dr.web ругает perfc000.dat, и никак его не удалить, почитал форум, но описаное решение мне не помогло.
Printable View
dr.web ругает perfc000.dat, и никак его не удалить, почитал форум, но описаное решение мне не помогло.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\setup.exe','');
QuarantineFile('E:\WINDOWS\system32\perfc000.dat','');
QuarantineFile('E:\DOCUME~1\Den\LOCALS~1\Temp\crasos.exe','');
QuarantineFile('C:\Windows\xpupdate.exe','');
QuarantineFile('e:\windows\system32\rundll32.dll','');
QuarantineFile('e:\windows\perfmon.exe','');
DeleteFile('E:\DOCUME~1\Den\LOCALS~1\Temp\crasos.exe');
DeleteFile('E:\WINDOWS\system32\perfc000.dat');
DeleteFile('E:\WINDOWS\setup.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Потом ещё один
[CODE]begin
BC_DeleteSvc('Performance Monitor');
BC_DeleteFile('E:\WINDOWS\perfmon.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Повторите логи.
@Dipi
Вдогонку: пофиксите
[QUOTE]O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - e:\windows\system32\rundll32.dll
O4 - HKCU\..\Run: [gzi2grx57xwgwiv] E:\DOCUME~1\Den\LOCALS~1\Temp\crasos.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O20 - AppInit_DLLs: E:\WINDOWS\system32\perfc000.dat
O20 - Winlogon Notify: wmstream32 - wmstream32.dll (file missing)[/QUOTE]
логи
[QUOTE=Dipi;112122]логи[/QUOTE]
давайте ещё этого друга посмотрим. Предварительно очистите карантин, чтобы не было накладок:
[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('\SystemRoot\System32\Drivers\aw7t6caa.SYS','');
end.[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
BC_DeleteFile('E:\Documents and Settings\Den\Local Settings\Temp\svchostes.exe');
BC_DeleteFile('E:\WINDOWS\perfmon.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] мусор в HijackThis [CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = E:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe[/CODE]Карантин от Вас пока не поступил...
[QUOTE]давайте ещё этого друга посмотрим.[/QUOTE]Это от DAEMON...
[QUOTE]Предварительно очистите карантин[/QUOTE]Ни в коем случае! Пользователь карантин пока не прислал.
карантин отправил
[code]
Здравствуйте,
avz00001.dta, bcqr00011.dat, bcqr00012.dat - Backdoor.Win32.Rbot.ckl,
avz00002.dta - Trojan-Spy.Win32.BZub.if,
avz00003.dta - not-virus:Hoax.Win32.Renos.hn,
bcqr00003.dat, bcqr00004.dat - Backdoor.Win32.Small.os
Эти файлы определяются антивирусом. Обновите антивирусные базы.
avz00004.dta, avz00008.dta, bcqr00009.dat, bcqr00010.dat
Вредоносный код в файлах не обнаружен.
Пожалуйста, при ответе включайте переписку целиком.
--
С уважением, Кирилл Ерахтин
Вирусный аналитик Лаборатории Касперского.
e-mail: [email protected]
http://www.kaspersky.com/
> Attachment: 070525_204502_virus_4657128eb2863.zip
> VirusInfo Из темы http://virusinfo.info/showthread.php?t=10015 070525_204502_virus_4657128eb2863.zip
>
[/code]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] e:\\documents and settings\\den\\local settings\\temp\\svchostes.exe - [B]Trojan-Spy.Win32.BZub.if[/B] (DrWEB: Trojan.PWS.Lineage.2850)[*] e:\\windows\\perfmon.exe - [B]Backdoor.Win32.Rbot.ckl[/B] (DrWEB: Win32.HLLW.MyBot)[*] e:\\windows\\setup.exe - [B]Hoax.Win32.Renos.hn[/B] (DrWEB: Trojan.Fakealert)[*] e:\\windows\\system32\\perfc000.dat - [B]Backdoor.Win32.Small.os[/B] (DrWEB: Trojan.Proxy.1739)[*] e:\\windows\\system32\\rundll32.dll - [B]Trojan-Spy.Win32.BZub.ip[/B] (DrWEB: Trojan.PWS.Tanspy)[/LIST][/LIST]