Форум esetnod32.ru [тема: Последствия удаления смс-блокера] http://forum.esetnod32.ru Новое в теме Последствия удаления смс-блокера форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 23 Apr 2026 23:51:34 +0300 Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
Можно было загрузиться с диска AntiWinLocker, он может восстанавливать измененные Winlock - ером системные файлы
13.02.2012 20:30:18, stem168.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message33709/ http://forum.esetnod32.ru/messages/forum6/topic2121/message33709/ Mon, 13 Feb 2012 20:30:18 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
Я администратор, владельцем папки стояло System, изменил на себя, поставил полные права на данную папку, перезагрузил пк, всё равно пишет - отказано в доступе. Всё ж мне кажется реестр был поправлен на блокировку данной папки, тут видимо надо какой то скрип прописать и запустить, через ту же uVS.
19.07.2011 13:18:56, DIM.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18386/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18386/ Tue, 19 Jul 2011 13:18:56 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
вы администратор в системе? посмотрите, кто является владельцем этого каталога. установите полные права для своей учетной записи, елси их нет.
19.07.2011 11:14:18, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18382/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18382/ Tue, 19 Jul 2011 11:14:18 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
Папка появилась, и некоторые другие, но она в полупрозрачном фоне и при входе в неё - отказано в доступе. В винде я один пользователь.
19.07.2011 10:53:33, DIM.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18378/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18378/ Tue, 19 Jul 2011 10:53:33 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Но всё ж есть подозрения, что реестр немного пострадал, ибо всёж ещё не вижу папку документ энд сейтинг.
=============
можете указать полный путь на папку? посмотрите, видна она будет в FAR или нет.
+ выполните в uVS такой скрипт из буфера обмена

====code==== 
;uVS v3.67 script [http://dsrt.dyndns.org]

regt 3
regt 1
regt 2
regt 3
regt 10
regt 23
regt 18
restart
=============

перезагрузка, пишем результат
18.07.2011 18:36:58, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18365/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18365/ Mon, 18 Jul 2011 18:36:58 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
И что делать?
18.07.2011 13:46:49, DIM.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18353/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18353/ Mon, 18 Jul 2011 13:46:49 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
ну, значит вы убрали ссылку на эти файлы из автозапуска, и заменили файл usernit.exe
но не удалили эти локера. + те, чтобы были в dllcache
18.07.2011 12:38:47, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18351/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18351/ Mon, 18 Jul 2011 12:38:47 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
Прикрепил.
При чём позавчера он не обнаруживал их (проверяв нодом через лайв сд, и после загрузки нодом 4), но вот вчера произошло обновление сигнатур нода, подозревав, что, что то не так, решил ещё раз провериться, в результате он увидел данные два файла.
Сейчас всё ок, полёт нормальный.
Но всё ж есть подозрения, что реестр немного пострадал, ибо всёж ещё не вижу папку документ энд сейтинг.
угрозы.txt
18.07.2011 11:29:10, DIM.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18350/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18350/ Mon, 18 Jul 2011 11:29:10 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
добавьте логи журнала обнаружения угроз, и логи последних сканирований в формате txt
http://forum.esetnod32.ru/forum9/topic1408/
18.07.2011 05:31:14, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18348/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18348/ Mon, 18 Jul 2011 05:31:14 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
Ничего не понял, ещё раз через нод лайф сд загрузился, прошёлся антивирусом, он обнаружил 3 вируса, вроде как удалил, я перезагрузился, и система загрузилась в нормальном режиме, появилось окно, от какого то приложения, мол молодец, наконец то избавился от вируса, я данный фаил отправил, через нод, на проверку, а сам его удалил, он внутри системы сидел. Потом ещё раз прошёлся нодом 4 версии, опять нашёл 3 вирусняка, удалил, перезагрузился и всё работает.
Что посоветуете сделать?
Папку документ энд сейтинг не видит кстати.
18.07.2011 01:17:34, DIM.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18346/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18346/ Mon, 18 Jul 2011 01:17:34 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
DIM,
Попробуй AVZ 4.34, Файл -> Восстановление системы.
17.07.2011 23:47:45, Yung.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18345/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18345/ Sun, 17 Jul 2011 23:47:45 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
Использовал нод лайв сд, мозг уже кипит.
17.07.2011 23:26:58, DIM.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18344/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18344/ Sun, 17 Jul 2011 23:26:58 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
можно попробовать операцию "дефрагментация System и Software,
при этом uVS попытается исправить ошибки в реестре.
сделать это следует из под winPE
17.07.2011 22:13:07, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18343/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18343/ Sun, 17 Jul 2011 22:13:07 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
если не winpe&uVS, а другой загрузочный диск, тогда сделайте следующее

скачайте отсюда Winpe&uVS
http://dl.dropbox.com/u/23461204/winpe_x86%26uvs.iso
и сделайте из под него еще раз образ автозапуска согласно инструкции
http://forum.esetnod32.ru/forum9/topic683/
17.07.2011 22:11:02, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18342/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18342/ Sun, 17 Jul 2011 22:11:02 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
возможно, проблема с реестром. раз система продолжает грузиться, значит userinit.exe выполнил свою работу.
вопрос - какой загрузочный диск использовали для исправления системы и создания образа автозапуска?
17.07.2011 22:07:29, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18341/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18341/ Sun, 17 Jul 2011 22:07:29 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
В реестре после слова USERINIT.EXE должна стоять ЗАПЯТАЯ! ОБЯЗАТЕЛЬНО!
17.07.2011 21:45:05, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18340/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18340/ Sun, 17 Jul 2011 21:45:05 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
Какая разница между USERINIT.EXE без запитой, и с запитой, как я понимаю их получается 2 файла в систем32 лежит?
17.07.2011 21:36:17, DIM.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18339/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18339/ Sun, 17 Jul 2011 21:36:17 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
Заменил, началась загрузка, появилось сообщение что мол система востановлена, начался грузиться нод и прочие приложения, и система сама перезагрузилась вновь, и опять появился чёрный экран, и всё вернулось на круги своя.
17.07.2011 21:35:22, DIM.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18338/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18338/ Sun, 17 Jul 2011 21:35:22 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
замените на  файл из архива. это от Vista SP2
USERINIT.rar
17.07.2011 20:59:48, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18336/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18336/ Sun, 17 Jul 2011 20:59:48 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
действительно,
userinit добавлен от XP


====quote====
Полное имя                  C:\WINDOWS\SYSTEM32\USERINIT.EXE
Имя файла                   USERINIT.EXE
Тек. статус                 ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      26624 байт
Создан                      18.07.2011 в 00:18:12
Изменен                     15.04.2008 в 20:00:00
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            USERINIT.EXE
Версия файла                5.1.2600.5512 (xpsp.080413-2113)
Версия продукта             5.1.2600.5512
Описание                    Приложение Userinit для входа в систему
Производитель               Корпорация Майкрософт
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись            Отсутствует, что необычно для известного файла этого типа [ВОЗМОЖНО поврежден/заражен]
                           
Доп. информация             на момент обновления списка
SHA1                        2554972785F56B0B8D45F59953F11C9CA28EB567
MD5                         4F88778DD0CD6B99FCDA408E16B36AE7
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Userinit                    c:\windows\system32\userinit.exe,
                           

=============

17.07.2011 20:58:17, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18335/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18335/ Sun, 17 Jul 2011 20:58:17 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
Сделал повторный лог
SAMSUNG_2011-07-17_20-47-57.7z
17.07.2011 20:51:27, DIM.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18334/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18334/ Sun, 17 Jul 2011 20:51:27 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
DIM пишет:
Заменил данный фаил, с помощью лайв.сд, перезагрузил пк, появилось сообщение "Точка входа в процедуру SpoolerInit не найдена в библиотеке DLL WINSPOOL.DRV", нажал ок, появилось сообщение что приложение userinit закрыто, и опять чёрный экран, вошёл опять через диспетчер устройств. Что дальше делать?
=============
Скорее всего заменили не на оригинальный, у Вас вроде как Виста.
Повторите образ автозапуска.
http://forum.esetnod32.ru/forum9/topic683/

Спасибо.
17.07.2011 20:38:14, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18333/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18333/ Sun, 17 Jul 2011 20:38:14 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
Заменил данный фаил, с помощью лайв.сд, перезагрузил пк, появилось сообщение "Точка входа в процедуру SpoolerInit не найдена в библиотеке DLL WINSPOOL.DRV", нажал ок, появилось сообщение что приложение userinit закрыто, и опять чёрный экран, вошёл опять через диспетчер устройств. Что дальше делать?
17.07.2011 20:33:28, DIM.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18332/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18332/ Sun, 17 Jul 2011 20:33:28 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
Проблема в этом файле
c:\windows\system32\userinit.exe,

Нужно будет загрузится с загрузочного диска или флешки и заменить его на чистый файл с чистой системы.
17.07.2011 19:47:31, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18331/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18331/ Sun, 17 Jul 2011 19:47:31 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
Сделал лог
SAMSUNG_2011-07-17_18-53-09.7z
17.07.2011 19:03:01, DIM.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18329/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18329/ Sun, 17 Jul 2011 19:03:01 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
Нужен лог
http://forum.esetnod32.ru/forum9/topic683/
17.07.2011 18:27:56, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18328/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18328/ Sun, 17 Jul 2011 18:27:56 +0400 Обнаружение вредоносного кода и ложные срабатывания Последствия удаления смс-блокера Последствия удаления смс-блокера в форуме Обнаружение вредоносного кода и ложные срабатывания.
Удалил смс-блокер, проверил систему обновлённым нодом, перезагружаю, и каждый раз при перезагрузке, не загружается рабочий стол, только чёрный экран, вывожу диспетчер устройств и в ручную запускаю эксплорер.ехе, только тогда загружается раб.стол.
Я так понимаю и параметры автозагрузки не работают ибо не загружаются другие программы.
В реестре параметры shell - эксплорер.ехе, параметры userinit  - путь где юзеринит находится.
Как восстановить работу системы?
17.07.2011 18:20:23, DIM.]]> http://forum.esetnod32.ru/messages/forum6/topic2121/message18327/ http://forum.esetnod32.ru/messages/forum6/topic2121/message18327/ Sun, 17 Jul 2011 18:20:23 +0400 Обнаружение вредоносного кода и ложные срабатывания