sfc.SYS, glaide32.sys !!!??? - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - sfc.SYS, glaide32.sys !!!??? (http://forum.oszone.net/showthread.php?t=142208)

AlhimikRus

08-06-2009 22:03 1138608

sfc.SYS, glaide32.sys !!!???

Вложений: 1

hijackthis.rar (3.60 KB, скачиваний: 19)

симптомы:
Не грузятся ни виста ни ХР. ХР постоянно идёт либо на перезагрузку, либо в синий экран. Виста после показа шарика-логотипа уходит в темный экран и всё, без всяких перезагрузок, просто виснет на стадии загрузки.
Что делал:
Проверка Dr.Web CureIt, AVP tool, Dr.Web LiveCD, AVZ. Все со свежими обновлениями. При проверке найдено 14 вирусов-троянов, всё удалено, логов к сожалению не сохранилось.

тему по поводу синего экрана разместил тут - http://forum.oszone.net/thread-142197.html
там модератор сказал, что это вирус sfc.SYS, glaide32.sys
таким образом, если указанные утилиты не обезвредили и не обнаружили этот хитромудрый вырус, что мне дальше то делать ?
А то уже надоело в безопасном режиме работать !

iskander-k

08-06-2009 22:14 1138627

Цитата:

Цитата AlhimikRus

AVZ ... логов к сожалению не сохранилось. »

Логи должны быть. В папке с АВЗ.

Выложите логи в соответствии с этими инструкциями.

AlhimikRus

08-06-2009 22:51 1138662

В первом посте вложенные логи !

iskander-k

08-06-2009 23:22 1138702

Здравствуйте.

Скопируйте и выполните, расположенный ниже, скрипт в AVZ.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(true);

 QuarantineFile('C:\WINDOWS\system32\riodrv.exe','');

 QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S3IVQN89\1[1].exe','');

 QuarantineFile('C:\WINDOWS\system32\wrZ2tokl.dll','');

 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');

 QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');

 DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');

 DeleteFile('C:\WINDOWS\system32\sdra64.exe');

 DeleteFile('C:\WINDOWS\system32\wrZ2tokl.dll');

 DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S3IVQN89\1[1].exe');

 DeleteFile('C:\WINDOWS\system32\riodrv.exe');

 BC_Importall;

 ExecuteSysClean;

 BC_Activate;

 RebootWindows(true);

end.

После перезагрузки выполните скрипт

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');

end.

Пофиксить в HijackThis.

Код:

O21 - SSODL: oledll - {99045B67-9132-9234-D429-7F84D923BC79} - C:\WINDOWS\system32\wrZ2tokl.dll

и сделайте новые логи

Котяра

08-06-2009 23:25 1138707

Пофиксите:

Код:

O21 - SSODL: oledll - {99045B67-9132-9234-D429-7F84D923BC79} - C:\WINDOWS\system32\wrZ2tokl.dll

Выполните скрипт в AVZ:

Код:

begin

 SearchRootkit(true, true);

 SetAVZGuardStatus(true);

 QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S3IVQN89\1[1].exe','');

 QuarantineFile('C:\WINDOWS\system32\riodrv.exe','');

 QuarantineFile('C:\WINDOWS\system32\wrZ2tokl.dll','');

 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');

 QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');

 DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S3IVQN89\1[1].exe');

 DeleteFile('C:\WINDOWS\system32\riodrv.exe','');

 DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');

 DeleteFile('C:\WINDOWS\system32\sdra64.exe');

 DeleteFile('C:\WINDOWS\system32\wrZ2tokl.dll');

 BC_ImportDeletedList;

 ExecuteSysClean;     

 BC_Activate;

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

 RebootWindows(true);

end.

После перезагрузки (автоматической) отправьте quarantine.zip из папки с AVZ на koshkin@rbcmail.ru
P.S. Пока я писал это, iskander-k тоже написал инструкции.
Однако файлы там удаляются те же, так что можете или его, или мои инструкции выполнить.
Но если выполните его инструкции, то все равно quarantine.zip отправьте мне, у него этот файл генерируется после 2-ого скрипта.

thyrex

08-06-2009 23:29 1138713

А я тем более опоздал. Но скрипт самый полный :)

Выполните скрипт в AVZ

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\system32\wrZ2tokl.dll','');

DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');

 QuarantineFile('C:\WINDOWS\system32\riodrv.exe','');

 QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S3IVQN89\1[1].exe','');

 DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');

 DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');

 QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');

 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');

 QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');

 DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');

 DeleteFile('C:\WINDOWS\system32\sdra64.exe');

 DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');

 DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S3IVQN89\1[1].exe');

 DeleteFile('C:\WINDOWS\system32\riodrv.exe');

 DeleteFile('C:\WINDOWS\system32\wrZ2tokl.dll');

DeleteFileMask('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Пофиксить в HiJack

Код:

 R3 - Default URLSearchHook is missing

O21 - SSODL: oledll - {99045B67-9132-9234-D429-7F84D923BC79} - C:\WINDOWS\system32\wrZ2tokl.dll

Сделайте новые логи (по возможности в нормальном режиме)

AlhimikRus

09-06-2009 00:11 1138766

Не ожидал такой быстрой реакции и проверил диск С avp tool, он опознал эти файлы как вирусы и удалил. Но дело в том, что буквально вчера это же сделал и др вэб, но сегодня всё на месте было.
есть смысл после авп тул отсылать вам карантин или стоит новые логи создать ?
но проблема с синим экраном осталась.

и не нашел как в пофиксить в HiJack ?!

okshef

09-06-2009 00:59 1138807

AlhimikRus, запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked"

AlhimikRus

09-06-2009 01:05 1138811

А кстати авз на висте нормально работает ? А то у меня не сработала Установка драйвера расширенного мониторинга процессов, просто никакой реакции на нажатие этой функции не произошло. и если эта функция не заработала, есть ли смысл в дальнейшей проверке ?

Котяра

09-06-2009 01:13 1138820

thyrex, видел "askbar", но вроде это AdWare. Так что сомневался и не стал писать в скрипт.

okshef

09-06-2009 08:27 1138914

Цитата:

Цитата AlhimikRus

А кстати авз на висте нормально работает ? »

нужно запускать с правами администратора. Правой кнопкой по значку программы, выбрать пункт "Запустить от имени администратора" - обязательное условие.
Котяра, NOD его давно считает жутким вирусом-трояном

Petya V4sechkin

09-06-2009 22:13 1139484

Цитата:

Цитата AlhimikRus

но проблема с синим экраном осталась.

Цитата:

Цитата AlhimikRus

не сработала Установка драйвера расширенного мониторинга процессов, просто никакой реакции на нажатие этой функции не произошло

Возможно, руткит не дает.
Давайте на всякий случай все закарантиним (включая левые имена из дампов): AVZ -> меню Файл -> Выполнить скрипт -> выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку Запустить.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('55742417.sys','');

 QuarantineFile('27179896.sys','');

 QuarantineFile('31795838.sys','');

 QuarantineFile('glaide32.sys','');

 QuarantineFile('30541495.sys','');

 QuarantineFile('29101354.sys','');

 QuarantineFile('09136143.sys','');

 QuarantineFile('35304826.sys','');

 QuarantineFile('55156289.sys','');

 QuarantineFile('sfc.SYS','');

 QuarantineFile('Video3D32.sys','');

 QuarantineFile('BrukerIR.sys','');

 QuarantineFile('asyncmac.sys','');

 QuarantineFile('A3AB.sys','');

 DeleteFile('55742417.sys');

 DeleteFile('27179896.sys');

 DeleteFile('31795838.sys');

 DeleteFile('glaide32.sys');

 DeleteFile('30541495.sys');

 DeleteFile('29101354.sys');

 DeleteFile('09136143.sys');

 DeleteFile('35304826.sys');

 DeleteFile('55156289.sys');

 DeleteFile('sfc.SYS');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится. После перезагрузки выполнить еще скрипт:

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip отправьте мне в PM.

Сделайте новые логи (virusinfo_syscheck.zip, hijackthis.zip из п. 3.4, 3.5 правил).

Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению.
Описание SDFix есть здесь и здесь.

Если BSOD будут по-прежнему, выложите свежие дампы.

iskander-k

09-06-2009 23:02 1139540

AlhimikRus,
Вы не выполнили все рекомендации.

Цитата:

Цитата iskander-k

и сделайте новые логи »

Почему ?

Цитата:

Цитата Petya V4sechkin

A3AB.sys' »

это - Related to D-Link driver for your wireless network card.

AlhimikRus

09-06-2009 23:14 1139557

Вложений: 1

report.rar (4.10 KB, скачиваний: 16)

Вот требования по 2 сверху сообщению:
лог SDFix

Опять благополучно ушёл в DSOD
Есть правда кое какие изменения. в бсод стал уходит немного позже, при попытке открыть интернет соединение (в основном).

AlhimikRus

10-06-2009 00:13 1139615

Вложений: 1

hijackthis.rar (3.40 KB, скачиваний: 11)

вот новые логи

thyrex

10-06-2009 00:40 1139638

Попробуйте сделать в нормальном режиме логи с помощью полиморфного AVZ (ссылка есть в моей подписи)

AlhimikRus

10-06-2009 11:28 1139911

Э в нормальном режиме, при попытке запуска чег либо (в том числе и авз) уходим в синий экран. только безопасный режим.

Может тут дело не всётаки не в вирусе, а в дравах каких то ?

thyrex

10-06-2009 11:41 1139927

Попробуйте сделать отчет GSI (GetSystemInfo)

Petya V4sechkin

10-06-2009 11:54 1139937

Цитата:

Цитата AlhimikRus

уходим в синий экран.

Выложите свежие дампы.

AlhimikRus

10-06-2009 23:42 1140538

последний дамп

Petya V4sechkin

11-06-2009 15:59 1141050

AlhimikRus, по-прежнему sfc.sys, надо лечиться дальше.
Кстати, в карантин sfc.sys не попал (AVZ его не видит).

Попробуйте поискать с помощью IceSword -> в левой части окна щелкнуть File -> выбрать диск -> правой кнопкой мыши -> Find Files -> sfc.sys (если найдется, правой кнопкой мыши -> force delete). Еще удалите файл C:\WINDOWS\system32\sys32net.dll и раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sfc

Выполните скрипт в AVZ:

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 DeleteFile('C:\WINDOWS\system32\sys32net.dll');

 DeleteService('sfc');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

AlhimikRus

16-06-2009 14:26 1144706

Прошу меня извинить и большое спасибо тем кто пытался помочь, но ввиду необходимости, проблема была решена переустановкой системы. Сил больше биться не хватило, сделал копию акронисом и переустановил с нуля.

Время: 15:29.