Niedziałający sterownik klawiatury i touchpada

[kosa351]

Znajomy wykupił płatną subskrypcję Avasta IS. Pobrał, zaktualizował, dodał licencję i program poprosił go o ponowne uruchomienie. Po restarcie system za każdym razem zaczął BSODa. Próbował więc coś mieszać w trybie awaryjnym (między innymi został uruchomiony ComboFix), który uruchamiał się poprawnie.

Jak się później okazało niebieski ekran powoduje włączenie "Urządzenie klawiatury HID", który nie jest poprawnie rozpoznawany. Podobnie jest z touchpadem. Oczywiście klawiatura jak i touch nie działają poprawnie. Pozostaje jedynie zewnętrzna myszka.

Czyżby coś zainfekowało sterowniki? W załączniku log z OTL.

OTL.Txt

Extras.Txt

[picasso]

Skoro był uruchamiany ComboFix, dlaczego nie podałeś loga. No i zabrakło obowiązkowego GMER. Wątpię jednakże w koncepcję infekcji. W OTL nic nie widać, poza tym tajemniczym plikiem (ale utworzony w czasokresie instalacji Avast, może powiązany):

 

[2012-07-26 13:03:46 | 000,054,016 | ---- | M] () -- C:\Windows\System32\drivers\lifenspb.sys

 

Tylko sobie doczyść szczątki po paskach. Instrukcje w spoilerze.

 

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found.
O3 - HKU\S-1-5-21-3437239547-3667846782-3002826400-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
IE - HKU\S-1-5-21-3437239547-3667846782-3002826400-1000\..\SearchScopes\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}: "URL" = "http://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb"
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
FF - prefs.js..extensions.enabledItems: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}:3.3.3.2
[2012-06-01 19:44:01 | 000,000,000 | ---D | M] (СпŃтник @Mail.Ru) -- C:\Users\Edzio\AppData\Roaming\mozilla\Firefox\Profiles\ebwpbhyx.default\extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D}
[2012-07-18 17:43:47 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Edzio\AppData\Roaming\mozilla\Firefox\Profiles\ebwpbhyx.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
[2010-04-27 20:09:45 | 000,002,424 | ---- | M] () -- C:\Users\Edzio\AppData\Roaming\Mozilla\Firefox\Profiles\ebwpbhyx.default\searchplugins\askcom.xml
[2010-06-13 13:04:51 | 000,002,059 | ---- | M] () -- C:\Users\Edzio\AppData\Roaming\Mozilla\Firefox\Profiles\ebwpbhyx.default\searchplugins\daemon-search.xml
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Edzio\AppData\Local\Temp\catchme.sys -- (catchme)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

 

 

 

 

Jak się później okazało niebieski ekran powoduje włączenie "Urządzenie klawiatury HID", który nie jest poprawnie rozpoznawany. Podobnie jest z touchpadem. Oczywiście klawiatura jak i touch nie działają poprawnie. Pozostaje jedynie zewnętrzna myszka.

A jaki błąd zgłasza to urządzenie? Poza tym, pobierz Właściwości, wejdź do karty Szczegóły, z menu wybierz pozycje Filtry wyższe klasy + niższe klasy (jedna z pozycji może nie być obecna) i przepisz co tam się pokazuje jako sterownik filtrujący urządzenie.

 

 

 

.

[kosa351]

Log z Combo dołączony, byłem przekonany, że był w załączniku. GMER powoduje BSOD.

 

Odnośnie urządzeń

Mysz Micorsoft PS/2 - Filtr wyższej klasy - mouclass

Standardowa klawiatura PS/2 - Filtr wyższej klasy - aswKbd oraz kbdclass

 

Odnośnie BSOD. Błąd to:

IRQL NOT LESS OR EQUAL - STOP: 0X0000000A

 

Klawiatura/touch przed załadowaniem systemu działa poprawnie.

ComboFix.txt

[picasso]

Temat przenoszę do działu Windows Vista. Wprawdzie ComboFix kasował owszem małą szkodliwą zgraję z C:\Users, ale to plus to co mówiłam wcześniej to jedynie problem podrzędny. W ramach czyszczenia tamtych rzeczy znajoma Ci procedura: deinstalacja ComboFix + Sprzątanie w OTL, czyszczenie folderów Przywracania systemu. Natomiast:

 

 

Odnośnie BSOD. Błąd to

 

Chodziło mi o błąd w Menedżerze urządzeń, kod zwracany tam, a nie kod BSOD. Ale już przypuszczam jaki, bo:

 

 

Standardowa klawiatura PS/2 - Filtr wyższej klasy - aswKbd oraz kbdclass

 

I jak sądzę to filtr Avast (aswKbd) na klawiaturach tworzy konflikt. Zdejmij filtr i zobaczymy co się stanie:

 

1. Boot do Trybu awaryjnego (Avast nie może działać, bo a nuż zapobiegnie edycji). Start > w polu szukania wpisz regedit > wejdź do klucza klasy klawiatur:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}

 

Dwuklik w wartość UpperFilters i wytnij frazę aswKbd, ale nie ruszaj systemowego kbdclass.

 

2. Boot do Trybu normalnego. Wejdź w ten sam klucz i sprawdź czy Avast nie przywrócił wpisu. No i potwierdź co się dzieje z urządzeniem jako takim.

 

 

 

 

.

[kosa351]

Klawiatura wróciła do życia. Avast nie przywrócił wpisu.

Touch usunięty z menedżera, zainstalowany ponownie sterownik od producenta, restart i ponownie działa poprawnie.

Dziękuje za pomoc.