Время от времени ОС вываливается в BSOD. Провел проверку AVZ'ом и HiJack'ом. AVZ кое-что обнаружил. Логи прилагаются. Надеюсь на Вашу помощь.
Время от времени ОС вываливается в BSOD. Провел проверку AVZ'ом и HiJack'ом. AVZ кое-что обнаружил. Логи прилагаются. Надеюсь на Вашу помощь.
Номер ошибки BSOD сообщите.
В AVZ выполните скрипт:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); clearquarantine; TerminateProcessByName('\Device\HarddiskVolume1\Documents and Settings\USER\Local Settings\Temp\RarSFX0\v23kjxp.exe'); QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\O3b2q8e4.sys',''); QuarantineFile('\Device\HarddiskVolume1\Documents and Settings\USER\Local Settings\Temp\RarSFX0\v23kjxp.exe',''); QuarantineFile('c:\Documents and Settings\USER\Local Settings\Temp\RarSFX0\v23kjxp.exe',''); DeleteFile('C:\Documents and Settings\USER\Local Settings\Temp\RarSFX0\v23kjxp.exe'); DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\O3b2q8e4.sys'); DeleteFile('\Device\HarddiskVolume1\Documents and Settings\USER\Local Settings\Temp\RarSFX0\v23kjxp.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',3,3,true); RebootWindows(true); end.
После перезагрузки
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Логи повторите.
Скрипты выполнил.
Повторные логи приложил.
Вот анализ дампа:
Карантин по ссылке сверху отправить не удалось, пишет :Код HTML:******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* Use !analyze -v to get detailed debugging information. BugCheck 1000000A, {ffffd580, 2, 0, 804f2eb1} Probably caused by : memory_corruption ( nt!MiLocateSubsection+2b ) Followup: MachineOwner --------- kd> !analyze -v ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* IRQL_NOT_LESS_OR_EQUAL (a) An attempt was made to access a pageable (or completely invalid) address at an interrupt request level (IRQL) that is too high. This is usually caused by drivers using improper addresses. If a kernel debugger is available get the stack backtrace. Arguments: Arg1: ffffd580, memory referenced Arg2: 00000002, IRQL Arg3: 00000000, bitfield : bit 0 : value 0 = read operation, 1 = write operation bit 3 : value 0 = not an execute operation, 1 = execute operation (only on chips which support this level of status) Arg4: 804f2eb1, address which referenced memory Debugging Details: ------------------ READ_ADDRESS: ffffd580 CURRENT_IRQL: 2 FAULTING_IP: nt!MiLocateSubsection+2b 804f2eb1 8b7010 mov esi,dword ptr [eax+10h] CUSTOMER_CRASH_COUNT: 1 DEFAULT_BUCKET_ID: DRIVER_FAULT BUGCHECK_STR: 0xA PROCESS_NAME: EXPLORER.EXE LAST_CONTROL_TRANSFER: from 804ec0e0 to 804f2eb1 STACK_TEXT: ef5c5bac 804ec0e0 82257e60 81b7cbc8 00000001 nt!MiLocateSubsection+0x2b ef5c5c58 804f2d65 e280e500 01940fff 00000000 nt!MiDeleteVirtualAddresses+0x132 ef5c5d04 8057372e 81d0acb8 00d4d0d4 ef5c5d74 nt!MiRemoveMappedView+0x212 ef5c5d48 805737da 81c2a2c8 81c56c58 00000000 nt!MiUnmapViewOfSection+0x12b ef5c5d64 804df06b ffffffff 81d0acb8 00fef6e4 nt!NtUnmapViewOfSection+0x54 ef5c5d64 7c90eb94 ffffffff 81d0acb8 00fef6e4 nt!KiFastCallEntry+0xf8 WARNING: Frame IP not in any known module. Following frames may be wrong. 00fef6e4 00000000 00000000 00000000 00000000 0x7c90eb94 STACK_COMMAND: kb FOLLOWUP_IP: nt!MiLocateSubsection+2b 804f2eb1 8b7010 mov esi,dword ptr [eax+10h] SYMBOL_STACK_INDEX: 0 SYMBOL_NAME: nt!MiLocateSubsection+2b FOLLOWUP_NAME: MachineOwner MODULE_NAME: nt DEBUG_FLR_IMAGE_TIMESTAMP: 41108004 IMAGE_NAME: memory_corruption FAILURE_BUCKET_ID: 0xA_nt!MiLocateSubsection+2b BUCKET_ID: 0xA_nt!MiLocateSubsection+2b Followup: MachineOwner ---------
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
На сколько я понял, архив quarantine.zip пустой.
Ничего зловредного не видно. Пофиксите в hijackthis
Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
- Установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите все важные обновления.
- Установите IE 8 - даже если Вы им не пользуетесь.
Установите новые версии Adobe Acrobat и Java.
Систему обновлю. Спасибо за помощь.
Уважаемый(ая) h00ch, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.