perfc000.dat

Printable View

12.05.2007, 21:47
Actek

Вложений: 3

perfc000.dat

Вот,что выдал AVZ:Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\perfc000.dat"
Я пробовал и другими антивирусниками удалить этот файл(perfc000.dat),но он снова появляеться.Какое бы приложение я не открывал начинает ругаться антивирусник ссылаясь,на этот файл, я его удаляю,но как я уже писал он опять пояляеться,что это и как с ним бороться.
13.05.2007, 02:24
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msstubl.dll','');
QuarantineFile('C:\WINDOWS\system32\perfc000.dat','');
QuarantineFile('C:\WINDOWS\system32\browsemu.dll','');
QuarantineFile('C:\WINDOWS\system32\mmfinfo.dll','');
QuarantineFile('C:\WINDOWS\system32\mkunicode.dll','');
QuarantineFile('C:\WINDOWS\system32\ufdsvc.exe','');
QuarantineFile('C:\autorun.bat','');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
13.05.2007, 21:07
Actek

Вроде всё сделал согласно правилам
13.05.2007, 21:49
Rene-gad

[QUOTE=Actek;109452]Вроде всё сделал согласно правилам[/QUOTE]
попал только один файл: [QUOTE]C:\WINDOWS\system32\perfc000.dat
Complete scanning result of "avz00001.dta", received in VirusTotal at 05.13.2007, 19:50:08 (CET).
AhnLab-V3 2007.5.10.0 05.11.2007 no virus found
AntiVir 7.4.0.15 05.12.2007 TR/Crypt.XPACK.Gen
Authentium 4.93.8 05.12.2007 W32/Backdoor.AOXB
Avast 4.7.997.0 05.11.2007 no virus found
AVG 7.5.0.467 05.13.2007 BackDoor.Generic6.NYE
BitDefender 7.2 05.13.2007 no virus found
CAT-QuickHeal 9.00 05.12.2007 Backdoor.Small.os
ClamAV devel-20070416 05.13.2007 no virus found
DrWeb 4.33 05.13.2007 Trojan.Proxy.1800
eSafe 7.0.15.0 05.13.2007 Win32.Small.os
eTrust-Vet 30.7.3628 05.11.2007 no virus found
Ewido 4.0 05.13.2007 Backdoor.Small.os
FileAdvisor 1 05.13.2007 No threat detected
Fortinet 2.85.0.0 05.13.2007 suspicious
F-Prot 4.3.2.48 05.12.2007 W32/Backdoor.AOXB
F-Secure 6.70.13030.0 05.11.2007 Backdoor.Win32.Small.os
Ikarus T3.1.1.7 05.13.2007 Backdoor.Win32.Small.os
Kaspersky 4.0.2.24 05.13.2007 Backdoor.Win32.Small.os
McAfee 5029 05.11.2007 no virus found
Microsoft 1.2503 05.13.2007 no virus found
NOD32v2 2262 05.12.2007 no virus found
Norman 5.80.02 05.11.2007 no virus found
Panda 9.0.0.4 05.13.2007 Suspicious file
Prevx1 V2 05.13.2007 no virus found
Sophos 4.17.0 05.11.2007 no virus found
Sunbelt 2.2.907.0 05.12.2007 no virus found
Symantec 10 05.13.2007 no virus found
TheHacker 6.1.6.114 05.12.2007 no virus found
VBA32 3.12.0 05.13.2007 Backdoor.Win32.Small.os
VirusBuster 4.3.7:9 05.13.2007 no virus found
Webwasher-Gateway 6.0.1 05.13.2007 Trojan.Crypt.XPACK.Gen

Aditional Information
File size: 6144 bytes
MD5: 4cf879e7ec03cb098b1ae77027dfd93c
SHA1: 7d97bbd60cf9002e682b0788172ea621c37a90bd
[/QUOTE]
Выполните этот скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('msstubl.dll','');
QuarantineFile('browsemu.dll','');
QuarantineFile('mmfinfo.dll','');
QuarantineFile('mkunicode.dll','');
QuarantineFile('ufdsvc.exe','');
QuarantineFile('C:\autorun.bat','');
DeleteFile('C:\WINDOWS\system32\perfc000.dat');
BC_DeleteFile('C:\WINDOWS\system32\perfc000.dat');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
и повторите логи.
Если карантин будет не пустой- закачайте тоже.
13.05.2007, 23:12
Actek

Вложений: 3

Всё сделал , теперь антивир при каждой загрузке выдаёт вот,что :
C:\WINDOWS\csrss.exe
В архиве virus.zip -скопированный карантин
13.05.2007, 23:20
drongo

[COLOR="Sienna"]Любые файлы , кроме запрошенных логов системы нельзя прикреплять к теме .[/COLOR]
13.05.2007, 23:39
Actek

Прошу прощения,загрузил туда-куда нужно
14.05.2007, 01:51
Bratez

Файлы в карантине кроме perfc000 чистые.
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\csrss.exe','');
DeleteFile('c:\windows\csrss.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
O2 - BHO: Shell Browser Object Class - {00534B55-3155-CA4F-B41D-0E922121D03C} - C:\WINDOWS\system32\browsemu.dll (file missing)
O2 - BHO: (no name) - {DB5825EA-B434-C69E-8E2D-81387140521A} - C:\WINDOWS\system32\msstubl.dll (file missing)
O9 - Extra button: (no name) - DctMapping - (no file)
[/code]
Пришлите свежий карантин по правилам и сделайте новые логи, начиная с п.10 правил.
14.05.2007, 12:30
Actek

Вложений: 2

Спасибо,за помощь,в карантине пусто.
14.05.2007, 13:40
Numb

В логах, вроде-бы, чисто.
На всякий случай, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:[code]begin
QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, пришлите содержимое карантина AVZ, если туда что-нибудь попадет, по ссылке [url]http://virusinfo.info/upload_virus.php?tid=9674[/url] , как написано в прил.3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]
15.05.2007, 10:53
Actek

То , что было в карантине - выслал.
15.05.2007, 10:58
Rene-gad

[QUOTE=Actek;109791]То , что было в карантине - выслал.[/QUOTE]
Оба файла - оригинальные от Microsoft. Приятного плавания в интернете :) . Не забывайте регулярно обновлять и патчить систему.
15.05.2007, 11:08
Actek

Ну и Вам того же , спасибо всем.
22.02.2009, 01:45
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\perfc000.dat - [B]Backdoor.Win32.Small.os[/B] (DrWEB: Trojan.Proxy.1739)[/LIST][/LIST]