Здравствуйте. Моему компьютеру полгода. Работал идеально на WinXP SP3. На этой неделе после загрузки Windows XP SP3 стал выдавать БСОДы. Причем на этапе загрузки Касперского Интернет Секьюрити 7 (он начал сбоить месяц назад - выдавать время от времени разные ошибки). В safe mode загрузка нормальная. После того как выключил автозагрузку касперского - загрузка ОС прошла нормально. Но теперь выпадает в бсод при запуске Outlook Express. При попытке удаления Касперского тоже самое. Плюс иногда самопроизвольно перезагружается при нахождении в инете.

Конфигурация:

Операционная система Microsoft Windows XP Professional Whistler (5.1.2600)
Пакет обновления ОС Service Pack 3
Блок питания ATX Greal Wall Hopely 450P4 450W 24pin
Intel Core 2 Duo LGA 775 Wolfdale(E8200), 2666 MHz (8 x 333) / 6mb/ 1333 FSB
Gigabyte Technology Co., Ltd. P35-S3G Socket 775 IntelP35express
TRANSCEND 2048 Мб DDR2 800 (PC2-6400)
ATI Radeon HD 3850 POWERCOLOR 256bit/DDR2 (1024 Мб)
Samsung 7200 HD502IJ SATA 500 Гб
DVD-RW LG Supermulti (HL-DT-ST DVD-RAM GSA-H55N)

При анализе дампов такое

stop error code: 0x8E
process name: svchost.exe
probably caused by: Unknown_Image <ANALYSIS_INCONCLUSIVE>

stop error code: 0x8E
process name: explorer.exe
probably caused by: NDIS.sys <NDIS___PchSym_+c>

Также вываливается в БСОД при чистке ATF Cleaner.

Для начала проверьте на VirusTotal (http://www.virustotal.com/ru) C:\Program Files\Internet Explorer\iexplore.exe (возможна подмена) и C:\WINDOWS\system32\drivers\xinstall.sys
Результат проверки (ссылки) сообщите здесь
Сделайте дополнительно лог gmer (http://www.gmer.net/gmer.zip) После запуска программы начнется экспресс-проверка. После ее завершения на вкладке Malware/Rootkit проверьте, что справа отмечены все пункты и системный диск. Нажмите Scan. Дождитесь окончания проверки. После этого сохраните лог, нажав Save. Прикрепите его к сообщнению

jackkat, Здравствуйте. Отключите автозапуск со съемных носителей (http://forum.oszone.net/showpost.php?p=825101), включите брандмауэр windows
Деинсталлируйте AskBar - C:\Program Files\AskBarDis
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html), нажмите кнопку «Запустить».
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\icq5e.dll','');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
TerminateProcessByName('c:\program files\askbardis\bar\bin\askservice.exe');
QuarantineFile('c:\program files\askbardis\bar\bin\askservice.exe','');
DeleteFile('c:\program files\askbardis\bar\bin\askservice.exe');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFile('C:\WINDOWS\system32\icq5e.dll');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}')
DeleteService('ASKService');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Запустите HiJackThis (http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe), нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
R3 - URLSearchHook: (no name) - {63432924-FF0F-4F2D-BA15-FE46454977A3} - (no file)
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
Adobe Acrobat обновите. Что с результатами проверики на VT?
Повторите логи.

На VT чисто, gmer-ом просканировал. Скрипт в AVZ выполнил. Но в трее при загрузке системы все равно появляется непонятная черная иконка на секунду (автозагрузка). Логи прилагаю.

jackkat, логи выложили старые
Сканирование запущено в 22.03.2009 18:05:11
Сделайте новые.Деинсталлируйте AskBar - C:\Program Files\AskBarDis »
Сделали?

Да, удалил askbar.

Вот новые логи.

Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('icq5e.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи

Вроде бсоды пропали.

Поищите с помощью AVZ файлы
hccan.sys
C:\DOCUME~1\klient\LOCALS~1\Temp\HWiNFO32.SYS
и проверьте на virustotal.com
Запустите в AVZ, Файл - Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Сделайте лог hijackthis

hccan.sys и HWiNFO32.SYS не нашел. Вот лог

jackkat, Adobe Acrobat вы так и не обновили, в старых версиях есть уязвимости...
По лог HJT чисто.
hccan.sys и HWiNFO32.SYS не нашел. »
Можете почистить мусор из реестра скриптом
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\klient\LOCALS~1\Temp\HWiNFO32.SYS','');
QuarantineFile('hccan.sys','');
DeleteFile('hccan.sys');
DeleteFile('C:\DOCUME~1\klient\LOCALS~1\Temp\HWiNFO32.SYS');
DeleteService('HWiNFO32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(true);
end.

8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule ()
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Если что не нужно, скажите, можно будет отключить скриптом.

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights (http://download.microsoft.com/download/f/2/e/f2e49491-efde-4bca-9057-adc89c476ed4/DropMyRights.msi) см. здесь (http://saule.sporaw.ru/library/droprights.html) и здесь (http://virusinfo.info/showthread.php?t=2852) или SanboxIE (http://www.sandboxie.com), пользоваться браузером Opera или Firefox (http://www.mozilla-europe.org/ru/firefox/) c плагином NoScript (https://addons.mozilla.org/firefox/addon/722) и AdBlock Plus (https://addons.mozilla.org/ru/firefox/addon/1865)
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем (http://forum.oszone.net/forum-20.html)
Дополнительно можете протестировать и настроить безопасность с помощью Belarc Advisor (http://www.belarc.com/free_download.html) доп. см. здесь (http://virusinfo.info/showthread.php?t=19517)
И проверить программное обеспечения на безопасность и наличие обновлений с помощью Secunia Online Software Inspector (OSI) (http://secunia.com/vulnerability_scanning/online/)
Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista (http://security-advisory.ru/),
Базовая концепция системы безопасности ОС Windows семейства NT (http://forum.freesoft.ru/index.php?showtopic=1274)
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ (http://www.z-oleg.com/secur/news/news1347.php)

Adobe Acrobat обновил до 9-го
Вот эти службы можно отключить:
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule ()
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

Поставил DropMyRights. Хотя интернет эксплорером пользуюсь редко.
Большое спасибо за помощь )

Выполните скрипт
begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
RebootWindows(true);
end.