Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

perfc000.dat, winload.dll (заявка № 10083)

  1. #1
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    12
    Вес репутации
    62

    Question perfc000.dat, winload.dll

    Помогите, пожалуйста,

    1. Предистория (суть в пункте 2)

    Я Установил новый XP неделю назад, сразу же поставил НОД32 2,7 (на сегодня обновление 30,5,2007) и Outpost Security Suite Pro 2007 (5.0.1214.7627.616) все всегда было спокойно НОД молчит (кстати до сиих пор - партизан).
    Оутпост после установки новых програм (яко Adobe, Corel и других) при первом их запуске всегда спрашивал о доступе этих солидных! програм к appinit_dlls. Я, имея новый Оутпост, и доверяя этим почтенным програмам, разумеется разрешал им доступ, не предпологая, что воспользовавшись этими програмами, какой нибудь паразит начнет внедряться мне в систему.

    В последнее время комп стал сильно тормозить и выдывать ошибки (ошибки выдавали разные програмы, наиболее часто EXPLORER.EXE, IEXPLORE.EXE, WUAUCLT.EXE, MAXTHON.EXE, SysMech7.exe).
    Потом попрсился с такой же просьбой (appinit_dlls) какой то c:\windows\zzzx.exe, c:\document and set......temp\9.tmp, и 109x.exe(его я не нашел). Я им отказал (надеюсь).

    Стал смотреть в процессах, в SysMech7 нашел только с:\windows\winload.dll. Стал читать в нете о нем - это вирус! проверил НОДом - говорит, что ничего нету. Удалил

    Поставил Hijack, сканировал - нашел winload winload.dll и с:\windows\perfc000.dat , нажал ФИХ - perfc000.dat остался навсегда. (рисунок capture2)
    Второй день с ним борюсь, ничего не помогает.

    2. Все сделал по Вашим правилам (логи высылаю)

    Да кстати, нашел еще кучу файлов с префиксом perf (capture, capture 3) и еще несколько уже удалил из сис32 с именами perfc009, perfc007
    perfi009, perff003 и в таком духе)

    Да и глянув на лог AVZ понял, что в svchost седит какая то зараза,
    доступ к appinit_dlls я ему запретил, а как на счет доступв к DNS?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Еще одно лога не хватает.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\perfc000.dat','');
    QuarantineFile('C:\WINDOWS\svchost.exe','');
     DeleteFile('C:\WINDOWS\system32\perfc000.dat');
     DeleteFile('C:\WINDOWS\svchost.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    Пофиксите в HijackThis (что останется):
    Код:
    O4 - HKLM\..\Run: [Install.exe] C:\WINDOWS\svchost.exe
    O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    После этого сделайте все 3 лога по правилам (п.8 и далее).
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    12
    Вес репутации
    62
    1. Ваш скрипт выполнить неудалось, по-скольку при запуске системы она тут же выключилась, как только я вошел в windows.

    2. Подсоединил хард к другому компу и спокойно удалил c:\windows\zzzx.exe, с:\windows\perfc000.dat и с:\windows\svhost.exe.

    3. На всякий случай заменил с:\windows\system32\svhost.exe, взяв его с другого компа.

    4. Вернул хард на свою машину,(ха - жить стало веселее):
    - комп порезвел
    - перестал ругаться
    - тех злосчастных 3 файла не нашел на местах

    5. Выполнил все по правилам

    6. отфиксил в хийаке с:\windows\svhost.exe

    7. Логи высылаю

    Все ли у меня в порядке теперь незнаю, но меня очень беспокоят оставшиеся файлы с префиксом perf в с:\windows\system32\ и с:\windows\temp\. Посмотрел на других компах они тоже есть.
    Что это за файлы и надо ли их оставлять?
    Если да то как мне быть с тем, что я сражаясь с perfc000.dat убил у себя perfc005.dat и perfc009.dat и прочие 005 009? И что это за расширение .h ? (img1.jpg, img2.jpg)

    Заранее спасибо
    Вложения Вложения

  6. #5
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    12
    Вес репутации
    62
    Форум недает мне присоединить файл virusinfo_cure.zip 162 kb

    virusinfo_cure.zip:
    115.9 Кбайт превысил(а) предел на форуме. Нажмите здесь для просмотра ваших вложений

    нажав на просьотр приложений вижу:

    janhacek, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
    1. Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
    2. Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.

    PLEASE HELP

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Форум недает мне присоединить файл virusinfo_cure.zip
    Этот пришлите по правилам как карантин.

    Лог должен называться virusinfo_syscure.zip
    Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.
    Вы активировали свой аккаунт после регистрации?

  8. #7
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    12
    Вес репутации
    62
    1.
    Цитата Сообщение от MaXim Посмотреть сообщение
    Этот пришлите по правилам как карантин.
    Послал как карантин, как просили (через шапку темы). Извиняюсь, что я не последовал предупреждению о совести, но я понял что вы сами попросили в качестве исключения.

    2.
    Цитата Сообщение от MaXim Посмотреть сообщение
    Лог должен называться virusinfo_syscure.zip
    У меня сам AVZ назвал так файл - virusinfo_cure.zip!
    Мне его нужно было переименовать?

    3.
    Цитата Сообщение от MaXim Посмотреть сообщение
    Вы активировали свой аккаунт после регистрации?
    Нет. До сиих пор, к сожалению, не получил Ваш е-майл с активацией.
    Проверил правильно ли я его указал. Да правильно.
    Пошлите пожалуйста еще раз или предложите другой способ активации.

    С уважением к Вашей работе,
    В ожидании ответов на предыдущее письмо,
    janhacek

  9. #8
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    12
    Вес репутации
    62
    Результат загрузки

    Файл сохранён как070531_221440_virusinfo_cure_465f109051a89.zipР азмер файла165362MD534200bda4e24d227e237de78d4fc1b5eФайл закачан, спасибо!

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Извиняюсь, что я не последовал предупреждению о совести, но я понял что вы сами попросили в качестве исключения.
    О каком предупреждении Вы говорите?
    У меня сам AVZ назвал так файл - virusinfo_cure.zip!
    Ещё должен быть virusinfo_syscure.zip в той же папке.
    Мне его нужно было переименовать?
    Ни чего переименовывать не нужно!
    Нет. До сиих пор, к сожалению, не получил Ваш е-майл с активацией.
    Письмо случайно в спам не попало?

  11. #10
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    12
    Вес репутации
    62
    1. (неважно)
    uote=MaXim;113264]О каком предупреждении Вы говорите?[/quote]
    Когда открываеш форму закачки файлов из шапки темы - крупными буквами:
    Закачать файл
    Имейте совесть, читайте правила!!!
    .......Не нужно закачивать через эту форму логи...........


    2.
    Цитата Сообщение от MaXim Посмотреть сообщение
    Ещё должен быть virusinfo_syscure.zip в той же папке.
    В папке ...\avz4ru\LOG создается у меня только virusinfo_cure.zip, virusinfo_syscheck.htm, virusinfo_syscheck.zip (скриншот и все 3 файла посылаю таким же способом в одном архиве к этой теме)

    Результат загрузки
    Файл сохранён как 070531_234512_virusinfopost_465f25c88d5af.zip
    Размер файла 352798
    MD5 f8a5d4b1475c082652516976348cb039
    Файл закачан, спасибо!


    3.
    Цитата Сообщение от MaXim Посмотреть сообщение
    Письмо случайно в спам не попало?
    Письма проверяю прямо на сервере (ч/з веб-интерфейс, не через мэйл-клиента), функция антиспама отключена, папка СПАМ пуста.
    Может конечно сами владельцы моего майл-сервиса банят по каким то параметрам, хотя с регистрациями у меня проблем раньше не возникало
    Последний раз редактировалось janhacek; 01.06.2007 в 00:19.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Не нужно закачивать через эту форму логи
    Это был не лог, а карантин.
    Письма проверяю прямо на сервере (ч/з веб-интерфейс, не через мэйл-клиента), функция антиспама отключена, папка СПАМ пуста.
    Странно. Запросите ещё раз подтверждение активации (где-то в настройках Вашего профиля должно быть).

  13. #12
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    12
    Вес репутации
    62
    Цитата Сообщение от MaXim Посмотреть сообщение
    Это был не лог, а карантин.Странно. Запросите ещё раз подтверждение активации (где-то в настройках Вашего профиля должно быть).
    Во всех пунктах моего профиля (кроме Редактировать email и пароль) сообщение:
    ...вы не имеете прав для доступа к этой странице...

  14. #13
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    12
    Вес репутации
    62
    Ну активацию можно решить и потом, для меня сегодня важнее здоровье компьютера.

  15. #14
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    12
    Вес репутации
    62
    Пожалуйста, помогите мне. Я пятый день страдаю, комп все еще шалит. Интернет пашет с перерывами, да и проги отказывают.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    1.Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\svchost.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    2.Сделать новые 3 лога и прикрепить к Вашему следующему ответу . Если места не хватает, то удалить старые логи.
    Последний раз редактировалось drongo; 04.06.2007 в 19:34.

  17. #16
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    12
    Вес репутации
    62
    1. Выполнил (хотя от 'C:\WINDOWS\svchost.exe' избавился давно (см. сообщение #4 ))

    2. Все снова сделал по правилам (AVZ, AVZ, Hijak)

    3. Логи высылаю (Приложением не удается (см. сообщение #5 ) так что высылаю все 3 файла через карантин
    Цитата Сообщение от MaXim Посмотреть сообщение
    Этот пришлите по правилам как карантин.
    Результат загрузки
    Файл сохранён как 070606_200206_06.06.07_4666da7e447a0.zip
    Размер файла 186688
    MD5 a9ccf9672dbd9e6f55d2b9173b196b26
    Файл закачан, спасибо!


    4. Хотел бы получить ответ на вопрос в п.7 сообщение #4 . Да и комп чего то шалит и IE внезапно перестает работать (хотя USDownloader продолжает качать). ????? После перезагрузки начинает снова все работать.
    Вложения Вложения

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Мне в логах не понравилось одновременный контроль протоколов Инета Outpostom и NOD.

    "Грустно, но мы так и не услышали начальника транспортного цеха" (с) Жванецкий.

    Нет, даже в карантине, третьего протокола. Трудно без него разбираться.
    Последний раз редактировалось PavelA; 07.06.2007 в 11:19.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Цитата Сообщение от janhacek Посмотреть сообщение
    Ну активацию можно решить и потом, для меня сегодня важнее здоровье компьютера.
    Активировал вручную.

  20. #19
    Junior Member Репутация
    Регистрация
    30.05.2007
    Сообщений
    12
    Вес репутации
    62
    1.
    Цитата Сообщение от PavelA Посмотреть сообщение
    Мне в логах не понравилось одновременный контроль протоколов Инета Outpostom и NOD.
    А как это исправить? (так чтобы всем нравилось)

    2.
    Цитата Сообщение от PavelA Посмотреть сообщение
    "Грустно, но мы так и не услышали начальника транспортного цеха" (с) Жванецкий.Нет, даже в карантине, третьего протокола.
    Я уже писал
    Цитата Сообщение от janhacek Посмотреть сообщение
    В папке ...\avz4ru\LOG создается у меня только virusinfo_cure.zip, virusinfo_syscheck.htm, virusinfo_syscheck.zip
    так посоветуйте где же мне взять этот сискаа, ведь выполняю в AVZ именно те скрипты, о которых написано в правилах.

    3.
    Цитата Сообщение от anton_dr Посмотреть сообщение
    Активировал вручную.
    Покорнейше благодарю, аккаунт работает

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    8. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.

  • Уважаемый(ая) janhacek, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. нужна помощь с perfc000.dat
      От mapku3 в разделе Помогите!
      Ответов: 30
      Последнее сообщение: 22.02.2009, 02:09
    2. Вирус в perfc000.dat
      От e_aleks в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 22.02.2009, 01:46
    3. perfc000.dat
      От Actek в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 01:45
    4. perfc000.dat ко Дню Победы!!!
      От Valerrr в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 15.05.2007, 13:37
    5. Помогите разобраться с perfc000.dat
      От Revir в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 13.05.2007, 14:32

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01334 seconds with 20 queries