В userlib.dll NOD32 находит троян
Антивир начал ругаться на эту библиотеку(пишет: Win32/LockScreen.DB троянская программа), помещает её в карантин, после этого не могу подключиться к интернету. Библиотека лежит: C:\Documents and Settings\...\Cookies\userlib.dll.
Буду оч.благодарен за помощь!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в avz
ПК перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Леха\Cookies\userlib.dll',''); DeleteFile('C:\Documents and Settings\Леха\Cookies\userlib.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(14); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
После выполнения скрипта винда долго загружалась. Ничего не мог запустить, в т.ч. к интернету подключиться. Пришлось восстанавливать реестр из: ...\avz4\Backup\2009-12-13\R14_AutoFixSPI_20091213-152330.reg. Файл в карантине был заблокирован NOD'ом. пришлось воостанавливать и вручную архивировать. Карантин отправил.
Вот логи.
забыли про меня?
Выполните скрипт в avz
ПК перезагрузится.Код:egin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\Леха\Cookies\userlib.dll'); DelSPIByFileName('C:\Documents and Settings\Cookies\Cookies\userlib.dll',false); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(14); RebootWindows(true); end.
Удалите Bonjour.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Скрипт выполнил.
Bonjour удалил.
К интернету не подключается(щас отвечаю с работы).
При попытке сделать лог, АВЗ зависает на "Проверка системы... бла бла"
и virusinfo_syscheck.zip не создается.
Винда сильно тормозит.
Чтобы комп хоть как-то работал пришлось восстановить реестр. Сделал лог, если он хоть чем-то поможет.
Помогите пожалуйста, или дайте кто-нить userlib.dll
всё так плохо? Или опять про меня забыли?
Добавлено через 2 часа 44 минуты
Последний раз редактировалось Ghost_64Rus; 15.12.2009 в 15:12. Причина: Добавлено
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В AVZ выполните скрипт:
После перезагрузкиКод:begin SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); QuarantineFile('C:\Documents and Settings\Леха\Cookies\userlib.dll',''); QuarantineFile('C:\WINDOWS\system32\inetsrv6\certobj6.dll',''); DeleteFile('C:\Documents and Settings\Леха\Cookies\userlib.dll'); DeleteService('Bonjour Service'); DeleteFile('%programfiles%\Bonjour\mDNSResponder.exe'); DeleteFile('%programfiles%\Bonjour\mdnsNSP.dll'); DeleteFile('%programfiles%\Bonjour\ExplorerPlugin.dll'); DelCLSID('{9999A076-A9E2-4C99-8A2B-632FC9429223}'); RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service','EventMessageFile'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(14); BC_DeleteSvc('Bonjour Service'); BC_Activate; ExecuteWizard('TSW',3,3,true); RebootWindows(true); end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте новые логи.
ps. если все время реестр восстанавливать, то лечение бесполезно.
Реестр восстанавливать не надо, а надо просто прописать сетевые настройки.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
да я это понимаю, но у меня после выполнения вышенаписанных скриптов не только к интернету не подключался, но и вообще половина приложений не хотело работать(в т.ч. АВЗ), винда по 10-15 минут загружалась.Сообщение от PavelA
Проблему решил программулькой: WinsockxpFix.
userlib.dll - нет
Bonjour - нет
Поэтому мне кажется нет смысла выполнять последний скрипт.
Извините за беспокойство, и что время отнял
C:\WINDOWS\system32\inetsrv6\certobj6.dll - вот это я бы проверил. Добавьте в карантин и пришлите по правилам, если есть желание.
В AVZ - Файл - Мастер поиска и устранения проблем - Системные проблемы - Все проблемы - Пуск
Отметить следующие пункты и нажать кнопку "Исправить":
>> Нарушение ассоциации REG файлов
Карантин послал.
вот логи
Вот теперь порядок
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- \avz00001.dta - Trojan-Ransom.Win32.Dummy.a ( NOD32: Win32/LockScreen.DB trojan )
Уважаемый(ая) Ghost_64Rus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
