Win32/LockScreen.DB

Здравствуйте. Стоит Window7 x64, антивирус NOD32. После очередного обновления NOD'a, он нашел Win32/LockScreen.DB троянская программа, которая расположена в C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Cookies\USERLIB.DLL
Очистка невозможна, ручное удаление тоже. Удаляется в безопасном режиме. После удаления, в нормальном ничего не подключается к интернету кроме стандартного IE. После восстановлении файла начало всё работать, но антивирус без остановки ругался. Теперь и без удаления и с файлом в интернет не лезет ничего кроме IE.
Ниже лог hijackthis. AVZ не запускал, так как в правилах написано: "Внимание! Не запускайте AVZ на x64. Мы не несём ответственность проблемы, возникшие в ходе запуска AVZ на системах x64"

Пофиксить в HijackThis
[code]
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
[/code]
ПК перезагрузите.

Сделайте еще такой лог:
[url]http://virusinfo.info/showthread.php?t=53070[/url]

Сделал
П.С. То что написали пофиксить - опять появилось после перезагрузки ( или же не исчезало ). [URL="http://virusinfo.info/showthread.php?t=63256&highlight=win32"]Есть тема с такой же проблемой[/URL], только Windows другой и диспетчер задач я восстановил.

Попробуйте подготовить лог virusinfo_syscheck.zip

Сделал

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll','');
DeleteFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

В перезагрузку не уходит, что-то красным цветом пишет в протоколе и выключается. Карантин чист. И кстати не получается обновить AVZ.

С правами администратора выполняете, выгрузив все защитное ПО?
Попробуйте повторить скрипт и сделайте новые логи.

[QUOTE=миднайт;540615]С правами администратора выполняете, выгрузив все защитное ПО?
Попробуйте повторить скрипт и сделайте новые логи.[/QUOTE]
Да. AVZ через долю секунды просто закрывается.
В безопасном режиме можно удалить userlib.dll. Но скрипт не выполняется и в безопасном режиме. Новые логи сделать с файлом userlib.dll или без него?

Эйн момент. Я просмотрел ваше сообщение первое, у вас 64 битная windows 7?

Да.
Сделал логи после удаления userlib.dll

[QUOTE='ToPyM;540630']Сделал логи после удаления userlib.dll[/QUOTE]Удаляли вручную?

[QUOTE=thyrex;540961]Удаляли вручную?[/QUOTE]
Да, в безопасном режиме. Могу восстановить.
Щас ситуация такая. Без этого файла к интернету конектится только IE. С ним, NOD пытается удалить его, но не получается, и опять же работает только IE. Но, если взять взять NOD старый без обновленых баз, то всё прекрасно работает ( что и было раньше, пока антивирус в очередной раз не обновился).

[size="1"][color="#666686"][B][I]Добавлено через 59 минут[/I][/B][/color][/size]

Выполнил следующий код и всё заработало, я удивлён :ohmy:
[CODE]begin
ExecuteRepair(14);
RebootWindows(true);
end.[/CODE]
Но не думаю что это конец...
Видимых проблем пока не замечаю. Вскоре выложу новые логи.

Проблемы еще какие-нибудь есть ?

Заметил только что при перезагрузке или выключении, компьютер не до конца завершает задачу, т.е вроде бы выключается, но не тухнет...

[size="1"][color="#666686"][B][I]Добавлено через 54 минуты[/I][/B][/color][/size]

Выложил логи. Я в особо ничего не понимаю, но мне не очень нравится.

У меня всё в порядке или есть проблемы, которые Вы можете помочь решить ?

Чисто

Странно, что всё решилось простым удалением файла и маленьким скриптом в 4 строки :) Так или иначе, спасибо. С наступающим!