-
Junior Member
- Вес репутации
- 53
Win32/LockScreen.DB
Здравствуйте. Стоит Window7 x64, антивирус NOD32. После очередного обновления NOD'a, он нашел Win32/LockScreen.DB троянская программа, которая расположена в C:\Users\Александр\AppData\Roaming\Microsoft\Windo ws\Cookies\USERLIB.DLL
Очистка невозможна, ручное удаление тоже. Удаляется в безопасном режиме. После удаления, в нормальном ничего не подключается к интернету кроме стандартного IE. После восстановлении файла начало всё работать, но антивирус без остановки ругался. Теперь и без удаления и с файлом в интернет не лезет ничего кроме IE.
Ниже лог hijackthis. AVZ не запускал, так как в правилах написано: "Внимание! Не запускайте AVZ на x64. Мы не несём ответственность проблемы, возникшие в ходе запуска AVZ на системах x64"
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в HijackThis
Код:
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\александр\appdata\roaming\microsoft\windows\cookies\userlib.dll
ПК перезагрузите.
Сделайте еще такой лог:
http://virusinfo.info/showthread.php?t=53070
-
-
Junior Member
- Вес репутации
- 53
Сделал
П.С. То что написали пофиксить - опять появилось после перезагрузки ( или же не исчезало ). Есть тема с такой же проблемой, только Windows другой и диспетчер задач я восстановил.
-
Попробуйте подготовить лог virusinfo_syscheck.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll','');
DeleteFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
В перезагрузку не уходит, что-то красным цветом пишет в протоколе и выключается. Карантин чист. И кстати не получается обновить AVZ.
Последний раз редактировалось ToPyM; 20.12.2009 в 23:40.
-
С правами администратора выполняете, выгрузив все защитное ПО?
Попробуйте повторить скрипт и сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
миднайт
С правами администратора выполняете, выгрузив все защитное ПО?
Попробуйте повторить скрипт и сделайте новые логи.
Да. AVZ через долю секунды просто закрывается.
В безопасном режиме можно удалить userlib.dll. Но скрипт не выполняется и в безопасном режиме. Новые логи сделать с файлом userlib.dll или без него?
-
Эйн момент. Я просмотрел ваше сообщение первое, у вас 64 битная windows 7?
-
-
Junior Member
- Вес репутации
- 53
Да.
Сделал логи после удаления userlib.dll
Последний раз редактировалось ToPyM; 21.12.2009 в 02:01.
-
Сообщение от
ToPyM
Сделал логи после удаления userlib.dll
Удаляли вручную?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
thyrex
Удаляли вручную?
Да, в безопасном режиме. Могу восстановить.
Щас ситуация такая. Без этого файла к интернету конектится только IE. С ним, NOD пытается удалить его, но не получается, и опять же работает только IE. Но, если взять взять NOD старый без обновленых баз, то всё прекрасно работает ( что и было раньше, пока антивирус в очередной раз не обновился).
Добавлено через 59 минут
Выполнил следующий код и всё заработало, я удивлён
Код:
begin
ExecuteRepair(14);
RebootWindows(true);
end.
Но не думаю что это конец...
Видимых проблем пока не замечаю. Вскоре выложу новые логи.
Последний раз редактировалось ToPyM; 21.12.2009 в 18:58.
Причина: Добавлено
-
Проблемы еще какие-нибудь есть ?
-
-
Junior Member
- Вес репутации
- 53
Заметил только что при перезагрузке или выключении, компьютер не до конца завершает задачу, т.е вроде бы выключается, но не тухнет...
Добавлено через 54 минуты
Выложил логи. Я в особо ничего не понимаю, но мне не очень нравится.
Последний раз редактировалось ToPyM; 21.12.2009 в 22:11.
-
Junior Member
- Вес репутации
- 53
У меня всё в порядке или есть проблемы, которые Вы можете помочь решить ?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Странно, что всё решилось простым удалением файла и маленьким скриптом в 4 строки Так или иначе, спасибо. С наступающим!