Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Разблокировка Windows от SMS-вымогателей

Заблокирован доступ к рабочему столу Windows

1 2 3 След.
RSS
 
rzhevsky
rzhevsky
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 15.09.2011
Размещено 15.09.2011 17:41:01
Товарищи! Помогите! Случилось непонятное: на компьютере с nod32, установлены все обновления, свежие базы, всё лицензионное и т.д., люди где-то «на каком-то сайте» подцепили блокер. После этого компьютер выключили. Потом включили, и блокер больше не появляется, но и в систему войти нельзя, только до выбора пользователя. Я выполнил все рекомендации, загружался со всех возможных LiveCD, пишут, что вирусов нет, реестр в порядке, системные файлы на месте. Но толку никакого. Прикрепляю результат работы uVS.
 
Валентин
Валентин
Администратор
Сообщений: 5198
Баллов: 4168
Регистрация: 12.05.2010
Размещено 15.09.2011 17:58:37
А после выбора пользователя что происходит?
ESET Technical Support
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 15.09.2011 18:31:37
Цитата
rzhevsky пишет:
Товарищи! Помогите! Случилось непонятное: на компьютере с nod32, установлены все обновления, свежие базы, всё лицензионное и т.д., люди где-то «на каком-то сайте» подцепили блокер. После этого компьютер выключили. Потом включили, и блокер больше не появляется, но и в систему войти нельзя, только до выбора пользователя. Я выполнил все рекомендации, загружался со всех возможных LiveCD, пишут, что вирусов нет, реестр в порядке, системные файлы на месте. Но толку никакого. Прикрепляю результат работы uVS.

У Вас судя по логу именно вот такой случай
http://www.youtube.com/watch?v=Cs3ZbqugTVs

Вот этот файлик бы в вирлаб.
C:\WINDOWS\Temp\network.exe
 
rzhevsky
rzhevsky
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 15.09.2011
Размещено 15.09.2011 23:35:36
Валентин,
После выбора имени появляется надпись «загрузка личных параметров», потом быстро «завершение сеанса», и снова выбор имени пользователя.
 
rzhevsky
rzhevsky
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 15.09.2011
Размещено 15.09.2011 23:36:25
zloyDi,
network.exe имеет размер 0 байт :(
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 16.09.2011 00:03:32
Цитата
rzhevsky пишет:
zloyDi, network.exe имеет размер 0 байт :(

Я уже это понял, попробуйте выполнить операции как показано на видео.
 
rzhevsky
rzhevsky
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 15.09.2011
Размещено 16.09.2011 00:26:23
zloyDi,
Выполнил. Ничего не поменялось :(
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 16.09.2011 02:01:37
Цитата
rzhevsky пишет:
Выполнил. Ничего не поменялось :(

Тогда новый лог ЮВС с диска, будем думать.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 16.09.2011 06:59:51
антивирусом видно залечили файлик до 0байт,
а то что этот файл подвешивает userinit.exe на отладчик, об этом антивир не знает.
--------------
Цитата
Полное имя                  C:\WINDOWS\TEMP\NETWORK.EXE
Имя файла                   NETWORK.EXE
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      0 байт
Создан                      23.08.2011 в 14:37:54
Изменен                     23.08.2011 в 14:38:15
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Тип запуска                 Неизвестный отладчик приложения(ий)
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
SHA1                        DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
MD5                         D41D8CD98F00B204E9800998ECF8427E
                           
Ссылки на объект            
Ссылка                      HKLM\sqgjsrjhp\Software\Microsoft\Windows\CurrentVersion\Run­\debug
debug                       C:\WINDOWS\Temp\network.exe
                           
Ссылка                      HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\Debugger
                           
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 16.09.2011 07:10:53
выполните скрипт в uVS из под Live.CD (подключить Windows так же как и при создании образа автозапуска)
---
перезагрузка, пишем результат
[ Как создать образ автозапуска? ]
 
1 2 3 След.
Читают тему