Антивирусы говорят чисто, но комп постепенно умирает

[Step_BY]

Добрый день уважаемые хелперы. Одолели вирусы или скорее всего зловреды, так как антивирусы ничего не находят. Курейт в безопасном нашел только то что лежало в карантине от моего основного антивируса Symantec Antivirus CE. Восстановление системы отключено. Частенько при загрузке выбивает бсод с кодом с0000218. Тестил веник, ошибок не обнаружено - скорее всего зловреды повредили реестр. Загрузится невозможно, пока не зайду в сейфмоде и не назначу проверку системы на ошибки. При последующем запуске в обычном режиме благополучно запускается ось, даже при отмене проверки. Пару раз наблюдалась ошибка на экране приветсвия, что типа "не удалось запустить профиль пользователя... поэтому будет использоваться стандартный". На этом месте висит намертво. Также были такие глюки, частичное пропадание окон винды и смена разрешения экрана с установкой 4 бит. Вот логи:

[Никита Соловьев]

Пофиксите в hijackthis:

Код:

O20 - AppInit_DLLs: C:\WINDOWS\system32\ylvtxkd.dll

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 TerminateProcessByName('c:\windows\system32\qtplugin.exe');
 QuarantineFile('C:\WINDOWS\system32\qtplugin.exe','');
 QuarantineFile('C:\WINDOWS\system32\ylvtxkd.dll','');
 QuarantineFile('C:\Documents and Settings\LocalService\Application Data\download2\svcnost.exe','');
 DeleteFile('C:\Documents and Settings\LocalService\Application Data\download2\svcnost.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','download');
 DeleteFile('C:\WINDOWS\system32\ylvtxkd.dll');
 DeleteFile('C:\WINDOWS\system32\qtplugin.exe');
 BC_ImportDeletedList;
 ExecuteSysClean;
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

Сделайте новые логи

[Step_BY]

Доброе утро. Карантин загнал:
Файл сохранён как 100920_095242_quarantine_4c96f6aa676ce.zip
Размер файла 1337805
MD5 170edeea2c56f6cf3f8957f692099765
Вот новые логи:

[olejah]

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteRepair(1);
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Что с проблемой?

[Step_BY]

Olejah, Небольшие глюки остались... При нажатии WIN+L выдаёт какой-то Error at line 12. Ну и экран непонятный - белый какой-то стал. Хотя это началось с тех времен, когда появилась гадость на компе. Также, при выключении компьютера вместо надписи "завершение работы" выдаются квадратики.

[olejah]

Сделайте лог полного сканирования МВАМ

[Step_BY]

После выполнения скрипта, компьютер перегрузился. При запуске приложений начали выскакивать ошибки, что мол не хватает файла подкачки. Потом вообще сам перезагрузился - слетело разрешение экрана. Сейчас делаю лог MBAM

[Step_BY]

Вот лог МВАМ, всё-таки удалось загрузиться без ошибок. За исключением того, что антивирус не захотел работать с включенной автоматической защитой. Буду сносить его и ставить заново, может поможет. Выкладываю ещё картинку перед выключением компа - Вместо записи завершение работы выдаёт квадратики

[Step_BY]

Прошу прощения, если есть рекомендации, буду признателен за совет

[olejah]

Удалите в МВАМ -

Код:

Зараженные параметры в реестре:
HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\idln2 (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\registrymonitor2 (Malware.Trace) -> No action taken.

[Step_BY]

Не дождался, снес винду. Поставил чистую, как только ставлю антивирус-сервер Symantec Antivirus Corporate Edition начинаются глюки. Сделаю всё заново и сброшу логи позже

[Step_BY]

Сегодня ещё раз поставил всё с нуля с максимальным соблюдением безопасности.
Прогнал курейтом, - чисто.
Сделал логи заново. Прошу посмотреть.

[olejah]

Не вижу подозрительного.

[Step_BY]

Вот после этого поставил Symantec System Console - это консоль управления сервером и клиентами к антиврусу Symantec. После установки он просит перегрузиться. И после перезагрузки вылетает ошибка "Не удалось загрузить профиль пользователя...". В безопасном всё нормально грузится.
Вернул образ до установки консоли - буду химичить дальше.

Добавлено через 37 минут

После возврата ОС из образа решил поставить сразу консоль. Поставил - перегрезился - всё ОК. Ещё раз перегрузился - всё ОК. Поставаил Антивирус-сервер и обновился с интернета - перегрузился - всё ОК. Ещё раз перегрузился - на экране приветсвия ошибка "userinit.exe - ошибка приложения. Ошибка при инициализации приложения 0хС000012d. Для выхода из приложения нажмите кнопку ОК". После нажатия висит голый рабочий стол. Если это не действия вирусов, то что - не могу понять. Ведь такие операции проделывал уже не один раз на этом компьютере. Вдобавок на нескольких других компьютерах происходят похожие ситуации, за исключением того что на них устанавливается антивирус клиент и привязывается к серверной рабочей группе. После перезагрузки либо "ошибка загрузки профиля...", либо загрузка, но с низким разрешением и невозможностью запустить ни одного приложения - тоже выскакивают различные ошибки.

[Никита Соловьев]

И всё появляется после установки Symantec?

[Step_BY]

И всё появляется после установки Symantec?

Именно так. Пока что только эту закономерность заметил. В данный момент ещё тестирую различными способами

[Никита Соловьев]

Если это так Вам нужно в тех. поддержку Symantec обратиться

[Step_BY]

Если это так Вам нужно в тех. поддержку Symantec обратиться

Я бы так и сделал, если бы не одно НО. На другом антивирус-сервере я специально снёс и консоль и серверную часть, предварительно сделав образ ОС. Снова установил и обновился. Всё работает как часы. На этом компьютере, с которым сейчас происходят проблемы я тоже не 1 раз устанавливал консоль и сервер. Всё работало... Всё-таки, думаю, сидит какая-то гадость. Пробую идти методом от противного. В других ветках выкладываю логи с компьютеров-клиентов, на которых возникает аналогичная проблема при установке антивируса и привязке к серверу. Если удастся их вылечить, то может быть решится проблема и с сервером...

[Step_BY]

Вернул образ до установки антивируса и подключения к сети. Попробовал установить вместо антивирус-сервера клиент и присоединить его к другому рабочему серверу. Всё получилось.
Снёс клиента, поставил сервер. После перезагрузки цвет 4 бит. Пробую логиниться. Выдает сообщение "Не удалось загрузить профиль пользователя..." ни под одной учетной записью

Мысли кончились

Добавлено через 4 часа 35 минут

Проблему поборол всё-таки.
Лечится так:

HKEY_LOCAL_MACHINE - SYSTEM - CurrentControlSet - Control - Session Manager - Memory Management
параметр PagedPoolSize - поставил значение ffffffff вместо 0
Создал новый параметр DWORD PoolUsageMaximum со значением 00000028
Перегрузился и получил счастье.
Всё корректно встало и консоль и сервер

Всем спасибо - тему можно закрывать

[Step_BY]

После выполнения скрипта, компьютер завис в режиме перезагрузки -- пришлось помочь. Вот новые логи и карантин.