[решено] 0х0000008Е - sfc.sys - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows 2000/XP (http://forum.oszone.net/forumdisplay.php?f=6)

- - [решено] 0х0000008Е - sfc.sys (http://forum.oszone.net/showthread.php?t=199020)

0х0000008Е - sfc.sys

Приветствую Вас всех.
Помоги пожалуста возникла проблема, при выключении/перезагрузке ПК отображается BSOD.
Сделал все как было в ветки форуме для определения ошибки (сбор логов)
но возникло несколько проблем. AVZ4 не обновляет базы но сбор лога сделал. и должно было быть 4 файла у меня почему то получилось только 3, может этого будет достаточно.
Помогите пожалуйста решить проблему. При BSOD в систем информ пишет: STOP: 0x0000008E (0xC0000005, 0x8066AEB1, 0xB483EB08, 0x00000000)

naso, вы форумом не ошиблись? :)
Вы дали логи для Лечения, а здесь еще нужны дампы памяти для определения проблемы.
Где их взять и остальные подсказки в этой теме: Важно! Прежде чем задать вопрос, прочтите эту тему!

А спасибо, сейчас исправлю положение. соберу все недостающие элементы этой мазайки

Вот вроде все правильно сделал. код ошибки 0х0000008Е

naso, как и предполагалось, у вас руткит. Теперь можно переносить в Лечение :)

Темы в помощь

Версия очень древняя 4.22 и её логи неактуальны.

Цитата:

Загружена база: 69173 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 12.12.2006 17:05

Выполните рекомендации и прикрепите к следующему сообщению полученные логи.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\DOCUME~1\Aleksei\LOCALS~1\Temp\tl1gX57d.sys','');

 QuarantineFile('c:\windows\system32\drivers\sfc.sys','');

 DeleteFile('c:\windows\system32\drivers\sfc.sys');

 QuarantineFile('%windir%\system32\sfcfiles.dll','');

 if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then

  begin

    RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');

    CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');

    DeleteFile('%windir%\system32\sfcfiles.bak');

    AddToLog('Замена sfcfiles.dll успешно произведена');

    SaveLog('sfcfiles.dll.log');

  end

 else

  begin  

    AddToLog('Замена sfcfiles.dll не произведена');

    SaveLog('sfcfiles.dll.log');

  end;

BC_ImportAll;

ExecuteSysClean;

 BC_DeleteSvc('sfc');

BC_Activate;

RebootWindows(true);

end.

После всех процедур выполните скрипт

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему.

, в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.

После выполнения скрипта прикрепите файл sfcfiles.dll.log он будет в папке ..\AVZ\ после чего скачайте актуальную версию и повторите логи!

Установил новую версию 4.35 только тогда заработал скрипт,
вот файлы

naso, в скрипте ошибок нет. Внимательно копируйте. Обратите внимание,что точку тоже надо копировать!

naso, Выполните ещё раз такой скрипт

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then

 begin

  RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');

  CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');

  DeleteFile('%windir%\system32\sfcfiles.bak');

  AddToLog('Замена sfcfiles.dll успешно произведена'); SaveLog('sfcfiles.dll.log');

 end

else

 begin

  AddToLog('Замена sfcfiles.dll не произведена');

  SaveLog('sfcfiles.dll.log');

 end;

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);

BC_ImportAll;

ExecuteSysClean;

 BC_QrFile('C:\WINDOWS\System32\Drivers\sfc.SYS');

 BC_DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');

 BC_DeleteSvc('sfc');

BC_Activate;

 ExecuteRepair(20);

RebootWindows(true);

end.

После всех процедур выполните скрипт

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

, в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.Загрузить обновление MBAM.

Вставьте дистрибутив Windows в привод и в Пуск - Выполнить наберите

Код:

sfc /scannow

Что с проблемой после выполнения скрипта?

Извиняюсь, на работе буду только завтра с утра. А подскажите еще пожалуйста, от этого всего может не загружать фаер фокс, фотошоп и иллюстратор а то как то странно бсод и эти программы не откликаются ни в какую. Жду ответа от quarantine

Вот закончилась проверка длилась 6 часов...Выкладываю все обновленные логи. Ответа от Quarantine так и не получил.

Удалите в МБАм всё что он нашел кроме

Код:

Registry Data Items Infected:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

можно вопросик, а как тут удолить все на английском не разберусь )))

Цитата:

Цитата naso

Ответа от Quarantine так и не »

Ответ от веба файл заражен - Trojan.WinSpy.990 .

в настройках МБАМ выберите русский или

...выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные).

Спасибо Вам Большое, очень сильно помогли

После лечение не забудьте поменять все ваши пароли.

naso, Так проблема решена?

Амммм....Не совсем решилась, все хорошо BSOD больше нету, но когда ставлю выключение ПК он идет на перезагрузку, потом загружаеться ставлю еще раз на выключение и только тогда он выключается

Модераторам: Переношу в раздел систем. Если решение будет найдено, перенесите обратно в лечение.

naso, сбросьте параметры BIOS в умолчательные для начала.

Blast спасибо помогло решить проблему... ВСЕМ ОГРОМНОЕ СПАСИБО