Страницы: 1 2 3 След.
RSS
[ Закрыто ] Заблокирован доступ к рабочему столу Windows, Винблок СБУ Украины
 
прошу помочь убить вин блок. образ автозапуска тут http://rghost.ru/44321678
 
выполните в uVS (из Winpe) скрипт из файла.


файл скрипта скачайте отсюда
http://rghost.ru/private/44323004/58671de81635cc00a6611624e9890a15
после выполнения скрипта

перегрузиться в норм. режим - пишем результат

+
вопрос по этому файлу:

этот файл у вас легальный?

Цитата
Полное имя                  C:\DOCUMENTS AND SETTINGS\ADMIN\РАБОЧИЙ СТОЛ\L2.EXE
Имя файла                   L2.EXE
Тек. статус                 ?ВИРУС? в автозапуске
                           
www.virustotal.com          2013-03-02 [2009-02-25 16:33:10 UTC ( 4 years ago )]
Symantec                    WS.Reputation.1
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      257536 байт
Создан                      05.02.2013 в 19:13:22
Изменен                     09.06.2008 в 10:17:40
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        12472D57873C627A76EF9E9BB3EB86A6DD8F35F5
MD5                         40D767B25A2433CB34371740ECEE2AD7
                           
Ссылки на объект            
Ссылка                      HKLM\ejpocyhhh\Software\Microsoft\Windows\CurrentVersion\Run­\AuthClient
AuthClient                  C:\Documents and Settings\Admin\Рабочий стол\L2.exe
 
скрипт запустил, что-то там удалило. после перегрузки в норм режим не могу войти в систему - только появилась заставка раб.стола и сразу завершение сеанса.
в каком смысле легальный ли файл? я сам его вчера делал, винда лиц.копия.
 
сделайте новый образ автозапуска из под WinPE
Правильно заданный вопрос - это уже половина ответа
 
вечером скину, сейчас на работе и нет доступа к зараженному ноуту
Изменено: shnurok - 07.03.2013 13:13:53
 
систему уже чем то чистили до открытия темы на форуме?

похоже Winlogon основательно зачищен.

нет ссылок на userinit.exe
Цитата
Полное имя C:\WINDOWS\SYSTEM32\USERINIT.EXE
Имя файла USERINIT.EXE
Тек. статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске

Сохраненная информация на момент создания образа
Статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
Размер 26624 байт
Создан 15.04.2008 в 20:00:00
Изменен 15.04.2008 в 20:00:00
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано Microsoft Windows Component Publisher

Оригинальное имя USERINIT.EXE
Версия файла 5.1.2600.5512 (xpsp.080413-2113)
Версия продукта 5.1.2600.5512
Описание Приложение Userinit для входа в систему
Производитель Корпорация Майкрософт

Доп. информация на момент обновления списка
SHA1 2554972785F56B0B8D45F59953F11C9CA28EB567
MD5 4F88778DD0CD6B99FCDA408E16B36AE7

нет ссылок на Winlogon\shell для explorer.exe

Цитата
Полное имя C:\WINDOWS\EXPLORER.EXE
Имя файла EXPLORER.EXE
Тек. статус ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Сохраненная информация на момент создания образа
Статус ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 1721344 байт
Создан 20.06.2012 в 23:11:07
Изменен 20.06.2012 в 23:11:07
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя EXPLORER.EXE
Версия файла 6.00.2900.5512 (xpsp.080413-2105)
Описание Проводник
Производитель Корпорация Майкрософт

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись Отсутствует, что необычно для известного файла этого типа [ВОЗМОЖНО поврежден/заражен]

Доп. информация на момент обновления списка
SHA1 37BD96D67696C367A6F64947E1B6A2FB9E329BDB
MD5 295922E260F7FD196930078AD0B490D0

Ссылки на объект
Ссылка HKLM\uvs_software\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\Shell\find\Command\
NULL %SystemRoot%\Explorer.exe

Ссылка HKLM\uvs_software\Classes\CLSID\{450D8FBA-AD25-11D0-98A8-0800361B1103}\Shell\find\Command\
NULL %SystemRoot%\Explorer.exe

Ссылка HKLM\uvs_software\Classes\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}\Shell\find\Command\
NULL %SystemRoot%\Explorer.exe

Ссылка HKLM\uvs_software\Classes\CLSID\{48e7caab-b918-4e58-a94d-505519c795dc}\Shell\open\Command\
NULL %SystemRoot%\Explorer.exe /idlist,%I,%L

Ссылка HKLM\uvs_software\Classes\CLSID\{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}\Shell\explore\Command\
NULL %SystemRoot%\Explorer.exe /e,/idlist,%I,%L

Ссылка HKLM\uvs_software\Classes\CLSID\{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}\Shell\find\Command\
NULL %SystemRoot%\Explorer.exe

Ссылка HKLM\uvs_software\Classes\CLSID\{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}\Shell\open\Command\
NULL %SystemRoot%\Explorer.exe /idlist,%I,%L

по этому файлу не понял ответ: это известный вам файл или нет?
Цитата
C:\DOCUMENTS AND SETTINGS\ADMIN\РАБОЧИЙ СТОЛ\L2.EXE
Изменено: santy - 07.03.2013 16:07:00
 
систему ничем не чистил. файл мне не известный
 
а комп ваш, или кому-то помогаете пролечить систему?
+
вопрос: нет ли другой системы на жестком диске?

или именно эта система (на C) является рабочей?
Изменено: santy - 07.03.2013 18:17:11
 
комп моей девушки. винду сюда сам ставил. другой системы нет. рабочая на диску С
новый лог автозапуска тут http://rghost.ru/44338181
 
По-поводу файла  L2.exe - возможно это програмка для настройки подключения в инет
Страницы: 1 2 3 След.
Читают тему (гостей: 1)