Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1476 1477 1478 1479 1480 1481 1482 1483 1484 1485 1486 ... 1784 След.
NOD5, Стоял NOD4 -поставил триал NOD 5 -находит вирус.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.09.2011 23:26:17
Цитата
bublik пишет:
Единственно что хвосты в реестре останутся...
Подождём вашего решения проблемы.
сделайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic683/
зачистим хвосты в реестре.
[ Как создать образ автозапуска? ]
Перейти
NOD5, Стоял NOD4 -поставил триал NOD 5 -находит вирус.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.09.2011 13:05:38
этот файл проверьте на ВирусТотал.
http://virustotal.com
ссылку на линк проверки можно сюда добавить.
--------
Цитата
"Файл" = "c:\program files\common files\microsoft shared\sigexec.ru" ( 8: Рисковано ) ; Client Service for Netware ; Microsoft Corporation ;
"SHA1" = "EBD92EAB3D14DF35F6821E17BDA95FE4BCC42728" ( 8: Рисковано ) ;
"Последнее время записи" = "2010/03/20  01:45" ( 8: Рисковано ) ;
"Время создания" = "2010/03/20  01:45" ( 8: Рисковано ) ;
"Размер файла" = "207872" ( 8: Рисковано ) ;
"Описание файла" = "Client Service for Netware" ( 8: Рисковано ) ;
"Название компании" = "Microsoft Corporation" ( 8: Рисковано ) ;
"Версия файла" = "5.1.2600.5512 (xpsp.080413-2113)" ( 8: Рисковано ) ;
"Имя продукта" = "Microsoft® Windows® Operating System" ( 8: Рисковано ) ;
"Внутреннее имя" = "nwwks.dll" ( 8: Рисковано ) ;
"Cloud Age" = "yesterday" ( 8: Рисковано ) ;
"Cloud Volume" = "1" ( 8: Рисковано ) ;
"Ссылается на" = "Службы -> c:\program files\common files\microsoft shared\sigexec.ru"
Изменено: santy - 23.09.2011 13:06:30
[ Как создать образ автозапуска? ]
Перейти
NOD5, Стоял NOD4 -поставил триал NOD 5 -находит вирус.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.09.2011 20:03:36
Цитата
sanbolt пишет:
Сообщение выскакивает один раз при загрузке и все. Только если сканировать находит опять, а так не достает.
сделайте так же лог ESET Sysinspector, но только встроенным в 5версию.
[ Как создать образ автозапуска? ]
Перейти
Заблокирован доступ к рабочему столу Windows, Помогите пожалуйста!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.09.2011 11:43:02
т.е. для некоторых типов Winlock может быть достаточно eset_rescue.

для MBRLock его недостаточно сейчас, и для Winlock с блокировкой userinit через отладчик.
[ Как создать образ автозапуска? ]
Перейти
Заблокирован доступ к рабочему столу Windows, Помогите пожалуйста!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.09.2011 11:40:55
после п.4 я бы добавил такой текст.

если это решение (eset_sysrescue) не поможет снять Winlock,
тогда используем образ загрузочного диска WinPE&uVS, который можно найти в инете.

и далее все остальные пункты вашей инструкции :)
[ Как создать образ автозапуска? ]
Перейти
Заблокирован доступ к рабочему столу Windows, Помогите пожалуйста!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.09.2011 19:31:32
скорее всего,
винлок блокирует (вал) запуск userinit.exe через отладчик, файл отладчика возможно был удален, а запись в реестре с блокировкой userinit.exe осталась.
соотв. после удаление нет файла отладчика, но запись
Цитата
HKLM\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\Debugger
оталась, и соответственно userinit.exe не может стартовать. (сессия завершается).
-------
исправить проще всего через uVS:
либо самостоятельно,
либо создать образ автозапуска по указанной (кем?) RP55 выше ссылке
Изменено: santy - 21.09.2011 19:31:51
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] eset_sysrescue на базе Linux от ESET RUSSIA, загрузочный диск на базе Linux с установленным ESET NOD32 4 for Linux Desktop
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.09.2011 19:19:49
просьба к разработчикам Live.CD (sysrescue) добавить в скрипт userinit_fix  возможность лечение данного типа Winlock, блокирующего запуск userinit.exe через свой отладчик.
например:
--------------
Цитата
Полное имя                  C:\WINDOWS\TEMP\AS.EXE
Имя файла                   AS.EXE
Тек. статус                 ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      197632 байт
Создан                      21.09.2011 в 17:32:11
Изменен                     20.09.2011 в 04:03:34
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            Dope.exe
Версия файла                8.1
Описание                    Tang Teach Rims
Производитель               Stay Shone
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Тип запуска                 Неизвестный отладчик приложения(ий)
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
SHA1                        897EE897D0166B5A3F2C3825E7842FADC0197056
MD5                         337A03667BAD1CC78B5930C07E9B428F
                           
Ссылки на объект            
Ссылка                      HKLM\wiqteirap\Software\Microsoft\Windows\CurrentVersion\Run­\s5ch0st
s5ch0st                     C:\WINDOWS\temp\as.exe
                           
Ссылка                      HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\Debugger
                           
Ссылка                      HKLM\uvs_software\Microsoft\Windows\CurrentVersion\Run\s5ch0­st
s5ch0st                     C:\WINDOWS\temp\as.exe
                           
т.е. в данном случае необходимо проверить наличие в реестре
Цитата
HKLM\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\Debugger
определить полный путь на файл отладчика,
поместить в карантин данный файл, удалить его из системы,
найти в реестре все записи, где в качестве параметра указан данный путь, и удалить данные записи из реестра.

удаление просто файла, в данном случае as.exe, не решает проблему доступа к рабочему столу.
(будет автоматическое завершение сессии, и новое приглашение ввести пароль),

удаление только записи с отладчиком приведет к старту файла локера, поскольку есть дополнительная запись в реестре откуда он может стартовать.
Изменено: santy - 21.09.2011 19:20:18
[ Как создать образ автозапуска? ]
Перейти
Второй день подряд комп стал постоянно виснуть., Проверте может что то подхватил.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.09.2011 14:34:22
закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

Код

;uVS v3.71 script [http://dsrt.dyndns.org]

delall %SystemDrive%\USERS\NIKE90\DESKTOP\ЛОГ\UFQVSA
delref HTTP://WWW.SMAXL.NET
delref HTTP://WWW.ASK.COM/?L=DIS&O=15183
deltmp
delnfr
regt 1
regt 2
regt 5
regt 18
restart

перезагрузка, пишем о старых и новых проблемах.
[ Как создать образ автозапуска? ]
Перейти
Заблокирован доступ к рабочему столу Windows
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.09.2011 15:55:42
Цитата
rzhevsky пишет:
А вот я попробовал загрузиться в Safe Mode, и оно загрузилось!
похоже, залечили систему.
надо пробовать чистить систему различными клинерами из безопасного режима:
- ccleaner;
- regorganizer;
- можно пробовать сделать бэкап реестра с оптимизацией из под Live.CD
и потом восстановить его.

какие то службы (драйвера) возможно не стартуют как надо, и система не догружает рабочий стол.
---
сам собственно вчера столкнулся с этим,
при переустановке vmware 8, первое действие (деинсталл предыдущей версии) выполнилось, система отправилась в перезагрузку,
а загрузить рабочий стол не смогла. (и в током положении по 15 и более минут пребывает, т.е. измором ее взять не получилось)
---
в безопасный режим загружалась без проблем,
так что все манипуляции выполнял из безопаски: очистка реестра, восстановление из копий ERUNT, из точек восстановления, из под Live.CD,
удаление антивирусов, исключение части программ из стартапа.
Бесполезно. даже не тронулась с места.
Единственно, что диспетчер процессов можно было вызвать и все.
---
Помогла только переустановка системы. Как не жаль было.
Изменено: santy - 17.09.2011 15:57:22
[ Как создать образ автозапуска? ]
Перейти
Заблокирован доступ к рабочему столу Windows
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.09.2011 03:54:32
Цитата
rzhevsky пишет:
santy,  
Скрипт выполнен, видимого результата нет :(
Новый uVS:
посмотрел новый образ, вроде все чисто, userinit чистый и не блокируется.
вопрос: вы каким образом создавали последний образ автозапуска? с Live.CD или из под активной системы?
Цитата
Трансляция имен дисков...
C: --> C:
Трансляция имен завершена.
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 1476 1477 1478 1479 1480 1481 1482 1483 1484 1485 1486 ... 1784 След.