Показано с 1 по 11 из 11.

BSOD Page Fault in Nonpaged Area и сопутствующие ошибки (заявка № 47986)

  1. #1
    Junior Member Репутация
    Регистрация
    02.07.2008
    Сообщений
    10
    Вес репутации
    35

    Thumbs up BSOD Page Fault in Nonpaged Area и сопутствующие ошибки

    Добрый день!
    У меня следующая проблема: чаще всего сразу после загрузки компьютера, а иногда и в процессе работы Windows XP выдаёт синий экран смерти с ошибкой Page Fault in Nonpaged Area и параметрами "код ошибки 10000050, параметр1 ff862000, параметр2 00000000, параметр3 804dace7, параметр4 00000000". В описании в списке системных событий ошибке присвоен код 1003. Проверка антивирусными утилитами в безопасном режиме дала несколько троянов, которые благополучно были удалены, однако проблему это не решило. Сначала грешил на память, но поменял планку, воткнув её в другой слот, и снова всё то же самое. Кроме того в списке системных событий после перезагрузки перед каждой системной ошибкой записаны ещё две:

    1. Сбой при запуске службы "srrkvwpq" из-за ошибки
    Не удается найти указанный файл.
    2. Сбой при запуске службы "vjrvnrzn" из-за ошибки
    Не удается найти указанный файл.

    vjrvnrzn обнаружена вручную в реестре по адресу HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603. Там же есть файл umcss.exe, о котором упоминается в сети. Я прочитал, что это червь, поэтому обращаю внимание.

    srrkvwpq тоже вручную обнаружена, например, здесь: \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root \LEGACY_SRRKVWPQ и здесь: \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root \LEGACY_SRRKVWPQ

    Больше никаких вирусов найдено не было.

    Прошу помочь разобраться с проблемой. Логи во вложении.

    Заранее спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    Пофиксить в HiJack
    Код:
     F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\twext.exe','');
     QuarantineFile('C:\WINDOWS\system32\twex.exe','');
     QuarantineFile('msansspc.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\vjrvnrzn.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\srrkvwpq.sys','');
     DeleteService('vjrvnrzn');
     DeleteService('srrkvwpq');
     DeleteFile('C:\WINDOWS\system32\drivers\srrkvwpq.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\vjrvnrzn.sys');
     DeleteFile('msansspc.dll');
     DeleteFile('C:\WINDOWS\system32\twex.exe');
     DeleteFile('C:\WINDOWS\system32\twext.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    02.07.2008
    Сообщений
    10
    Вес репутации
    35
    Добрый день!

    Не уверен, что стоит сейчас делать логи, потому что в карантине AVZ пусто, а в протоколе проверки возникли следующие ошибки:

    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\twext.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\twext.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\twex.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\twex.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (msansspc.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (msansspc.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\vjrvnrzn.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\vjrvnrzn.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\srrkvwpq.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\srrkvwpq.sys)
    Карантин с использованием прямого чтения - ошибка
    Удаление службы/драйвера: vjrvnrzn
    Удаление службы/драйвера: srrkvwpq
    Удаление файла:C:\WINDOWS\system32\drivers\srrkvwpq.sys
    >>>Для удаления файла C:\WINDOWS\system32\drivers\srrkvwpq.sys необходима перезагрузка
    Удаление файла:C:\WINDOWS\system32\drivers\vjrvnrzn.sys
    >>>Для удаления файла C:\WINDOWS\system32\drivers\vjrvnrzn.sys необходима перезагрузка
    Удаление файла:msansspc.dll
    >>>Для удаления файла msansspc.dll необходима перезагрузка
    Удаление файла:C:\WINDOWS\system32\twex.exe
    >>>Для удаления файла C:\WINDOWS\system32\twex.exe необходима перезагрузка
    Удаление файла:C:\WINDOWS\system32\twext.exe
    >>>Для удаления файла C:\WINDOWS\system32\twext.exe необходима перезагрузка
    Какие мои дальнейшие действия?

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    Делайте логи. Звери не захотели идти в карантин
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    02.07.2008
    Сообщений
    10
    Вес репутации
    35
    Новые логи во вложении.
    Синий экран смерти всё ещё появляется.
    Вложения Вложения

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
     DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
    QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
     RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
    DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2009
    Адрес
    Киев
    Сообщений
    241
    Вес репутации
    51
    + если это не настройки вашего провайдера, пофиксите следующие строки в HijackThis

    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5FE2D309-2C7E-4D40-A908-0EC39D1BCCF6}: NameServer = 195.19.43.1,195.19.32.2
    O17 - HKLM\System\CCS\Services\Tcpip\..\{7FBFAFB0-7D0F-4222-9BDD-16E291412263}: NameServer = 192.168.0.1

  9. #8
    Junior Member Репутация
    Регистрация
    02.07.2008
    Сообщений
    10
    Вес репутации
    35
    Новые логи во вложении. Карантин закачан. Некоторые файлы не захотели идти в карантин, а именно sfc.sys -- об этом было сообщение. Кстати, посмотрел лог Д-ра Веба, там sfc.sys был со знаком "ok".

    + если это не настройки вашего провайдера, пофиксите следующие строки в HijackThis

    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5FE2D309-2C7E-4D40-A908-0EC39D1BCCF6}: NameServer = 195.19.43.1,195.19.32.2
    O17 - HKLM\System\CCS\Services\Tcpip\..\{7FBFAFB0-7D0F-4222-9BDD-16E291412263}: NameServer = 192.168.0.1
    Первые два адреса -- это адреса шлюзов сети университета, а последний -- адрес местной локальной сетки.
    Вложения Вложения

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2009
    Адрес
    Киев
    Сообщений
    241
    Вес репутации
    51
    Ничего подозрительного в логах.
    - Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
    Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите IE 8
    - Обновите Acrobat Reader

  11. #10
    Junior Member Репутация
    Регистрация
    02.07.2008
    Сообщений
    10
    Вес репутации
    35
    Большое спасибо за помощь. Несколько дней полёт нормальный, экран смерти больше не появляется. Буду смотреть, что дальше.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr


  • Уважаемый(ая) laud, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. тема: page fault in nonpaged area 0x00000050
      От Мил-ka в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.05.2012, 23:54
    2. BSOD: PAGE FAULT IN NONPAGED AREA
      От enisei в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 12.11.2011, 18:26
    3. Oшибка! Page fault in nonpaged area! 0x00000050
      От mr.3y6a в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.05.2010, 15:29
    4. Microsoft запатентовал функции Page Up и Page Down
      От ALEX(XX) в разделе Другие новости
      Ответов: 3
      Последнее сообщение: 12.09.2008, 08:40
    5. синий экран и "page fault in nonpaged area"
      От Катеринка в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 25.12.2006, 02:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01080 seconds with 17 queries