BSOD после лечения Каспером
 

Здравствуйте!

Спасибо за отличный форум - видимо, самый толковый по этой теме.

На ноутбуке ASUS (детально описать систему не имею возможности, т.к. сам ламер, а диспетчер устройств чист, как белый лист) была куча троянов. Сначала поставил НОД32, почистил все что получилось, затем поставил Аутпост. Комп отказывался соединяться с почтовыми серверами и серверами аськи. Потом ставил Антивирус Касперского 2009. Сначала комп отказывался обновлять базы Каспера. После удаления Аутпоста базы обновились и тут же выловились еще трояны.

Самым вредным оказался Троян.Мутант. Каспер его обнаруживал, удалял. После перезагрузки снова обнаруживал, удалял. И так раз пять. На шестой раз все зависло, на КтрлАльтДел не реагировало, выключил питание. При загрузке винды вылетел BSOD. Теперь винда грузится только в Safe mode.

Сначала был BSOD 0x0000000A: IRQL_NOT_LESS_OR_EQUAL.
Прочел соответствующую тему, первое, что сделал - попытался снести АВК. Винда ругнулась, что нету Windows Installer. Скачал с сайта Каспера утилиты KAVRemover и RemoveKAV. КАВРемувер сказал, что не обнаружил установленного Каспера. РемувКАВ почистил реестр и отчитался об этом. В итоге Каспер так и стоит неудаленный.

После этого BSOD поменялся на другой, и ругался на драйвер kl1.sys. С помощью Autoruns отключил все процессы от Каспера. Вернулся BSOD 0x0000000A: IRQL_NOT_LESS_OR_EQUAL, винда по-прежнему грузится только в Safe mode. Файл минидампа не создается (флажок создания поставлен, папку создал вручную, файл подкачки есть на обоих разделах - на каждом мин 32Мб).

Дочитал до конца тему про синий экран, там в последнем посте у парня примерно такая же проблема и его отправили сюда. Поэтому и я здесь. При проверках cureit-ом выловился еще один Троян.Спамбот. При проверке AVPTool еще раз выловился Троян.Мутант, но теперь уже с другим расширением. Удалил. BSOD не удалился.

Очень надеюсь на помощь. Логи, согласно правилам, приложены.

Проверь наличие файла userinit.exe в папке windows\system32. Он там должен быть.
В HijackThis поставь галочки перед значениями и нажми fix checked.
В АVZ меню Файл -- Выполнить скрипт. Скопируй код и нажми "Запустить".
После перезагрузки попробуй зайти в нормальный режим.
Сделай все логи повторно в нормальном режиме.

Спасибо за скорый отклик!

userinit есть

Все сделал, как написано. За одним исключением - сначала протупил, не сделал то, что про ХайДжек написано. То есть сразу выполнил скрипт в АВЗ. БСОД не устранился.

Потом снова зашел в Сейфмоде, сделал все, как написано. Результат тот же. :(

Выложи несколько дампов из папки system32\minidump
Выполни скрипт

Скрипт выполнил. БСОД тот же.
Минидампы не появились.

Buzzzilio, Создай логи еще раз.

...

Новые логи

В логах ничего.. Лог Hijack ты кажется вообще рановато делал.
Ты восстановление системы выключил? Если нет, то лучше откатиться назад до того, как устанавливался Касперский.
А восставшие вирусы мы полечим тут.

Нету контрольных точек :( вообще

Подожди Pili до завтра

Buzzzilio, Включите создание минидампов, если создатутся, запакуйте и выложите их.
Скачайте и запустите GetSystemInfo (GSI), укажите с помощью обзора папку для сохранения протокола, полученный файл протокола в архиве прикрепите к сообщению.
Давайте удалим остатки KAV скриптом
Сделайте лог AVZ в безопасном режиме - Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" – Пуск - Сохранить протокол. Упакуйте лог в zip и прикрепите к сообщению.
Скачайте OTViewIt сохраните на рабочий стол и запустите, запакуйте полученные логи и прикрепите к сообщению.
Если возможно, сделайте логи в нормальном режиме (в т.ч. hijackthis и AVZ)
Устранение неполадок, связанных с ошибкой «Stop 0x0000000A » и 0x0000000A : IRQL_NOT_LESS_OR_EQUAL (общий обзор)- проблемы б.м. с железом или драйверами.

Цитата:

Цитата Buzzzilio Винда ругнулась, что нету Windows Installer »

Вероятно вам придется установить windows в режиме восстановления -Как выполнить обновление (переустановку) Microsoft Windows XP - способ 2. Для удаления KAV можете доп. воспользоваться Windows Installer Clean Up

Pili, спасибо, обязательно выполню ваши рекомендации после 29 числа - уехал от этого БСОДного ноута.
Severny, еще раз спасибо.

Не создаются
Сделано
Скрипт выполнил через AVZ
Сделано
Не получилось.
Win32 error. Code 1717. Неизвестный интерфейс.
В строке состояния - scanning HKEY_CURRENT_USER\ Uninstall list
Нормальный режим не запускается вообще.

Может, проще отформатировать винт? Или все же есть шанс все восстановить без этого процесса?

Явных зловредов по этим логам не видно.
Проверьте файл C:\WINDOWS\system32\drivers\InCDPass.sys на virustotal.com
Попробуйте установить Windows в режиме восстановления - Как выполнить обновление (переустановку) Microsoft Windows XP - способ 2

Не нашел такого файла
При переустановке вылетает другой БСОД: STOP: 0x0000007B

Искали через AVZ- сервис - поиск файлов? Поищите ещё с помощью IceSword, если не найдете, можете выполнить скрипт
По BSOD 0x0000007B
здесь, здесь и здесь

Искал обоими способами, не получилось. Скрипт выполнил, через AVZ. А еще как-то их можно выполнять или нет?

Значит файлов нет, остался только мусор в реестре, скрипт этот мусор удаляет.
Уточните вопрос.

Лишнее удалил, как не способствующее решению проблемы

Да он не по теме... мне просто стало интересно, как еще можно исполнять скрипты - только через АВЗ или еще как-то можно?

Ну, стало быть, буду форматировать винт... Эххх.
Спасибо за то, что уделили мне время. Хорошо, что есть к кому обратиться.

можно, но не эти скрипты, напр. CFScript.txt для Combofix, а эти только для AVZ
Пожалуйста. По вашим логам (в начале темы) были вирусы, Severny скриптами удалил, но по новым логам зловредов не видно, если получится зайти в нормальный режим, можете выложить логи, проверим.