Я Установил новый XP неделю назад, сразу же поставил НОД32 2,7 (на сегодня обновление 30,5,2007) и Outpost Security Suite Pro 2007 (5.0.1214.7627.616) все всегда было спокойно НОД молчит (кстати до сиих пор - партизан).
Оутпост после установки новых програм (яко Adobe, Corel и других) при первом их запуске всегда спрашивал о доступе этих солидных! програм к appinit_dlls. Я, имея новый Оутпост, и доверяя этим почтенным програмам, разумеется разрешал им доступ, не предпологая, что воспользовавшись этими програмами, какой нибудь паразит начнет внедряться мне в систему.
В последнее время комп стал сильно тормозить и выдывать ошибки (ошибки выдавали разные програмы, наиболее часто EXPLORER.EXE, IEXPLORE.EXE, WUAUCLT.EXE, MAXTHON.EXE, SysMech7.exe).
Потом попрсился с такой же просьбой (appinit_dlls) какой то c:\windows\zzzx.exe, c:\document and set......temp\9.tmp, и 109x.exe(его я не нашел). Я им отказал (надеюсь).
Стал смотреть в процессах, в SysMech7 нашел только с:\windows\winload.dll. Стал читать в нете о нем - это вирус! проверил НОДом - говорит, что ничего нету. Удалил
Поставил Hijack, сканировал - нашел winload winload.dll и с:\windows\perfc000.dat , нажал ФИХ - perfc000.dat остался навсегда. (рисунок capture2)
Второй день с ним борюсь, ничего не помогает.
2. Все сделал по Вашим правилам (логи высылаю)
Да кстати, нашел еще кучу файлов с префиксом perf (capture, capture 3) и еще несколько уже удалил из сис32 с именами perfc009, perfc007
perfi009, perff003 и в таком духе)
Да и глянув на лог AVZ понял, что в svchost седит какая то зараза,
доступ к appinit_dlls я ему запретил, а как на счет доступв к DNS?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Ваш скрипт выполнить неудалось, по-скольку при запуске системы она тут же выключилась, как только я вошел в windows.
2. Подсоединил хард к другому компу и спокойно удалил c:\windows\zzzx.exe, с:\windows\perfc000.dat и с:\windows\svhost.exe.
3. На всякий случай заменил с:\windows\system32\svhost.exe, взяв его с другого компа.
4. Вернул хард на свою машину,(ха - жить стало веселее):
- комп порезвел
- перестал ругаться
- тех злосчастных 3 файла не нашел на местах
5. Выполнил все по правилам
6. отфиксил в хийаке с:\windows\svhost.exe
7. Логи высылаю
Все ли у меня в порядке теперь незнаю, но меня очень беспокоят оставшиеся файлы с префиксом perf в с:\windows\system32\ и с:\windows\temp\. Посмотрел на других компах они тоже есть. Что это за файлы и надо ли их оставлять?
Если да то как мне быть с тем, что я сражаясь с perfc000.dat убил у себя perfc005.dat и perfc009.dat и прочие 005 009? И что это за расширение .h ? (img1.jpg, img2.jpg)
janhacek, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.
Послал как карантин, как просили (через шапку темы). Извиняюсь, что я не последовал предупреждению о совести, но я понял что вы сами попросили в качестве исключения.
2.
Сообщение от MaXim
Лог должен называться virusinfo_syscure.zip
У меня сам AVZ назвал так файл - virusinfo_cure.zip!
Мне его нужно было переименовать?
3.
Сообщение от MaXim
Вы активировали свой аккаунт после регистрации?
Нет. До сиих пор, к сожалению, не получил Ваш е-майл с активацией.
Проверил правильно ли я его указал. Да правильно.
Пошлите пожалуйста еще раз или предложите другой способ активации.
С уважением к Вашей работе,
В ожидании ответов на предыдущее письмо,
janhacek
1. (неважно)
uote=MaXim;113264]О каком предупреждении Вы говорите?[/quote]
Когда открываеш форму закачки файлов из шапки темы - крупными буквами:
Закачать файл Имейте совесть, читайте правила!!!
.......Не нужно закачивать через эту форму логи...........
2.
Сообщение от MaXim
Ещё должен быть virusinfo_syscure.zip в той же папке.
В папке ...\avz4ru\LOG создается у меня только virusinfo_cure.zip, virusinfo_syscheck.htm, virusinfo_syscheck.zip (скриншот и все 3 файла посылаю таким же способом в одном архиве к этой теме)
Результат загрузки
Файл сохранён как 070531_234512_virusinfopost_465f25c88d5af.zip
Размер файла 352798
MD5 f8a5d4b1475c082652516976348cb039
Файл закачан, спасибо!
3.
Сообщение от MaXim
Письмо случайно в спам не попало?
Письма проверяю прямо на сервере (ч/з веб-интерфейс, не через мэйл-клиента), функция антиспама отключена, папка СПАМ пуста.
Может конечно сами владельцы моего майл-сервиса банят по каким то параметрам, хотя с регистрациями у меня проблем раньше не возникало
Последний раз редактировалось janhacek; 01.06.2007 в 00:19.
1. Выполнил (хотя от 'C:\WINDOWS\svchost.exe' избавился давно (см. сообщение #4 ))
2. Все снова сделал по правилам (AVZ, AVZ, Hijak)
3. Логи высылаю (Приложением не удается (см. сообщение #5 ) так что высылаю все 3 файла через карантин
Сообщение от MaXim
Этот пришлите по правилам как карантин.
Результат загрузки
Файл сохранён как 070606_200206_06.06.07_4666da7e447a0.zip
Размер файла 186688
MD5 a9ccf9672dbd9e6f55d2b9173b196b26
Файл закачан, спасибо!
4. Хотел бы получить ответ на вопрос в п.7 сообщение #4 . Да и комп чего то шалит и IE внезапно перестает работать (хотя USDownloader продолжает качать). ????? После перезагрузки начинает снова все работать.
8. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: