Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

нужна помощь с perfc000.dat (заявка № 11490)

  1. #1
    Junior Member Репутация
    Регистрация
    01.08.2007
    Сообщений
    19
    Вес репутации
    38

    Exclamation нужна помощь с perfc000.dat

    Добрый день!
    Очень прошу Вас помочь с троянцом perfc000, я читал другие темы, где вы успешно помогли вылечиться от сего зловреда, вот и я хотел бы к вам обратиться... пробовал удалить его из реестра, но он снова появляется о чем получаю уведомление от НОДа.
    И еще, возникла такая проблемка: при нажатии ctrl+alt+del вместо диспетчера задач появляется окно Мои документы. Пожалуй все...

    Заранее благодарю!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\swmclip.dll','');
     QuarantineFile('C:\WINDOWS\system32\perfc000.dat','');
     QuarantineFile('C:\WINDOWS\csrss.exe','');
      QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
     QuarantineFile('C:\WINDOWS\internt.exe','');
     QuarantineFile('C:\WINDOWS\system32\adsndsd.exe','');
     QuarantineFile('C:\WINDOWS\system32\kernels32.exe','');
     QuarantineFile('C:\WINDOWS\superproxy.exe','');
     DeleteFile('C:\WINDOWS\system32\svshost.dll');
     DeleteFile('C:\WINDOWS\csrss.exe');
     DeleteFile('C:\WINDOWS\system32\perfc000.dat');
     DeleteFile('swmclip.dll');
     DeleteFile('C:\WINDOWS\system32\kernels32.exe');
     BC_ImportALL;
     ExecuteSysClean;
     ExecuteRepair(6);
     ExecuteRepair(9);
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels32.exe
    O4 - HKCU\..\Run: [NeroFilterCheck] sрoоlsv.exe
    O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\csrss.exe
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
    O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
    O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat
    O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
    O21 - SSODL: VStorage - {B63FA608-8A6C-4811-B2AA-8A05F5005A5A} - swmclip.dll (file missing)
    Загрузите карантин по этой ссылке. Повторите логи.
    Последний раз редактировалось drongo; 01.08.2007 в 15:26. Причина: Добавил парочку ;)

  4. #3
    Junior Member Репутация
    Регистрация
    01.08.2007
    Сообщений
    19
    Вес репутации
    38

    Спасибо!

    Maxim спасибо!
    После выпоонения AVZ, комп перезагрузился. И НОД нашел нового трояна...
    А когда вошел в фикс в HijackThis то не нашел следующие коды:
    Код:
    O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels32.exe
    O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\csrss.exe
    O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat
    O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
    наверное после выполнения скрипта AVZ они удалились...
    Если я что-то сделал не так, сорри, не очень разбераюсь в этом.

    Результат загрузки
    Файл сохранён как 070801_212138_Quarantine_46b0c122dc1ca.zip
    Размер файла 2156
    MD5 5a5866b0baa01426e54f8feb62a24523
    Файл закачан, спасибо!
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
     ClearQuarantine;  
     BC_QrFile('C:\WINDOWS\internt.exe');
     BC_QrFile('C:\WINDOWS\system32\adsndsd.exe');  
     BC_Activate;
     RebootWindows(true);
    end.
    Загрузите карантин по этой ссылке.

  6. #5
    Junior Member Репутация
    Регистрация
    01.08.2007
    Сообщений
    19
    Вес репутации
    38
    Я посмотрел карантин, он окзался пустым, так и должно быть?

    Результат загрузки

    Файл сохранён как070801_223626_Quarantine_46b0d2aa0c622.zipРазме р файла312MD548ce28939209ac7f1d4871189c912322Файл закачан, спасибо!

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Цитата Сообщение от mapku3 Посмотреть сообщение
    Я посмотрел карантин, он окзался пустым, так и должно быть?
    Так не должно быть.

    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\internt.exe');
     DeleteFile('C:\WINDOWS\system32\adsndsd.exe');  
     BC_ImportDeletedList;
     BC_DeleteFile('C:\WINDOWS\internt.exe');
     BC_DeleteFile('C:\WINDOWS\system32\adsndsd.exe');  
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Повторите логи.

  8. #7
    Junior Member Репутация
    Регистрация
    01.08.2007
    Сообщений
    19
    Вес репутации
    38
    После выполнения скрипта комп перезагрузился и я снова по правилам создал новые логи, которые прикрепляю ниже.
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\superproxy.exe');
    BC_DeleteFile('C:\WINDOWS\superproxy.exe');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O23 - Service: Windows Installer MSIServer HotKey Poller (MSIServer HotKey Poller) - Unknown owner - C:\WINDOWS\system32\adsndsd.exe (file missing)
    повторите лог hijackthis

  10. #9
    Junior Member Репутация
    Регистрация
    01.08.2007
    Сообщений
    19
    Вес репутации
    38
    Muzzle, спасибо!
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    O23 - Service: Windows Installer MSIServer HotKey Poller (MSIServer HotKey Poller) - Unknown owner - C:\WINDOWS\system32\adsndsd.exe (file missing)
    осталось. Вы как делали то ?

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     StopService('MSIServer HotKey Poller');  
     BC_DeleteFile('C:\WINDOWS\system32\adsndsd.exe');
     BC_DeleteSvc('MSIServer HotKey Poller');
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Повторите логи.

  13. #12
    Junior Member Репутация
    Регистрация
    01.08.2007
    Сообщений
    19
    Вес репутации
    38
    Все сделал по описанию в правилах, при выключенных антифирусе и файрволе. после сканирования hijackthis, комп был перезагружен, а лог я прикрепил тут.
    Я думал может он вместо удаления, решил сделать repair и поэтому оставил "023 Services..."? А так не должно было быть?!
    Кстати после этих скриптов НОД перестал жаловаться на троянцев!
    Большое Вам спасибо за это!

  14. #13
    Junior Member Репутация
    Регистрация
    01.08.2007
    Сообщений
    19
    Вес репутации
    38
    Походу 023 опять не удалился...
    Прикрепляю логи.
    Вложения Вложения

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипты в AVZ
    Код:
    begin
     BC_DisableSvc('MSIServer HotKey Poller');  
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки ещё один
    Код:
    begin
     BC_DeleteFile('C:\WINDOWS\system32\adsndsd.exe');
     BC_DeleteSvc('MSIServer HotKey Poller');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Повторите лог HijackThis.

  16. #15
    Junior Member Репутация
    Регистрация
    01.08.2007
    Сообщений
    19
    Вес репутации
    38
    все сделал как вы и говорили! Спасибо Maxim!
    Вложения Вложения

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    В логах всё нормально. Проблема решена?

  18. #17
    Junior Member Репутация
    Регистрация
    01.08.2007
    Сообщений
    19
    Вес репутации
    38

    Большое спасибо!

    Да, проблема решена. Спасибо Вам большое Maxim, и все кто помогал!!! С меня пиво

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  20. #19
    Junior Member Репутация
    Регистрация
    01.08.2007
    Сообщений
    19
    Вес репутации
    38
    А кстати, диспетчер задач так и не появился... при нажатии ctrl+alt+del открывается окошко мои документы... можно ли и это проблемку решить?
    И еще, можно уже включать восстановление системы windows?
    А так все хорошо, спасибо за советы Maxim!

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    AVZ Файл/Восстановление системы", там отметить пункт 11 "Разблокировка диспетчера ...

  • Уважаемый(ая) mapku3, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Нужна помощь
      От cool-deX в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 10.02.2012, 09:44
    2. срочно нужна помощь
      От angela в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.01.2010, 18:20
    3. нужна помощь
      От senmis в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.09.2009, 14:10
    4. срочно нужна помощь
      От Денис137 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 31.08.2009, 17:31
    5. Нужна помощь.
      От severomor в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.08.2009, 12:25

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00582 seconds with 17 queries