Помогите вылечить систему?

Printable View

10.06.2010, 14:36
h00ch

Помогите вылечить систему?

Время от времени ОС вываливается в BSOD. Провел проверку AVZ'ом и HiJack'ом. AVZ кое-что обнаружил. Логи прилагаются. Надеюсь на Вашу помощь.
10.06.2010, 16:05
миднайт

Номер ошибки BSOD сообщите.
В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
clearquarantine;
TerminateProcessByName('\Device\HarddiskVolume1\Documents and Settings\USER\Local Settings\Temp\RarSFX0\v23kjxp.exe');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\O3b2q8e4.sys','');
QuarantineFile('\Device\HarddiskVolume1\Documents and Settings\USER\Local Settings\Temp\RarSFX0\v23kjxp.exe','');
QuarantineFile('c:\Documents and Settings\USER\Local Settings\Temp\RarSFX0\v23kjxp.exe','');
DeleteFile('C:\Documents and Settings\USER\Local Settings\Temp\RarSFX0\v23kjxp.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\O3b2q8e4.sys');
DeleteFile('\Device\HarddiskVolume1\Documents and Settings\USER\Local Settings\Temp\RarSFX0\v23kjxp.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',3,3,true);
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите.
11.06.2010, 08:52
h00ch

Скрипты выполнил.
Повторные логи приложил.
Вот анализ дампа:

[HTML]*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 1000000A, {ffffd580, 2, 0, 804f2eb1}

Probably caused by : memory_corruption ( nt!MiLocateSubsection+2b )

Followup: MachineOwner
---------

kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

IRQL_NOT_LESS_OR_EQUAL (a)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If a kernel debugger is available get the stack backtrace.
Arguments:
Arg1: ffffd580, memory referenced
Arg2: 00000002, IRQL
Arg3: 00000000, bitfield :
bit 0 : value 0 = read operation, 1 = write operation
bit 3 : value 0 = not an execute operation, 1 = execute operation (only on chips which support this level of status)
Arg4: 804f2eb1, address which referenced memory

Debugging Details:
------------------

READ_ADDRESS: ffffd580

CURRENT_IRQL: 2

FAULTING_IP:
nt!MiLocateSubsection+2b
804f2eb1 8b7010 mov esi,dword ptr [eax+10h]

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: DRIVER_FAULT

BUGCHECK_STR: 0xA

PROCESS_NAME: EXPLORER.EXE

LAST_CONTROL_TRANSFER: from 804ec0e0 to 804f2eb1

STACK_TEXT:
ef5c5bac 804ec0e0 82257e60 81b7cbc8 00000001 nt!MiLocateSubsection+0x2b
ef5c5c58 804f2d65 e280e500 01940fff 00000000 nt!MiDeleteVirtualAddresses+0x132
ef5c5d04 8057372e 81d0acb8 00d4d0d4 ef5c5d74 nt!MiRemoveMappedView+0x212
ef5c5d48 805737da 81c2a2c8 81c56c58 00000000 nt!MiUnmapViewOfSection+0x12b
ef5c5d64 804df06b ffffffff 81d0acb8 00fef6e4 nt!NtUnmapViewOfSection+0x54
ef5c5d64 7c90eb94 ffffffff 81d0acb8 00fef6e4 nt!KiFastCallEntry+0xf8
WARNING: Frame IP not in any known module. Following frames may be wrong.
00fef6e4 00000000 00000000 00000000 00000000 0x7c90eb94

STACK_COMMAND: kb

FOLLOWUP_IP:
nt!MiLocateSubsection+2b
804f2eb1 8b7010 mov esi,dword ptr [eax+10h]

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: nt!MiLocateSubsection+2b

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: nt

DEBUG_FLR_IMAGE_TIMESTAMP: 41108004

IMAGE_NAME: memory_corruption

FAILURE_BUCKET_ID: 0xA_nt!MiLocateSubsection+2b

BUCKET_ID: 0xA_nt!MiLocateSubsection+2b

Followup: MachineOwner
---------
[/HTML]

Карантин по ссылке сверху отправить не удалось, пишет :
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
На сколько я понял, архив quarantine.zip пустой.
11.06.2010, 21:23
миднайт

Ничего зловредного не видно. Пофиксите в hijackthis

[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\[/CODE]

- Установите [url="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Сервис Пак 3[/url] - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить [b][color="Red"]все защитные приложения[/color][/b] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите все [url=http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru]важные обновления[/url].
- Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/url] - даже если Вы им не пользуетесь.
Установите новые версии Adobe Acrobat и Java.
15.06.2010, 10:15
h00ch

Систему обновлю. Спасибо за помощь.