Perfc000.dat - tenho um troijan neste ficheiro e não consigo eliminá-lo!!!

Pedrocas

Pedrocas

Banido
Ora bem, agora apareceu-me um troijan no ficheiro perfc000.dat e sempre que o envio para a quarentena, o gajo volta. Já corri o Spy-bot, já corri o Ccleaner, já corri o hijackthis, já corri o a-square (depois de fazer uma pesquisa aqui no fórum, descobri um tópico a falar deste troijan e aconselhavam o a-square para o remover, mas já o corri e nada), já desliguei o restauro do sistema, já tentei tudo e não me consigo livrar deste maldito troijan. O que aconselham que faça?

Aqui fica um log do hijackthis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 0:22:05, on 31-08-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programas\Ahead\InCD\InCDsrv.exe
C:\Programas\Alwil Software\Avast4\aswUpdSv.exe
C:\Programas\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programas\Labtec\Mouse\2.1\moffice.exe
C:\Programas\Labtec\Media Keyboard\V5.0\KbdAp32A.exe
C:\Programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programas\Ahead\InCD\InCD.exe
C:\Programas\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\Programas\SlySoft\AnyDVD\AnyDVD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programas\Ficheiros comuns\InstallShield\UpdateService\issch.exe
C:\Programas\ATI Technologies\ATI.ACE\cli.exe
C:\Programas\Java\jre1.6.0_01\bin\jusched.exe
C:\Programas\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programas\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Programas\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\Programas\Ficheiros comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programas\Labtec\Mouse\2.1\MOUSE32A.EXE
C:\Programas\Alwil Software\Avast4\ashMaiSv.exe
C:\Programas\Alwil Software\Avast4\ashWebSv.exe
C:\Programas\ATI Technologies\ATI.ACE\cli.exe
C:\Programas\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programas\a-squared Free\a2service.exe
C:\Programas\Internet Explorer\iexplore.exe
C:\Programas\Ficheiros comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\All Users\Menu Iniciar\Programas\HiJackThis\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer disponibilizado por PC Guia
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programas\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programas\Ficheiros comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programas\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programas\Labtec\Mouse\2.1\moffice.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programas\Labtec\Media Keyboard\V5.0\KbdAp32A.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programas\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programas\Ficheiros comuns\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Programas\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programas\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programas\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AnyDVD] C:\Programas\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHEI~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programas\Ficheiros comuns\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ATICCC] "C:\Programas\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programas\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programas\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [AAWTray] C:\Programas\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIÇO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Serviço de rede')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Ferramenta de Verificação de Mídia do Cyber-shot Viewer.lnk = C:\Programas\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programas\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programas\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe (file missing)
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programas\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programas\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programas\Ahead\InCD\InCDsrv.exe
--
End of file - 8918 bytes



Já não sei que mais hei-de fazer. Ajuda precisa-se.
 
Eu tenho a impressão de que isso é apenas um ficheiro criado pelo Performance Monitor do Windows. No meu caso foi apanhado pelo Rootkit Revealer, mas é por ser um ficheiro temporário, e desaparece entre as duas passagens que ele faz ao disco (é considerado rootkit porque existe na primeira passagem e não na segunda; falso alarme).

Vê lá se não será um falso alarme. Até porque a extensão "DAT" não é executável.

edit - estive a ver o log do HijackThis, e o resultado desse ficheiro foi "Trojan Related" (e só agora vi que estava no startup :x ). Não sei se será um trojan por causa da extensão, que é o que me confunde, mas acredito que seja um log, como um keylogger. De qualquer forma, talvez seja melhor não ligares muito a este post :x agora não sei se o windows considera QUALQUER ficheiro que esteja no startup como sendo executável, mesmo que a extensão não seja.
 
Última edição:
já tive esse trojan ou rootkit e foi dificil de eliminar, antes de mais verifica se tens o restauro do sistema desligado. depois, e esta foi nova para mim, o malndro tinha um ficheiro chamado DC10.dat escondido na reciclagem, não na reciclagem do ambiente de trabalho mas naquelas pastas ocultas que existem no disco chamadas "recycler" que é a reciclagem mas no respectivo disco. só depois de apagar este ficheiro e em modo de segurança é que consegui apaga-lo.
com o hijack apaga a seguinte linha:
O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat
 
angelofwisdom disse:
não ligares muito a este post :x agora não sei se o windows considera QUALQUER ficheiro que esteja no startup como sendo executável, mesmo que a extensão não seja.
Clicar para expandir...

Não é por ai angel. Saca ai um exe qualquer (Putty ou WinSCP servem bem pq não precisam de mais files apra executar...). Muda o nome para ficheiroxpto.extensao (sim, .extensao para ter certeza que o Windows não o conhece...). Droppa o ficheiro em %windir% e abre um cmd.

Agora faz lá "ficheiroxpto.extensao". Wham!!!. O win não sabe que file é, mas decide sniffar o bixo a ver se descobre. Obviamente que encontra um PE, e faz o "razoável", executa-o.
 
Bem, ontem apaguei o ficheiro manualmente, depois o computador ficou marado, não dava nada e acabei por desligá-lo carregando no reset e depois desligando na própria ficha.

Esta manhã liguei-o, ele fez uma verificação do disco e truncou a entrada referente ao perfc000.dat e até agora está tudo bem.

Pelo sim, pelo não já fiz uma cópia de tudo o que tenho de importante no disco, se houver problemas, vai format para cima.

Ontem, nem com o hijackthis conseguia resolver o problema e tinha o restauro de sistema desligado.
 
ShadeX disse:
Não é por ai angel. Saca ai um exe qualquer (Putty ou WinSCP servem bem pq não precisam de mais files apra executar...). Muda o nome para ficheiroxpto.extensao (sim, .extensao para ter certeza que o Windows não o conhece...). Droppa o ficheiro em %windir% e abre um cmd.

Agora faz lá "ficheiroxpto.extensao". Wham!!!. O win não sabe que file é, mas decide sniffar o bixo a ver se descobre. Obviamente que encontra um PE, e faz o "razoável", executa-o.
Clicar para expandir...
Era o que eu temia. Ao tentar executar um ficheiro cuja extensão não conhece, lê o ficheiro para ver o que pode fazer com ele. Já tinha isto em mente, mas não tinha a certeza se era isto que acontecia. Pelos vistos ...

Talvez seja melhor eu repensar na minha forma de guardar os bichos - renomeava de .EXE para .EXE.VIRUS. É a minha deixa para começar a metê-los em RAR com pass :x
 
isso é muito complicado de remover, eu andei vários dias às turras com ele o ficheiro aparece e desaparece e nem se consegue ter tempo de o renomear. já não me lembro como dei cabo dele mas vou investigar a ver se consigo...... espera....

edited:http://www.techzonept.com/showthread.php?t=156258

este foi o meu post para procurar ajuda, espero que te sirva de alguma coisa

ve se tens algum ficheiro chamado Process.exe e se tiveres apaga-o, acho que é a raiz de todos os males
 
Última edição:
lfernandes disse:
isso é muito complicado de remover, eu andei vários dias às turras com ele o ficheiro aparece e desaparece e nem se consegue ter tempo de o renomear. já não me lembro como dei cabo dele mas vou investigar a ver se consigo...... espera....

edited:http://www.techzonept.com/showthread.php?t=156258

este foi o meu post para procurar ajuda, espero que te sirva de alguma coisa

ve se tens algum ficheiro chamado Process.exe e se tiveres apaga-o, acho que é a raiz de todos os males
Clicar para expandir...

Eu já tinha visto o teu tópico antes de abrir o meu, fiz uma pesquisa e por isso é que instalei o a-square para ver se me conseguia livrar disto.

Até agora não voltou mais a chatear, será da entrada ter sido truncada pelo windows?
 
angelofwisdom disse:
Talvez seja melhor eu repensar na minha forma de guardar os bichos - renomeava de .EXE para .EXE.VIRUS. É a minha deixa para começar a metê-los em RAR com pass :x
Clicar para expandir...

Nahhh, eu gardo tudo como .vir e não tenho probs com isso. P/ acaso mantenho um rar com pass, mas só para um dia não ter o azar de um AV "asnear" com a minha estimada colecção :P

O explorer.exe ou outro qualquer não causam este problema. É uma bronca do cmd (e provavelmente da PowerShell, mas não tenho certeza...).
 
Inicie sessão ou registe-se para poder participar.
Back
Topo