Голубой экран

[alexutk]

Добрый день!
Помогите пожалуйста, с периодичностью раз в неделю возникает голдубой экран.

[Info_bot]

Уважаемый(ая) alexutk, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[SQ]

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

O2 - HKLM\..\BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKCU\..\Run: [MediaGet2] = C:\Users\Aleksey\MediaGet2\mediaget.exe --minimized (file missing)
O22 - Task: vcgjmxl - C:\PROGRA~2\Mozilla\axsxofk.exe -zmmnzqi (file missing)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\drivers\cheushey.sys','');
 QuarantineFile('C:\Windows\system32\drivers\druthzbc.sys','');
BC_ImportQuarantineList;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

[alexutk]

Готово

[SQ]

Здравствуйте,

Могли бы мне отправить карантин в ЛС (личным сообщением) для анализа.

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[alexutk]

Готово

[SQ]

В логах ничего вредоносного не заметил, только ссылки на несуществующие объекты.

Выполните скрипт в uVS:

Код:

;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.102\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.83\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.92\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
restart

[alexutk]

Добрый день!
Скрипт в uVS выполнен. Лог прислать?

[SQ]

Лог прислать?

Да, я его просмотрю, если все корректно профиксилось.

[alexutk]

Добрый день!
Лог прилагаю!

[SQ]

В логах вредоносного ПО не было замечено, сообщите что с проблемой.

[alexutk]

Добрый день!
К сожалению, проблема не ушла.

[SQ]

Могли бы отправить мне файлы дампов?

[alexutk]

Добрый день!
Два последних прилагаю.

[SQ]

Здравствуйте,

Вот анализ дампов:

Код:

Debug session time: Tue Nov 16 12:24:59.388 2021 (UTC - 5:00)
Loading Dump File [C:\Users\SQ\SysnativeBSODApps\111621-28548-01.dmp]
*** WARNING: Unable to verify timestamp for ntkr128g.exe
Built by: 7601.18409.x86fre.win7sp1_gdr.140303-2144
System Uptime: 1 days 8:54:10.572
*** WARNING: Unable to verify timestamp for ntkr128g.exe
BugCheck Info: MEMORY_MANAGEMENT (1a)
Bugcheck code 0000001A
Arguments: 
Arg1: 00041287, An illegal page fault occurred while holding working set synchronization.
	Parameter 2 contains the referenced virtual address.
Arg2: c0802000
Arg3: 00000000
Arg4: 00000000
PROCESS_NAME:  ntoskrnl.wrong.symbols.exe
Probably caused by: ntoskrnl.wrong.symbols.exe
FAILURE_BUCKET_ID:  WRONG_SYMBOLS_X86_7601.18409.x86fre.win7sp1_gdr.140303-2144_TIMESTAMP_140304-081927_53158C8F_nt_wrong_symbols!53158C8F413000
----------------------------------------------------------------------------------
Debug session time: Mon Nov 15 03:29:44.097 2021 (UTC - 5:00)
Loading Dump File [111521-29624-01.dmp]
*** WARNING: Unable to verify timestamp for ntkr128g.exe
Built by: 7601.18409.x86fre.win7sp1_gdr.140303-2144
System Uptime: 4 days 4:01:43.266
*** WARNING: Unable to verify timestamp for ntkr128g.exe
BugCheck Info: MEMORY_MANAGEMENT (1a)
Bugcheck code 0000001A
Arguments: 
Arg1: 00041201, The subtype of the bugcheck.
Arg2: c00cc008
Arg3: 8df81867
Arg4: 8748d050
PROCESS_NAME:  ntoskrnl.wrong.symbols.exe
Probably caused by: ntoskrnl.wrong.symbols.exe
FAILURE_BUCKET_ID:  WRONG_SYMBOLS_X86_7601.18409.x86fre.win7sp1_gdr.140303-2144_TIMESTAMP_140304-081927_53158C8F_nt_wrong_symbols!53158C8F413000

1) Проверьте пожалуйста целостность системынх файлов в командной строке(cmd.exe) :

Код:

sfc /scannow

2) Проверьте память утилитой memtestx86