Полное имя C:\DOCUMENTS AND SETTINGS\ADMIN\РАБОЧИЙ СТОЛ\L2.EXE Имя файла L2.EXE Тек. статус ?ВИРУС? в автозапуске
www.virustotal.com 2013-03-02 [2009-02-25 16:33:10 UTC ( 4 years ago )] Symantec WS.Reputation.1
Сохраненная информация на момент создания образа Статус в автозапуске Размер 257536 байт Создан 05.02.2013 в 19:13:22 Изменен 09.06.2008 в 10:17:40 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить
Доп. информация на момент обновления списка SHA1 12472D57873C627A76EF9E9BB3EB86A6DD8F35F5 MD5 40D767B25A2433CB34371740ECEE2AD7
Ссылки на объект Ссылка HKLM\ejpocyhhh\Software\Microsoft\Windows\CurrentVersion\Run\AuthClient AuthClient C:\Documents and Settings\Admin\Рабочий стол\L2.exe
скрипт запустил, что-то там удалило. после перегрузки в норм режим не могу войти в систему - только появилась заставка раб.стола и сразу завершение сеанса. в каком смысле легальный ли файл? я сам его вчера делал, винда лиц.копия.
систему уже чем то чистили до открытия темы на форуме?
похоже Winlogon основательно зачищен.
нет ссылок на userinit.exe
Цитата
Полное имя C:\WINDOWS\SYSTEM32\USERINIT.EXE Имя файла USERINIT.EXE Тек. статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
Сохраненная информация на момент создания образа Статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске Размер 26624 байт Создан 15.04.2008 в 20:00:00 Изменен 15.04.2008 в 20:00:00 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Действительна, подписано Microsoft Windows Component Publisher
Оригинальное имя USERINIT.EXE Версия файла 5.1.2600.5512 (xpsp.080413-2113) Версия продукта 5.1.2600.5512 Описание Приложение Userinit для входа в систему Производитель Корпорация Майкрософт
Доп. информация на момент обновления списка SHA1 2554972785F56B0B8D45F59953F11C9CA28EB567 MD5 4F88778DD0CD6B99FCDA408E16B36AE7
нет ссылок на Winlogon\shell для explorer.exe
Цитата
Полное имя C:\WINDOWS\EXPLORER.EXE Имя файла EXPLORER.EXE Тек. статус ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Сохраненная информация на момент создания образа Статус ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске Размер 1721344 байт Создан 20.06.2012 в 23:11:07 Изменен 20.06.2012 в 23:11:07 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить
Оригинальное имя EXPLORER.EXE Версия файла 6.00.2900.5512 (xpsp.080413-2105) Описание Проводник Производитель Корпорация Майкрософт
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Цифровая подпись Отсутствует, что необычно для известного файла этого типа [ВОЗМОЖНО поврежден/заражен]
Доп. информация на момент обновления списка SHA1 37BD96D67696C367A6F64947E1B6A2FB9E329BDB MD5 295922E260F7FD196930078AD0B490D0
Ссылки на объект Ссылка HKLM\uvs_software\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\Shell\find\Command\ NULL %SystemRoot%\Explorer.exe