BSOD 0x8E на выключении

[ascodts]

При каждом выключении в самом конце вылетает в BSOD. Анализ минидампа ссылается на драйвер sfc.sys, который в разных форумах упоминается только как вирус.
То что проблема софтовая проверено чистой установкой на другой HDD.
Гляньте логи пож-та - может удастся побороть.
Может это важно - это ноутбук-таблет и Windows XP Tablet PC Edition 2005 версия 2002 SP2 (для таблет версии sp3 вроде нет)

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
  if FileExists ('%windir%\system32\sfcfiles.dll') then
   begin
    if CheckFile('%windir%\system32\sfcfiles.dll')=3 then
       begin
         QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
         QuarantineFile('%windir%\system32\sfcfiles.dll','');
         QuarantineFile('%windir%\system32\mssfc.dll','');
         DeleteFile('%windir%\system32\drivers\sfc.sys');
         DeleteFile('%windir%\system32\mssfc.dll');
         AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных');
       end
      else
       begin
         AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
         QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
         QuarantineFile('%windir%\system32\sfcfiles.dll','');
         QuarantineFile('%windir%\system32\mssfc.dll','');
         DeleteFile('%windir%\system32\drivers\sfc.sys');
         DeleteFile('%windir%\system32\mssfc.dll');
         RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
         if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
           begin
            if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
              begin
               CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
               AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
              end
             else
              begin
               AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
               SaveLog('sfcfiles.log');
               if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                 begin
                  if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                    begin
                     CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                     AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                    end
                   else
                    begin
                     AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                    end;
                 end
                else
                 begin
                  AddToLog('Файл sfcfiles.dll отсутствует в i386');
                 end;
              end;
           end
          else
           begin
            AddToLog('Файл sfcfiles.dll отсутствует в кеше');
            if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
              begin
               if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                 begin
                  CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                  AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                 end
               else
                begin
                  AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                end;
              end
             else
              begin
               AddToLog('Файл sfcfiles.dll отсутствует в i386');
              end;
           end;
         DeleteFile('%windir%\system32\sfcfiles.bak');
       end;
   end
  else
   begin
     AddToLog('файл sfcfiles.dll отсутствует в  %windir%\system32\');
     QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
     QuarantineFile('%windir%\system32\mssfc.dll','');
     DeleteFile('%windir%\system32\drivers\sfc.sys');
     DeleteFile('%windir%\system32\mssfc.dll');
     if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
       begin
        if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
          begin
           CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
           AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
          end
         else
          begin
           AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
           SaveLog('sfcfiles.log');
           if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
             begin
              if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                begin
                 CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                 AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                end
               else
                begin
                 AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                end;
             end
            else
             begin
              AddToLog('Файл sfcfiles.dll отсутствует в i386');
             end;
          end;
       end
      else
       begin
        AddToLog('Файл sfcfiles.dll отсутствует в кеше');
        SaveLog('sfcfiles.log');
        if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
          begin
           if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
             begin
              CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
              AddToLog('Замена sfcfiles.dll успешно произведена из i386');
             end
           else
            begin
              AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
            end;
          end
         else
          begin
           AddToLog('Файл sfcfiles.dll отсутствует в i386');
          end;
       end;
     DeleteFile('%windir%\system32\sfcfiles.bak');
   end;
 SaveLog('sfcfiles.log');
 BC_ImportALL;
 ExecuteSysClean;
 BC_DeleteFile('%windir%\System32\sfcfiles.bak');
 BC_DeleteSvc('sfc');
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- файл sfcfiles.log прикрепите к сообщению
- Сделайте лог MBAM

[ascodts]

Результат загрузки
Файл сохранён как 101028_072013_virus_4cc8ebed04c13.zip
Размер файла 2241948
MD5 794c3eacfc9a90bfddb737647a469e89

Файла quarantine.zip не обнаружил и выслал содержимое карантина старым спосоом (после скрипта там ничего нового) Поменялись иконки папок в меню "Пуск".

[polword]

- файл sfcfiles.log прикрепите к сообщению
- Сделайте лог MBAM

это где?

[ascodts]

Виноват - поторопился.
А вот лог ни в блокноте не открылся ни сам в папку не сохранился - удачно что я догадался в закладочку отчеты заглянуть и сохранить его ручками. То-ли я что-то упустил, то-ли инструкцию по приведенной Вами ссылке подправить надо.

[polword]

- удалите в MBAM

Код:

Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ICF (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MRSoft (Trojan.Agent) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.


Зараженные папки:
C:\Documents and Settings\LocalService.NT AUTHORITY\Application Data\sysproc64 (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Application Data\sysproc64 (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sysproc64 (Trojan.Agent) -> No action taken.

Зараженные файлы:
C:\Documents and Settings\LocalService.NT AUTHORITY\Application Data\sysproc64\sysproc32.sys (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Application Data\sysproc64\sysproc32.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sysproc64\sysproc32.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sysproc64\sysproc86.sys (Trojan.Agent) -> No action taken.
C:\Documents and Settings\mike\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\bb1.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\cs.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\gh.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ps1.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\rc.dat (Trojan.Agent) -> No action taken.
C:\Documents and Settings\mike\S87ekhV.exe (Trojan.Agent) -> No action taken.

[ascodts]

BSOD пока больше не проявлялся (даже до последней операции). Загрузился нормально. Внешне осталось 2 косяка - иконки групп в меню пуск (в свойствах значек отображается правильно, а в самом меню на месте значка квадратик усеянный красными и синими точками) и завершение работы идет очень долго.

[polword]

- Выполните скрипт в AVZ

Код:

begin
 ExecuteRepair(5);
 ExecuteRepair(6);
 ExecuteRepair(8);
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
 RebootWindows(true);
end.

[ascodts]

Иконки не исправились но я попробовал выбрать в качестве источника изображения библиотеку moreicons.dll и те отображаются правильно - видимо shell32.dll битая. Странно что ее sfc не исправила, выключается все равно долго но без BSOD. Думаю что эти косяки прямого отношения к проблеме уже не имеют - надо просто устранить вызывающие их косяки в настройках винды и проверить целостность файлов.

[polword]

Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .

[ascodts]

....Может это важно - это ноутбук-таблет и Windows XP Tablet PC Edition 2005 версия 2002 SP2 (для таблет версии sp3 вроде нет)

Все остальное постараюсь сделать. Спасибо.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены