Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Блокировщик экрана

RSS
 
NVTR
NVTR
Пользователь
Сообщений: 57
Баллов: 45
Регистрация: 07.06.2011
Размещено 02.08.2011 22:41:07
Опять подхватил эту дрянь.
Выполнил следущее:
1. Сделал загрузочную флешку с лайф СД НОД. Нашел 6 объектов. После проверки запустил Userinit_fix. Далее загрузка  в обычном режиме. Проходит загрузка винды (7-ка), затем после выбора пользователя просто темный экран.
2. Сделал другую загр. флешку, выполнил сохранение файла автозапуска. Результат тот же.
Прошу помощи. Стоит НОД лицензия 4.2 Не помог. Прикрепляю файл автозапуска.

Ответы

Пред. 1 2 3 4 5 След.
 
NVTR
NVTR
Пользователь
Сообщений: 57
Баллов: 45
Регистрация: 07.06.2011
Размещено 02.08.2011 23:51:27
)))) я тоже. Ну слабенько я волоку в компах. Короче я нашел этот файл в папке c:\Windows\System32\ Проверил его антивирусом - чисто. Навсякий скачал ваш и заменил старый. Сейчас попробую.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 02.08.2011 23:55:32
Ок, я скорее всего узнаю о результае уже  завтра, просто засипаю за монитором...
 
NVTR
NVTR
Пользователь
Сообщений: 57
Баллов: 45
Регистрация: 07.06.2011
Размещено 03.08.2011 00:05:11
Не помогло. Делаю в БИОСЕ загрузку с жесткого. Появляется окно с выбором пользователя. После ввода пароля идет загрузка и опять черный экран. В безопасном режиме тоже самое. Тоже пойду спать. Доброй ночи.
 
NVTR
NVTR
Пользователь
Сообщений: 57
Баллов: 45
Регистрация: 07.06.2011
Размещено 03.08.2011 08:24:43
Доброе утро. Специалисты на форуме уже есть? Вчера кагда делал с помощью uVs образ автозапуска, он находит неизвестный файл sms.exe Наверное НОД не смог удалить вирус. Такое ощущение, что просто удалилась графическая оболочка вируса с надписью об отправке денег и остался просто черный экран.
 
santy
santy
Администратор
Сообщений: 17970
Баллов: 28751
Регистрация: 16.03.2010
Размещено 03.08.2011 09:57:57
в каком режиме делали образ uVS? с загрузочного диска WinPE&uVS? или в другом режиме? нужен образ автозапуска для анализа. Дальше видно будет.
[ Как создать образ автозапуска? ]
 
NVTR
NVTR
Пользователь
Сообщений: 57
Баллов: 45
Регистрация: 07.06.2011
Размещено 03.08.2011 11:03:52
В обычном режиме, uVS на загрузочной флешке. Могу сделать образ автозапуска повторно.
 
NVTR
NVTR
Пользователь
Сообщений: 57
Баллов: 45
Регистрация: 07.06.2011
Размещено 03.08.2011 11:38:12
в каком режиме сделать образ?
 
santy
santy
Администратор
Сообщений: 17970
Баллов: 28751
Регистрация: 16.03.2010
Размещено 03.08.2011 12:11:06
сделайте образ из под загрузочной флэшки. восстановление будет успешным , если вы используете загрузочный образ winPe&uVS
Изменено: santy - 03.08.2011 12:13:02
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17970
Баллов: 28751
Регистрация: 16.03.2010
Размещено 03.08.2011 12:12:37
начальный образ я посмотрел, он сделан не из под winpe.
userinit.exe в системе заражен.

Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\USERINIT.EXE
Имя файла                   USERINIT.EXE
Тек. статус                 ВИРУС ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      33792 байт
Создан                      15.04.2008 в 15:00:00
Изменен                     27.07.2011 в 11:04:53
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Версия файла                0.0.10.97
Описание                    Ttarohezfh
Производитель               AVG Software Development Team
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись            Отсутствует, что необычно для известного файла этого типа [ВОЗМОЖНО поврежден/заражен]
Сигнатура                   Необычная для известного файла сигнатура, возможно файл был подменен
                           
Доп. информация             на момент обновления списка
SHA1                        A5F87D43C6C2F33E8C29CB992AD4F1FD3E970837
MD5                         A0FFB4291309278D379687A55930ABB3
                           
Ссылки на объект            
Ссылка                      HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Userinit                    C:\WINDOWS\SYSTEM32\USERINIT.EXE
                           
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17970
Баллов: 28751
Регистрация: 16.03.2010
Размещено 03.08.2011 12:18:18
для больбы с Winlock, MBRLock лучше использовать вот эту тему
http://forum.esetnod32.ru/forum6/topic2102/
т.е. образ winPE&uBS более эффективен с больбе с локерами, нежели Live.CD с бортовым сканером. По следующим причинам:
1. на этом образе есть библиотека чистых системных файлов для восстановления userinit, taskmgr для систем XP, Vista, Seven
2. в случае MBRLock можно использовать скриптовые команды из uVS (fixmbr для перезаписи в MBR соответствующего стандартного загрузчика)
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3 4 5 След.
Читают тему