Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] постоянное завершение сеанса

1
RSS
 
mrGreend
mrGreend
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 09.12.2011
Размещено 27.06.2013 01:33:17
Схватил порнобанер несмотря на установленный СмартСекьюрити. Лечил аналогом LiveCD (первым который попался в поиске на "вылечить порнобанер"). После лечения банер не вылазит. Но не получается зайти в систему - происходит постоянное завершение сеанса.
После этого скачал здесь LiveCD - как по инструкции с него запускал Userinit_fix, затем сканировал на вирусы. Обнаруживалась 1 угроза, но не вылечивалась.
Проблема с завершением сеанса остается.

Через uVS сделал образ автозапуска. Образ в приложении.

Жду дальнейших указаний по решению проблемы.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.06.2013 05:42:04
выполните в uVS (из под winpe) скрипт из файла.

файл скрипта скачайте отсюда
http://rghost.ru/private/47045070/0517b5245b5c81339313c2e505059d3d
или из прикрепленного файла

после выполнения скрипта перегрузите систему в нормальный режим

пишем результат.
[ Как создать образ автозапуска? ]
 
mrGreend
mrGreend
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 09.12.2011
Размещено 28.06.2013 09:45:40
Запустил uVS  под текущим пользователем.
Открылось серок окно. Внизу окна пробежали надписи.
После этого в окне осталось 2 строчки:
ICONCODESERVICE.DLL и SYSTEMPROPERTIESPERFOMANCE.EXE
у обоих статус - подозрительный и файл не найден.
Далее запустил скрипт из приложенного вами файла.
Внизу серого окна побежали надписи. Затем оно закрылось, открылось синее окно (голубое) с надписью Far.2.0.1807 x86 Administrator
И больше ничего не происходит. Окно висит. Перезагружаю - нет результата (постоянно завершается сеанс, войти в систему невозможно).
Скрипт запускал и второй раз - безрезультатно!
Что дальше делать?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.06.2013 10:07:46
в приложении список подозрительных при открытии вашего образа.
----------------
давайте все по порядку делаем.

1. вы загрузили систему с Winpe&uVS

далее,

выбрали каталог вашей проблемной системы с жесткого диска?

если нет, значит еще раз загружаемся с Winpe&uVS

выбираем каталог системы с жесткого диска

затем нажимаем - текущий пользователь.
-------------------
и далее, уже выполняем скрипт из файла, который был в приложении (или по ссылке)
!!!.JPG (62.32 КБ)
Изменено: santy - 28.06.2013 10:08:43
[ Как создать образ автозапуска? ]
 
mrGreend
mrGreend
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 09.12.2011
Размещено 28.06.2013 12:21:41
Запустил uVS.
Выбрал С/Windows
Запустил от текущего пользователя.
Была одна строка
NTFS_CLEAN.EXE
Запустил скрипт из файла.
672 проверено. Вирусов 0.
Закрыл крестиком. Синий экран тоже крестиком. Во время перезагрузки компа вытащил флешку.
Комп загрузился, в систему вошел! Т.е. проблема решена!
Обновил базы НОДа. Проверил сканированием Смарт. Вирусов не обнаружено.
Пока полет нормальный!
Большое спасибо!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.06.2013 12:41:09
раз полет нормальный, закрываем тему. :).
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.06.2013 13:03:44
и кстати вопрос.
Цитата
Лечил аналогом LiveCD (первым который попался в поиске на "вылечить порнобанер"  ;)  . После лечения банер не вылазит. Но не получается зайти в систему - происходит постоянное завершение сеанса.
какой LiveCD использовали для первоначального лечения?
(трояна он прибил, а ссылку в реестре не исправил.)

Цитата
Полное имя                  C:\DOCUME~1\9335~1\LOCALS~1\TEMP\NTFS_CLEAN.EXE
Имя файла                   NTFS_CLEAN.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
CURRENTVERSION.RUN          (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)
CURRENTVERSION.WINLOGON     (ССЫЛКА ~ \CURRENTVERSION\WINLOGON\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Автозапуск                  Неизвестный файл использует ключ реестра часто используемый вирусами
                           
Ссылки на объект            
Ссылка                      HKLM\ttracngze\Software\Microsoft\Windows\CurrentVersion\Run­\explorer
explorer                    C:\DOCUME~1\9335~1\LOCALS~1\Temp\Ntfs_Clean.exe
                           
Ссылка                      HKLM\ttracngze\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Shell                       C:\DOCUME~1\9335~1\LOCALS~1\Temp\Ntfs_Clean.exe
                           
Ссылка                      HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
UIHost                      C:\DOCUME~1\9335~1\LOCALS~1\Temp\Ntfs_Clean.exe
                           
Ссылка                      HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Userinit                    C:\DOCUME~1\9335~1\LOCALS~1\Temp\Ntfs_Clean.exe
                           
Изменено: santy - 28.06.2013 13:07:08
[ Как создать образ автозапуска? ]
 
1
Читают тему