Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Синий Экран при выключении - руткит sfc.SYS (http://forum.oszone.net/showthread.php?t=167337)

SASaSerg 14-02-2010 18:51 1347012
Синий Экран при выключении - руткит sfc.SYS
 
При выходе из системы (Windows XP SP2, не сборка) появляется BSOD 0x1000008e, причём появляется только при выключении и изредка при включении, больше вроде никаких проблем небыло, установлен KAV 09 с последними базами данных, провёл проверку системного диска - он какието трояны поудалял но экран не пропал

Немного полазил в инете нашёл программу BlueScreenView, проверил с её помощью файл дампа вот что тот указал про ошибку
читать дальше »
Файл дампа : Mini021410-01.dmp
Время аварии : 14.02.2010 17:42:57
Текст ошибки : KERNEL_MODE_EXCEPTION_NOT_HANDLED
Код ошибки : 0x1000008e
Параметр 1 : 0xc0000005
Параметр 2 : 0x8064ae4d
Параметр 3 : 0xb4dd3b2c
Параметр 4 : 0x00000000
Драйвер причины : sfc.SYS
Адрес причины : sfc.SYS+11a6

==================================================
Имя файла : sfc.SYS
Адрес в стеке : sfc.SYS+11a6
С адреса : 0xb4563000
На адрес : 0xb4566720
Размер : 0x00003720
Отпечаток времени : 0x4b71bc7d
Строка времени : 09.02.2010 22:50:21
Название продукта :
Описание файла :
Версия файла :
Полный путь :
==================================================

==================================================
Имя файла : ntoskrnl.exe
Адрес в стеке : ntoskrnl.exe+173e4d
С адреса : 0x804d7000
На адрес : 0x806e2000
Размер : 0x0020b000
Отпечаток времени : 0x4a7833f1
Строка времени : 04.08.2009 16:13:21
Название продукта : Операционная система Microsoft® Windows®
Описание файла : Системный модуль ядра NT
Версия файла : 5.1.2600.3610 (xpsp_sp2_gdr.090804-1412)
Полный путь : C:\WINDOWS\system32\ntoskrnl.exe
==================================================


Мой комп
Core2Duo E6600 2.4Gz
Nvidia GeForce gts8800 320Mb
Ram 2Gb
HDD 320Gb
MSI 975X Platinum PowerUp Edition (MS-7246)

Собсно нужна помощь по исправлению - если мало инфы то сори незнаю что ещё надо

sanek_freeman 14-02-2010 19:58 1347059
SASaSerg, здравствуйте. Выполните рекомендации и прикрепите к следующему сообщению полученные логи.

SASaSerg 14-02-2010 21:41 1347139
Вложений: 1
Меня просто из другого раздела сюда перекинули

akok 14-02-2010 22:14 1347174
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('GarenaPEngine', 4);
QuarantineFile('C:\Temp\JTL687.tmp','');
QuarantineFile('C:\WINDOWS\system32\io02.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\xnacc.sys','');
QuarantineFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL','');
QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys ',' ');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys ');
DeleteFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL');
DeleteFile('C:\Temp\JTL687.tmp');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA}');
DelBHO('{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}');
DeleteService('GarenaPEngine');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив необходимо загрузить при помощи этой формы, не забудте указать пароль: virus


Повторите логи.

SASaSerg 14-02-2010 23:41 1347236
Вложений: 1
вот файлы карантина на всякий случай тоже приклеел

sanek_freeman 15-02-2010 11:01 1347448
SASaSerg, каков ответ из ЛК по карантину? Как обстоят дела с проблемой?

SASaSerg 15-02-2010 15:05 1347608
автосистема в письме ответила что вредоносных программ не обнаружено, пока больше ничего не приходило
синих экранов больше не было - но я пока только раза 3-4 перезагружался, Что это хоть такое? И как от него защитится, Каспером?

sanek_freeman 15-02-2010 21:25 1347976
Цитата:
Цитата SASaSerg
Что это хоть такое?»
Файл sfc.sys зловредничал (троян-патчер, кажется).
Цитата:
Цитата SASaSerg
И как от него защитится, Каспером? »
Ну, для начала установите SP3 для Windows ХР и все последние критические обновления. Также регулярно обновляйте антивирусные базы Касперского. А вообще ни один антивирус не дает 100% гарантии от заражения.

P.S. Если проблем нет, то отметьте тему решенной.


Время: 04:56.

Время: 04:56.
© OSzone.net 2001-