Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] После установки NOD антивирус, и двух перезагрузок компа изменяется размер ehdrv.sys и eamon.sys , Антивирус после установки не работает.

1 2 След.
RSS
 
jeromi
jeromi
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 07.02.2013
Размещено 07.02.2013 12:15:18
Был установлен и долгое время работал антивирус NOD32 4 версии . В один из дней был получен BSOD (коды не записали). После перезагрузки было замечено отсутствие значка антивируса в системном трее.
Антивирус был деинсталлирован, удалены "хвосты" и установлен NOD антивирус 6 версии. После двух перезагрузок компа значок из системного трея исчез снова. Запуск значка с рабочего стола сообщил виндовой ошибкой "о невозможности запустить приложение из-за проблем с настройкой".
Драйвер ehdrv.sys оказался не запущенным и его размер ровно 1 мб (1 048 576 байт), размер драйвера eamon.sys 1 048 576 байт. Оба эти файла имеют атрибуты - архивный, скрытый, системный.
В папке с установленным Антивирусом обнаружен файл egui.exe.manifest размером 1 048 576 байт.
Сломал себе всю голову, переустанавливал NOD неоднократно. Запускал NOD в безопасном режиме и проверял на вирусы. CureIT тоже ничего не видит.
Контрольным "в голову" была установка Avast антивирус. После двух перезагрузок компа, его драйвера в папке \system32\drivers имеют размер 1 048 576 байт, и естественно его значок в трее пропал. Через 10 минут был пойман BSOD 0х0000008E (0хC0000005 ...)
НЕужели из-за оперативки такие мучения.
Просветите плиз ...
Архив с файлами прикрепил.
Изменено: jeromi - 07.02.2013 12:17:03
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2013 12:59:36
сделайте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
 
jeromi
jeromi
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 07.02.2013
Размещено 07.02.2013 13:14:35
Цитата
santy пишет:
сделайте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

Готово.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2013 13:26:28
этот файлик проверьте на вирустотал http://virustotal.com
Цитата
C:\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\YG1I3C6X.SCR
+
добавьте линк проверки здесь
[ Как создать образ автозапуска? ]
 
jeromi
jeromi
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 07.02.2013
Размещено 07.02.2013 13:30:57
Вот ведь сволочь, только в Безопасном запуске винды я его увидел.

Вот лог

Вирус Вам выслать на анализы?
Изменено: jeromi - 07.02.2013 13:31:49
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2013 13:32:44
сейчас напишу скрипт очистки, и вопрос: Аваст у вас нефункционален сейчас...?
Изменено: santy - 07.02.2013 13:33:13
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2013 13:34:58
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
addsgn 1AD8329A5583C58CF42B1621658912C684AA4AB489AC756CDB4605C9576E714E231728510593E04EA04627BFF0544990798F000D77DAB07574D4B8898506A7B3 8 Win32.Foreign.aahy [Kaspersky]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\YG1I3C6X.SCR
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\YG1I3C6X.SCR
chklst
delvir
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2013 13:36:07
Цитата
jeromi пишет:
Вот ведь сволочь, только в Безопасном запуске винды я его увидел.

Вот лог

Вирус Вам выслать на анализы?
да, в почту, которая указана ниже скрипта очистки. в архиве с паролем infected
[ Как создать образ автозапуска? ]
 
jeromi
jeromi
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 07.02.2013
Размещено 07.02.2013 13:36:11
Да, аваст не работает.
Я вирус удалил в Защищёном режиме из автозагрузки - Этого достаточно?
Аваст удалю, а поставлю NOD.
К сожалению, к клиенту захожу удалённо, и его компютер до конца рабочего дня будет занят. О результатах отпишу ближе к ночи.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2013 13:38:28
Аваст какой то усеченный, лучше зачистить клинером в безопасном режиме
http://www.avast.com/uninstall-utility
(если не получится  деинсталлировать.)
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему