-
Junior Member
- Вес репутации
- 62
Trojan-Ransom.Win32.Dummy.b (userlib.dll)
Здравствуйте!
После обновления баз Kaspersky Internet Security 6.0 обнаружил в файле C:\Documents and settings\User\Cookies\userlib.dll собственно сабж, который благополучно удалил после перезагрузки. Компьютер стал очень долго грузиться, пропали все ярлыки и сетевые настройки. Помогите пожалуйста. Логи сделал в безопасном режиме, т.к. в обычном AVZ намертво подвешивает систему.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
DeleteFile('C:\Documents and Settings\olga\Cookies\userlib.dll');
AutoFixSPI;
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи
-
-
Junior Member
- Вес репутации
- 62
Извините за перерыв на выходные (компьютер на работе.) После выполнения скрипта ничего не поменялось, компьютер очень долго грузится, скрипты выполнялись каждый по 2 часа, при том что папки открываются нормально.
-
Junior Member
- Вес репутации
- 62
В папке C:\Documents and Settings\olga\Cookies\ обнаружил файл (бинарный) userlib.dbb весом в 16 байт. И еще, просмотрел отчеты Касперского в тот день, когда произошло заражение, так вот там есть информация об удалении некоторых ключей реестра:
22.01.2010 13:59:54 Объект автозапуска HKLM\SYSTEM\ControlSet002\Services\WinSock2\Parame ters\Protocol_Catalog9\Catalog_Entries\00000000000 1\PackedCatalogItem удален.
22.01.2010 13:59:54 Объект автозапуска HKLM\SYSTEM\ControlSet002\Services\WinSock2\Parame ters\Protocol_Catalog9\Catalog_Entries\\0000000000 01\PackedCatalogItem удален.
22.01.2010 13:59:54 Объект автозапуска HKLM\SYSTEM\ControlSet002\Services\WinSock2\Parame ters\Protocol_Catalog9\Catalog_Entries\\\000000000 002\PackedCatalogItem удален.
22.01.2010 13:59:54 Объект автозапуска HKLM\SYSTEM\ControlSet002\Services\WinSock2\Parame ters\Protocol_Catalog9\Catalog_Entries\\\\00000000 0003\PackedCatalogItem удален.
22.01.2010 13:59:54 Объект автозапуска HKLM\SYSTEM\ControlSet002\Services\WinSock2\Parame ters\Protocol_Catalog9\Catalog_Entries\\\\\0000000 00004\PackedCatalogItem удален.
22.01.2010 13:59:54 Объект автозапуска HKLM\SYSTEM\ControlSet002\Services\WinSock2\Parame ters\Protocol_Catalog9\Catalog_Entries\\\\\\000000 000005\PackedCatalogItem удален.
22.01.2010 13:59:54 Объект автозапуска HKLM\SYSTEM\ControlSet002\Services\WinSock2\Parame ters\Protocol_Catalog9\Catalog_Entries\\\\\\\00000 0000006\PackedCatalogItem удален.
22.01.2010 13:59:54 Объект автозапуска HKLM\SYSTEM\ControlSet002\Services\WinSock2\Parame ters\Protocol_Catalog9\Catalog_Entries\\\\\\\\0000 00000007\PackedCatalogItem удален.
22.01.2010 13:59:54 Объект автозапуска HKLM\SYSTEM\ControlSet002\Services\WinSock2\Parame ters\Protocol_Catalog9\Catalog_Entries\\\\\\\\\000 000000008\PackedCatalogItem удален.
22.01.2010 13:59:54 Объект автозапуска HKLM\SYSTEM\ControlSet002\Services\WinSock2\Parame ters\Protocol_Catalog9\Catalog_Entries\\\\\\\\\\00 0000000009\PackedCatalogItem удален.
22.01.2010 13:59:54 Объект автозапуска HKLM\SYSTEM\ControlSet002\Services\WinSock2\Parame ters\Protocol_Catalog9\Catalog_Entries\\\\\\\\\\\0 00000000010\PackedCatalogItem удален.
22.01.2010 13:59:54 Объект автозапуска HKLM\SYSTEM\ControlSet002\Services\WinSock2\Parame ters\Protocol_Catalog9\Catalog_Entries\\\\\\\\\\\\ 000000000011\PackedCatalogItem удален.
22.01.2010 13:59:54 Объект автозапуска HKLM\SYSTEM\ControlSet003\Services\WinSock2\Parame ters\Protocol_Catalog9\Catalog_Entries\00000000000 1\PackedCatalogItem удален.
22.01.2010 13:59:54 Объект автозапуска HKLM\SYSTEM\ControlSet003\Services\WinSock2\Parame ters\Protocol_Catalog9\Catalog_Entries\\0000000000 01\PackedCatalogItem удален.
22.01.2010 13:59:54 Объект автозапуска HKLM\SYSTEM\ControlSet003\Services\WinSock2\Parame ters\Protocol_Catalog9\Catalog_Entries\\\000000000 002\PackedCatalogItem удален.
22.01.2010 13:59:54 Объект автозапуска HKLM\SYSTEM\ControlSet003\Services\WinSock2\Parame ters\Protocol_Catalog9\Catalog_Entries\\\\00000000 0003\PackedCatalogItem удален.
22.01.2010 13:59:54 Объект автозапуска HKLM\SYSTEM\ControlSet003\Services\WinSock2\Parame ters\Protocol_Catalog9\Catalog_Entries\\\\\0000000 00004\PackedCatalogItem удален.
22.01.2010 13:59:54 Объект автозапуска HKLM\SYSTEM\ControlSet003\Services\WinSock2\Parame ters\Protocol_Catalog9\Catalog_Entries\\\\\\000000 000005\PackedCatalogItem удален.
22.01.2010 13:59:54 Объект автозапуска HKLM\SYSTEM\ControlSet003\Services\WinSock2\Parame ters\Protocol_Catalog9\Catalog_Entries\\\\\\\00000 0000006\PackedCatalogItem удален.
22.01.2010 13:59:54 Объект автозапуска HKLM\SYSTEM\ControlSet003\Services\WinSock2\Parame ters\Protocol_Catalog9\Catalog_Entries\\\\\\\\0000 00000007\PackedCatalogItem удален.
22.01.2010 13:59:54 Объект автозапуска HKLM\SYSTEM\ControlSet003\Services\WinSock2\Parame ters\Protocol_Catalog9\Catalog_Entries\\\\\\\\\000 000000008\PackedCatalogItem удален.
22.01.2010 13:59:54 Объект автозапуска HKLM\SYSTEM\ControlSet003\Services\WinSock2\Parame ters\Protocol_Catalog9\Catalog_Entries\\\\\\\\\\00 0000000009\PackedCatalogItem удален.
22.01.2010 13:59:54 Объект автозапуска HKLM\SYSTEM\ControlSet003\Services\WinSock2\Parame ters\Protocol_Catalog9\Catalog_Entries\\\\\\\\\\\0 00000000010\PackedCatalogItem удален.
22.01.2010 13:59:54 Объект автозапуска HKLM\SYSTEM\ControlSet003\Services\WinSock2\Parame ters\Protocol_Catalog9\Catalog_Entries\\\\\\\\\\\\ 000000000011\PackedCatalogItem удален.
Дело в том, что эти ключи сейчас существуют, бинарный параметр PackedCatalogItem содержит ссылку на userlib.dll (в начале что-то типа %SystemRoot%\system32\mswsock.dll.kies\userlib.dll ). Как их правильно удалить?
-
Junior Member
- Вес репутации
- 62
Помогите пожалуйста кто-нибудь!