BAD_POOL_CALLER ect - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - BAD_POOL_CALLER ect (http://forum.oszone.net/showthread.php?t=161994)

BAD_POOL_CALLER ect

Приветствую!

Цитата:

Цитата Eugeniy

...На протяжении месяца регулярно влетаю(л) в BSOD... В основном BAD_POOL_CALLER. Но случалось и PAGE_FAULT_IN_NONPAGED_AREA, DRIVER_IRQL_NOT_LESS_OR_EQUAL, PAGE_FAULT_IN_NONPAGED_AREA, ect...
Что характерно, в сообщениях BlueScreenView постоянно присутствует ссылка на ntkrnlpa.exe, вне зависимости от получаемого BSOD. Может, одна из нескольких, но все-таки...
После не помню уже каких манипуляций синий экран перестал появляться, но стал жутко тормозить Проводник при запуске. После запуска работает вроде бы сносно...
Драйверы видео, сетевухи, звука переустанавливал, тормоза остались...
»

Проверить с помощью Dr.Web LiveCD не удалось - монитор (CTX W1961A) сообщил о неподдерживаемом разрешении экрана. Memtest c этого же диска отработал без ошибок...
В процессе работы Касперского было выявлено несколько троянов.
После выполнения пункта

Цитата:

3.3. Запустите AVZ (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора), выберите из меню Файл - Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". В результате выполнения скрипта в папке AVZ\LOG будет создан файл virusinfo_syscure.zip. После выполнения скрипта обязательно перезагрузите компьютер.

в обычном режиме загрузиться не удалось, влетел в BSoD BAD_POOL_CALLER, потом в BSoD 08E (упоминался ks.sys), потом опять в BAD_POOL_CALLER. Загрузиться удалось только в защищенном режиме. Поэтому virusinfo_syscheck.zip создан в защищенном режиме.
"Тормоза" в работе проводника остались.
Файлы логов прилагаю.
С уважением, Евгений.

Eugeniy, Привет. С Новым Годом. :)

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Приветствую! С наступившим! :)

Лог антималвара:

Malwarebytes' Anti-Malware 1.43
Версия базы данных: 3467
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

01.01.2010 11:31:24
mbam-log-2010-01-01 (11-30-53).txt

Тип проверки: Полная (C:\|)
Проверено объектов: 266873
Прошло времени: 1 hour(s), 32 minute(s), 42 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 6
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 1
Заражено файлов: 6

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\acpi32 (SpamTool.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ati64si (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ksi32sk (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Systemntmi (SpamTool.Agent) -> No action taken.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
C:\Program Files\FieryAds (Adware.Adware.FearAds) -> No action taken.

Заражено файлов:
C:\Documents and Settings\All Users\Документы\Сохранение\OnVacation - Как достать соседа\autorun.exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\All Users\Документы\Сохранение\OnVacation - Как достать соседа\Addon\autorun.exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\All Users\Документы\Сохранение\OnVacation - Как достать соседа\Addon\run.exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Родители\Рабочий стол\Lily\стаж.exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Дети\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
C:\Documents and Settings\Дети\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.

Эти файлы Вам известны?

Цитата:

C:\Documents and Settings\All Users\Документы\Сохранение\OnVacation - Как достать соседа\autorun.exe
C:\Documents and Settings\All Users\Документы\Сохранение\OnVacation - Как достать соседа\Addon\autorun.exe
C:\Documents and Settings\All Users\Документы\Сохранение\OnVacation - Как достать соседа\Addon\run.exe
C:\Documents and Settings\Родители\Рабочий стол\Lily\стаж.exe

Выполните скрипт в AVZ

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');

 DeleteService('systemntmi');

 QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');

 DeleteService('ksi32sk');

 QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');

 DeleteService('ati64si');

 QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');

 DeleteService('acpi32');

 DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');

 DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');

 DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');

 DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Удалите в МВАМ

Код:

Заражено ключей реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.

HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> No action taken.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\acpi32 (SpamTool.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ati64si (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ksi32sk (Rootkit.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Systemntmi (SpamTool.Agent) -> No action taken.



Заражено папок:

C:\Program Files\FieryAds (Adware.Adware.FearAds) -> No action taken.



Заражено файлов:

C:\Documents and Settings\Дети\Application Data\wiaserva.log (Malware.Trace) -> No action taken.

C:\Documents and Settings\Дети\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.

Сделайте новые логи

Приветствую! С Новым Годом!

quarantine.zip на указанный почтовый адрес отправил, но только лишь потом решил полюбопытствовать, что же там такое? Оказалось - пустая папка... Надеюсь на понимание моего утреннего состояния 1 января со стороны newvirus@kaspersky.com... :)

Цитата:

Цитата thyrex

Удалите в МВАМ »

Уже удалил. Просто в логе это почему-то отражено не было. Скорее всего, и карантин поэтому был пуст...
Более того, после перезагрузки, инициированной МВАМ, проверил им же вторично.
Вот лог:

Malwarebytes' Anti-Malware 1.43
Версия базы данных: 3467
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

01.01.2010 13:47:16
mbam-log-2010-01-01 (13-47-16).txt

Тип проверки: Полная (C:\|)
Проверено объектов: 266942
Прошло времени: 1 hour(s), 53 minute(s), 3 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 4

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
(Вредоносные программы не обнаружены)

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\System Volume Information\_restore{7973E511-0A95-4367-A0B1-1D594B1E019A}\RP529\A1061909.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7973E511-0A95-4367-A0B1-1D594B1E019A}\RP529\A1061910.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7973E511-0A95-4367-A0B1-1D594B1E019A}\RP529\A1061911.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7973E511-0A95-4367-A0B1-1D594B1E019A}\RP529\A1061912.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

С уважением и благодарностью, Евгений.

P.S. Но Проводник по-прежнему тормозит... :(

Дубль 2

Эти файлы Вам известны?

Цитата:

Цитата thyrex

Сделайте новые логи »

Где новые логи AVZ и HiJack?

Приветствую!

Цитата:

Цитата thyrex

Дубль 2
Эти файлы Вам известны? »

Были известны. Удалены Malwarebytes' Anti-Malware 1.43

Цитата:

Цитата thyrex

Сделайте новые логи »

Если бы было написано

Цитата:

Цитата thyrex

новые логи AVZ и HiJack »

так бы и сделал...

Цитата:

Цитата Eugeniy

Вот лог: Malwarebytes' Anti-Malware 1.43 »

К сути вопроса.
Логи AVZ и HiJack - во вложениях.

С уважением, Евгений.

Плохого не видно. Проблема решена?

Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Установите Adobe Acrobat 9.2 или удалите старый

Цитата:

Проблема решена?

В новом году BSoD не было :)
Замедленный запуск Проводника остался ("кисточка")...
Воспользуюсь рекомендациями thyrex. Спасибо.
С уважением, Евгений.

Цитата:

Цитата thyrex

Установите SP3 (может потребоваться активация) + все новые заплатки »

Обновить можно с помощью центра обновления встроенного в ОС. Или загрузить пакет SP3 с Центра загрузки Майкрософт выбрав язык соответствующий вашей ОС.