Junior Member
Вес репутации
62
нужна помощь с perfc000.dat
Добрый день!
Очень прошу Вас помочь с троянцом perfc000, я читал другие темы, где вы успешно помогли вылечиться от сего зловреда, вот и я хотел бы к вам обратиться... пробовал удалить его из реестра, но он снова появляется о чем получаю уведомление от НОДа.
И еще, возникла такая проблемка: при нажатии ctrl+alt+del вместо диспетчера задач появляется окно Мои документы. Пожалуй все...
Заранее благодарю!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\swmclip.dll','');
QuarantineFile('C:\WINDOWS\system32\perfc000.dat','');
QuarantineFile('C:\WINDOWS\csrss.exe','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\internt.exe','');
QuarantineFile('C:\WINDOWS\system32\adsndsd.exe','');
QuarantineFile('C:\WINDOWS\system32\kernels32.exe','');
QuarantineFile('C:\WINDOWS\superproxy.exe','');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('C:\WINDOWS\csrss.exe');
DeleteFile('C:\WINDOWS\system32\perfc000.dat');
DeleteFile('swmclip.dll');
DeleteFile('C:\WINDOWS\system32\kernels32.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.
"Пофиксите" в HijackThis
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels32.exe
O4 - HKCU\..\Run: [NeroFilterCheck] sрoоlsv.exe
O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\csrss.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
O21 - SSODL: VStorage - {B63FA608-8A6C-4811-B2AA-8A05F5005A5A} - swmclip.dll (file missing)
Загрузите карантин по этой ссылке. Повторите логи.
Последний раз редактировалось drongo; 01.08.2007 в 16:26 .
Причина: Добавил парочку ;)
Junior Member
Вес репутации
62
Спасибо!
Maxim спасибо!
После выпоонения AVZ, комп перезагрузился. И НОД нашел нового трояна...
А когда вошел в фикс в HijackThis то не нашел следующие коды:
Код:
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels32.exe
O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\csrss.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
наверное после выполнения скрипта AVZ они удалились...
Если я что-то сделал не так, сорри, не очень разбераюсь в этом.
Результат загрузки
Файл сохранён как 070801_212138_Quarantine_46b0c122dc1ca.zip
Размер файла 2156
MD5 5a5866b0baa01426e54f8feb62a24523
Файл закачан, спасибо!
Вложения
Выполните скрипт в AVZ
Код:
begin
ClearQuarantine;
BC_QrFile('C:\WINDOWS\internt.exe');
BC_QrFile('C:\WINDOWS\system32\adsndsd.exe');
BC_Activate;
RebootWindows(true);
end.
Загрузите карантин по этой ссылке.
Junior Member
Вес репутации
62
Я посмотрел карантин, он окзался пустым, так и должно быть?
Результат загрузки
Файл сохранён как070801_223626_Quarantine_46b0d2aa0c622.zipРазме р файла312MD548ce28939209ac7f1d4871189c912322Файл закачан, спасибо!
Сообщение от
mapku3
Я посмотрел карантин, он окзался пустым, так и должно быть?
Так не должно быть.
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\internt.exe');
DeleteFile('C:\WINDOWS\system32\adsndsd.exe');
BC_ImportDeletedList;
BC_DeleteFile('C:\WINDOWS\internt.exe');
BC_DeleteFile('C:\WINDOWS\system32\adsndsd.exe');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Повторите логи.
Junior Member
Вес репутации
62
После выполнения скрипта комп перезагрузился и я снова по правилам создал новые логи, которые прикрепляю ниже.
Вложения
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\superproxy.exe');
BC_DeleteFile('C:\WINDOWS\superproxy.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O23 - Service: Windows Installer MSIServer HotKey Poller (MSIServer HotKey Poller) - Unknown owner - C:\WINDOWS\system32\adsndsd.exe (file missing)
повторите лог hijackthis
Junior Member
Вес репутации
62
Вложения
O23 - Service: Windows Installer MSIServer HotKey Poller (MSIServer HotKey Poller) - Unknown owner - C:\WINDOWS\system32\adsndsd.exe (file missing)
осталось. Вы как делали то ?
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('MSIServer HotKey Poller');
BC_DeleteFile('C:\WINDOWS\system32\adsndsd.exe');
BC_DeleteSvc('MSIServer HotKey Poller');
ExecuteSysClean;
RebootWindows(true);
end.
Повторите логи.
Junior Member
Вес репутации
62
Все сделал по описанию в правилах, при выключенных антифирусе и файрволе. после сканирования hijackthis, комп был перезагружен, а лог я прикрепил тут.
Я думал может он вместо удаления, решил сделать repair и поэтому оставил "023 Services..."? А так не должно было быть?!
Кстати после этих скриптов НОД перестал жаловаться на троянцев!
Большое Вам спасибо за это!
Junior Member
Вес репутации
62
Походу 023 опять не удалился...
Прикрепляю логи.
Вложения
Выполните скрипты в AVZ
Код:
begin
BC_DisableSvc('MSIServer HotKey Poller');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки ещё один
Код:
begin
BC_DeleteFile('C:\WINDOWS\system32\adsndsd.exe');
BC_DeleteSvc('MSIServer HotKey Poller');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Повторите лог HijackThis.
Junior Member
Вес репутации
62
все сделал как вы и говорили! Спасибо Maxim!
Вложения
В логах всё нормально. Проблема решена?
Junior Member
Вес репутации
62
Большое спасибо!
Да, проблема решена. Спасибо Вам большое Maxim, и все кто помогал!!! С меня пиво
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов . Мы будем Вам очень благодарны!
Удачи!
Junior Member
Вес репутации
62
А кстати, диспетчер задач так и не появился... при нажатии ctrl+alt+del открывается окошко мои документы... можно ли и это проблемку решить?
И еще, можно уже включать восстановление системы windows?
А так все хорошо, спасибо за советы Maxim!
AVZ Файл/Восстановление системы", там отметить пункт 11 "Разблокировка диспетчера ...