perfc000.dat, winload.dll

Помогите, пожалуйста,

1. Предистория (суть в пункте 2)

Я Установил новый XP неделю назад, сразу же поставил НОД32 2,7 (на сегодня обновление 30,5,2007) и Outpost Security Suite Pro 2007 (5.0.1214.7627.616) все всегда было спокойно НОД молчит (кстати до сиих пор - партизан).
Оутпост после установки новых програм (яко Adobe, Corel и других) при первом их запуске всегда спрашивал о доступе этих солидных! програм к appinit_dlls. Я, имея новый Оутпост, и доверяя этим почтенным програмам, разумеется разрешал им доступ, не предпологая, что воспользовавшись этими програмами, какой нибудь паразит начнет внедряться мне в систему.

В последнее время комп стал сильно тормозить и выдывать ошибки (ошибки выдавали разные програмы, наиболее часто EXPLORER.EXE, IEXPLORE.EXE, WUAUCLT.EXE, MAXTHON.EXE, SysMech7.exe).
Потом попрсился с такой же просьбой (appinit_dlls) какой то c:\windows\zzzx.exe, c:\document and set......temp\9.tmp, и 109x.exe(его я не нашел). Я им отказал (надеюсь).

Стал смотреть в процессах, в SysMech7 нашел только с:\windows\winload.dll. Стал читать в нете о нем - это вирус! проверил НОДом - говорит, что ничего нету. Удалил

Поставил Hijack, сканировал - нашел winload winload.dll и с:\windows\perfc000.dat , нажал ФИХ - perfc000.dat остался навсегда. (рисунок capture2)
Второй день с ним борюсь, ничего не помогает.

2. Все сделал по Вашим правилам (логи высылаю)

Да кстати, нашел еще кучу файлов с префиксом perf (capture, capture 3) и еще несколько уже удалил из сис32 с именами perfc009, perfc007
perfi009, perff003 и в таком духе)

Да и глянув на лог AVZ понял, что в svchost седит какая то зараза,
доступ к appinit_dlls я ему запретил, а как на счет доступв к DNS?

Еще одно лога не хватает.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\perfc000.dat','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
DeleteFile('C:\WINDOWS\system32\perfc000.dat');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Пофиксите в HijackThis (что останется):
[code]
O4 - HKLM\..\Run: [Install.exe] C:\WINDOWS\svchost.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
[/code]
После этого сделайте все 3 лога по правилам (п.8 и далее).

1. Ваш скрипт выполнить неудалось, по-скольку при запуске системы она тут же выключилась, как только я вошел в windows.

2. Подсоединил хард к другому компу и спокойно удалил [I]c:\windows\zzzx.exe[/I], [I]с:\windows\perfc000.dat[/I] и [I]с:\windows\svhost.exe[/I].

3. На всякий случай заменил [I]с:\windows\system32\svhost.exe[/I], взяв его с другого компа.

4. Вернул хард на свою машину,(ха - жить стало веселее):
- комп порезвел
- перестал ругаться
- тех злосчастных 3 файла не нашел на местах

5. Выполнил все по правилам

6. отфиксил в хийаке [I]с:\windows\svhost.exe[/I]

7. Логи высылаю

Все ли у меня в порядке теперь незнаю, но меня очень беспокоят оставшиеся файлы с префиксом [B][I]perf[/I][/B] в [I]с:\windows\system32\ и с:\windows\temp\. [/I]Посмотрел на других компах они тоже есть.
[U]Что это за файлы и надо ли их оставлять?[/U]
Если да то как мне быть с тем, что я сражаясь с [I]perfc000.dat[/I] убил у себя [I]perfc005.dat[/I] и[I] perfc009.dat[/I] и прочие [I]005 009? [/I]И что это за расширение [I].h[/I] ? (img1.jpg, img2.jpg)

Заранее спасибо

Форум недает мне присоединить файл virusinfo_cure.zip 162 kb

[B]virusinfo_cure.zip[/B]:
115.9 Кбайт превысил(а) предел на форуме. [URL="http://virusinfo.info/misc.php?do=attachments"]Нажмите здесь для просмотра ваших вложений[/URL]

нажав на просьотр приложений вижу:

[B]janhacek[/B], вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
[LIST=1][*]Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?[*]Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.[/LIST]
PLEASE HELP

[QUOTE]Форум недает мне присоединить файл virusinfo_cure.zip[/QUOTE]Этот пришлите по правилам как карантин.

Лог должен называться virusinfo_syscure.zip
[QUOTE]Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.[/QUOTE]Вы активировали свой аккаунт после регистрации?

[B]1.[/B]
[quote=MaXim;113244]Этот пришлите по правилам как карантин.[/quote]

Послал как карантин, как просили (через шапку темы). Извиняюсь, что я не последовал предупреждению о совести, но я понял что вы сами попросили в качестве исключения.

[B]2.[/B]
[quote=MaXim;113244]Лог должен называться virusinfo_syscure.zip[/quote]

У меня сам AVZ назвал так файл - virusinfo_cure.zip!
Мне его нужно было переименовать?

[B]3.[/B]
[quote=MaXim;113244]Вы активировали свой аккаунт после регистрации?[/quote]

Нет. До сиих пор, к сожалению, не получил Ваш е-майл с активацией.
Проверил правильно ли я его указал. Да правильно.
Пошлите пожалуйста еще раз или предложите другой способ активации.

С уважением к Вашей работе,
В ожидании ответов на предыдущее письмо,
janhacek

[B]Результат загрузки[/B]

Файл сохранён как070531_221440_virusinfo_cure_465f109051a89.zipРазмер файла165362MD534200bda4e24d227e237de78d4fc1b5e[B]Файл закачан, спасибо![/B]

[QUOTE]Извиняюсь, что я не последовал предупреждению о совести, но я понял что вы сами попросили в качестве исключения.[/QUOTE]О каком предупреждении Вы говорите?
[QUOTE]У меня сам AVZ назвал так файл - virusinfo_cure.zip![/QUOTE]Ещё должен быть [B]virusinfo_syscure.zip[/B] в той же папке. [QUOTE]Мне его нужно было переименовать?[/QUOTE]Ни чего переименовывать не нужно!
[QUOTE]Нет. До сиих пор, к сожалению, не получил Ваш е-майл с активацией.[/QUOTE]Письмо случайно в спам не попало?

[B]1.[/B] (неважно)
uote=MaXim;113264]О каком предупреждении Вы говорите?[/quote]
Когда открываеш форму закачки файлов из шапки темы - крупными буквами:
Закачать файл
[B]Имейте совесть, читайте правила!!!
.......Не нужно закачивать через эту форму логи...........[/B]

[B]2.[/B]
[quote=MaXim;113264]Ещё должен быть [B]virusinfo_syscure.zip[/B] в той же папке.[/quote]
В папке ...\avz4ru\LOG создается у меня только virusinfo_cure.zip, virusinfo_syscheck.htm, virusinfo_syscheck.zip (скриншот и все 3 файла посылаю таким же способом в одном архиве к этой теме)

[I][COLOR="Blue"]Результат загрузки
Файл сохранён как 070531_234512_virusinfopost_465f25c88d5af.zip
Размер файла 352798
MD5 f8a5d4b1475c082652516976348cb039
Файл закачан, спасибо![/COLOR][/I]

[B]3.[/B]
[quote=MaXim;113264]Письмо случайно в спам не попало?[/quote]
Письма проверяю прямо на сервере (ч/з веб-интерфейс, не через мэйл-клиента), функция антиспама отключена, папка СПАМ пуста.
Может конечно сами владельцы моего майл-сервиса банят по каким то параметрам, хотя с регистрациями у меня проблем раньше не возникало

[QUOTE]Не нужно закачивать через эту форму логи[/QUOTE]Это был не лог, а карантин.[QUOTE]Письма проверяю прямо на сервере (ч/з веб-интерфейс, не через мэйл-клиента), функция антиспама отключена, папка СПАМ пуста.[/QUOTE]Странно. Запросите ещё раз подтверждение активации (где-то в настройках Вашего профиля должно быть).

[quote=MaXim;113276]Это был не лог, а карантин.Странно. Запросите ещё раз подтверждение активации (где-то в настройках Вашего профиля должно быть).[/quote]

Во всех пунктах моего профиля (кроме [SIZE=1][U]Редактировать email и пароль[/U][/SIZE]) сообщение:
[B]...вы не имеете прав для доступа к этой странице...[/B]

Ну активацию можно решить и потом, для меня сегодня важнее здоровье компьютера.

Пожалуйста, помогите мне. Я пятый день страдаю, комп все еще шалит. Интернет пашет с перерывами, да и проги отказывают.

1.Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
2.Сделать новые 3 лога и прикрепить к Вашему следующему ответу . Если места не хватает, то удалить старые логи.

1. Выполнил (хотя от 'C:\WINDOWS\svchost.exe' избавился давно (см. сообщение #[URL="http://virusinfo.info/showpost.php?p=113225&postcount=4"][B]4[/B][/URL] ))

2. Все снова сделал по правилам (AVZ, AVZ, Hijak)

3. Логи высылаю (Приложением не удается (см. сообщение #[URL="http://virusinfo.info/showpost.php?p=113226&postcount=5"][B]5[/B][/URL] ) так что высылаю все 3 файла через карантин
[quote=MaXim;113244]Этот пришлите по правилам как карантин.[/quote]

[COLOR="Blue"]Результат загрузки
Файл сохранён как 070606_200206_06.06.07_4666da7e447a0.zip
Размер файла 186688
MD5 a9ccf9672dbd9e6f55d2b9173b196b26
Файл закачан, спасибо![/COLOR]

4. Хотел бы получить ответ на вопрос в п.7 сообщение #[URL="http://virusinfo.info/showpost.php?p=113225&postcount=4"][B]4[/B][/URL] . Да и комп чего то шалит и IE внезапно перестает работать (хотя USDownloader продолжает качать). ????? После перезагрузки начинает снова все работать.

Мне в логах не понравилось одновременный контроль протоколов Инета Outpostom и NOD.

"Грустно, но мы так и не услышали начальника транспортного цеха" (с) Жванецкий.

Нет, даже в карантине, третьего протокола. Трудно без него разбираться.

[QUOTE=janhacek;113281]Ну активацию можно решить и потом, для меня сегодня важнее здоровье компьютера.[/QUOTE]

Активировал вручную.

1.
[quote=PavelA;114427]Мне в логах не понравилось одновременный контроль протоколов Инета Outpostom и NOD.[/quote]

А как это исправить? (так чтобы всем нравилось)

2.
[quote=PavelA;114427]"Грустно, но мы так и не услышали начальника транспортного цеха" (с) Жванецкий.Нет, даже в карантине, третьего протокола. [/quote]

Я уже писал [quote=janhacek;113275]В папке ...\avz4ru\LOG создается у меня только virusinfo_cure.zip, virusinfo_syscheck.htm, virusinfo_syscheck.zip [/quote]
так посоветуйте где же мне взять этот сискаа, ведь выполняю в AVZ именно те скрипты, о которых написано в правилах.

3.
[quote=anton_dr;114636]Активировал вручную.[/quote]

Покорнейше благодарю, аккаунт работает

8. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве [B]virusinfo_syscure.zip.[/B]