Belirtiler
Aşağıdaki tanılama programlarından birini çalıştırmayı denediğinizde, program hemen kapatılabilir:
-
Kayıt Defteri Düzenleyicisi (Regedit.exe)
-
Görev Yöneticisi (Taskmgr.exe)
-
Sistem Yapılandırma Yardımcı Programı (Msconfig.exe)
-
Sistem Bilgisi (Msinfo32.exe)
Aşağıdaki belirtilerden biriyle de karşılaşabilirsiniz:
-
Bilgisayar otomatik olarak yeniden başlatılır.
-
Oturum açtıktan sonra, aşağıdaki hata iletisini alırsınız:
Microsoft Windows
Sistem ciddi bir hatadan kurtarıldı.
Bu hatanın günlüğü oluşturuldu.
Lütfen bu sorunu Microsoft'a bildirin.
Microsoft Windows uygulamasını geliştirmemize yardımcı olmak üzere gönderebileceğiniz bir hata raporu oluşturduk. Bu raporu gizli ve imzasız olarak işleme koyacağız.
Bu hata raporunun içerdiği verileri görmek için burayı tıklatın.İleti kutusunun altındaki burayı tıklatın bağlantısını tıklattığınızda, aşağıdaki veri örneklerinden birine benzer hata imzası bilgileri görürsünüz:
Veri örneği 1BCCode : 00000050 BCP1 : ffffff60 BCP2 : 00000000 BCP3 : 804fa26f BCP4 : 00000000 OSVer : 5_1_2600 SP : 0_0 Product : 256_1
Veri örneği 2BCCode : 0000000A BCP1 : ffffff94 BCP2 : 00000000 BCP3 : 00000000 BCP4 : 804e15ef OSVer : 5_1_2600 SP : 0_0 Product : 256_1
-
Aşağıdaki Dur hata iletilerinden birini alabilirsiniz:
İleti 1
Bir sorun algılandı ve bilgisayarınızın zarar görmesini önlemek için Windows kapatıldı...
Teknik bilgiler:
*** DUR: 0x50_nt!ObReferenceObjectSafe+e konumundaki 0x804fa26f adresinde 0x00000050 (0xffffff60, 0x00000000, 0x804fa26f, 0x00000000) PAGE_FAULT_IN_NONPAGED_AREA hatasıİleti 2
Bir sorun algılandı ve bilgisayarınızın zarar görmesini önlemek için Windows kapatıldı...
Teknik bilgiler:
*** DUR: 0x0000000A (0xffffff94, 0x00000000, 0x00000000, 0x804e15ef) IRQL_NOT_LESS_OR_EQUAL adres 0x804fa26f in 0xA_nt!ExpCopyThreadInfo+a -
Olay Görüntüleyicisi'nde Sistem günlüğünü görüntülediğinizde, aşağıdakilerden birine benzer bir girdi görebilirsiniz:
Girdi 1
Girdi 2
Notlar
-
Dur hatası belirtileri, bilgisayarınızın sistem hatası seçeneklerine bağlı olarak değişebilir.
Sistem hatası seçeneklerini yapılandırma hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:307973 Windows'ta sistem hatası ve kurtarma seçenekleri nasıl yapılandırılır
-
Dur hata iletisinde parantez içinde bulunan dört parametre, bilgisayarın yapılandırmasına bağlı olarak değişebilir.
-
Tüm "Dur 0x0000000A" hatalarının nedeni bu makalede açıklanan sorun değildir.
Windows XP'de Dur 0x0000000A hatasıyla ilgili sorunları giderme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:314063 Windows XP'de bir "Dur 0x0000000A" hatasında sorun giderme
Neden
Bu sorun, bilgisayarınıza Sdbot virüsünün bir türevi bulaşmışsa ortaya çıkabilir.
Sdbot virüsü gizli bir işlem oluşturur. Bu işlem, sistem yöneticilerinin tanılama ve yapılandırma amacıyla kullandığı programları kapatır. İşlem ayrıca bu programların çalışmasını da engelleyebilir.
Sdbot virüsünün dosya adı değişebilir. Bu virüsün çeşitli türevleri bilgisayara Msdirectx.sys veya Haxdrv.sys adlı bir sürücü yerleştirir. Bu sürücü, virüs işlemini gizlemek için kullanılır. Msdrv.exe ve Sdkcore.exe, virüsün genelde kullandığı dosya adları arasındadır. Bu virüs türevleri, dosyaları silerseniz geri yükleyebilir.
Çözüm
Bu sorunu gidermek için aşağıdaki yöntemlerden birini kullanın:
Otomatik Kaldırma
Bu virüsün bazı sürümlerini otomatik olarak kaldırmak için, Microsoft Kötü Amaçlı Yazılımları Temizleme Aracı'nı çalıştırın.
Bu yardımcı programın Nisan sürümü, bu zararlı yazılımın bazı türevlerini kaldırabilir. Kötü Amaçlı Yazılımları Temizleme Aracı'na yönelik bilgileri ve karşıdan yüklemeleri aşağıdaki konumlarda bulabilirsiniz:
El İle Kaldırma
Önemli Sdbot virüsünün dosya adı değişebilir. Sdbot virüsünün bilgisayarınızda kullandığı dosya adına bağlı olarak bu adımları değiştirmeniz gerekebilir.
-
Aşağıdaki adımları izleyerek bilgisayarı Güvenli Modda başlatın:
-
Bilgisayarı yeniden başlatın.
-
Bilgisayar başlatılırken, F8 tuşuna saniyede bir kez olmak üzere art arda basın.
Microsoft Windows Gelişmiş Başlangıç Menüsü seçenekleri görüntülenir. -
YUKARI OK ve AŞAĞI OK tuşlarını kullanarak Güvenli Mod seçeneğini vurgulayın ve ENTER tuşuna basın.
-
-
Başlat'ı tıklatın, Çalıştır'ı tıklatın, Aç kutusuna regedit yazın ve Tamam'ı tıklatın.
-
Aşağıdaki kayıt defteri alt anahtarlarında, Msdrv.exe veya Sdkcore.exe dosya adını içeren tüm girdileri bulun ve silin:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesÖrneğin, bir "Ms Ses Sürücüleri" girdisinde "msdrv.exe" değeri varsa bu girdiyi silin. -
Aşağıdaki kayıt defteri alt anahtarlarında, Msdirectx veya Haxdrv içeren tüm girdileri bulun ve silin:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ -
Kayıt Defteri Düzenleyicisi'nden çıkın.
-
Başlat'ı tıklatın, Çalıştır'ı tıklatın, Aç kutusuna cmd yazın ve Tamam'ı tıklatın.
-
Komut istemine aşağıdaki komutları yazın. Her komutun ardından ENTER tuşuna basın.
attrib -r -h -s %systemroot%\system32\msdirectx.sys
attrib -r -h -s %systemroot%\system32\haxdrv.sys
attrib -r -h -s %systemroot%\system32\msdrv.exe
attrib -r -h -s %systemroot%\system32\sdkcore.exeNot Bu dosyalar bilgisayarda çeşitli klasörlerde bulunabilir. Örneğin, dosyaların aşağıdaki klasörlerde bulunduğu bildirilmiştir:-
C:\
-
C:\system32\
-
C:\system32\drivers\
-
C:\Documents and Settings\KullanıcıAdı\
Bir arama gerçekleştirip Msdirectx.sys ve Haxdrv.sys dosyalarının tüm kopyalarını bulun. Ardından, %systemroot%\system32\ yolu yerine, bulduğunuz her dosyanın yolunu yazarak bu adımdaki komutları yazın. -
-
Aşağıdaki komutları yazarak bu dosyaları silin. Her komutun ardından ENTER tuşuna basın.
del %systemroot%\system32\msdirectx.sys
del %systemroot%\system32\haxdrv.sys
del %systemroot%\system32\msdrv.exe
del %systemroot%\system32\sdkcore.exe7. adımda bu dosyaların başka kopyalarını da bulduysanız, bulduğunuz her dosyanın yolunu kullanarak bu komutları yineleyin. -
Bilgisayarı yeniden başlatın.
-
Virüsten koruma ve casus yazılımdan koruma programlarınızın en son tanımlarla güncelleştirilmiş olmasını sağlayın. Ardından, tam bir sistem taraması gerçekleştirin. 7 Nisan 2005 itibariyle, aşağıdaki dosyalar şu programlar tarafından algılanmıştır:
Msdrv.exeProgram
Sdbot virüs türevi algılandı
Norman AV
W32/MEWpacked.gen
PandaLabs
W32/MEWpacked.gen
AVERT Labs
Algılanmadı (yetersiz)
F-Secure
Backdoor.Win32.SdBot.gen
Sophos
Troj/NtRootK-F (msdirectx.sys), Troj/Rootkit-U (haxdrv.sys), W32/Sdbot-WR, W32/Sdbot-VJ, W32/Sdbot-WK, W32/Sdbot-WD
Trend Micro
TROJ_ROOTKIT.H (msdirectx.sys), WORM_RBOT.AXU, WORM_SDBOT.BDX
Msdirectx.sys
Program
Sdbot virüs türevi algılandı
F-Secure
Trojan.Win32.Rootkit.h
Referanslar
Microsoft Kötü Amaçlı Yazılımları Temizleme Aracı hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/turkiye/guvenlik/msrt.mspx Microsoft AntiSpyware ürünü hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
892279 Microsoft Windows AntiSpyware (Beta) nasıl elde edilir (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
892340 Microsoft Windows AntiSpyware (Beta) bir programı casus yazılım tehlikesi olarak belirliyor
Virüsten koruma yazılımı satıcıları hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
49500 Virüsten koruma yazılımı satıcılarının listesi
