Форум esetnod32.ru [тема: постоянное завершение сеанса] http://forum.esetnod32.ru Новое в теме постоянное завершение сеанса форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sun, 03 May 2026 16:21:22 +0300 постоянное завершение сеанса постоянное завершение сеанса в форуме Обнаружение вредоносного кода и ложные срабатывания.
и кстати вопрос.

====quote====
Лечил аналогом LiveCD (первым который попался в поиске на "вылечить порнобанер"  ;)  . После лечения банер не вылазит. Но не получается зайти в систему - происходит постоянное завершение сеанса.
=============
какой LiveCD использовали для первоначального лечения?
(трояна он прибил, а ссылку в реестре не исправил.)


====quote====
Полное имя                  C:\DOCUME~1\9335~1\LOCALS~1\TEMP\NTFS_CLEAN.EXE
Имя файла                   NTFS_CLEAN.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
CURRENTVERSION.RUN          (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)
CURRENTVERSION.WINLOGON     (ССЫЛКА ~ \CURRENTVERSION\WINLOGON\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Автозапуск                  Неизвестный файл использует ключ реестра часто используемый вирусами
                           
Ссылки на объект            
Ссылка                      HKLM\ttracngze\Software\Microsoft\Windows\CurrentVersion\Run­\explorer
explorer                    C:\DOCUME~1\9335~1\LOCALS~1\Temp\Ntfs_Clean.exe
                           
Ссылка                      HKLM\ttracngze\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Shell                       C:\DOCUME~1\9335~1\LOCALS~1\Temp\Ntfs_Clean.exe
                           
Ссылка                      HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
UIHost                      C:\DOCUME~1\9335~1\LOCALS~1\Temp\Ntfs_Clean.exe
                           
Ссылка                      HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Userinit                    C:\DOCUME~1\9335~1\LOCALS~1\Temp\Ntfs_Clean.exe
                           

=============

28.06.2013 13:03:44, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9688/message69309/ http://forum.esetnod32.ru/messages/forum6/topic9688/message69309/ Fri, 28 Jun 2013 13:03:44 +0400 Обнаружение вредоносного кода и ложные срабатывания постоянное завершение сеанса постоянное завершение сеанса в форуме Обнаружение вредоносного кода и ложные срабатывания.
раз полет нормальный, закрываем тему. :).
28.06.2013 12:41:09, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9688/message69308/ http://forum.esetnod32.ru/messages/forum6/topic9688/message69308/ Fri, 28 Jun 2013 12:41:09 +0400 Обнаружение вредоносного кода и ложные срабатывания постоянное завершение сеанса постоянное завершение сеанса в форуме Обнаружение вредоносного кода и ложные срабатывания.
Запустил uVS.
Выбрал С/Windows
Запустил от текущего пользователя.
Была одна строка
NTFS_CLEAN.EXE
Запустил скрипт из файла.
672 проверено. Вирусов 0.
Закрыл крестиком. Синий экран тоже крестиком. Во время перезагрузки компа вытащил флешку.
Комп загрузился, в систему вошел! Т.е. проблема решена!
Обновил базы НОДа. Проверил сканированием Смарт. Вирусов не обнаружено.
Пока полет нормальный!
Большое спасибо!
28.06.2013 12:21:41, mrGreend.]]> http://forum.esetnod32.ru/messages/forum6/topic9688/message69307/ http://forum.esetnod32.ru/messages/forum6/topic9688/message69307/ Fri, 28 Jun 2013 12:21:41 +0400 Обнаружение вредоносного кода и ложные срабатывания постоянное завершение сеанса постоянное завершение сеанса в форуме Обнаружение вредоносного кода и ложные срабатывания.
в приложении список подозрительных при открытии вашего образа.
----------------
давайте все по порядку делаем.

1. вы загрузили систему с Winpe&uVS

далее,

выбрали каталог вашей проблемной системы с жесткого диска?

если нет, значит еще раз загружаемся с Winpe&uVS

выбираем каталог системы с жесткого диска

затем нажимаем - текущий пользователь.
-------------------
и далее, уже выполняем скрипт из файла, который был в приложении (или по ссылке)

28.06.2013 10:07:46, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9688/message69306/ http://forum.esetnod32.ru/messages/forum6/topic9688/message69306/ Fri, 28 Jun 2013 10:07:46 +0400 Обнаружение вредоносного кода и ложные срабатывания постоянное завершение сеанса постоянное завершение сеанса в форуме Обнаружение вредоносного кода и ложные срабатывания.
Запустил uVS  под текущим пользователем.
Открылось серок окно. Внизу окна пробежали надписи.
После этого в окне осталось 2 строчки:
ICONCODESERVICE.DLL и SYSTEMPROPERTIESPERFOMANCE.EXE
у обоих статус - подозрительный и файл не найден.
Далее запустил скрипт из приложенного вами файла.
Внизу серого окна побежали надписи. Затем оно закрылось, открылось синее окно (голубое) с надписью Far.2.0.1807 x86 Administrator
И больше ничего не происходит. Окно висит. Перезагружаю - нет результата (постоянно завершается сеанс, войти в систему невозможно).
Скрипт запускал и второй раз - безрезультатно!
Что дальше делать?
28.06.2013 09:45:40, mrGreend.]]> http://forum.esetnod32.ru/messages/forum6/topic9688/message69305/ http://forum.esetnod32.ru/messages/forum6/topic9688/message69305/ Fri, 28 Jun 2013 09:45:40 +0400 Обнаружение вредоносного кода и ложные срабатывания постоянное завершение сеанса постоянное завершение сеанса в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполните в uVS (из под winpe) скрипт из файла.

файл скрипта скачайте отсюда
http://rghost.ru/private/47045070/0517b5245b5c81339313c2e505059d3d
или из прикрепленного файла

после выполнения скрипта перегрузите систему в нормальный режим

пишем результат.
script.txt
27.06.2013 05:42:04, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9688/message69284/ http://forum.esetnod32.ru/messages/forum6/topic9688/message69284/ Thu, 27 Jun 2013 05:42:04 +0400 Обнаружение вредоносного кода и ложные срабатывания постоянное завершение сеанса постоянное завершение сеанса в форуме Обнаружение вредоносного кода и ложные срабатывания.
Схватил порнобанер несмотря на установленный СмартСекьюрити. Лечил аналогом LiveCD (первым который попался в поиске на "вылечить порнобанер"). После лечения банер не вылазит. Но не получается зайти в систему - происходит постоянное завершение сеанса.
После этого скачал здесь LiveCD - как по инструкции с него запускал Userinit_fix, затем сканировал на вирусы. Обнаруживалась 1 угроза, но не вылечивалась.
Проблема с завершением сеанса остается.

Через uVS сделал образ автозапуска. Образ в приложении.

Жду дальнейших указаний по решению проблемы.
MICROSOF-FC5B08_2013-06-27_01-38-46.7z
27.06.2013 01:33:17, mrGreend.]]> http://forum.esetnod32.ru/messages/forum6/topic9688/message69283/ http://forum.esetnod32.ru/messages/forum6/topic9688/message69283/ Thu, 27 Jun 2013 01:33:17 +0400 Обнаружение вредоносного кода и ложные срабатывания