Войти

Показать полную графическую версию : [решено] BSOD после лечения Каспером


Страниц : [1] 2

Buzzzilio
15-10-2008, 21:37
Здравствуйте!

Спасибо за отличный форум - видимо, самый толковый по этой теме.

На ноутбуке ASUS (детально описать систему не имею возможности, т.к. сам ламер, а диспетчер устройств чист, как белый лист) была куча троянов. Сначала поставил НОД32, почистил все что получилось, затем поставил Аутпост. Комп отказывался соединяться с почтовыми серверами и серверами аськи. Потом ставил Антивирус Касперского 2009. Сначала комп отказывался обновлять базы Каспера. После удаления Аутпоста базы обновились и тут же выловились еще трояны.

Самым вредным оказался Троян.Мутант. Каспер его обнаруживал, удалял. После перезагрузки снова обнаруживал, удалял. И так раз пять. На шестой раз все зависло, на КтрлАльтДел не реагировало, выключил питание. При загрузке винды вылетел BSOD. Теперь винда грузится только в Safe mode.

Сначала был BSOD 0x0000000A: IRQL_NOT_LESS_OR_EQUAL.
Прочел соответствующую тему, первое, что сделал - попытался снести АВК. Винда ругнулась, что нету Windows Installer. Скачал с сайта Каспера утилиты KAVRemover и RemoveKAV. КАВРемувер сказал, что не обнаружил установленного Каспера. РемувКАВ почистил реестр и отчитался об этом. В итоге Каспер так и стоит неудаленный.

После этого BSOD поменялся на другой, и ругался на драйвер kl1.sys. С помощью Autoruns отключил все процессы от Каспера. Вернулся BSOD 0x0000000A: IRQL_NOT_LESS_OR_EQUAL, винда по-прежнему грузится только в Safe mode. Файл минидампа не создается (флажок создания поставлен, папку создал вручную, файл подкачки есть на обоих разделах - на каждом мин 32Мб).

Дочитал до конца тему про синий экран, там в последнем посте у парня примерно такая же проблема и его отправили сюда. Поэтому и я здесь. При проверках cureit-ом выловился еще один Троян.Спамбот. При проверке AVPTool еще раз выловился Троян.Мутант, но теперь уже с другим расширением. Удалил. BSOD не удалился.

Очень надеюсь на помощь. Логи, согласно правилам, приложены.

Severny
15-10-2008, 22:36
Проверь наличие файла userinit.exe в папке windows\system32. Он там должен быть.
В HijackThis поставь галочки перед значениями и нажми fix checked.
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\s
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

В АVZ меню Файл -- Выполнить скрипт. Скопируй код и нажми "Запустить".
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('\s','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ksa18.sys','');
SetServiceStart('tcpsr', 4);
SetServiceStart('Ksa18', 4);
DeleteService('tcpsr');
DeleteService('Ksa18');
DeleteFile('C:\WINDOWS\system32\Drivers\Ksa18.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\drivers\WinCtrl32.dll');
DeleteFile('WinCtrl32.dll');
DeleteFile('\s');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(12);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки попробуй зайти в нормальный режим.
Сделай все логи повторно в нормальном режиме.

Buzzzilio
15-10-2008, 22:48
Спасибо за скорый отклик!

userinit есть

Все сделал, как написано. За одним исключением - сначала протупил, не сделал то, что про ХайДжек написано. То есть сразу выполнил скрипт в АВЗ. БСОД не устранился.

Потом снова зашел в Сейфмоде, сделал все, как написано. Результат тот же. :(

Severny
15-10-2008, 22:58
Результат тот же.
Выложи несколько дампов из папки system32\minidump
Выполни скрипт
begin
SetServiceStart('AVP', 4);
RebootWindows(true);
end.

Buzzzilio
15-10-2008, 23:08
Скрипт выполнил. БСОД тот же.
Минидампы не появились.

Severny
16-10-2008, 00:05
Buzzzilio, Создай логи еще раз.

Buzzzilio
16-10-2008, 00:10
...

Buzzzilio
16-10-2008, 00:31
Новые логи

Severny
16-10-2008, 00:48
В логах ничего.. Лог Hijack ты кажется вообще рановато делал.
Ты восстановление системы выключил? Если нет, то лучше откатиться назад до того, как устанавливался Касперский.
А восставшие вирусы мы полечим тут.

Buzzzilio
16-10-2008, 00:54
Нету контрольных точек :( вообще

Severny
16-10-2008, 00:58
Нету контрольных точек вообще »
Подожди Pili до завтра

Pili
16-10-2008, 09:10
Buzzzilio, Включите создание минидампов (http://forum.oszone.net/thread-93436.html), если создатутся, запакуйте и выложите их.
Скачайте и запустите GetSystemInfo (GSI) (ftp://ftp.kaspersky.ru/utils/getsysteminfo/GetSystemInfo.exe), укажите с помощью обзора папку для сохранения протокола, полученный файл протокола в архиве прикрепите к сообщению.
Давайте удалим остатки KAV скриптом
begin
DeleteFile('C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe');
DeleteService('AVP');
ExecuteSysClean;
RebootWindows(true);
end.
Сделайте лог AVZ (http://z-oleg.com/avz4.zip) в безопасном режиме - Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" – Пуск - Сохранить протокол. Упакуйте лог в zip и прикрепите к сообщению.
Скачайте OTViewIt (http://oldtimer.geekstogo.com/OTViewIt.exe) сохраните на рабочий стол и запустите, запакуйте полученные логи и прикрепите к сообщению.
Если возможно, сделайте логи в нормальном режиме (в т.ч. hijackthis и AVZ)
Устранение неполадок, связанных с ошибкой «Stop 0x0000000A » (http://support.microsoft.com/kb/314063/ru) и 0x0000000A : IRQL_NOT_LESS_OR_EQUAL (общий обзор) (http://www.oszone.net/display.php?id=69)- проблемы б.м. с железом или драйверами.
Винда ругнулась, что нету Windows Installer »
Вероятно вам придется установить windows в режиме восстановления -Как выполнить обновление (переустановку) Microsoft Windows XP (http://support.microsoft.com/kb/315341/ru) - способ 2. Для удаления KAV можете доп. воспользоваться Windows Installer Clean Up (http://support.microsoft.com/kb/290301/)

Buzzzilio
17-10-2008, 12:58
Pili, спасибо, обязательно выполню ваши рекомендации после 29 числа - уехал от этого БСОДного ноута.
Severny, еще раз спасибо.

Buzzzilio
03-11-2008, 13:00
Включите создание минидампов, если создатутся, запакуйте и выложите их.
Не создаются
Скачайте и запустите GetSystemInfo (GSI), укажите с помощью обзора папку для сохранения протокола, полученный файл протокола в архиве прикрепите к сообщению.
Сделано
Давайте удалим остатки KAV скриптом
Скрипт выполнил через AVZ
Сделайте лог AVZ в безопасном режиме - Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" – Пуск - Сохранить протокол. Упакуйте лог в zip и прикрепите к сообщению. »
Сделано
Скачайте OTViewIt сохраните на рабочий стол и запустите, запакуйте полученные логи и прикрепите к сообщению. »
Не получилось.
Win32 error. Code 1717. Неизвестный интерфейс.
В строке состояния - scanning HKEY_CURRENT_USER\ Uninstall list
Если возможно, сделайте логи в нормальном режиме (в т.ч. hijackthis и AVZ) »
Нормальный режим не запускается вообще.

Может, проще отформатировать винт? Или все же есть шанс все восстановить без этого процесса?

Pili
03-11-2008, 15:44
Явных зловредов по этим логам не видно.
Проверьте файл C:\WINDOWS\system32\drivers\InCDPass.sys на virustotal.com
Попробуйте установить Windows в режиме восстановления - Как выполнить обновление (переустановку) Microsoft Windows XP (http://support.microsoft.com/kb/315341/ru) - способ 2

Buzzzilio
03-11-2008, 16:02
Проверьте файл C:\WINDOWS\system32\drivers\InCDPass.sys на virustotal.com »
Не нашел такого файла
Попробуйте установить Windows в режиме восстановления »
При переустановке вылетает другой БСОД: STOP: 0x0000007B

Pili
03-11-2008, 16:51
Не нашел такого файла »
Искали через AVZ- сервис - поиск файлов? Поищите ещё с помощью IceSword (http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip), если не найдете, можете выполнить скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\InCDRm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\InCDPass.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\InCDFs.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\InCDFs.sys');
DeleteFile('C:\WINDOWS\system32\drivers\InCDPass.sys');
DeleteFile('C:\WINDOWS\system32\drivers\InCDRm.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('InCDRm');
BC_DeleteSvc('InCDPass');
BC_DeleteSvc('InCDFs');
BC_Activate;
RebootWindows(true);
end.

По BSOD 0x0000007B
здесь (http://support.microsoft.com/kb/324103/ru), здесь (http://www.oszone.ru/display.php?id=3891) и здесь (http://www.oszone.net/3892/)

Buzzzilio
03-11-2008, 17:04
Искали через AVZ- сервис - поиск файлов? Поищите ещё с помощью IceSword, если не найдете, можете выполнить скрипт »
Искал обоими способами, не получилось. Скрипт выполнил, через AVZ. А еще как-то их можно выполнять или нет?

Pili
03-11-2008, 21:26
Искал обоими способами, не получилось. »
Значит файлов нет, остался только мусор в реестре, скрипт этот мусор удаляет.
А еще как-то их можно выполнять или нет? »
Уточните вопрос.

Лишнее удалил, как не способствующее решению проблемы

Buzzzilio
03-11-2008, 21:38
Уточните вопрос. »
Да он не по теме... мне просто стало интересно, как еще можно исполнять скрипты - только через АВЗ или еще как-то можно?

Ну, стало быть, буду форматировать винт... Эххх.
Спасибо за то, что уделили мне время. Хорошо, что есть к кому обратиться.




© OSzone.net 2001-2012