Заблокирован доступ к рабочему столу Windows

Товарищи! Помогите! Случилось непонятное: на компьютере с nod32, установлены все обновления, свежие базы, всё лицензионное и т.д., люди где-то «на каком-то сайте» подцепили блокер. После этого компьютер выключили. Потом включили, и блокер больше не появляется, но и в систему войти нельзя, только до выбора пользователя. Я выполнил все рекомендации, загружался со всех возможных LiveCD, пишут, что вирусов нет, реестр в порядке, системные файлы на месте. Но толку никакого. Прикрепляю результат работы uVS.
А после выбора пользователя что происходит?
ESET Technical Support
Цитата
rzhevsky пишет:
Товарищи! Помогите! Случилось непонятное: на компьютере с nod32, установлены все обновления, свежие базы, всё лицензионное и т.д., люди где-то «на каком-то сайте» подцепили блокер. После этого компьютер выключили. Потом включили, и блокер больше не появляется, но и в систему войти нельзя, только до выбора пользователя. Я выполнил все рекомендации, загружался со всех возможных LiveCD, пишут, что вирусов нет, реестр в порядке, системные файлы на месте. Но толку никакого. Прикрепляю результат работы uVS.

У Вас судя по логу именно вот такой случай
http://www.youtube.com/watch?v=Cs3ZbqugTVs

Вот этот файлик бы в вирлаб.
C:\WINDOWS\Temp\network.exe

Валентин,
После выбора имени появляется надпись «загрузка личных параметров», потом быстро «завершение сеанса», и снова выбор имени пользователя.
zloyDi,
network.exe имеет размер 0 байт :(
Цитата
rzhevsky пишет:
zloyDi, network.exe имеет размер 0 байт :(

Я уже это понял, попробуйте выполнить операции как показано на видео.

zloyDi,
Выполнил. Ничего не поменялось :(
Цитата
rzhevsky пишет:
Выполнил. Ничего не поменялось :(

Тогда новый лог ЮВС с диска, будем думать.

антивирусом видно залечили файлик до 0байт,
а то что этот файл подвешивает userinit.exe на отладчик, об этом антивир не знает.
--------------
Цитата
Полное имя                  C:\WINDOWS\TEMP\NETWORK.EXE
Имя файла                   NETWORK.EXE
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      0 байт
Создан                      23.08.2011 в 14:37:54
Изменен                     23.08.2011 в 14:38:15
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Тип запуска                 Неизвестный отладчик приложения(ий)
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
SHA1                        DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
MD5                         D41D8CD98F00B204E9800998ECF8427E
                           
Ссылки на объект            
Ссылка                      HKLM\sqgjsrjhp\Software\Microsoft\Windows\CurrentVersion\Run­\debug
debug                       C:\WINDOWS\Temp\network.exe
                           
Ссылка                      HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\Debugger
                           
выполните скрипт в uVS из под Live.CD (подключить Windows так же как и при создании образа автозапуска)
---
перезагрузка, пишем результат
Читают тему (гостей: 1)