Перейти к содержанию

После заражения вирусами, стал появляться синий экран смерти.


Андрей62

Рекомендуемые сообщения

С наступающим новым годом!

Сегодня во время загрузки системы два раза выпал синий экран.

Высылаю архив с дампами ошибки.

21 час назад, SQ сказал:

Проверьте целостность системных файлов:



sfc /scannow

Проверка обнаружила ошибку и пишет что исправила.

1.JPG

30_12_20.rar

CBS.rar

Изменено пользователем Андрей62
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 103
  • Created
  • Последний ответ

Top Posters In This Topic

  • Андрей62

    50

  • SQ

    23

  • Ummitium

    9

  • andrew75

    8

1) Касаемо отчета CBS.

Если верить отчетам, то ошибки возникают из-за поврежденного следующего файла:
 

2020-12-30 22:12:53, Info                  CSI    00000214 [SR] Repairing file \??\C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\\OneDrive.lnk from store
2020-12-30 22:13:15, Info                  CSI    00000271 [SR] Repairing 1 components
2020-12-30 22:13:16, Info                  CSI    00000273 [SR] Repairing file \??\C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\\OneDrive.lnk from store
2020-12-30 22:13:16, Info                  CSI    00000275 [SR] Repair complete
2020-12-30 22:13:16, Info                  CSI    00000276 [SR] Committing transaction

 

По идеи после перезагрузке проблема с целостностью файлов должна решиться.

2) Первый анализ дампа покызывает на проблему из-за драйвера приложения Malwarebytes Anti-Ransomware Protection. Уточните пожалуйста, если проблемы начались после установки указанного ПО?  Подробнее: farflt.sys

 

Spoiler

1: kd> !seek

    0 TID:0001 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 000000ad`dd6fed78 00000000`00000000 0x00007ffb`3cbfb9d0

#   1 TID:0002 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 ffff8002`7c0cf958 fffff805`63218784 nt!KeBugCheckEx
01 ffff8002`7c0cf960 fffff805`6320395e nt!MmAccessFault+0x20c224
02 ffff8002`7c0cfb00 00007ffb`3cb8c3df nt!KiPageFault+0x35e
03 0000002b`9a2fd290 00000000`00000000 0x00007ffb`3cb8c3df

    2 TID:0003 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 ffff8002`796eb9a8 fffff805`6305c817 nt!MiTrimOrAgeWorkingSet+0x4
01 ffff8002`796eb9c0 fffff805`63040560 nt!MiProcessWorkingSets+0x227
02 ffff8002`796eba60 fffff805`631b4e37 nt!MiWorkingSetManager+0x110
03 ffff8002`796ebb20 fffff805`63117e25 nt!KeBalanceSetManager+0x157
04 ffff8002`796ebc10 fffff805`631fcdd8 nt!PspSystemThreadStartup+0x55
05 ffff8002`796ebc60 00000000`00000000 nt!KiStartSystemThread+0x28

    3 TID:0004 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 00000000`05c9d370 00000000`00000000 0x77e1d970

    4 TID:0005 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 000000af`d15f7390 00000000`00000000 0x00007ffb`3660035b

    5 TID:0006 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 ffff8002`7be83e10 fffff805`637b1094 nt!ExAllocateHeapPool+0x3a2
01 ffff8002`7be83f50 fffff805`633fb3f9 nt!ExAllocatePoolWithTag+0x64
02 ffff8002`7be83fa0 fffff805`63422b5a nt!ObpAllocateObject+0x199
03 ffff8002`7be84020 fffff805`634248f1 nt!CmpCreateKeyBody+0x12a
04 ffff8002`7be840d0 fffff805`63423453 nt!CmpDoParseKey+0x5d1
05 ffff8002`7be84370 fffff805`6342751e nt!CmpParseKey+0x2c3
06 ffff8002`7be84510 fffff805`633eb19a nt!ObpLookupObjectName+0x3fe
07 ffff8002`7be846e0 fffff805`633eaf7c nt!ObOpenObjectByNameEx+0x1fa
08 ffff8002`7be84810 fffff805`633eaaa1 nt!ObOpenObjectByName+0x5c
09 ffff8002`7be84860 fffff805`634c2612 nt!CmOpenKey+0x2c1
0a ffff8002`7be84ac0 fffff805`632071b8 nt!NtOpenKey+0x12
0b ffff8002`7be84b00 00007ffb`3cc0c1f4 nt!KiSystemServiceCopyEnd+0x28
0c 00000000`04eedec8 00000000`00000000 0x00007ffb`3cc0c1f4

    6 TID:0007 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 00000000`04e6de78 00000000`00000000 0x00007ffb`3cb87655
*** WARNING: Unable to verify timestamp for farflt.sys

    7 TID:0008 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 ffff8002`7d611050 fffff805`63061cc0 nt!KeAcquireInStackQueuedSpinLock+0x66
01 ffff8002`7d611080 fffff805`6bb31804 nt!ExAcquireResourceExclusiveLite+0xb0
02 ffff8002`7d611110 00000000`00000300 farflt+0x1804
03 ffff8002`7d611118 fffff805`6bb55cb0 0x300
04 ffff8002`7d611120 00000000`00000000 farflt+0x25cb0

Threads: 8 of 8
Command: knL

 




Второй анализ дампа неоднозначный, с одной стороны имеются драйвера в стеках, отвечающие за работу файловой системы, контроллера диска или диска, в тоже время возможно что проблема возникает из-за битой планки RAM (ОЗУ). Уточните пожалуйста, если вы проверяли память утилитой memtest86+

Spoiler

6: kd> !seek

    0 TID:0001 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 ffff9102`0af31828 fffff803`3dabb279 nt!ExFreePool
01 ffff9102`0af31830 fffff803`3bc7453b clipsp!SLQueryLicenseValueInternal+0x35f9
02 ffff9102`0af319e0 fffff803`3ba071b8 nt!NtQueryLicenseValue+0x23b
03 ffff9102`0af31a90 00007ffc`4ad4ea04 nt!KiSystemServiceCopyEnd+0x28
04 00000000`00efe408 00000000`00000000 0x00007ffc`4ad4ea04

    1 TID:0002 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 ffff9102`070296b8 fffff803`409a1423 intelppm!MWaitIdle+0x1f
01 ffff9102`070296c0 fffff803`3b871396 intelppm!AcpiCStateIdleExecute+0x23
02 ffff9102`070296f0 fffff803`3b870154 nt!PpmIdleExecuteTransition+0x10c6
03 ffff9102`07029af0 fffff803`3b9f92a4 nt!PoIdle+0x374
04 ffff9102`07029c60 00000000`00000000 nt!KiIdleLoop+0x54

    2 TID:0003 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 ffff9102`0afd19f0 fffff803`3b9f0318 nt!MiUnlinkNodeLargePageHelper+0x6
01 ffff9102`0afd1a00 fffff803`3b9ef5aa nt!MiUnlinkNodeLargePages+0x620
02 ffff9102`0afd1b30 fffff803`3b9490d2 nt!MiGetFreeZeroLargePages+0x86
03 ffff9102`0afd1bc0 fffff803`3b812433 nt!MiGetLargePage+0xc2
04 ffff9102`0afd1d10 fffff803`3b925f0b nt!MiGetPageChain+0x253
05 ffff9102`0afd1f50 fffff803`3b827420 nt!MiGetHardFaultPages+0xfb
06 ffff9102`0afd1fd0 fffff803`3b8b77cb nt!MiBuildMdlForMappedFileFault+0x180
07 ffff9102`0afd2110 fffff803`3b815f65 nt!MiResolveMappedFileFault+0x44b
08 ffff9102`0afd2240 fffff803`3b80e7a5 nt!MiResolveProtoPteFault+0x1205
09 ffff9102`0afd2340 fffff803`3b80c6e9 nt!MiDispatchFault+0x3d5
0a ffff9102`0afd2480 fffff803`3b8a15ba nt!MmAccessFault+0x189
0b ffff9102`0afd2620 fffff803`3bc3bbbc nt!MiPrefetchVirtualMemory+0x28a
0c ffff9102`0afd2720 fffff803`3ba071b8 nt!NtSetInformationVirtualMemory+0x64c
0d ffff9102`0afd2a90 00007ffc`4ad4f364 nt!KiSystemServiceCopyEnd+0x28
0e 00000028`533ff068 00000000`00000000 0x00007ffc`4ad4f364

    3 TID:0004 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 ffff9102`070456b8 fffff803`409a1423 intelppm!MWaitIdle+0x1f
01 ffff9102`070456c0 fffff803`3b871396 intelppm!AcpiCStateIdleExecute+0x23
02 ffff9102`070456f0 fffff803`3b870154 nt!PpmIdleExecuteTransition+0x10c6
03 ffff9102`07045af0 fffff803`3b9f92a4 nt!PoIdle+0x374
04 ffff9102`07045c60 00000000`00000000 nt!KiIdleLoop+0x54

    4 TID:0005 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 ffff9102`0a5dad80 fffff803`3b861553 nt!ExpReleaseResourceSharedForThreadLite+0x48
01 ffff9102`0a5dae40 fffff803`3bcf2dd0 nt!ExReleaseResourceLite+0xf3
02 ffff9102`0a5daea0 fffff803`3bd06f14 nt!PspInsertThread+0x27c
03 ffff9102`0a5daf60 fffff803`3bd07336 nt!PspCreateThread+0x294
04 ffff9102`0a5db220 fffff803`3ba071b8 nt!NtCreateThreadEx+0x266
05 ffff9102`0a5dba90 00007ffc`4ad4d7c4 nt!KiSystemServiceCopyEnd+0x28
06 000000b8`e4bfccc8 00000000`00000000 0x00007ffc`4ad4d7c4

    5 TID:0006 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 ffff9102`0ad4f900 fffff803`3bc00193 nt!IopReleaseFileObjectLock+0xdb
01 ffff9102`0ad4f970 fffff803`3ba071b8 nt!NtQueryInformationFile+0x5a3
02 ffff9102`0ad4fa90 00007ffc`4ad4c1d4 nt!KiSystemServiceCopyEnd+0x28
03 00000037`c1efebf8 00000000`00000000 0x00007ffc`4ad4c1d4

#   6 TID:0007 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 ffff9102`0affc0f8 fffff803`3b89d0fa nt!KeBugCheckEx
01 ffff9102`0affc100 fffff803`3b80b9e6 nt!MiDeleteVa+0x153a
02 ffff9102`0affc200 fffff803`3b80bafb nt!MiWalkPageTablesRecursively+0x776
03 ffff9102`0affc2a0 fffff803`3b80bafb nt!MiWalkPageTablesRecursively+0x88b
04 ffff9102`0affc340 fffff803`3b80bafb nt!MiWalkPageTablesRecursively+0x88b
05 ffff9102`0affc3e0 fffff803`3b85de6b nt!MiWalkPageTablesRecursively+0x88b
06 ffff9102`0affc480 fffff803`3b89b991 nt!MiWalkPageTables+0x36b
07 ffff9102`0affc580 fffff803`3b86baf0 nt!MiDeletePagablePteRange+0x4f1
08 ffff9102`0affc890 fffff803`3bc35c99 nt!MiDeleteVad+0x360
09 ffff9102`0affc9a0 fffff803`3bc35a72 nt!MiUnmapVad+0x49
0a ffff9102`0affc9d0 fffff803`3bc358e9 nt!MiUnmapViewOfSection+0x152
0b ffff9102`0affcab0 fffff803`3ba071b8 nt!NtUnmapViewOfSectionEx+0x99
0c ffff9102`0affcb00 00007ffc`4ad4f924 nt!KiSystemServiceCopyEnd+0x28
0d 0000009c`be1ff3d8 00000000`00000000 0x00007ffc`4ad4f924

    7 TID:0008 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 ffff9102`0786f3e0 fffff803`3bc2751e nt!IopParseDevice+0x1d11
01 ffff9102`0786f550 fffff803`3bbeb19a nt!ObpLookupObjectName+0x3fe
02 ffff9102`0786f720 fffff803`3bc6da0e nt!ObOpenObjectByNameEx+0x1fa
03 ffff9102`0786f850 fffff803`3ba071b8 nt!NtQueryFullAttributesFile+0x1ce
04 ffff9102`0786fb00 00007ffc`4ad4e864 nt!KiSystemServiceCopyEnd+0x28
05 000000ae`658cabb8 00000000`00000000 0x00007ffc`4ad4e864

Threads: 8 of 8
Command: knL
 

 

Ссылка на сообщение
Поделиться на другие сайты
11 часов назад, SQ сказал:

Уточните пожалуйста, если вы проверяли память утилитой memtest86+

У меня не получилось создать загрузочный диск. Если есть возможность, расскажите, как это сделать.

Ссылка на сообщение
Поделиться на другие сайты
8 minutes ago, Андрей62 said:

У меня не получилось создать загрузочный диск. Если есть возможность, расскажите, как это сделать.

Уточните пожалуйста, вы пробовали использовать приложение Rufus для создания загрузочной флэшки (как например указано запись образа KRD)?

Ссылка на сообщение
Поделиться на другие сайты
On 31.12.2020 at 09:50, SQ said:

Уточните пожалуйста, вы пробовали использовать приложение Rufus для создания загрузочной флэшки (как например указано запись образа KRD)?

Попробовал разными способами создать мульти загрузочный диск для проверки памяти.

У меня ничего не получилось. 

В начале я пробовал сделать как описано в подыщем сообщении, потом как в крайнем. Максимально, что получилось это загрузочная флешка для чистой установки виндовс.

 

 

Spoiler

0.JPG

 

 

Spoiler

1.JPG

 

 

Spoiler

2.JPG

 

 

Spoiler

3.JPG

 

 

Spoiler

4.JPG

 

 

Spoiler

5.JPG

 

 

 

Spoiler

6.JPG

 

Ссылка на сообщение
Поделиться на другие сайты

С Новым годом!

 

Перед самым новым годом мне получилось сделать загрузочную флешку для проверки памяти. Скачал с  https://www.memtest86.com/download.htm сайта. Описание по адресу: https://onoutbukax.ru/soft-memtest86/ .

Сейчас, уже почти сутки, идет проверка памяти. Каждая планка памяти, в каждом слоте для памяти работает без ошибок. Когда устанавливаю две планки в первый слот для совместной работы, тест начинает показывать ошибки. после 10 000 ошибок тест прерывается.

На данный момент тестируется вторая планка памяти в последнем слоте для памяти.

После этого думаю проверить работу пары планок во втором слоте для памяти.

Логи тестирования прилагаю.

Оставил одну планку памяти в первом черном слоте.

 

 

Spoiler

0-02-05-1abbffb7625f4ccda2979ef90662549e5b18617e4bdc9fd281f1e57c03df6338_d64240a8.jpg

 

 

Spoiler

0-02-05-7c9c0b5a6d620b109ab86e60cd551ff891391c941ed2374eddc1390eb5ec7288_5979dead.jpg

 

 

Spoiler

0-02-05-91c7aca894ef87ba27e8b9890763995e7c2851935f089da49c835ae9a8e6dbcd_d330d4b9.jpg

 

 

Spoiler

0-02-05-188ab202a56471227365ec712b029b4d2a380fcaf1ecbb3441468d36788e0fa9_22dcf6b9.jpg

 

 

Spoiler

0-02-05-66322c14bdaf410b9de0c8c6f3f05fb7d7396a2d7cbfaf3ac68c4dbe621a1a38_d17535b3.jpg

 

 

Spoiler

0-02-05-63342818a89edda6221ccc760feefa10db12fbebc3788853c403188b8f2f9301_19b32711.jpg

 

 

Spoiler

0-02-05-a100b8d13f59ff766549c9022844dbedf2fe59ae8b0eb309a2b46bb9f3467db1_41242c9d.jpg

 

 

Spoiler

0-02-05-b226567b4c2fe32e828a57b762208829ec113b7b03918093a434b4d361072765_4afb8235.jpg

 

 

Spoiler

0-02-05-ba4e48800caa18d95ff61609b55278d3f000f747c4e8bcf38a186213f9073988_589dde1a.jpg

 

MemTest86.log

Ссылка на сообщение
Поделиться на другие сайты

Отлично, рад что у Вас получилось.

 

Убедитесь, чтобы тест не давал ошибок, в случае необходимости выньте проблемную планку. После этого понаблюдайте на за работой ПК в нормальном режиме. Если проблема вернется, то пожалуйста удалите (временно) Malwarebytes Anti-Ransomware Protection (чтобы его исключить в качестве виновника) и понаблюдайте дальше.

 

В итоге проделанного сообщите  пожалуйста, если проблема в итоге была решена или нет.

Ссылка на сообщение
Поделиться на другие сайты

Обе планки тестируются без ошибок.

Ошибки  возникают, когда стоят две планки памяти.

Сейчас я оставил одну планку. Посмотрим, как будет работать система.

Посоветуйте более-менее нормальный антивирус (лучше бесплатный). Я установил Malwarebytes. 

Ссылка на сообщение
Поделиться на другие сайты
50 minutes ago, Андрей62 said:

Посоветуйте более-менее нормальный антивирус (лучше бесплатный). Я установил Malwarebytes. 

Могу посоветовать только Kaspersky Free. Malwarebytes - это не антивирус, а скорее всего продукт защищающий Ваш компьютер от вредоносного ПО, так как он как минимум не способен защищать компьютер от файловых вирусов и т.п.

P.S. Как вы понимаете на данном форуме, антивирусный продукт другого бренда врядли Вам кто-то посоветует.

Ссылка на сообщение
Поделиться на другие сайты
6 hours ago, SQ said:

Могу посоветовать только Kaspersky Free.

Установить не получилось.

Еще, если знаете, подскажите как правильно  и без ошибок удалить папку Windows.old.

 

Spoiler

Kaspersky.JPG

 

Ссылка на сообщение
Поделиться на другие сайты
5 hours ago, Андрей62 said:

Еще, если знаете, подскажите как правильно  и без ошибок удалить папку Windows.old.

 

Правильней удалить через очистку диска (нажать правой кнопкой мыши на системный диск).

- выбрать очистку диска

Spoiler

1436767675_disk-properties-diskcleanup1.jpg.f738c6e6b6ee6e5ddb1cbf7a20bfeeef.jpg


- после чего выбрать очистка системных файлов;

Spoiler

2123496735_clanup-system-files-windows10-option1.jpg.43178535fbe4c7bde146f3045735c903.jpg


- далее отметьте файлы предыдущей установки:

Spoiler

1184315658_diskcleanup-delete-windowsold-windows101.jpg.152ddfb988a29bfeb9a9e620db17a462.jpg

- и нажите ок.
Важно, после вышеуказанных манипуляции вы не сможете откатить версии Windows 10 на более ранюю.

Ссылка на сообщение
Поделиться на другие сайты

Спасибо!

Я просто устанавливал в один день два раза систему. После того, как все заработает корректно, я хочу создать точку восстановления системы.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • dobrota_xx
      От dobrota_xx
      Предыдущая проблема тут 
      С некоторых пор, игры на dx12 стали запускаться. Но вообще все игры рандомно вылетали на рабочий стол. Я стал делать проверку системы на вирусы и попереставлял местами плашки рам. Теперь я ловлю очень частые синие экраны при разных событиях.
       
      Во всех присутствует ntoskrnl.exe
       

    • ahawk
      От ahawk
      Добрый день. 
      На ноутбуке не запускается приложение CCleaner. В диспетчере процессов висит, потребляет примерно 30% загрузки ЦП и 11МБ памяти.
      Также при загрузке ноутбука появляется синий экран с сообщением SYSTEM SERVICE EXCEPTION. 
      Я проверил диск на наличие ошибок - ошибок нет
      проверил диск с помощью Kaspersky Free - вирусы не обнаружены
      проверил целостность системных файлов командой sfc /scannow и проверил и восстановил хранилище командой dism /online /cleanup-image /restorehealth - команды выполнены успешно, нарушений целостности не выявлено и повреждения хранилища также не выявлено.
      Также с помощью программы BlueScreenView посмотрел дампы ошибок. Они все одинаковые. Скриншот во вложении.
      Прошу помощи, так как не знаю что еще можно сделать без переустановки ОС и приложений
      Заранее спасибо!


    • Ghostil
      От Ghostil
      Добрый вечер. После 18.09.21 компьютер стал вылетать в синий экран смерти. Оказалось что 18.09.21 в 7: 58 в папке с драйверами появился bddci.sys. Это как пишут в интернете драйвер от антивируса Bitdefender. Только вот самого антивируса нет на компьютере и я его не ставил. Я пробовал утилиту которая удаляет файлы от этого антивируса но ничего не изменилось. Проверку на вирусы я делал касперским. Обновление ОС стоит последнее.
      Как правильно удалить этот драйвер?

×
×
  • Создать...