[решено] BSOD (stop 0x8E) - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] BSOD (stop 0x8E) (http://forum.oszone.net/showthread.php?t=135493)

BSOD (stop 0x8E)

Здравствуйте. Моему компьютеру полгода. Работал идеально на WinXP SP3. На этой неделе после загрузки Windows XP SP3 стал выдавать БСОДы. Причем на этапе загрузки Касперского Интернет Секьюрити 7 (он начал сбоить месяц назад - выдавать время от времени разные ошибки). В safe mode загрузка нормальная. После того как выключил автозагрузку касперского - загрузка ОС прошла нормально. Но теперь выпадает в бсод при запуске Outlook Express. При попытке удаления Касперского тоже самое. Плюс иногда самопроизвольно перезагружается при нахождении в инете.

Конфигурация:

Операционная система Microsoft Windows XP Professional Whistler (5.1.2600)
Пакет обновления ОС Service Pack 3
Блок питания ATX Greal Wall Hopely 450P4 450W 24pin
Intel Core 2 Duo LGA 775 Wolfdale(E8200), 2666 MHz (8 x 333) / 6mb/ 1333 FSB
Gigabyte Technology Co., Ltd. P35-S3G Socket 775 IntelP35express
TRANSCEND 2048 Мб DDR2 800 (PC2-6400)
ATI Radeon HD 3850 POWERCOLOR 256bit/DDR2 (1024 Мб)
Samsung 7200 HD502IJ SATA 500 Гб
DVD-RW LG Supermulti (HL-DT-ST DVD-RAM GSA-H55N)

При анализе дампов такое

stop error code: 0x8E
process name: svchost.exe
probably caused by: Unknown_Image <ANALYSIS_INCONCLUSIVE>

stop error code: 0x8E
process name: explorer.exe
probably caused by: NDIS.sys <NDIS___PchSym_+c>

Также вываливается в БСОД при чистке ATF Cleaner.

Для начала проверьте на VirusTotal C:\Program Files\Internet Explorer\iexplore.exe (возможна подмена) и C:\WINDOWS\system32\drivers\xinstall.sys
Результат проверки (ссылки) сообщите здесь
Сделайте дополнительно лог gmer После запуска программы начнется экспресс-проверка. После ее завершения на вкладке Malware/Rootkit проверьте, что справа отмечены все пункты и системный диск. Нажмите Scan. Дождитесь окончания проверки. После этого сохраните лог, нажав Save. Прикрепите его к сообщнению

jackkat, Здравствуйте. Отключите автозапуск со съемных носителей, включите брандмауэр windows
Деинсталлируйте AskBar - C:\Program Files\AskBarDis
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить».

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\WINDOWS\system32\icq5e.dll','');

 QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');

 TerminateProcessByName('c:\program files\askbardis\bar\bin\askservice.exe');

 QuarantineFile('c:\program files\askbardis\bar\bin\askservice.exe','');

 DeleteFile('c:\program files\askbardis\bar\bin\askservice.exe');

 DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');

 DeleteFile('C:\WINDOWS\system32\icq5e.dll');

 DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');

 DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}')

 DeleteService('ASKService');

BC_ImportDeletedList;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

R3 - URLSearchHook: (no name) - {63432924-FF0F-4F2D-BA15-FE46454977A3} - (no file)

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

Adobe Acrobat обновите. Что с результатами проверики на VT?
Повторите логи.

На VT чисто, gmer-ом просканировал. Скрипт в AVZ выполнил. Но в трее при загрузке системы все равно появляется непонятная черная иконка на секунду (автозагрузка). Логи прилагаю.

jackkat, логи выложили старые

Цитата:

Сканирование запущено в 22.03.2009 18:05:11

Сделайте новые.

Цитата:

Цитата Pili

Деинсталлируйте AskBar - C:\Program Files\AskBarDis »

Сделали?

Да, удалил askbar.

Вот новые логи.

Выполните скрипт в AVZ

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 DeleteFile('icq5e.dll');

BC_ImportDeletedList;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Повторите логи

Вроде бсоды пропали.

Поищите с помощью AVZ файлы
hccan.sys
C:\DOCUME~1\klient\LOCALS~1\Temp\HWiNFO32.SYS
и проверьте на virustotal.com
Запустите в AVZ, Файл - Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Сделайте лог hijackthis

hccan.sys и HWiNFO32.SYS не нашел. Вот лог

jackkat, Adobe Acrobat вы так и не обновили, в старых версиях есть уязвимости...
По лог HJT чисто.

Цитата:

Цитата jackkat

hccan.sys и HWiNFO32.SYS не нашел. »

Можете почистить мусор из реестра скриптом

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\DOCUME~1\klient\LOCALS~1\Temp\HWiNFO32.SYS','');

 QuarantineFile('hccan.sys','');

 DeleteFile('hccan.sys');

 DeleteFile('C:\DOCUME~1\klient\LOCALS~1\Temp\HWiNFO32.SYS');

 DeleteService('HWiNFO32');

BC_ImportDeletedList;

ExecuteSysClean;

BC_Activate;

ExecuteWizard('TSW', 1, 1, true);

ExecuteWizard('BT', 1, 1, true);

RebootWindows(true);

end.

Цитата:

8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule ()
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Если что не нужно, скажите, можно будет отключить скриптом.

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем
Дополнительно можете протестировать и настроить безопасность с помощью Belarc Advisor доп. см. здесь
И проверить программное обеспечения на безопасность и наличие обновлений с помощью Secunia Online Software Inspector (OSI)
Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista,
Базовая концепция системы безопасности ОС Windows семейства NT
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ

Adobe Acrobat обновил до 9-го
Вот эти службы можно отключить:
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule ()
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

Поставил DropMyRights. Хотя интернет эксплорером пользуюсь редко.
Большое спасибо за помощь )

Выполните скрипт

Код:

begin

SetServiceStart('RDSessMgr', 4);

SetServiceStart('Schedule', 4);

SetServiceStart('Alerter', 4);

SetServiceStart('Messenger', 4);

RebootWindows(true);

end.