те скрипты, о которых написано в правилах.

    3.
    Цитата Сообщение от anton_dr Посмотреть сообщение
    Активировал вручную.
    Покорнейше благодарю, аккаунт работает

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    8. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.

  • Уважаемый(ая) janhacek, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. нужна помощь с perfc000.dat
      От mapku3 в разделе Помогите!
      Ответов: 30
      Последнее сообщение: 22.02.2009, 02:09
    2. Вирус в perfc000.dat
      От e_aleks в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 22.02.2009, 01:46
    3. perfc000.dat
      От Actek в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 01:45
    4. perfc000.dat ко Дню Победы!!!
      От Valerrr в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 15.05.2007, 13:37
    5. Помогите разобраться с perfc000.dat
      От Revir в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 13.05.2007, 14:32

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00845 seconds with 24 queries