Заблокирован доступ к рабочему столу Windows - Форум технической поддержки ESET NOD32

Сообщений: 12

Баллов: 6

Регистрация: 07.03.2013

Размещено 07.03.2013 01:57:08

прошу помочь убить вин блок. образ автозапуска тут http://rghost.ru/44321678

Сообщений: 17792

Баллов: 14233

Регистрация: 16.03.2010

Размещено 07.03.2013 06:27:40

выполните в uVS (из Winpe) скрипт из файла.

файл скрипта скачайте отсюда
http://rghost.ru/private/44323004/58671de81635cc00a6611624e9890a15
после выполнения скрипта

перегрузиться в норм. режим - пишем результат

+
вопрос по этому файлу:

этот файл у вас легальный?

Цитата
Полное имя C:\DOCUMENTS AND SETTINGS\ADMIN\РАБОЧИЙ СТОЛ\L2.EXE Имя файла L2.EXE Тек. статус ?ВИРУС? в автозапуске www.virustotal.com 2013-03-02 [2009-02-25 16:33:10 UTC ( 4 years ago )] Symantec WS.Reputation.1 Сохраненная информация на момент создания образа Статус в автозапуске Размер 257536 байт Создан 05.02.2013 в 19:13:22 Изменен 09.06.2008 в 10:17:40 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Доп. информация на момент обновления списка SHA1 12472D57873C627A76EF9E9BB3EB86A6DD8F35F5 MD5 40D767B25A2433CB34371740ECEE2AD7 Ссылки на объект Ссылка HKLM\ejpocyhhh\Software\Microsoft\Windows\CurrentVersion\Run\AuthClient AuthClient C:\Documents and Settings\Admin\Рабочий стол\L2.exe

Цитата

Полное имя C:\DOCUMENTS AND SETTINGS\ADMIN\РАБОЧИЙ СТОЛ\L2.EXE
Имя файла L2.EXE
Тек. статус ?ВИРУС? в автозапуске

www.virustotal.com 2013-03-02 [2009-02-25 16:33:10 UTC ( 4 years ago )]
Symantec WS.Reputation.1

Сохраненная информация на момент создания образа
Статус в автозапуске
Размер 257536 байт
Создан 05.02.2013 в 19:13:22
Изменен 09.06.2008 в 10:17:40
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Доп. информация на момент обновления списка
SHA1 12472D57873C627A76EF9E9BB3EB86A6DD8F35F5
MD5 40D767B25A2433CB34371740ECEE2AD7

Ссылки на объект
Ссылка HKLM\ejpocyhhh\Software\Microsoft\Windows\CurrentVersion\Run\AuthClient
AuthClient C:\Documents and Settings\Admin\Рабочий стол\L2.exe

[ Как создать образ автозапуска? ]

Сообщений: 12

Баллов: 6

Регистрация: 07.03.2013

Размещено 07.03.2013 08:35:49

скрипт запустил, что-то там удалило. после перегрузки в норм режим не могу войти в систему - только появилась заставка раб.стола и сразу завершение сеанса.
в каком смысле легальный ли файл? я сам его вчера делал, винда лиц.копия.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 07.03.2013 09:26:25

сделайте новый образ автозапуска из под WinPE

Правильно заданный вопрос - это уже половина ответа

Сообщений: 12

Баллов: 6

Регистрация: 07.03.2013

Размещено 07.03.2013 13:13:03

вечером скину, сейчас на работе и нет доступа к зараженному ноуту

Изменено: shnurok - 07.03.2013 13:13:53

Сообщений: 17792

Баллов: 14233

Регистрация: 16.03.2010

Размещено 07.03.2013 16:05:49

систему уже чем то чистили до открытия темы на форуме?

похоже Winlogon основательно зачищен.

нет ссылок на userinit.exe

Цитата
Полное имя C:\WINDOWS\SYSTEM32\USERINIT.EXE Имя файла USERINIT.EXE Тек. статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске Сохраненная информация на момент создания образа Статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске Размер 26624 байт Создан 15.04.2008 в 20:00:00 Изменен 15.04.2008 в 20:00:00 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Действительна, подписано Microsoft Windows Component Publisher Оригинальное имя USERINIT.EXE Версия файла 5.1.2600.5512 (xpsp.080413-2113) Версия продукта 5.1.2600.5512 Описание Приложение Userinit для входа в систему Производитель Корпорация Майкрософт Доп. информация на момент обновления списка SHA1 2554972785F56B0B8D45F59953F11C9CA28EB567 MD5 4F88778DD0CD6B99FCDA408E16B36AE7

Цитата

Полное имя C:\WINDOWS\SYSTEM32\USERINIT.EXE
Имя файла USERINIT.EXE
Тек. статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске

Сохраненная информация на момент создания образа
Статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
Размер 26624 байт
Создан 15.04.2008 в 20:00:00
Изменен 15.04.2008 в 20:00:00
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано Microsoft Windows Component Publisher

Оригинальное имя USERINIT.EXE
Версия файла 5.1.2600.5512 (xpsp.080413-2113)
Версия продукта 5.1.2600.5512
Описание Приложение Userinit для входа в систему
Производитель Корпорация Майкрософт

Доп. информация на момент обновления списка
SHA1 2554972785F56B0B8D45F59953F11C9CA28EB567
MD5 4F88778DD0CD6B99FCDA408E16B36AE7

нет ссылок на Winlogon\shell для explorer.exe

Цитата
Полное имя C:\WINDOWS\EXPLORER.EXE Имя файла EXPLORER.EXE Тек. статус ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске Сохраненная информация на момент создания образа Статус ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске Размер 1721344 байт Создан 20.06.2012 в 23:11:07 Изменен 20.06.2012 в 23:11:07 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Оригинальное имя EXPLORER.EXE Версия файла 6.00.2900.5512 (xpsp.080413-2105) Описание Проводник Производитель Корпорация Майкрософт Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Цифровая подпись Отсутствует, что необычно для известного файла этого типа [ВОЗМОЖНО поврежден/заражен] Доп. информация на момент обновления списка SHA1 37BD96D67696C367A6F64947E1B6A2FB9E329BDB MD5 295922E260F7FD196930078AD0B490D0 Ссылки на объект Ссылка HKLM\uvs_software\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\Shell\find\Command\ NULL %SystemRoot%\Explorer.exe Ссылка HKLM\uvs_software\Classes\CLSID\{450D8FBA-AD25-11D0-98A8-0800361B1103}\Shell\find\Command\ NULL %SystemRoot%\Explorer.exe Ссылка HKLM\uvs_software\Classes\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}\Shell\find\Command\ NULL %SystemRoot%\Explorer.exe Ссылка HKLM\uvs_software\Classes\CLSID\{48e7caab-b918-4e58-a94d-505519c795dc}\Shell\open\Command\ NULL %SystemRoot%\Explorer.exe /idlist,%I,%L Ссылка HKLM\uvs_software\Classes\CLSID\{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}\Shell\explore\Command\ NULL %SystemRoot%\Explorer.exe /e,/idlist,%I,%L Ссылка HKLM\uvs_software\Classes\CLSID\{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}\Shell\find\Command\ NULL %SystemRoot%\Explorer.exe Ссылка HKLM\uvs_software\Classes\CLSID\{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}\Shell\open\Command\ NULL %SystemRoot%\Explorer.exe /idlist,%I,%L

Цитата

Полное имя C:\WINDOWS\EXPLORER.EXE
Имя файла EXPLORER.EXE
Тек. статус ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Сохраненная информация на момент создания образа
Статус ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 1721344 байт
Создан 20.06.2012 в 23:11:07
Изменен 20.06.2012 в 23:11:07
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя EXPLORER.EXE
Версия файла 6.00.2900.5512 (xpsp.080413-2105)
Описание Проводник
Производитель Корпорация Майкрософт

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись Отсутствует, что необычно для известного файла этого типа [ВОЗМОЖНО поврежден/заражен]

Доп. информация на момент обновления списка
SHA1 37BD96D67696C367A6F64947E1B6A2FB9E329BDB
MD5 295922E260F7FD196930078AD0B490D0

Ссылки на объект
Ссылка HKLM\uvs_software\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\Shell\find\Command\
NULL %SystemRoot%\Explorer.exe

Ссылка HKLM\uvs_software\Classes\CLSID\{450D8FBA-AD25-11D0-98A8-0800361B1103}\Shell\find\Command\
NULL %SystemRoot%\Explorer.exe

Ссылка HKLM\uvs_software\Classes\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}\Shell\find\Command\
NULL %SystemRoot%\Explorer.exe

Ссылка HKLM\uvs_software\Classes\CLSID\{48e7caab-b918-4e58-a94d-505519c795dc}\Shell\open\Command\
NULL %SystemRoot%\Explorer.exe /idlist,%I,%L

Ссылка HKLM\uvs_software\Classes\CLSID\{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}\Shell\explore\Command\
NULL %SystemRoot%\Explorer.exe /e,/idlist,%I,%L

Ссылка HKLM\uvs_software\Classes\CLSID\{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}\Shell\find\Command\
NULL %SystemRoot%\Explorer.exe

Ссылка HKLM\uvs_software\Classes\CLSID\{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}\Shell\open\Command\
NULL %SystemRoot%\Explorer.exe /idlist,%I,%L

по этому файлу не понял ответ: это известный вам файл или нет?

Цитата
C:\DOCUMENTS AND SETTINGS\ADMIN\РАБОЧИЙ СТОЛ\L2.EXE

Изменено: santy - 07.03.2013 16:07:00

[ Как создать образ автозапуска? ]

Сообщений: 12

Баллов: 6

Регистрация: 07.03.2013

Размещено 07.03.2013 17:20:39

систему ничем не чистил. файл мне не известный

Сообщений: 17792

Баллов: 14233

Регистрация: 16.03.2010

Размещено 07.03.2013 18:10:43

а комп ваш, или кому-то помогаете пролечить систему?
+
вопрос: нет ли другой системы на жестком диске?

или именно эта система (на C) является рабочей?

Изменено: santy - 07.03.2013 18:17:11

[ Как создать образ автозапуска? ]

Сообщений: 12

Баллов: 6

Регистрация: 07.03.2013

Размещено 07.03.2013 20:41:15

комп моей девушки. винду сюда сам ставил. другой системы нет. рабочая на диску С
новый лог автозапуска тут http://rghost.ru/44338181

Сообщений: 12

Баллов: 6

Регистрация: 07.03.2013

Размещено 07.03.2013 21:02:25

По-поводу файла L2.exe - возможно это програмка для настройки подключения в инет

[ Закрыто ] Заблокирован доступ к рабочему столу Windows , Винблок СБУ Украины