Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1491 1492 1493 1494 1495 1496 1497 1498 1499 1500 1501 ... 1784 След.
Блокировщик экрана
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.08.2011 15:59:21
понятно в чем дело,
userinit.exe заменили на чистый, но запись в реестре winlogon\userinit не исправлена
----
Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\USERINIT.EXE
Имя файла                   USERINIT.EXE
Тек. статус                 ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
Размер                      26624 байт
Создан                      03.08.2011 в 04:49:55
Изменен                     03.08.2011 в 04:48:53
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                           
Оригинальное имя            USERINIT.EXE.MUI
Версия файла                6.1.7600.16385 (win7_rtm.090713-1255)
Описание                    Приложение Userinit для входа в систему
Производитель               Microsoft Corporation
                           
Доп. информация             на момент обновления списка
SHA1                        211295CCDA6CF6409189279BF66A212BD53FC650
MD5                         61AC3EFDFACFDD3F0F11DD4FD4044223
                           
Ссылки на объект            
Ссылка                      HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Userinit                    \\?\globalroot\systemroot\system32\userinit.exe,
                           

скрипт uVS должен исправить на нормальное значение.
[ Как создать образ автозапуска? ]
Перейти
Блокировщик экрана
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.08.2011 15:54:58
я так понял что userinit.exe вы уже заменили, и рабочий стол нормально грузится? или нет?
если так, то выполните скрипт очистки от программ слежения за рабочим столом из под winPE.
после выполнения скрипта, перегрузить систему,
и пишем результат, в каком состоянии будет система.
[ Как создать образ автозапуска? ]
Перейти
Необновляется антивирус, Необновляется нод32
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.08.2011 15:01:45
попробуйте очистить кэш обновления, и обновиться еще раз.
если не поможет, сделайте логи EsetSysinspector и uVS
http://forum.esetnod32.ru/forum9/topic54/
и
http://forum.esetnod32.ru/forum9/topic683/
[ Как создать образ автозапуска? ]
Перейти
Блокировщик экрана
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.08.2011 14:57:50
необходимо после старта uVS сделать выбор системы с жесткого диска (C:\windows), затем выбрать текущий пользователь,
сейчас образ автозапуска сделан для системы WINPE (что не есть верно, все вирусняки в системе на жестком диске, естетсвенно не поадают в этот образ автозапуска)

Цитата
X:\WINDOWS\EXPLORER.EXE
[ Как создать образ автозапуска? ]
Перейти
Блокировщик экрана
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.08.2011 13:44:32
ок, ждем новый образ автозапуска из под winPE&uVS.
[ Как создать образ автозапуска? ]
Перейти
Блокировщик экрана
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.08.2011 12:18:18
для больбы с Winlock, MBRLock лучше использовать вот эту тему
http://forum.esetnod32.ru/forum6/topic2102/
т.е. образ winPE&uBS более эффективен с больбе с локерами, нежели Live.CD с бортовым сканером. По следующим причинам:
1. на этом образе есть библиотека чистых системных файлов для восстановления userinit, taskmgr для систем XP, Vista, Seven
2. в случае MBRLock можно использовать скриптовые команды из uVS (fixmbr для перезаписи в MBR соответствующего стандартного загрузчика)
[ Как создать образ автозапуска? ]
Перейти
Блокировщик экрана
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.08.2011 12:12:37
начальный образ я посмотрел, он сделан не из под winpe.
userinit.exe в системе заражен.

Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\USERINIT.EXE
Имя файла                   USERINIT.EXE
Тек. статус                 ВИРУС ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      33792 байт
Создан                      15.04.2008 в 15:00:00
Изменен                     27.07.2011 в 11:04:53
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Версия файла                0.0.10.97
Описание                    Ttarohezfh
Производитель               AVG Software Development Team
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись            Отсутствует, что необычно для известного файла этого типа [ВОЗМОЖНО поврежден/заражен]
Сигнатура                   Необычная для известного файла сигнатура, возможно файл был подменен
                           
Доп. информация             на момент обновления списка
SHA1                        A5F87D43C6C2F33E8C29CB992AD4F1FD3E970837
MD5                         A0FFB4291309278D379687A55930ABB3
                           
Ссылки на объект            
Ссылка                      HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Userinit                    C:\WINDOWS\SYSTEM32\USERINIT.EXE
                           
[ Как создать образ автозапуска? ]
Перейти
Блокировщик экрана
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.08.2011 12:11:06
сделайте образ из под загрузочной флэшки. восстановление будет успешным , если вы используете загрузочный образ winPe&uVS
Изменено: santy - 03.08.2011 12:13:02
[ Как создать образ автозапуска? ]
Перейти
лог
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.08.2011 10:07:55
выполните скрипт в uVS и продолжите наблюдение
[ Как создать образ автозапуска? ]
Перейти
Блокировщик экрана
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.08.2011 09:57:57
в каком режиме делали образ uVS? с загрузочного диска WinPE&uVS? или в другом режиме? нужен образ автозапуска для анализа. Дальше видно будет.
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 1491 1492 1493 1494 1495 1496 1497 1498 1499 1500 1501 ... 1784 След.