Компьютер грузится только в Safe mode

[AriaL]

Здравствуйте! Проблема такая: комп перестал грузиться в обычном режиме: сначала минут 10 висит заставка запуска Windows XP (при этом комп активно обращается к харду), а потом - черный экран. Спасает только reset или выключение питания. CureIT! обнаружил несколько вирусов (Trojan.DownLoader.23975, VBS.PackFor, BackDoor.Haxdoor.444, BackDoor.Generic.1138 и DLOADER.Trojan) и удалил их, но это не помогло. Прикрепляю логи от AVZ
PS: в процессе выполнения скриптов (оба раза) AVZ написал следующее

1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
Ошибка обмена с драйвером [00000002] - [1]

Что это означает-то?

[Макcим]

Удалите NOD32 и сделайте логи в нормальном режиме.

[AriaL]

Удалил. После чего компьютер загрузился в нормальном режиме, я сделал первый лог по правилам, перезагрузился, после чего компьютер вернулся к состоянию, описанному в первом посте. Соответственно второй лог AVZ и HiJackThis выполнен из safemode

[PavelA]

Удаляем драйвер AVZPM

Код:

begin
 ExecuteStdScr(6);
end.

После этого делаем логи заново.

[AriaL]

Сделал.

[Макcим]

"Пофиксите" в HijackThis

Код:

O2 - BHO: Shell Browser Object Class - {00534B55-3155-CA4F-B41D-0E922121D03C} - (no file)
O14 - IERESET.INF: START_PAGE_URL=about:blank
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

Сделайте дополнительный лог как написано здесь.

[PavelA]

Сделал.

Логи-то нам нужны в нормальном режиме.
Сорри, что не дописал в предыд. сообщении.

[AriaL]

Сделал.
А не запускается компьютер в нормальном режиме... Хотя ща, после фикса в HiJack попробую запустить. До этого не получалось, я ж писал уже.

[Макcим]

В логе не видно ни чего плохо. Нужно проверить создаются ли дампы после перезагрузки или включить загрузку с протоколированием и посмотреть где происходит сбой.

[PavelA]

Надо еще разок деактивизировать драйвер AVZPM.
Может мешать загрузке.

[AriaL]

PavelA - перезагрузка после http://virusinfo.info/showpost.php?p=121286&postcount=4 эффекта не дает, нормальный режим не запускается.
Maxim - что за загрузка с протоколированием, где потом смотреть эти протоколы и где смотреть дампы?

[Макcим]

Попросите кого-нибудь другого рассказать. У меня терпения не хватит

[PavelA]

Можно попробовать Bootvis от microsoft.

Мне не нравиться в протоколе застрявший драйвер от AVZ.
По идее скрипт должен был это дело поправить. Ай-Ай, ступил.
Вот правленный скрипт:

Код:

begin
 SetAvzPMstatus(false);
 ExecuteStdScr(6);
end.

после него попробовать загрузку в норм. режиме.

[AriaL]

И все равно ничего
полез за Bootvis

Добавлено через 6 часов 33 минуты
Тэк-с...
1) есть по F8 режим запуска с отладкой. Вопрос-куда он пишет результаты отладки? Пытался смотреть по дате изменения, но что-то там немало файлов...
2) Если я правильно понимаю, BootVis трассировку заканчивает после загрузки системы, а загрузка происходит только в safemode. А зачем мне трассировка загрузки safemode...
3) Еще обнаружилось - на проблемном компе вылез BSoD (к сожалению, сразу нажали reset, поэтому код ошибки я не записал), после которого BIOS не смог определить оба харда (SATA). Помогло только полное выключение и последующее включение компа.
4) Идея-фикс - есть второй комп с точно такой же (ставил из одного образа) рабочей виндой. Что если с рабочего компа через LiveCD скопировать файлы на нерабочий? И какие файлы надо копировать?

[pig]

А может, там дефектный сектор образовался?

минут 10 висит заставка запуска Windows XP (при этом комп активно обращается к харду)

По проявлениям похоже. В системном журнале после неудачной попытки загрузки ничего про ошибку диска нет?

[AriaL]

Есть следующее:

Тип события: Ошибка
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7026
Дата: 10.07.2007
Время: 21:20:04
Пользователь: Н/Д
Компьютер: ARIAL
Описание:
Сбой при загрузке драйвера(ов) перезагрузки или запуска системы:
asuskbnt
Fips
oreans32
Processor

(кстати, oreans32 случайно не руткит?)

и было еще:

Тип события: Ошибка
Источник события: sfsync02
Категория события: Отсутствует
Код события: 12
Дата: 10.07.2007
Время: 20:33:25
Пользователь: Н/Д
Компьютер: ARIAL
Описание:
Не найдено описание для события с кодом ( 12 ) в источнике ( sfsync02 ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. Попробуйте использовать ключ /AUXSOURCE= для получения этого описания, - дополнительные сведения об этом содержатся в справке. В записи события содержится следующая информация: .

но sfsync02 я удалил с помощью sfdrvrem, и эта ошибка больше не вылезает.

Касаемо загрузки с отладкой. Действия были следующие:
1) удалил файл %systemroot%\ntbtlog.txt
2) во время загрузки указал "режим отладки"
3) дождался, пока загрузка дойдет до черного экрана
4) перезагрузился через reset
5) загрузился в safemode и просмотрел полученный лог - %systemroot%\ntbtlog.txt
Все правильно?
Только я там мало что понял в этом логе... прикреплять его?

[Макcим]

Прикрепите, но только предварительно заархивируйте.

[AriaL]

Пароль: log

[Макcим]

Сделайте пожалуйста ещё лог GSI.

[AriaL]

Итак, новости.
Запустил chkdsk c:, который мне выдал, что присутствуют файловые ошибки, которые надо устранить повторным запуском с ключом /F. При повторном запуске винда сказала, что нужен монопольный доступ к диску и что при перезагрузке она проверит диск. Перезагружаю комп, выбираю safemode, винда мне показывает список загружаемых драйверов (ну как обычно), потом черный экран и активное обращение к харду, потом она сама перезагружает комп, я не успеваю нажать F8, винда запускается в обычном режиме!! Потом я перезагружаю комп, и все возвращается обратно.
Логи GSI делал из safemode, потом опять проделал chkdsk c: и сейчас пишу из нормального режима. Но подозрение, что после перезагрузки опять все вернется.
ЗЫ: при проверке диска программа не обнаружила плохих секторов.
Пароль на архив лога: log