Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Не появляются значки рабочего стола

1
RSS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 27.01.2011 18:23:03
В программе uVS удалили файлы:
LSDELETE.EXE
SMSS.EXE

Далее выбирали "Твики.." - "Сброс ключей Winlogon в начальное состояние" почистили временные файлы.
И запускали файл .cmd содержащий:
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d Explorer.exe /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d userinit.exe /f

Не помогает.. :(
Подскажите, где копать реестр хотя бы примерно из за чего рабочий стол не появляется.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 27.01.2011 18:29:34
Проверить наличие файлов explorer.exe winlogon.exe and userinit.exe
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 27.01.2011 22:01:51
Цитата
Виктор пишет:
Еще такая беда.. В uVS пишет, что не правильный путь к файлу hosts

В UVS в твиках пункт 20, должен это убирать.
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 27.01.2011 22:26:43
Вот ссылка: http://dl.dropbox.com/u/17655378/uvs_k.zip
И пункт 20 чистили.
Изменено: Виктор - 27.01.2011 22:27:50
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 27.01.2011 22:38:22
Цитата
Виктор пишет:
Вот ссылка: http://dl.dropbox.com/u/17655378/uvs_k.zip И пункт 20 чистили.

ну пока руткит не коцнуть, я думаю ничего не изменится
SGOPE.SYS

:)

Нужна помощь в написании скрипта? Файлик бы не помешал вирлабу  :D
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 27.01.2011 22:50:39
Я же его Вам отправлял :)
Кстати, что за сообщения вверху лога.
(!) Обнаружен сплайсинг: LdrLoadDll
(!) Обнаружен сплайсинг: LdrUnloadDll

Файл удаляли не помогло.
Код
zoo %SystemRoot%\SGOPE.SYS
bl 21A4004DF783BF6140E840681DF54839 29056
delall %SystemRoot%\SGOPE.SYS
Изменено: Виктор - 27.01.2011 22:54:15
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 27.01.2011 23:05:38
Цитата
Виктор пишет:
(!) Обнаружен сплайсинг: LdrLoadDll (!) Обнаружен сплайсинг: LdrUnloadDll

Это лучше спросить у автора программы
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 27.01.2011 23:49:17
Цитата
Виктор пишет:
Я же его Вам отправлял  
это кстати, новый мод руткита, и он не детектится NOD32
http://www.virustotal.com/file-scan/report.html?id=72a1870ca8f3a6c3361f4ed58666144447af82debc3cf3c64f6825bdd­aef8862-1296114719
лучше отправить в вирлаб.
моя сигнатура uVS задетектила его. 11 байт совпадение.
[ Как создать образ автозапуска? ]
 
1
Читают тему