41 ответов в этой теме

[Megamuzzy]

Товарищ принес ноутбук:

При входе в систему получаем BSOD сразу после ввода пароля.
При попытке загрузится в безопасном режиме также BSOD.

Загрузится удается только если в меню F8 выбрать <Загрузка последней удачной конфигурации>. Но после перезагрузки опять имеем BSOD.

Во вложении логи CureIt, HJ, RKU

Посмотрите, пож-та

Прикрепленные файлы:

•  logs.rar   74,8К   43 Скачано раз

[YVS]

А у Вас NOD с Symantec не дерутся?

[mrbelyash]

А это что?

...

O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" O1 - Hosts: "http://www.w3.org/TR/html4/loose.dtd"> O1 - Hosts: <html> O1 - Hosts: <head> O1 - Hosts: <script LANGUAGE="JavaScript"> O1 - Hosts: O1 - Hosts: </script> O1 - Hosts: <title>Site Unavailable</title> O1 - Hosts: <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"> O1 - Hosts: <style type="text/css"> O1 - Hosts: body{text-align:center;} O1 - Hosts: .geohead {font-family:Verdana, Arial, Helvetica, sans-serif; font-size:10px;width:750px;margin:10px 0 10px 0;height:35px;} O1 - Hosts: .geohead #geologo {width:270px;display:block; float:left; } O1 - Hosts: .geohead #rightside {width:480px;display:block; float:right;border-bottom:1px solid #999999; height:27px;} O1 - Hosts: .geohead #rightside #welcome {width:50%;display:block; float:left; text-align:left;} O1 - Hosts: .geohead #rightside #wlinks {width:50%;display:block; float:right; text-align:right;} O1 - Hosts: .ftr { margin:0px; color:#404040; font:x-small Arial,sans-serif; text-align:center; width:750px;} O1 - Hosts: .bodywrap{display:block;height:470px;} O1 - Hosts: .bodycnt{width:510px; display:block; float:left; background-color:#EEE9F5; height:auto; text-align:left; font-family:Arial, Helvetica, sans-serif;font-size:13px; color:#000000; padding:20px 20px 35px 20px;} O1 - Hosts: .title { font-family:Arial, Helvetica, sans-serif; font-weight:bold; font-size:24px; color:#7C56A9} O1 - Hosts: .adcnt{width:172px; display:block; float:right; text-align:left;cursor:pointer;cursor:hand;} O1 - Hosts: .adcnt td {text-align:left;} O1 - Hosts: .adsubt{font-size:10px; font-family:verdana; font-weight:bold; color:#b4b4b4; cursor:default;margin-top:5px;} O1 - Hosts: .ybadge { font-family: Verdana, Arial, Helvetica, sans-serif; font-size:10px; color: #666666; margin-top:10px;} O1 - Hosts: .ybadge img {margin-top:6px;} O1 - Hosts: .adtable {font-family:Verdana, Arial, Helvetica, sans-serif; font-size:10px;border: 1px solid #d6dbe7; background-color:#eff7ff; padding:3px; margin-bottom:10px; width:172px;} O1 - Hosts: .adttl{font-weight:bold;margin-bottom:3px;} O1 - Hosts: .addescr{color:#6b6b6b; margin-bottom:3px;} O1 - Hosts: .adlink a {color:#008200; text-decoration:none;} O1 - Hosts: </style> O1 - Hosts: </head> O1 - Hosts: <body> O1 - Hosts: O1 - Hosts: O1 - Hosts: <div id="maincnt"> O1 - Hosts: <div class="geohead"><div id="geologo"><a href="http://geocities.yahoo.com"><img height=33 alt="Yahoo! GeoCities" src="http://us.i1.yimg.com/us.yimg.com/i/us/nt/ma/ma_geo_1.gif" width=259 border=0></a></div> O1 - Hosts: <div id="rightside"><div id="wlinks"><a href="http://geocities.yahoo.com">GeoCities Home</a> - <a href="http://www.yahoo.com">Yahoo!</a> - <a href="http://help.yahoo.com/help/us/geo/">Help</a></div> O1 - Hosts: </div></div> O1 - Hosts: <div class="bodywrap"> O1 - Hosts: <div class="bodycnt"> O1 - Hosts: <div class="title">Sorry, this GeoCities site is currently unavailable.</div> O1 - Hosts: <p>The GeoCities web site you were trying to view has temporarily exceeded its data transfer limit. Please try again later. </p> O1 - Hosts: <p>Are you the site owner? O1 - Hosts: Avoid service interruptions in the future by increasing your data transfer limit! O1 - Hosts: <a href="http://help.yahoo.com/help/us/geo/transfer/transfer-05.html" target="_blank">Find out how.</a> </p> O1 - Hosts: <p><a href="http://help.yahoo.com/help/us/geo/transfer/" target="_blank">Learn more about data transfer.</a></p> O1 - Hosts: </div> O1 - Hosts: <div class="adcnt"> O1 - Hosts: <a target="_top" href="http://geocities.yahoo.com"><img src="http://us.i1.yimg.com/us.yimg.com/i/us/smbiz/b/geo_mast_small2.gif" alt="Yahoo! GeoCities" border="0" height="15" hspace="0" vspace="0" width="141"></a> O1 - Hosts: <div class="adsubt">SPONSORED LINKS</div> O1 - Hosts: O1 - Hosts: <div class="adtable"> O1 - Hosts: <div class="adttl" title="Reliable plans include domain &amp; 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27166/*http://smallbusiness.yahoo.com/webhosting" target="_blank">Yahoo! Web Hosting<br> O1 - Hosts: $25 Setup Waived</a></div> O1 - Hosts: <div class="addescr" title="Reliable plans include domain &amp; 24x7 support.">Reliable plans include domain &amp; 24x7 support.</div> O1 - Hosts: <div class="adlink" title="Reliable plans include domain &amp; 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27166/*http://smallbusiness.yahoo.com/webhosting" target="_blank">webhosting.yahoo.com</a></div> O1 - Hosts: </div> O1 - Hosts: <div class="adtable"> O1 - Hosts: <div class="adttl" title="Reliable plans include domain &amp; 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27176/*http://smallbusiness.yahoo.com/domains/" target="_blank">Domain Names from Yahoo! only $9.95/yr</a></div> O1 - Hosts: <div class="addescr" title="Includes starter web page, email & domain forwarding, 24x7 support.">Includes starter web page, email & domain forwarding, 24x7 support.</div> O1 - Hosts: <div class="adlink" title="Includes starter web page, email & domain forwarding, 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27176/*http://smallbusiness.yahoo.com/domains/" target="_blank">domains.yahoo.com</a></div> O1 - Hosts: </div> O1 - Hosts: <div class="adtable"> O1 - Hosts: <div class="adttl" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27184/*http://smallbusiness.yahoo.com/mail" target="_blank">Yahoo! Business Email<br> Domain Included</a></div> O1 - Hosts: <div class="addescr" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning.">Setup fee waived. Up to 10 emails, SpamGuard, forwarding &amp; virus scanning.</div> O1 - Hosts: <div class="adlink" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27184/*http://smallbusiness.yahoo.com/mail" target="_blank">smallbusiness.yahoo.com</a></div> O1 - Hosts: </div> O1 - Hosts: <div class="adtable"> O1 - Hosts: <div class="adttl" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=/27190/*http://smallbusiness.yahoo.com/merchant" target="_blank">Ecommerce from Yahoo!<br> 1 Month Free</a></div> O1 - Hosts: <div class="addescr" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support.">$50 setup fee waived. A reliable ecommerce plan, 24x7 support.</div> O1 - Hosts: <div class="adlink" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=/27190/*http://smallbusiness.yahoo.com/merchant" target="_blank">smallbusiness.yahoo.com</a></div> O1 - Hosts: </div> O1 - Hosts: <div class="ybadge"> O1 - Hosts: Get your own web site at <br><a target="_top" href="http://geocities.yahoo.com">Yahoo! GeoCities</a> O1 - Hosts: <a href="http://smallbusiness.yahoo.com/webhosting/" target="_top"><img src="http://us.i1.yimg.com/us.yimg.com/i/us/wh/gr/badge_hostedby_purp_2.gif" alt="Hosted by Yahoo! Web Hosting" align="middle" border="0" height="31" width="88"></a> O1 - Hosts: </div> O1 - Hosts: </div> O1 - Hosts: </div> O1 - Hosts: <div class=ftr> O1 - Hosts: <hr size=1 width=100%> O1 - Hosts: Copyright &copy; O1 - Hosts: 2005 Yahoo! Inc. All rights reserved<br> O1 - Hosts: <a href="http://privacy.yahoo.com/privacy/us/geo/">Privacy Policy</a> O1 - Hosts: - <a href="http://docs.yahoo.com/info/copyright/copyright.html">Copyright Policy</a> O1 - Hosts: - <a href="http://docs.yahoo.com/info/guidelines/community.html">Guidelines</a> O1 - Hosts: - <a href="http://docs.yahoo.com/info/terms/geoterms.html">Terms of Service</a> O1 - Hosts: - <a href="http://help.yahoo.com/help/us/geo/">Help</a> O1 - Hosts: </div> O1 - Hosts: </div> O1 - Hosts: </body> O1 - Hosts: </html> O1 - Hosts: </object></layer></div></span></style></noscript></table></script></applet>

c:\windows\system32\nwprovau.dll -на вирустотал (скорей всего симантек)

Сообщение было изменено mrbelyash: 10 Август 2009 - 13:45

[Shu_B]

c:\windows\system32\nwprovau.dll -на вирустотал (скорей всего симантек)

Client Service for NetWare Provider

[mrbelyash]

Ой...торможу....Дамп приложите http://wiki.drweb.com/index.php/BSOD

[userr]

Ой...торможу....Дамп приложите http://wiki.drweb.com/index.php/BSOD

и лучше от попытки грузиться in safe mode. Но, видимо, для этого придется грузиться с liveCD

[Megamuzzy]

Ой...торможу....Дамп приложите http://wiki.drweb.com/index.php/BSOD

Вот это дамп от БСОД при входе пользователя в обычном режиме
http://files.mail.ru/LRMRSS

Сейчас попробую получить дамп в безопасном режиме...

[userr]

Megamuzzy
минидамп сюда поместите

[Megamuzzy]

Megamuzzy
минидамп сюда поместите

Минидамп при входе в систему во вложении

В безопасном режиме дамп не пишется http://forum.drweb.com/public/style_emoticons/default/unsure.png Подскажите, пож-та, как его получить

Прикрепленные файлы:

•  Mini081009_09.rar   22,54К   34 Скачано раз

[mrbelyash]

http://www.updatexp.com/0xC0000005.html

Выключение DEP не помогает?

Сообщение было изменено mrbelyash: 10 Август 2009 - 15:26

[Megamuzzy]

http://www.updatexp.com/0xC0000005.html

Выключение DEP не помогает?

Поставил /NOEXECUTE=ALWAYSOFF - без изменений

до этого было /NOEXECUTE=OPTIN

[Borka]

Минидамп при входе в систему во вложении

Интересный дамп:
STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
f88e0b7c aa165da4 f88e0b9c 0006f9f8 000003fe 0000088D+0x8d3
f88e0bd8 f8230c39 f88e0d0c f8234ba1 fe6c6670 0000088D+0xda4
f88e0be0 f8234ba1 fe6c6670 fe52bcf8 00000000 Fastfat!FatCompleteRequest_Real+0x49
f88e0bf0 f8234b35 fe52bcf8 fe6c6694 fe6c6670 Fastfat!FatQueryDirectory+0xce2
f88e0d0c f82356d5 fe6c6670 fe52bcf8 f88e0d7c Fastfat!FatQueryDirectory+0xc7b
f88e0d1c f824a8cd fe6c6670 fe52bcf8 fe6c6674 Fastfat!FatCommonDirectoryControl+0x3e
f88e0d7c 8053877d fe6c6670 00000000 82fc5020 Fastfat!FatFspDispatch+0x153
f88e0dac 805cff70 fe6c6670 00000000 00000000 nt!ExpWorkerThread+0xef
f88e0ddc 805460ee 8053868e 00000000 00000000 nt!PspSystemThreadStartup+0x34
00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16

Упал некий
kd> lmvm 0000088D
start end module name
aa165000 aa16ecce 0000088D # (no symbols)
Loaded symbol image file: 0000088D
Image path: 0000088D
Image name: 0000088D
Timestamp: Wed Mar 25 02:27:48 2009 (49C97A84)
CheckSum: 0001786C
ImageSize: 00009CCE
Translations: 0000.04b0 0000.04e0 0409.04b0 0409.04e0

[YVS]

Сделайте, пожалуйста, еще лог GMER

[mrbelyash]

Сделайте, пожалуйста, еще лог GMER

Думаете поможет? Там одни хуки Симантека и Нода будут

[YVS]

Думаете поможет? Там одни хуки Симантека и Нода будут

Зерна от плевел постараемся отделить

[userr]

Megamuzzy

Загрузится удается только если в меню F8 выбрать <Загрузка последней удачной конфигурации>.

Сделайте полную проверку диска на ошибки.
Файловая система какая?

[userr]

YVS

Сделайте, пожалуйста, еще лог GMER

Как я понял, он не покажет текущей ситуации

[mrbelyash]

...значит недавно что-то ставили....Откатиться назад?

[Borka]

Сделайте, пожалуйста, еще лог GMER

Думаете поможет? Там одни хуки Симантека и Нода будут

ИМХО, сюмантик стоЯл и был снесен, вместо него был поставлен НОД.

[Borka]

...значит недавно что-то ставили....Откатиться назад?

ИМХО, нужно грузиться и удалять сюмантика и НОД, а там посмотрим. В логе РкУ куча "Driver: unknown_irp_handler", не похоже, что это антивирусов... И чистить hosts.