Синий экран ругается на KL1.sys

Printable View

11.07.2009, 12:49
vguzman65

Вложений: 3

Синий экран ругается на KL1.sys

При загрузке компьютера возникает синий экран с руганью на KL1.sys. Переименовал kl1.sys - комп грузится, но не запускается KIS2009 ( ни автозагрузке, ни в ручную ). Программа cureit и virus removal tool вирусов не нашли
11.07.2009, 13:22
Aleksandra

Выполните скрипт:

[CODE]begin
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]Повторите лог [B]virusinfo_syscheck.[/B]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=vguzman65;430300]При загрузке компьютера возникает синий экран с руганью на KL1.sys. Переименовал kl1.sys - комп грузится, но не запускается KIS2009 ( ни автозагрузке, ни в ручную ).[/QUOTE]
Это драйвер от Касперского, а проблема из-за вируса.
11.07.2009, 13:34
vguzman65

Вложений: 1

Да вот он
11.07.2009, 13:53
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\tempo-8576000.tmp','');
QuarantineFile('\systemroot\system32\drivers\MSIVXnodjbpjewnmylltepdjoyqcdulvnxvvr.sys','');
DeleteFile('\systemroot\system32\drivers\MSIVXnodjbpjewnmylltepdjoyqcdulvnxvvr.sys');
DeleteFile('C:\WINDOWS\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job');
DeleteFile('C:\WINDOWS\TEMP\*.*');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=49767[/url]

3. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]

[QUOTE]O17 - HKLM\System\CCS\Services\Tcpip\..\{A0E50F24-53C3-44B3-AD94-FAB93447F662}: NameServer = 85.255.115.91,85.255.112.6
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5B85BD9-6B0B-4F56-B71D-B248B0B81EFE}: NameServer = 85.255.115.91,85.255.112.6
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.72,85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.72,85.255.112.151[/QUOTE]

4. Повторите логи.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Скачайте [URL="http://www.gmer.net/gmer.zip"]Gmer.[/URL] Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
11.07.2009, 14:30
vguzman65

Вложений: 3

В карантине ничего нет. Новые логи высылаю
11.07.2009, 14:39
vguzman65

извините про gmer сразу не заметил - сейчас делаю
11.07.2009, 14:49
Aleksandra

В логах чисто.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE]>>> Подозрение на маскировку ключа реестра службы\драйвера "MSIVXserv.sys"[/QUOTE]
Это добьем с помощью Gmer. Я жду Ваш лог.
12.07.2009, 21:44
vguzman65

Вложений: 1

извините за задержку, высылаю gmer.log
12.07.2009, 21:50
thyrex

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[code]gmer.exe -del service MSIVXserv.sys
gmer.exe -del file "C:\WINDOWS\system32\drivers\MSIVXnodjbpjewnmylltepdjoyqcdulvnxvvr.sys"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXjxbrrpdpkmsqrdhabiwepgmwuayspivv.dll"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXlqevkwjgyfhkwahpankvxiwqyhtvlbrk.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\MSIVXserv.sys"
gmer.exe -reboot[/code]И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer
12.07.2009, 22:02
vguzman65

Вложений: 1

Выдалось следующее, что лежит файле
12.07.2009, 22:17
thyrex

На некоторые ошибки внимания обращать не стоит.
Если скрипт выполнили, делайте повторный лог
13.07.2009, 01:32
vguzman65

Вложений: 1

Высылаю лог gmer
13.07.2009, 01:39
Aleksandra

Ничего зловредного в логах нет. Что с проблемой?
13.07.2009, 02:37
vguzman65

KIS2009 вроде запускается, но при попытке переименовать обратно kl11.sys в родное имя kl1.sys выдается сообщение : диск может быть переполнен или защищен, либо файл занят другим приложением.Переменование в любое другое имя проходит.Файла KL1.sys в данной папке нет

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Может переустановить KIS

[size="1"][color="#666686"][B][I]Добавлено через 18 минут[/I][/B][/color][/size]

Переустановил Касперского. Вроде все впорядке. Спасибо за помощь
14.07.2009, 02:37
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]