Junior Member
Вес репутации
54
Голубой экран
Добрый день!
Помогите пожалуйста, с периодичностью раз в неделю возникает голдубой экран.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) alexutk , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект .
Здравствуйте,
HiJackThis (из каталога autologger )профиксить
Важно : необходимо отметить и профиксить только то, что указано ниже.
Код:
O2 - HKLM\..\BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKCU\..\Run: [MediaGet2] = C:\Users\Aleksey\MediaGet2\mediaget.exe --minimized (file missing)
O22 - Task: vcgjmxl - C:\PROGRA~2\Mozilla\axsxofk.exe -zmmnzqi (file missing)
AVZ выполнить следующий скрипт .
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\system32\drivers\cheushey.sys','');
QuarantineFile('C:\Windows\system32\drivers\druthzbc.sys','');
BC_ImportQuarantineList;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин " вверху темы.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
54
Вложения
Здравствуйте,
Могли бы мне отправить карантин в ЛС (личным сообщением) для анализа.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS .
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
54
Голубой экран
Вложения
В логах ничего вредоносного не заметил, только ссылки на несуществующие объекты.
Выполните скрипт в uVS:
Код:
;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.102\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.83\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.92\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
restart
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
54
Добрый день!
Скрипт в uVS выполнен. Лог прислать?
Сообщение от
alexutk
Лог прислать?
Да, я его просмотрю, если все корректно профиксилось.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
54
Добрый день!
Лог прилагаю!
Вложения
В логах вредоносного ПО не было замечено, сообщите что с проблемой.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
54
Добрый день!
К сожалению, проблема не ушла.
Могли бы отправить мне файлы дампов?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
54
Добрый день!
Два последних прилагаю.
Вложения
Здравствуйте,
Вот анализ дампов:
Код:
Debug session time: Tue Nov 16 12:24:59.388 2021 (UTC - 5:00)
Loading Dump File [C:\Users\SQ\SysnativeBSODApps\111621-28548-01.dmp]
*** WARNING: Unable to verify timestamp for ntkr128g.exe
Built by: 7601.18409.x86fre.win7sp1_gdr.140303-2144
System Uptime: 1 days 8:54:10.572
*** WARNING: Unable to verify timestamp for ntkr128g.exe
BugCheck Info: MEMORY_MANAGEMENT (1a)
Bugcheck code 0000001A
Arguments:
Arg1: 00041287, An illegal page fault occurred while holding working set synchronization.
Parameter 2 contains the referenced virtual address.
Arg2: c0802000
Arg3: 00000000
Arg4: 00000000
PROCESS_NAME: ntoskrnl.wrong.symbols.exe
Probably caused by: ntoskrnl.wrong.symbols.exe
FAILURE_BUCKET_ID: WRONG_SYMBOLS_X86_7601.18409.x86fre.win7sp1_gdr.140303-2144_TIMESTAMP_140304-081927_53158C8F_nt_wrong_symbols!53158C8F413000
----------------------------------------------------------------------------------
Debug session time: Mon Nov 15 03:29:44.097 2021 (UTC - 5:00)
Loading Dump File [111521-29624-01.dmp]
*** WARNING: Unable to verify timestamp for ntkr128g.exe
Built by: 7601.18409.x86fre.win7sp1_gdr.140303-2144
System Uptime: 4 days 4:01:43.266
*** WARNING: Unable to verify timestamp for ntkr128g.exe
BugCheck Info: MEMORY_MANAGEMENT (1a)
Bugcheck code 0000001A
Arguments:
Arg1: 00041201, The subtype of the bugcheck.
Arg2: c00cc008
Arg3: 8df81867
Arg4: 8748d050
PROCESS_NAME: ntoskrnl.wrong.symbols.exe
Probably caused by: ntoskrnl.wrong.symbols.exe
FAILURE_BUCKET_ID: WRONG_SYMBOLS_X86_7601.18409.x86fre.win7sp1_gdr.140303-2144_TIMESTAMP_140304-081927_53158C8F_nt_wrong_symbols!53158C8F413000
1) Проверьте пожалуйста целостность системынх файлов в командной строке(cmd.exe) :
2) Проверьте память утилитой memtestx86
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center