Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Не появляются значки рабочего стола

1
RSS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 27.01.2011 18:23:03
В программе uVS удалили файлы:
LSDELETE.EXE
SMSS.EXE

Далее выбирали "Твики.." - "Сброс ключей Winlogon в начальное состояние" почистили временные файлы.
И запускали файл .cmd содержащий:
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d Explorer.exe /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d userinit.exe /f

Не помогает.. :(
Подскажите, где копать реестр хотя бы примерно из за чего рабочий стол не появляется.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 27.01.2011 18:29:34
Проверить наличие файлов explorer.exe winlogon.exe and userinit.exe
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 27.01.2011 22:01:51
Цитата
Виктор пишет:
Еще такая беда.. В uVS пишет, что не правильный путь к файлу hosts

В UVS в твиках пункт 20, должен это убирать.
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 27.01.2011 22:26:43
Вот ссылка: http://dl.dropbox.com/u/17655378/uvs_k.zip
И пункт 20 чистили.
Изменено: Виктор - 27.01.2011 22:27:50
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 27.01.2011 22:38:22
Цитата
Виктор пишет:
Вот ссылка: http://dl.dropbox.com/u/17655378/uvs_k.zip И пункт 20 чистили.

ну пока руткит не коцнуть, я думаю ничего не изменится
SGOPE.SYS

:)

Нужна помощь в написании скрипта? Файлик бы не помешал вирлабу  :D
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 27.01.2011 22:50:39
Я же его Вам отправлял :)
Кстати, что за сообщения вверху лога.
(!) Обнаружен сплайсинг: LdrLoadDll
(!) Обнаружен сплайсинг: LdrUnloadDll

Файл удаляли не помогло.
Код
zoo %SystemRoot%\SGOPE.SYS
bl 21A4004DF783BF6140E840681DF54839 29056
delall %SystemRoot%\SGOPE.SYS
Изменено: Виктор - 27.01.2011 22:54:15
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 27.01.2011 23:05:38
Цитата
Виктор пишет:
(!) Обнаружен сплайсинг: LdrLoadDll (!) Обнаружен сплайсинг: LdrUnloadDll

Это лучше спросить у автора программы
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.01.2011 23:49:17
Цитата
Виктор пишет:
Я же его Вам отправлял  
это кстати, новый мод руткита, и он не детектится NOD32
http://www.virustotal.com/file-scan/report.html?id=72a1870ca8f3a6c3361f4ed58666144447af82debc3cf3c64f6825bdd­aef8862-1296114719
лучше отправить в вирлаб.
моя сигнатура uVS задетектила его. 11 байт совпадение.
[ Как создать образ автозапуска? ]
 
1
Читают тему