ошибка при обмене данными с ядром

[Сергей П.]

Здравствуйте!
Был установлен антивирус 360TotalSecurity (при этом ранее установленный NOD32 не был отключен).
Теперь выскакивает ошибка "ошибка при обмене данными с ядром". При этом NOD32 больше не включается (и после удаления 360TotalSecurity тоже). Также ограничен функционал некоторых сайтов (например нельзя купить билеты на сайте РЖД). В попытках исправить положение я удалил обновление безопасности Windows 7 KB2859537
В настоящее время установлен только NOD32, ошибка "ошибка при обмене данными с ядром" сохраняется, NOD32 не запускается

[Info_bot]

Уважаемый(ая) Сергей П., спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 TerminateProcessByName('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.579\baiduprotect.exe');
 StopService('BDSafeBrowser');
 StopService('BDMWrench');
 StopService('BDArKit');
 StopService('bd0004');
 StopService('bd0001');
 QuarantineFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\BDMWrench.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\BDArKit.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\bd0004.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\bd0001.sys','');
 QuarantineFile('C:\Users\Евгений\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
 QuarantineFile('C:\Windows\system32\kbdmai.dll','');
 QuarantineFile('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.579\baiduprotect.exe','');
 DeleteFile('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.579\baiduprotect.exe','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\7z.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\ad.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\BDKitUtils.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\BDLogicUtils.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\BDMNet.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\BDMReport.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\bdsg0001.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\DriverManager.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\dynplugins\AssistReportPlugin.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\plugins\BaiduRepair.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\plugins\HIPS.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\SafeBrowserDll.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\SafeExplorer.dll','32');
 DeleteFile('C:\Users\Евгений\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Safebrowser','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys','32');
 DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32');
 DeleteService('bd0002');
 DeleteService('BAPIDRV');
 DeleteService('BDSafeBrowser');
 DeleteService('BDMWrench');
 DeleteService('BDArKit');
 DeleteService('bd0004');
 DeleteService('bd0001');
BC_ImportDeletedList;
ExecuteSysClean;
 ExecuteWizard('TSW',3,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[Сергей П.]

Результат загрузки
Файл сохранён как 141020_181940_quarantine_5445523c3cd5f.zip
Размер файла 1376082
MD5 43ad34f5cd2c0ca7b272ef8938aa6985
Файл закачан, спасибо!)
Добавить образ автозагрузки не смог, размер архива 601 Кб, не принимается к загрузке

- - - - -Добавлено - - - - -

Образ выслал по ссылке вверху темы "Прислать запрошенный карантин"

[Vvvyg]

Образ выслал по ссылке вверху темы "Прислать запрошенный карантин"

Робот, обрабатывающий карантин, видимо, в шоке Лучше было удалить старые вложения, либо загрузить на rghost.ru и дать ссылку в теме.

Деинсталлируйте программы:

Weatherbar
McAfee Security Scan Plus

Загрузите систему в безопасном режиме с поддержкой сети.

Скопируйте скрипт из окна "код" ниже в буфер обмена:

Код:

;uVS v3.84 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v384c
; C:\WINDOWS\SYSTEM32\D3DADAPTER.DLL
addsgn 79132211B9E9317E0AA1AB59D1A91205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5780BD997C5EDA98D1289BFF168B2EF2F3D77D1372F377A73 64 Malware.QVM30.Gen [Qihoo-360]

delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.579\BAIDUPROTECT.EXE
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.579\DRIVERS\BD0001.SYS
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.579\DRIVERS\BD0004.SYS
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\107\BDCOMPROXY.DLL
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.579\DRIVERS\BDARKIT.SYS
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\107\BDDOWNLOADER.EXE
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.579\BDMDOWNLOAD.DLL
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.579\DRIVERS\BDMWRENCH.SYS
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.579\DRIVERS\BDSAFEBROWSER.SYS
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.579\BDSGBUGRPT.EXE
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\107\DL.DLL
deldir %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU
regt 28
delref %SystemDrive%\CHROME.BAT
del %SystemDrive%\CHROME.BAT
del %SystemDrive%\OPERA.BAT
delall %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\VNT\VNTLDR.EXE
deldir %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\VNT

chklst
delvir

delall %Sys32%\KBDMAI.DLL
delref %Sys32%\DRIVERS\BD0001.SYS
delref %Sys32%\DRIVERS\BD0002.SYS
delref %Sys32%\DRIVERS\BD0004.SYS
delref %Sys32%\DRIVERS\BDARKIT.SYS
delref %Sys32%\DRIVERS\BDMWRENCH.SYS
delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
delref %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
delref %SystemDrive%\PROGRAMDATA\KBROWSER UTILITY\KBROWSER-UPDATER-UTILITY.EXE
delref HTTP://SOFT0.0FEES.NET
delref HTTP://SOFT0.0FEES.NET/
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=92D0EBE4BFDA848926092F7AE33082CB&TEXT={SEARCHTERMS}
deltmp
restart

Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Компьютер перезагрузится.

Сделайте полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.

[Сергей П.]

а скажите, пож, как найти Weatherbar Ну, нигде не вижу!

о-о-о, нашел в типа пустой папке tooldev342 в программ файлс (а поисками стандартными не искалось)

[Vvvyg]

а скажите, пож, как найти Weatherbar Ну, нигде не вижу!

Имелось ввиду деинсталлировать штатно, через панель управления, как все прочие программы.

[Сергей П.]

у меня теперь недозагружается все: панель задач и окна белесые, сайты без прорисовки, основной фон белый, все квадратное

Образ http://rghost.ru/58635408

[Vvvyg]

Очистите кэш и cookies-файлы браузеров.

Скрипт выполняли в безопасном режиме? Через script.cmd? Это важно.

Weatherbar как удаляли, просто папку снесли?

Выполните скрипт в uVS:

Код:

;uVS v3.84 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v384c
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.579\BAIDUPROTECT.EXE
delall %SystemDrive%\PROGRAM FILES\DEALPLYLIVE\UPDATE\1.3.23.0\NPGOOGLEUPDATE3.DLL
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=92D0EBE4BFDA848926092F7AE33082CB&TEXT={SEARCHTERMS}
delref HTTP://SOFT0.0FEES.NET
delref HTTP://SOFT0.0FEES.NET/
delref %Sys32%\DRIVERS\BD0001.SYS
delref %Sys32%\DRIVERS\BD0002.SYS
delref %Sys32%\DRIVERS\BD0004.SYS
delref %Sys32%\DRIVERS\BDARKIT.SYS
delref %Sys32%\DRIVERS\BDMWRENCH.SYS
delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
delref %SystemDrive%\PROGRAM FILES\TOOLDEV342\WEATHERBAR\TRACERSTOOLBARBHO_X86.DLL
restart

Компьютер перезагрузится.

[Сергей П.]

Скрипт выполняли в безопасном режиме? Через script.cmd? Это важно.
- ДА, в безопасном, через него
Weatherbar как удаляли, просто папку снесли?
- Удалил через удаление программ, а папку, в которой он был удали унлокером
До выполнения скрипта возникла проблема "белого экрана", я сначала в безопасном зашел, потом сразу вышел, так-как возникла необходимость срочно обратиться к сайту (моему сайту), после этого и началось...
Выполнил последний скрипт, ничего не изменилось, высылаю скриншоты http://rghost.ru/58643848

[Vvvyg]

Точки восстановления системы, созданные до появления "белого экрана" есть?

[Сергей П.]

Точки восстановления системы, созданные до появления "белого экрана" есть?

как раз перед удалением Weatherbar, систему восстановил по этой точке, белая дрянь исчезла, а Weatherbar теперь опять есть, как поступить?

[Vvvyg]

Удалите Weatherbar.
Если всё ок, создайте точку восстановления и примените ESETUninstaller, Nod32 в нерабочем состоянии, могут быть из-за него проблемы.

Потом делайте новый полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.

[Сергей П.]

Выполнил, что обнаружил:
1. Eset стандартными методами не удалялся и не восстанавливался
2. "Белый" экран возникает при переходе в безопасный режим и сохраняется при обычной загрузке, не смотря на наличие или отсутствие Eset
http://rghost.ru/58648812
http://rghost.ru/58648961

[Vvvyg]

Выполните через Script.cmd такой скрипт:

Код:

;uVS v3.84.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v384c
;------------------------autoscript---------------------------

sreg

delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.579\BAIDUPROTECT.EXE
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.579\BAIDUPROTECT.EXE

delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\107\BDCOMPROXY.DLL
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\107\BDCOMPROXY.DLL

delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\107\BDDOWNLOADER.EXE
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\107\BDDOWNLOADER.EXE

delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.579\DRIVERS\BDSAFEBROWSER.SYS
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.579\DRIVERS\BDSAFEBROWSER.SYS

delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.579\DRIVERS\BD0004.SYS
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.579\DRIVERS\BD0004.SYS

delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.579\DRIVERS\BDMWRENCH.SYS
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.579\DRIVERS\BDMWRENCH.SYS

delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.579\DRIVERS\BD0001.SYS
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.579\DRIVERS\BD0001.SYS

delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.579\DRIVERS\BDARKIT.SYS
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.579\DRIVERS\BDARKIT.SYS

delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\107\DL.DLL
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\107\DL.DLL

delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.579\BDMDOWNLOAD.DLL
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.579\BDMDOWNLOAD.DLL

delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.579\BDSGBUGRPT.EXE
deldir %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU

delref %Sys32%\DRIVERS\BD0001.SYS
delref %Sys32%\DRIVERS\BD0002.SYS
delref %Sys32%\DRIVERS\BD0004.SYS
delref %Sys32%\DRIVERS\BDARKIT.SYS
delref %Sys32%\DRIVERS\BDMWRENCH.SYS
delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS

delref %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE

delref %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\VNT\VNTLDR.EXE
del %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\VNT\VNTLDR.EXE
deldir %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\VNT

delref %SystemDrive%\PROGRAM FILES\DEALPLYLIVE\UPDATE\1.3.23.0\NPGOOGLEUPDATE3.DLL
delref %SystemDrive%\PROGRAM FILES\TOOLDEV342\WEATHERBAR\TRACERSTOOLBARBHO_X86.DLL
delref %SystemDrive%\PROGRAMDATA\KBROWSER UTILITY\KBROWSER-UPDATER-UTILITY.EXE
delref HTTP://SOFT0.0FEES.NET
delref HTTP://SOFT0.0FEES.NET/
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=92D0EBE4BFDA848926092F7AE33082CB&TEXT={SEARCHTERMS}

regt 28
regt 29
del %SystemDrive%\UNINSTALL.BAT
del %SystemDrive%\CHROME.BAT

deltmp

areg
;-------------------------------------------------------------

После перезагрузки - новый образ.

[Сергей П.]

я плачу, все вкладки в мозилле потерял...не пускают в ргхост "Имеется информация, что эта веб-страница атакует компьютеры!"
высылаю образ по ссылке наверху

[Vvvyg]

Ну не надо в карантин логи слать, не предназначен он для этого...
Скрипт не трогал закладки никоим образом
Откат их возвращает?

[Сергей П.]

Откат их возвращает?

Вернул вторым откатом на состояние до удаления Weatherbar
Как я понял, вируса у меня нет, есть глюкнутый, не удаляющийся NOD32 (предполагаю, что NOD32 был убит 360TotalSecurity). При загрузке в безопасном режиме появляется глюк, связанный с нарушением отображения страниц (пропадает часть кода). Eset удалять из безопасного режима нельзя, в обычном режиме он не удаляется, но так как вирусов нет, то видимо вы мне помочь не сможете?

[Vvvyg]

Давайте удалим из обычного, делайте образ автозапуска. Но есть ощущение, что система глючная, чуть тронешь, то одно, то другое вылазит.

[Сергей П.]

Давайте удалим из обычного, делайте образ автозапуска. Но есть ощущение, что система глючная, чуть тронешь, то одно, то другое вылазит.

Система была стабильна до моего обращения (установлена при покупке ноутбука, как я понимаю - лицензия) Я грешу на маленького сына, который поднимал-опускал крышку, тем активируя и выключая систему, еще он подходил к включенному ноуту и так тарабанил по клавиатуре, что запускал функции мне неизвестные (или я не знал, как их запустить), ну или связка NOD+360TotalSecurity систему убила (хотел познакомиться с 360TotalSecurity, а NOD не отключил)
http://rghost.ru/58656409

- - - - -Добавлено - - - - -

испытываю затруднения при отправке сообщений, они не отправляются, пока не открою новую вкладку и
не зайду в тему