Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Ошибка подключения к ядру

1 2 След.
RSS
 
kamazmgn
kamazmgn
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 23.10.2010
Размещено 18.10.2011 07:58:49
Добрый день!
Имя пользователя: EAV-38866696.
Проблема вот в чем, после загрузки компьютера NOD32 выдает следующую ошибку: "Ошибка подключения к ядру". Логи программами SysInspector и hijackthis снять не возможно, так как после сканирования они просто напросто закрываются, и повторный запуск возможен только после перезагрузки, то же самое и с программой Universal Virus Sniffer (uVS) 3.71. Единственное чем получилось снять логи это программа AVZ, поэтому прикрепляю только их. Так же пробовал проверку ESET Online Scanner, но ничего не было найдено.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.10.2011 08:05:40
пробуйте создать образ автозапуска в UVS в безопасном режиме
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.10.2011 08:07:01
судя по логу avz у вас заражение системы руткитом Zaccess
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.10.2011 08:07:32
тема будет перенесена в раздел обнаружение вредоносного кода.
[ Как создать образ автозапуска? ]
 
kamazmgn
kamazmgn
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 23.10.2010
Размещено 18.10.2011 08:11:20
Хорошо, сейчас буду пробовать!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.10.2011 08:14:11
вариантов лечения будет несколько:
1. uVS в безопасном режиме
2. с помощью Live.CD от ESET RUSSIA
http://forum.esetnod32.ru/forum9/topic1966/
3. c помощью утилит.
--------------
начнем с первого варианта.
[ Как создать образ автозапуска? ]
 
kamazmgn
kamazmgn
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 23.10.2010
Размещено 18.10.2011 09:12:56
Выкладываю логи сделанные Winpe&uVS.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.10.2011 09:50:24
хорошо, программа такая.
1. выполнить в uVS (из под Live.CD) приложенный скрипт из файла
(не перегружаем системы)
2. возможно следует заменить файл CDROM.SYS поскольку ZAccess может заразить один из известных драйверов.
судя по образу - это cdrom.sys

Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\DRIVERS\CDROM.SYS
Имя файла                   CDROM.SYS
Тек. статус                 ИЗВЕСТНЫЙ драйвер в автозапуске
                           
www.virustotal.com          Хэш НЕ найден на сервере.
                           
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ драйвер в автозапуске
Размер                      62976 байт
Создан                      02.03.2006 в 15:00:00
Изменен                     13.04.2008 в 21:10:48
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись            Отсутствует, что необычно для известного файла этого типа [ВОЗМОЖНО поврежден/заражен]
                           
Доп. информация             на момент обновления списка
SHA1                        A1EBCF498226077984C8D438AF7B4DA61BFB0813
MD5                         33999C67FF8DC6B2DFFBE06A3418631D
                           
Ссылки на объект            
Ссылка                      HKLM\uvs_system\ControlSet001\Services\Cdrom\ImagePath
ImagePath                   system32\DRIVERS\cdrom.sys
Cdrom                       тип запуска: При инициализации ядра (1)
                           
копию cdrom.sys (WinXP SP3) можно скачать отсюда
http://rghost.ru/26060711
копия вашего подозрительного cdrom.sys при выполнении скрипта попадет в ZOO (на всякий случай)

после выполнения скрипта,
после замены драйвера,
перегрузите систему,
и сделайте новый образ автозапуска,
[ Как создать образ автозапуска? ]
 
kamazmgn
kamazmgn
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 23.10.2010
Размещено 18.10.2011 10:53:51
Процесс непонятный исчез, вроде как все заработало.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.10.2011 11:09:11
судя по образу, все чисто. cdrom.sys вижу, заменили.
-------
1. можно проверить работу cd-room
2. просканированить полностью систему с помощью ESET NOD32 с обновленными базами (в удобное время)
3. сделайте сейчас лог малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему