Форум esetnod32.ru [тема: Блокировщик экрана]

Форум esetnod32.ru [тема: Блокировщик экрана] http://forum.esetnod32.ru Новое в теме Блокировщик экрана форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 29 Apr 2026 04:35:27 +0300 Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
Правильно!
03.08.2011 19:30:34, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18907/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18907/ Wed, 03 Aug 2011 19:30:34 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
хм, слона то я и не приметил ,
,
видимо был исключен из автозапуска, поэтому не попална глаза в образе автозапуска.
тперь думаю, совсем чисто стало.
=============

ну все, думаю избавился от этой дряни. На ночь еще поставлю опять полную проверку НОДом. Еще раз спасибо за помощь!
03.08.2011 19:26:14, NVTR.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18906/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18906/ Wed, 03 Aug 2011 19:26:14 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
Зараженные файлы:
c:\programdata\22CC6C32.exe (Trojan.Ransom) -> Quarantined and deleted successfully.
хм, слона то я и не приметил

,
видимо был исключен из автозапуска, поэтому не попал на глаза в образе автозапуска.

тперь думаю, совсем чисто стало.
03.08.2011 19:24:33, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18905/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18905/ Wed, 03 Aug 2011 19:24:33 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
можно сделать проверку с помощью антималваре
http://forum.esetnod32.ru/forum9/topic682/
уже из активной системы
=============
выполнил. Вот отчет:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Версия базы данных: 7365

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

03.08.2011 21:16:48
mbam-log-2011-08-03 (21-16-48).txt

Тип сканирования: Быстрое сканирование
Просканированные объекты: 169467
Времени прошло: 2 минут, 36 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 0
Объекты реестра заражены: 0
Зараженные папки: 0
Зараженные файлы: 1

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
(Вредоносных программ не обнаружено)

Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
(Вредоносных программ не обнаружено)

Зараженные папки:
(Вредоносных программ не обнаружено)

Зараженные файлы:
c:\programdata\22CC6C32.exe (Trojan.Ransom) -> Quarantined and deleted successfully.
03.08.2011 19:18:34, NVTR.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18904/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18904/ Wed, 03 Aug 2011 19:18:34 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
можно сделать проверку с помощью антималваре
http://forum.esetnod32.ru/forum9/topic682/
уже из активной системы
03.08.2011 19:09:08, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18902/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18902/ Wed, 03 Aug 2011 19:09:08 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
Все работает. Спасибо вам большое! Что-то еще дополнительно надо сделать?
03.08.2011 18:13:37, NVTR.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18900/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18900/ Wed, 03 Aug 2011 18:13:37 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
так и сделал. Выбрал c:\winodws. Потом запустил скрипт. Сейчас еще раз попробую
03.08.2011 18:02:45, NVTR.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18899/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18899/ Wed, 03 Aug 2011 18:02:45 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
судя по инфо об userinit вы неправильно выполнили скрипт
--------

====quote====
Полное имя C:\WINDOWS\SYSTEM32\USERINIT.EXE
Имя файла USERINIT.EXE
Тек. статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске

Сохраненная информация на момент создания образа
Статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
Размер 26624 байт
Создан 03.08.2011 в 04:49:55
Изменен 03.08.2011 в 04:48:53
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано Microsoft Windows

Оригинальное имя USERINIT.EXE.MUI
Версия файла 6.1.7600.16385 (win7_rtm.090713-1255)
Описание Приложение Userinit для входа в систему
Производитель Microsoft Corporation

Доп. информация на момент обновления списка
SHA1 211295CCDA6CF6409189279BF66A212BD53FC650
MD5 61AC3EFDFACFDD3F0F11DD4FD4044223

Ссылки на объект
Ссылка HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Userinit \\?\globalroot\systemroot\system32\userinit.exe,

=============
необходимо загрузиться с winPE&uVS но опять же выбрать систему с жесткого диска (c:\winodws), чтобы все действия uVS выполнял над реестром системы с C:\windows
03.08.2011 17:57:26, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18898/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18898/ Wed, 03 Aug 2011 17:57:26 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
возможно, userinit не подходит к вашей сборке

====quote====
uVS v3.67: Windows 7 Home Basic x86 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]
=============
образ сейчас посмотрю
03.08.2011 17:54:08, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18897/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18897/ Wed, 03 Aug 2011 17:54:08 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
Готово
MININT-S68MV13_2011-08-03_19-23-08.TXT
03.08.2011 17:38:02, NVTR.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18896/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18896/ Wed, 03 Aug 2011 17:38:02 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Версия файла 6.1.7600.16385 (win7_rtm.090713-1255)
=============
сделайте новый образ автозапуска
03.08.2011 17:10:06, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18894/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18894/ Wed, 03 Aug 2011 17:10:06 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
скрипт выполнил. Результат тот же. После перезагрузки с жесткого появляется окно с выбором пользователя. После выбора идет загрузка и черный экран с курсором. У меня 7-ка. Может userinit для другой версии был?
03.08.2011 16:40:08, NVTR.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18893/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18893/ Wed, 03 Aug 2011 16:40:08 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
сори, не заметил. Сейчас выполню
03.08.2011 16:30:01, NVTR.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18891/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18891/ Wed, 03 Aug 2011 16:30:01 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
файл скрипта в сообщении N 26, (scr12.txt) его надо выполнить в uVS из под WinPE, да вируса нет, но нет и нормальной записи в реестре на загрузку userinit.exe,
увказанный скрипт исправит эту ошибку
03.08.2011 16:28:05, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18890/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18890/ Wed, 03 Aug 2011 16:28:05 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
и еще... вирус то удалился уже?
03.08.2011 16:14:16, NVTR.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18888/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18888/ Wed, 03 Aug 2011 16:14:16 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
да, userinit вчера просто заменил на чистый. как мне сделать скрипт для uVS?
03.08.2011 16:13:38, NVTR.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18887/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18887/ Wed, 03 Aug 2011 16:13:38 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
понятно в чем дело,
userinit.exe заменили на чистый, но запись в реестре winlogon\userinit не исправлена
----

====quote====
Полное имя C:\WINDOWS\SYSTEM32\USERINIT.EXE
Имя файла USERINIT.EXE
Тек. статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске

Сохраненная информация на момент создания образа
Статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
Размер 26624 байт
Создан 03.08.2011 в 04:49:55
Изменен 03.08.2011 в 04:48:53
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано Microsoft Windows

Оригинальное имя USERINIT.EXE.MUI
Версия файла 6.1.7600.16385 (win7_rtm.090713-1255)
Описание Приложение Userinit для входа в систему
Производитель Microsoft Corporation

Доп. информация на момент обновления списка
SHA1 211295CCDA6CF6409189279BF66A212BD53FC650
MD5 61AC3EFDFACFDD3F0F11DD4FD4044223

Ссылки на объект
Ссылка HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Userinit \\?\globalroot\systemroot\system32\userinit.exe,

=============

скрипт uVS должен исправить на нормальное значение.
03.08.2011 15:59:21, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18884/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18884/ Wed, 03 Aug 2011 15:59:21 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
я так понял что userinit.exe вы уже заменили, и рабочий стол нормально грузится? или нет?
если так, то выполните скрипт очистки от программ слежения за рабочим столом из под winPE.
после выполнения скрипта, перегрузить систему,
и пишем результат, в каком состоянии будет система.
scr12.txt
03.08.2011 15:54:58, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18883/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18883/ Wed, 03 Aug 2011 15:54:58 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
сделал как просили
MININT-7QEPAGU_2011-08-03_17-16-47.TXT
03.08.2011 15:36:29, NVTR.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18881/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18881/ Wed, 03 Aug 2011 15:36:29 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
необходимо после старта uVS сделать выбор системы с жесткого диска (C:\windows), затем выбрать текущий пользователь,
сейчас образ автозапуска сделан для системы WINPE (что не есть верно, все вирусняки в системе на жестком диске, естетсвенно не поадают в этот образ автозапуска)

====quote====
X:\WINDOWS\EXPLORER.EXE
=============

03.08.2011 14:57:50, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18879/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18879/ Wed, 03 Aug 2011 14:57:50 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
Готово.
MININT-853V59L_2011-08-03_16-16-12.TXT
03.08.2011 14:23:39, NVTR.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18875/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18875/ Wed, 03 Aug 2011 14:23:39 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
ок, ждем новый образ автозапуска из под winPE&uVS.
03.08.2011 13:44:32, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18874/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18874/ Wed, 03 Aug 2011 13:44:32 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
спасибо. Попробую
03.08.2011 12:21:38, NVTR.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18872/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18872/ Wed, 03 Aug 2011 12:21:38 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
для больбы с Winlock, MBRLock лучше использовать вот эту тему
http://forum.esetnod32.ru/forum6/topic2102/
т.е. образ winPE&uBS более эффективен с больбе с локерами, нежели Live.CD с бортовым сканером. По следующим причинам:
1. на этом образе есть библиотека чистых системных файлов для восстановления userinit, taskmgr для систем XP, Vista, Seven
2. в случае MBRLock можно использовать скриптовые команды из uVS (fixmbr для перезаписи в MBR соответствующего стандартного загрузчика)
03.08.2011 12:18:18, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18871/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18871/ Wed, 03 Aug 2011 12:18:18 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
начальный образ я посмотрел, он сделан не из под winpe.
userinit.exe в системе заражен.

====quote====
Полное имя C:\WINDOWS\SYSTEM32\USERINIT.EXE
Имя файла USERINIT.EXE
Тек. статус ВИРУС ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Сохраненная информация на момент создания образа
Статус ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 33792 байт
Создан 15.04.2008 в 15:00:00
Изменен 27.07.2011 в 11:04:53
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Версия файла 0.0.10.97
Описание Ttarohezfh
Производитель AVG Software Development Team

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись Отсутствует, что необычно для известного файла этого типа [ВОЗМОЖНО поврежден/заражен]
Сигнатура Необычная для известного файла сигнатура, возможно файл был подменен

Доп. информация на момент обновления списка
SHA1 A5F87D43C6C2F33E8C29CB992AD4F1FD3E970837
MD5 A0FFB4291309278D379687A55930ABB3

Ссылки на объект
Ссылка HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Userinit C:\WINDOWS\SYSTEM32\USERINIT.EXE

=============

03.08.2011 12:12:37, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18869/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18869/ Wed, 03 Aug 2011 12:12:37 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
сделайте образ из под загрузочной флэшки. восстановление будет успешным , если вы используете загрузочный образ winPe&uVS
03.08.2011 12:11:06, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18867/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18867/ Wed, 03 Aug 2011 12:11:06 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
в каком режиме сделать образ?
03.08.2011 11:38:12, NVTR.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18866/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18866/ Wed, 03 Aug 2011 11:38:12 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
В обычном режиме, uVS на загрузочной флешке. Могу сделать образ автозапуска повторно.
03.08.2011 11:03:52, NVTR.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18865/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18865/ Wed, 03 Aug 2011 11:03:52 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
в каком режиме делали образ uVS? с загрузочного диска WinPE&uVS? или в другом режиме? нужен образ автозапуска для анализа. Дальше видно будет.
03.08.2011 09:57:57, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18859/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18859/ Wed, 03 Aug 2011 09:57:57 +0400 Обнаружение вредоносного кода и ложные срабатывания Блокировщик экрана Блокировщик экрана в форуме Обнаружение вредоносного кода и ложные срабатывания.
Доброе утро. Специалисты на форуме уже есть? Вчера кагда делал с помощью uVs образ автозапуска, он находит неизвестный файл sms.exe Наверное НОД не смог удалить вирус. Такое ощущение, что просто удалилась графическая оболочка вируса с надписью об отправке денег и остался просто черный экран.
03.08.2011 08:24:43, NVTR.]]> http://forum.esetnod32.ru/messages/forum6/topic2175/message18858/ http://forum.esetnod32.ru/messages/forum6/topic2175/message18858/ Wed, 03 Aug 2011 08:24:43 +0400 Обнаружение вредоносного кода и ложные срабатывания