сообщение о повреждении ядра - Форум технической поддержки ESET NOD32

Сообщений: 23

Баллов: 11

Регистрация: 27.01.2012

Размещено 27.01.2012 16:55:29

Desktop.ini (backdoor.siggen.42029) по адресу windows\assembly\GAC_MSIL\Desktop.ini :?:

Добрый день. ESET Smart security выдал сообщение о повреждении ядра и предложил переустановить себя т.к. отказали некоторые модули защиты...
После удаления ESET Smart security его невозможно установить(любые версии), в том числе и другие антивирусы отказываются устанавливаться :!:

С интернет-браузером вроде никаких особых проблем нет,только иногда ни с чего открывается ссылка: (mediashifting.com/?search=ca+pest+patrol+removal+tool&subid=134&key=7e0b1510f1e0ab5f3e21&p=1) началось это одновременно с прорблемами антивируса,думаю связь может быть.
drwebCureIT находит файл Desktop.ini (backdoor.siggen.42029) по адресу windows\assembly\GAC_MSIL\Desktop.ini - удаляет его,но после перезагрузки файл опять на месте.
Не знаю что делать. Помогите...буду очень признателен....логUVS прилагаю.

Прикрепленные файлы

ASUS_2012-01-27_.rar (299.2 КБ)

Изменено: isc - 27.01.2012 17:24:34

Сообщений: 17972

Баллов: 28754

Регистрация: 16.03.2010

Размещено 27.01.2012 17:32:10

Sirefef/Siggen/ZAccess.
создайте образ автозапуска в uVS по методу поиска руткитов

Изменено: santy - 27.01.2012 17:34:35

[ Как создать образ автозапуска? ]

Сообщений: 23

Баллов: 11

Регистрация: 27.01.2012

Размещено 28.01.2012 14:55:49

вот это нужно? файл сверки автозапуска
непонимаю, что делать после создания файла сверки автозапуска? и что выложить? подскажи

Изменено: isc - 28.01.2012 14:57:34

Сообщений: 17972

Баллов: 28754

Регистрация: 16.03.2010

Размещено 28.01.2012 16:37:50

после создания файла сверки из активной системы,
вы должны загрузиться с Live.CD, запустить uVS вручную, или автоматически если используете WinPe&uVS в качестве Live.CD
выполнить метод - поиск руткитов по файлу сверки,
и после завершения этой операции
создать образ автозапуска.
-------
в этом случае, руткитные файлы, которые скрыты в активной системе, должны попасть в образ автозапуска,
и можно будет эффективно выполнить лечение системы.

Изменено: santy - 28.01.2012 16:38:11

[ Как создать образ автозапуска? ]

Сообщений: 23

Баллов: 11

Регистрация: 27.01.2012

Размещено 30.01.2012 15:02:14

Все сделал, вот что вышло...

Прикрепленные файлы

ПК_2012-01-30+.7z (166.12 КБ)

Сообщений: 17972

Баллов: 28754

Регистрация: 16.03.2010

Размещено 30.01.2012 16:02:25

1.
(!) Обнаружен измененный файл "AFD.SYS" [ D:\WINDOWS\SYSTEM32\DRIVERS\AFD.SYS ]
этот драйвер надо заменить на чистый. из под Live.CD
2. троянская dll в сервисах

Цитата
Полное имя D:\WINDOWS\SYSTEM32\MAFWBOOT.DLL Имя файла MAFWBOOT.DLL Тек. статус ?ВИРУС? сервисная_DLL в автозапуске [SVCHOST] www.virustotal.com 2012-01-29 [2012-01-11 17:27:01 UTC ( 2 weeks, 4 days ago )] BitDefender Trojan.Sirefef.BP Сохраненная информация на момент создания образа Статус сервисная_DLL в автозапуске [SVCHOST] Размер 5120 байт Создан 14.07.2009 в 02:19:28 Изменен 14.07.2009 в 04:14:41 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Оригинальное имя adserxvice.exe Версия файла 2, 1, 0, 0 Версия продукта 2, 1, 0, 0 Описание Iomega® Active Disk™ Продукт Disk Service Copyright Copyright © 2009 Производитель Iomega Доп. информация на момент обновления списка SHA1 A4023B8E38F1E18D0DFFB43567C5E0AEF6C8086B MD5 B89CFBE8CB247B57D8C10ADAA66B462B Ссылки на объект Ссылка HKLM\uvs_system\ControlSet001\Services\tbhsd\Parameters\ServiceDLL ServiceDLL %systemroot%\system32\mafwboot.dll

Цитата

Полное имя D:\WINDOWS\SYSTEM32\MAFWBOOT.DLL
Имя файла MAFWBOOT.DLL
Тек. статус ?ВИРУС? сервисная_DLL в автозапуске [SVCHOST]

www.virustotal.com 2012-01-29 [2012-01-11 17:27:01 UTC ( 2 weeks, 4 days ago )]
BitDefender Trojan.Sirefef.BP

Сохраненная информация на момент создания образа
Статус сервисная_DLL в автозапуске [SVCHOST]
Размер 5120 байт
Создан 14.07.2009 в 02:19:28
Изменен 14.07.2009 в 04:14:41
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя adserxvice.exe
Версия файла 2, 1, 0, 0
Версия продукта 2, 1, 0, 0
Описание Iomega® Active Disk™
Продукт Disk Service
Copyright Copyright © 2009
Производитель Iomega

Доп. информация на момент обновления списка
SHA1 A4023B8E38F1E18D0DFFB43567C5E0AEF6C8086B
MD5 B89CFBE8CB247B57D8C10ADAA66B462B

Ссылки на объект
Ссылка HKLM\uvs_system\ControlSet001\Services\tbhsd\Parameters\ServiceDLL
ServiceDLL %systemroot%\system32\mafwboot.dll

[ Как создать образ автозапуска? ]

Сообщений: 17972

Баллов: 28754

Регистрация: 16.03.2010

Размещено 30.01.2012 16:05:44

что делать.
------------
из под Live.CD в uVS выполнить скрипт из файла (script.txt).
без перезагрузки,
заменяем зараженный файл

Цитата
D:\WINDOWS\SYSTEM32\DRIVERS\AFD.SYS

на чистый
перегружаем систему.
пишем результат.

Прикрепленные файлы

script.txt (188 Б)

[ Как создать образ автозапуска? ]

Сообщений: 23

Баллов: 11

Регистрация: 27.01.2012

Размещено 30.01.2012 16:57:07

Как правильно заменить этот файл? Где взять чистый AFD.SYS ?

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 30.01.2012 18:03:30

Цитата
isc пишет: Как правильно заменить этот файл? Где взять чистый AFD.SYS ?

Из безопасного режима или используем Live CD.
Находим файл по адресу_ D:\WINDOWS\system32\drivers > Удаляем > На его место помещаем чистый файл > Перезагрузка.
Пишем по результату !

В Архиве 7z. - AFD.SYS
Версии: Windows 7 Ultimate x86 (NT v6.1) 6.1.7601.17514 build Service Pack 1

Прикрепленные файлы

afd.7z (331.15 КБ)

Изменено: RP55 RP55 - 30.01.2012 19:24:53

Сообщений: 17972

Баллов: 28754

Регистрация: 16.03.2010

Размещено 30.01.2012 19:26:36

ZloyDi, использовать утилиту Sirefef - это самый простой вариант, мы же здесь используем возможность uVS вылечить ZAccess.

Цитата
uVS v3.73: Windows 7 Ultimate x86 (NT v6.1) build 7601 Service Pack 1 [D:\WINDOWS]

Изменено: santy - 30.01.2012 19:29:05

[ Как создать образ автозапуска? ]