-
Junior Member
- Вес репутации
- 61
периодический BSOD компьютеров
Приветствую!
После процедуры смены антивируса в крнторе на ряде компьютеров наблюдается периодические (повторяющиеся) BSOD`ы.
Поверхностный анализ дампов указывает на одну и ту-же ошибку вызванную неким драйвером. Что за драйвер не указано, потому как ошибка идет из ядра. Уверенности в том что на железке нет вируса нет, но антивирус на ней присутствует.
Что касается анализа дампа, то
PHP код:
BugCheck 1000008E, {c0000005, 8057e4dc, f72b8d20, 0}
Probably caused by : ntoskrnl.exe ( nt!PspTerminateThreadByPointer+17 )
PHP код:
FAULTING_IP:
nt!PspTerminateThreadByPointer+17
8057e4dc f60640 test byte ptr [esi],40h
TRAP_FRAME: f72b8d20 -- (.trap 0xfffffffff72b8d20)
ErrCode = 00000000
eax=864b5401 ebx=9a5f4400 ecx=864b55a9 edx=00000001 esi=00000248 edi=00000000
eip=8057e4dc esp=f72b8d94 ebp=f72b8da8 iopl=0 nv up ei ng nz na pe nc
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010286
nt!PspTerminateThreadByPointer+0x17:
8057e4dc f60640 test byte ptr [esi],40h ds:0023:00000248=??
Resetting default scope
CUSTOMER_CRASH_COUNT: 1
DEFAULT_BUCKET_ID: DRIVER_FAULT
BUGCHECK_STR: 0x8E
PROCESS_NAME: System
LAST_CONTROL_TRANSFER: from 8057dff9 to 8057e4dc
STACK_TEXT:
f72b8da8 8057dff9 00000000 00000000 00000000 nt!PspTerminateThreadByPointer+0x17
f72b8ddc 804fa477 804e4729 80000000 00000000 nt!PspSystemThreadStartup+0x40
00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16
Прошу любой помощи в поимке этого с...го драйвера.
Полный дам ~500 Мб, так что минидамп прилагаю (если из минидампа что-то неочевидно, подскажите в какую строну рыть):
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
miae, возможно, будет полезной информация о названиях антивирусов и процедуре их деинсталляции.
-
Там система с SP2
Возможно установка SP3 поможет.
(А может DeviceLock конфликтует с KAV/KIS)
The worst foe lies within the self...
-
-
1. список логов по анологии с разделом помогите, давай.
2. сп2 однозначно обновлять до сп3 + ведро обновлений если сможете.
3. однозначно проблемы в каком-то перехватчике (все 3 лога при старте процессов, однозначно инжект кода,. антивирусно/вирусная активность .)
-
Junior Member
- Вес репутации
- 61
Сообщение от
Kuzz
Там система с SP2
Возможно установка SP3 поможет.
(А может DeviceLock конфликтует с KAV/KIS)
У вас есть только предположения или это видно из минидампа ?
Сообщение от
Virtual
1. список логов по анологии с разделом помогите, давай.
2. сп2 однозначно обновлять до сп3 + ведро обновлений
если сможете.
3. однозначно проблемы в каком-то перехватчике (все 3 лога при старте процессов, однозначно инжект кода,. антивирусно/вирусная активность
.)
смое интересное, что BSOD`ы стали возникать периодически на некотором количестве компьютеров (либо эпидемия либо косорукость разработчиков ПО)
в части 3! можно со скрином, чтобы для тех хто в танке дошло ?
-
Сообщение от
miae
У вас есть только предположения или это видно из минидампа ?
смое интересное, что BSOD`ы стали возникать периодически на некотором количестве компьютеров (либо эпидемия либо косорукость разработчиков ПО)
в части 3! можно со скрином, чтобы для тех хто в танке дошло ?
Код:
STACK_TEXT:
... nt!PspTerminateThreadByPointer+0x17
... nt!PspSystemThreadStartup+0x40
... nt!KiThreadStartup+0x16
у всех дампов стек схож, в авз смотреть кто и как перехватывает функции, вот поэтому и просил логи п.1., дабы виднее было
боюсь это антивирь, а скорее всего софтовый троян точнее его драйвер прикрытия в ядре
Добавлено через 5 часов 38 минут
miae, хм сделал поиск по вашим постам....
рекомендую:
1. провести 1, 2... компьютера через раздел помогите, согласно ПРАВИЛАМ
2. однозначно начать ставить обновлеия в систему(ы), и почитать как можно обезопасить себя от ... ну как минимум ограниченные учетные записи, поверь очень действенный метод. .
Последний раз редактировалось Virtual; 18.11.2009 в 21:27.
Причина: Добавлено