BSOD при старте системы

Лайв_СД Касперского удавил кучу троянцев и руткит.
Затем прогнал в [B]Безопасном Режиме[/B] утилитой ДрВеб

Вот, что нашел

[QUOTE]CsimPlayer.exe C:\WINDOWS\system32 Trojan.Packed.780 Удален.
imPlayok.exe C:\WINDOWS\system32 Trojan.Siggen.41497 Удален.
PKey.exe C:\WINDOWS\system32 Tool.ProductKey.2
1060244894exe C:\WINDOWS\temp Trojan.Inject.7662 Удален.
1084270059exe C:\WINDOWS\temp Trojan.Inject.7662 Удален.
1126789303exe C:\WINDOWS\temp Trojan.Inject.7662 Удален.
122665635exe C:\WINDOWS\temp Trojan.Inject.7662 Удален.
1611535976exe C:\WINDOWS\temp Trojan.Inject.7662 Удален.
1676343103exe C:\WINDOWS\temp Trojan.Inject.7662 Удален.
1794233456exe C:\WINDOWS\temp Trojan.Inject.7662 Удален.
1900702955exe C:\WINDOWS\temp Trojan.Inject.7662 Удален.
235378823exe C:\WINDOWS\temp Trojan.Inject.7662 Удален.
348489593exe C:\WINDOWS\temp Trojan.Inject.7662 Удален.
557460698exe C:\WINDOWS\temp Trojan.Inject.7662 Удален.
69677732exe.e C:\WINDOWS\temp Trojan.Inject.7662 Удален.
794219060exe C:\WINDOWS\temp Trojan.Inject.7662 Удален.
840459529exe C:\WINDOWS\temp Trojan.Inject.7662 Удален.
924287865exe C:\WINDOWS\temp Trojan.Inject.7662 Удален.
924914644exe C:\WINDOWS\temp Trojan.Inject.7662 Удален.
944796437exe C:\WINDOWS\temp Trojan.Inject.7662 Удален.
buti.exe C:\ Trojan.Siggen.41497 Удален.
motioh.exe C:\ Trojan.Packed.780 Удален.
csimplayer.exe c:\documents and settings\друг Trojan.Packed.780 Удален.
implayok.exe c:\documents and settings\друг Trojan.Siggen.41497 Удален.

n22[1].exe C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\1QVW8CEN Trojan.Inject.7662 Удален.
svvchhst[1].exe C:\Documents and Settings\Друг\Local Settings\Temporary Internet Files\Content.IE5\QYWLG112 Trojan.Packed.780 Удален.
loader[1].exe C:\Documents and Settings\Друг\Local Settings\Temporary Internet Files\Content.IE5\R13TY3VJ Trojan.Siggen.41497 Удален.
[/QUOTE]

Проблемы есть. На диске D не дал запустить [B]HijackThis[/B] объявил, что в доступе отказагно (к папке, диску, либо к файлу)

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Autorun.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\cdrom.sys','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\wind7upd.exe','');
DeleteFile('C:\WINDOWS\wind7upd.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\Autorun.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]

[QUOTE=thyrex;552033]Выполните скрипт в AVZ


Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR=red][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL][/QUOTE]
[URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL] объявил , что найдены Руткиты после завершения работы [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL] перестала работать языковая панель, точнее не менялась раскладка, перезагрузился, заработала.

Сохраните текст ниже как cleanup.bat в ту же папку, где находится 0ty0ec96.exe (gmer)
[CODE]0ty0ec96.exe -del service tjwawy
0ty0ec96.exe -del file "C:\WINDOWS\system32\zuxke.dll"
0ty0ec96.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\tjwawy"
0ty0ec96.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tjwawy"
0ty0ec96.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\tjwawy"
0ty0ec96.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.

C:\WINDOWS\system32\DRIVERS\cdrom.sys запакуйте с паролем virus и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[QUOTE=thyrex;552083]

Сделать новый лог gmer.

C:\WINDOWS\system32\DRIVERS\cdrom.sys запакуйте с паролем virus и пришлите по красной ссылке [COLOR=red][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы[/QUOTE]
[B]cdrom.sys[/B] в папке C:\WINDOWS\system32\DRIVERS нет.

[QUOTE=tigr62;552105][B]cdrom.sys[/B] в папке C:\WINDOWS\system32\DRIVERS нет.[/QUOTE]
В остальных логах чисто? Не нравится мне папка [B]distr [/B]на диске [B]D:[/B] Создал её для того, чтобы загрузить туда папку с [B]AVZ[/B],
названия папок отображаются в проводнике [COLOR=Blue]синими[/COLOR] буквами и только папка [B]distr [/B]черным. В эту папку невозможно иногда скопировать файл - "нет доступа".

Проверьтесь этой утилитой [url]http://support.kaspersky.ru/viruses/solutions?qid=208636926[/url]
Загрузитесь с LiveCD, файл C:\WINDOWS\System32\Drivers\atapi.sys скопируйте куда нибудь с именем temp.111 Далее замените C:\WINDOWS\System32\Drivers\atapi.sys и C:\WINDOWS\system32\dllcache\atapi.sys
на чистый из дистрибутива Windows.
[url]http://virusinfo.info/showthread.php?t=51654[/url]
Файл temp.111 заархивируйте в zip с паролем virus и пришлите по правилам (загружать по красной ссылке вверху темы)
Повторите лог gmer.

[QUOTE=миднайт;552782]Проверьтесь этой утилитой [URL]http://support.kaspersky.ru/viruses/solutions?qid=208636926[/URL]
Загрузитесь с LiveCD, файл C:\WINDOWS\System32\Drivers\atapi.sys скопируйте куда нибудь с именем temp.111 Далее замените C:\WINDOWS\System32\Drivers\atapi.sys и C:\WINDOWS\system32\dllcache\atapi.sys
на чистый из дистрибутива Windows.
[URL]http://virusinfo.info/showthread.php?t=51654[/URL]
Файл temp.111 заархивируйте в zip с паролем virus и пришлите по правилам (загружать по красной ссылке вверху темы)
Повторите лог gmer.[/QUOTE]Файл отправил, только боюсь, что он без пароля. Паковал с парлем, но видимо Rar кривой.

СDRom не работает

[QUOTE=tigr62;552806].

[B]СDRom [/B]не работает[/QUOTE]
Восстановил из дистрибутива [B]cdrom.sys[/B] всё заработало.

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 12 минут[/I][/B][/color][/size]

[QUOTE=tigr62;553005]Восстановил из дистрибутива [B]cdrom.sys[/B] всё заработало.[/QUOTE]
При перезагрузки компа, вылетает ошибка [URL="http://virusinfo.info/showthread.php?t=65893"]svchost[/URL]. Периодически во время перезагрузки BSOD - The [I]problem seems to be caused by the following file[/I]: [B]smwdm.sys[/B]

[size="1"][color="#666686"][B][I]Добавлено через 59 минут[/I][/B][/color][/size]

[QUOTE=tigr62;553005]Восстановил из дистрибутива [B]cdrom.sys[/B] всё заработало.

[SIZE=1][COLOR=#666686][B][/B][/COLOR][/SIZE]
При перезагрузки компа, вылетает ошибка [URL="http://virusinfo.info/showthread.php?t=65893"]svchost[/URL]. Периодически во время перезагрузки BSOD - The [I]problem seems to be caused by the following file[/I]: [B]smwdm.sys[/B][/QUOTE]

BSOD при перезагрузке вылетает постоянно, если перед этим дать системе загрузиться полностью. Т.е. вылетает ошибка [URL="http://virusinfo.info/showthread.php?t=65893"]svchost[/URL].и затем BSOD/ - The [I]problem seems to be caused by the following file[/I]: [B]smwdm.sys[/B].

Сейчас попробую переместить [B]cdrom.sys. [/B]

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

[QUOTE=tigr62;553005]

Сейчас попробую переместить [B]cdrom.sys. [/B][/QUOTE]
Удаление [B]cdrom.sys[/B] ничего не дало. Комп при перезагрузке вываливается в BSOD The [I]problem seems to be caused by the following file[/I]: [B]smwdm.sys[/B]

[size="1"][color="#666686"][B][I]Добавлено через 47 минут[/I][/B][/color][/size]

Запаковал таки файлы [B]cdrom.sys[/B] и temp.111 с паролем и отправил. Кстати, [B]cdrom.sys[/B] теперь восстанавливается сам, я его пытался удалить, он восстанавливается.

может еще отправить smwdm.sys из-за которого BSOD?

[QUOTE='tigr62;553005']может еще отправить smwdm.sys из-за которого BSOD?[/QUOTE]Отправьте

[QUOTE=thyrex;553211]Отправьте[/QUOTE]
Отправил

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 18 минут[/I][/B][/color][/size]

Может попытаться поставить KAV-2010 и проверить им?

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 45 минут[/I][/B][/color][/size]

[QUOTE=tigr62;553214]Отправил

[SIZE=1][COLOR=#666686][B][I]Добавлено через 3 часа 18 минут[/I][/B][/COLOR][/SIZE]

Может попытаться поставить KAV-2010 и проверить им?[/QUOTE]

Установка пробной версии KIS2010 [url]http://www.kaspersky.ru/trials?chapter=186545270[/url] и проверка ничего не дала. Однако BSOD нет уже четыре перезагрузки подряд.

smwdm.sys чист.
Выполните в AVZ скрипт из файла [url=http://df.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите к этой теме файл avz_log.txt из под-папки [b]log[/b].

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]