Показано с 1 по 16 из 16.

Win32.HLLM.Perf (заявка № 9974)

  1. #1
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    175
    Вес репутации
    37

    Thumbs up Win32.HLLM.Perf

    Пока еще сам не научился технологии вылавливания пакости, прошу снова помощи.
    Последний раз редактировалось Rogoff; 31.07.2007 в 06:32.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINNT\wc98pp.dll','');
     QuarantineFile('C:\WINNT\System32\iuctl.dll','');
     QuarantineFile('C:\PROGRA~1\GISMET~1\GISMET~1.DLL','');
     QuarantineFile('C:\WINNT\system32\qwe0486.dll','');
     QuarantineFile('C:\WINNT\2_0_1browserhelper2.dll','');
     QuarantineFile('C:\WINNT\twaintec.dll','');
     QuarantineFile('C:\WINNT\system32\nwiz.exe','');
     QuarantineFile('\SystemRoot\system32\ckldrv.sys','');
     QuarantineFile('C:\WINNT\system32\msr2ca.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
     QuarantineFile('C:\WINNT\csrss.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=9974
    Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    R3 - URLSearchHook: MraSearch Class - {30DA811B-BCBF-4aa7-B5E3-CEE0E03EF2B2} - C:\WINNT\SYSTEM\mraSearch.dll (file missing)
    O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINNT\twaintec.dll (file missing)
    O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINNT\2_0_1browserhelper2.dll (file missing)
    O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
    O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717177650486} - C:\WINNT\system32\qwe0486.dll (file missing)
    O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.terra.es/personal9/eroplis/rd/chm/files.chm::/file.exe
    O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\Documents and Settings\Anton\Local Settings\Temp\EI40_\msxml4.cab
    O20 - AppInit_DLLs: C:\WINNT\system32\msr2ca.dll
    O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)
    Каспер больно ругается на одну строчку, даже в текстовом формате.
    Последний раз редактировалось drongo; 24.05.2007 в 10:44.

  4. #3
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    175
    Вес репутации
    37
    Ошибка: Not enough actual parameters в позиции 14:16

    нашел ошибку по аналогии с другими строками.
    Последний раз редактировалось Rogoff; 24.05.2007 в 10:44.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636
    Цитата Сообщение от Rogoff Посмотреть сообщение
    Ошибка: Not enough actual parameters в позиции 14:16
    исправлено

  6. #5
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    175
    Вес репутации
    37
    скрипт выполнил, строки пофиксил, но при выполнении hijack выдал ошибку.

    Новые логи делать? Карантин засылать?

  7. #6
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Новые логи делать? Карантин засылать?
    Мой коллега Вам дал все необходимые инструкции.

  8. #7
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    175
    Вес репутации
    37
    да ,заметил, первый пост изменился. По правилам нужно засылать запрошенные файлы. Их список я так понимаю беру из скрипта?

    Файл сохранён как 070524_114303_virus_465542071e9bc.zip
    Размер файла 2121713
    MD58ed9a95e5c16c02fd19ec76becc87a35

  9. #8
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Их список я так понимаю беру из скрипта?
    Скрипт нужно было выполнить!

  10. #9
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    175
    Вес репутации
    37
    Цитата Сообщение от MaXim Посмотреть сообщение
    Скрипт нужно было выполнить!
    см. 5 сообщение. все выполнено. делаю еще раз.

  11. #10
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    делаю еще раз.
    Не надо! Я думал Вы вместо скрипта вручную копировали эти файлы.

  12. #11
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    175
    Вес репутации
    37
    Цитата Сообщение от MaXim Посмотреть сообщение
    Не надо! Я думал Вы вместо скрипта вручную копировали эти файлы.
    Так, а я скрипт снова выполнил. Значит засылать ничего пока не буду. Жду дальнейших указаний

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    У вас был Email-Worm.Win32.Scano и Trojan-Proxy.Win32.Xorpix.u.
    Часть работы уже сделала AVZ при создании логов.
    Выполните такой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINNT\csrss.exe');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
     DeleteFile('C:\WINNT\system32\msr2ca.dll');
     DeleteFile('C:\WINNT\system32\qwe0486.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(9);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки сделайте новые логи.
    I am not young enough to know everything...

  14. #13
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    175
    Вес репутации
    37
    скрипт выполнил, логи прикрепил. Проверить систему антивирусом?
    Последний раз редактировалось Rogoff; 31.07.2007 в 06:32.

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Нормально, только одного мы пропустили...

    1. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINNT\Mstray.exe');
     BC_DeleteFile('C:\WINNT\Mstray.exe');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    2. Пофиксите в HijackThis (второй строки может и не быть):
    Код:
    O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717177650486} - C:\WINNT\system32\qwe0486.dll (file missing)
    O4 - HKLM\..\Run: [RavTimeXP] C:\WINNT\Mstray.exe
    3. Дополнительные рекомендации:

    Насколько я понимаю, программа PC-cillin 2000 от Trend Micro у вас когда-то стояла, а теперь ее нет, но в списке служб она так и болтается. Для удаления выполните скрипт:
    Код:
    begin
    BC_DeleteSvc('Tmntsrv');
    BC_Activate;
    RebootWindows(true);
    end.
    и после перезагрузки удалите папку C:\Program Files\Trend Micro.
    Также рекомендую пересмотреть список системных служб, многое можно было бы отключить для повышения безопасности и улучшения производительности, например это:
    Код:
    O23 - Service: Служба факсов (Fax) - Корпорация Майкрософт - C:\WINNT\system32\faxsvc.exe
    O23 - Service: Служба сообщений (Messenger) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
    O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINNT\System32\mnmsrvc.exe
    O23 - Service: Планировщик заданий (Schedule) - Корпорация Майкрософт - C:\WINNT\system32\MSTask.exe
    O23 - Service: Служба RunAs (seclogon) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINNT\system32\tlntsvr.exe
    а если локальная сеть не используется для доступа к ресурсам других компьютеров (или других к вашему), то еще и это:
    Код:
    O23 - Service: Обозреватель компьютеров (Browser) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
    O23 - Service: Сервер (lanmanserver) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
    O23 - Service: Служба поддержки TCP/IP NetBIOS (LmHosts) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
    O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
    O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
    O23 - Service: Сетевой вход в систему (Netlogon) - Корпорация Майкрософт - C:\WINNT\System32\lsass.exe
    4. После всех манипуляций сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  16. #15
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    175
    Вес репутации
    37
    скрипты выполнил, логи прилагаю
    Последний раз редактировалось Rogoff; 31.07.2007 в 06:32.

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Очень хорошо. В логах больше ничего подозрительного нет.
    I am not young enough to know everything...

  • Уважаемый(ая) Rogoff, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Был Win32.HLLM.Perf, теперь последствия....
      От ИТАР-ТАСС в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 22.02.2009, 01:36
    2. сидит вирус win32.hllm.perf
      От denlion в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 09.05.2007, 00:15
    3. Ответов: 6
      Последнее сообщение: 05.11.2006, 14:33
    4. Win32.HLLM.Perf.
      От bzyaka в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 02.11.2006, 18:09
    5. Win32.HLLM.Perf.based... и еще кто-то
      От Юзер в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 15.05.2006, 21:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00542 seconds with 22 queries