После заражения вирусами, стал появляться синий экран смерти.

[Андрей62]

С наступающим новым годом!

Сегодня во время загрузки системы два раза выпал синий экран.

Высылаю архив с дампами ошибки.

21 час назад, SQ сказал:

Проверьте целостность системных файлов:

sfc /scannow

Проверка обнаружила ошибку и пишет что исправила.

30_12_20.rar

CBS.rar

Изменено 30 декабря, 2020 пользователем Андрей62

[SQ]

1) Касаемо отчета CBS.

Если верить отчетам, то ошибки возникают из-за поврежденного следующего файла:
 

2020-12-30 22:12:53, Info                  CSI    00000214 [SR] Repairing file \??\C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\\OneDrive.lnk from store
2020-12-30 22:13:15, Info                  CSI    00000271 [SR] Repairing 1 components
2020-12-30 22:13:16, Info                  CSI    00000273 [SR] Repairing file \??\C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\\OneDrive.lnk from store
2020-12-30 22:13:16, Info                  CSI    00000275 [SR] Repair complete
2020-12-30 22:13:16, Info                  CSI    00000276 [SR] Committing transaction

 

По идеи после перезагрузке проблема с целостностью файлов должна решиться.

2) Первый анализ дампа покызывает на проблему из-за драйвера приложения Malwarebytes Anti-Ransomware Protection. Уточните пожалуйста, если проблемы начались после установки указанного ПО?  Подробнее: farflt.sys

 

Spoiler

1: kd> !seek

    0 TID:0001 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 000000ad`dd6fed78 00000000`00000000 0x00007ffb`3cbfb9d0

#   1 TID:0002 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 ffff8002`7c0cf958 fffff805`63218784 nt!KeBugCheckEx
01 ffff8002`7c0cf960 fffff805`6320395e nt!MmAccessFault+0x20c224
02 ffff8002`7c0cfb00 00007ffb`3cb8c3df nt!KiPageFault+0x35e
03 0000002b`9a2fd290 00000000`00000000 0x00007ffb`3cb8c3df

    2 TID:0003 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 ffff8002`796eb9a8 fffff805`6305c817 nt!MiTrimOrAgeWorkingSet+0x4
01 ffff8002`796eb9c0 fffff805`63040560 nt!MiProcessWorkingSets+0x227
02 ffff8002`796eba60 fffff805`631b4e37 nt!MiWorkingSetManager+0x110
03 ffff8002`796ebb20 fffff805`63117e25 nt!KeBalanceSetManager+0x157
04 ffff8002`796ebc10 fffff805`631fcdd8 nt!PspSystemThreadStartup+0x55
05 ffff8002`796ebc60 00000000`00000000 nt!KiStartSystemThread+0x28

    3 TID:0004 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 00000000`05c9d370 00000000`00000000 0x77e1d970

    4 TID:0005 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 000000af`d15f7390 00000000`00000000 0x00007ffb`3660035b

    5 TID:0006 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 ffff8002`7be83e10 fffff805`637b1094 nt!ExAllocateHeapPool+0x3a2
01 ffff8002`7be83f50 fffff805`633fb3f9 nt!ExAllocatePoolWithTag+0x64
02 ffff8002`7be83fa0 fffff805`63422b5a nt!ObpAllocateObject+0x199
03 ffff8002`7be84020 fffff805`634248f1 nt!CmpCreateKeyBody+0x12a
04 ffff8002`7be840d0 fffff805`63423453 nt!CmpDoParseKey+0x5d1
05 ffff8002`7be84370 fffff805`6342751e nt!CmpParseKey+0x2c3
06 ffff8002`7be84510 fffff805`633eb19a nt!ObpLookupObjectName+0x3fe
07 ffff8002`7be846e0 fffff805`633eaf7c nt!ObOpenObjectByNameEx+0x1fa
08 ffff8002`7be84810 fffff805`633eaaa1 nt!ObOpenObjectByName+0x5c
09 ffff8002`7be84860 fffff805`634c2612 nt!CmOpenKey+0x2c1
0a ffff8002`7be84ac0 fffff805`632071b8 nt!NtOpenKey+0x12
0b ffff8002`7be84b00 00007ffb`3cc0c1f4 nt!KiSystemServiceCopyEnd+0x28
0c 00000000`04eedec8 00000000`00000000 0x00007ffb`3cc0c1f4

    6 TID:0007 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 00000000`04e6de78 00000000`00000000 0x00007ffb`3cb87655
*** WARNING: Unable to verify timestamp for farflt.sys

    7 TID:0008 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 ffff8002`7d611050 fffff805`63061cc0 nt!KeAcquireInStackQueuedSpinLock+0x66
01 ffff8002`7d611080 fffff805`6bb31804 nt!ExAcquireResourceExclusiveLite+0xb0
02 ffff8002`7d611110 00000000`00000300 farflt+0x1804
03 ffff8002`7d611118 fffff805`6bb55cb0 0x300
04 ffff8002`7d611120 00000000`00000000 farflt+0x25cb0

Threads: 8 of 8
Command: knL

 

Второй анализ дампа неоднозначный, с одной стороны имеются драйвера в стеках, отвечающие за работу файловой системы, контроллера диска или диска, в тоже время возможно что проблема возникает из-за битой планки RAM (ОЗУ). Уточните пожалуйста, если вы проверяли память утилитой memtest86+

Spoiler

6: kd> !seek

    0 TID:0001 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 ffff9102`0af31828 fffff803`3dabb279 nt!ExFreePool
01 ffff9102`0af31830 fffff803`3bc7453b clipsp!SLQueryLicenseValueInternal+0x35f9
02 ffff9102`0af319e0 fffff803`3ba071b8 nt!NtQueryLicenseValue+0x23b
03 ffff9102`0af31a90 00007ffc`4ad4ea04 nt!KiSystemServiceCopyEnd+0x28
04 00000000`00efe408 00000000`00000000 0x00007ffc`4ad4ea04

    1 TID:0002 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 ffff9102`070296b8 fffff803`409a1423 intelppm!MWaitIdle+0x1f
01 ffff9102`070296c0 fffff803`3b871396 intelppm!AcpiCStateIdleExecute+0x23
02 ffff9102`070296f0 fffff803`3b870154 nt!PpmIdleExecuteTransition+0x10c6
03 ffff9102`07029af0 fffff803`3b9f92a4 nt!PoIdle+0x374
04 ffff9102`07029c60 00000000`00000000 nt!KiIdleLoop+0x54

    2 TID:0003 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 ffff9102`0afd19f0 fffff803`3b9f0318 nt!MiUnlinkNodeLargePageHelper+0x6
01 ffff9102`0afd1a00 fffff803`3b9ef5aa nt!MiUnlinkNodeLargePages+0x620
02 ffff9102`0afd1b30 fffff803`3b9490d2 nt!MiGetFreeZeroLargePages+0x86
03 ffff9102`0afd1bc0 fffff803`3b812433 nt!MiGetLargePage+0xc2
04 ffff9102`0afd1d10 fffff803`3b925f0b nt!MiGetPageChain+0x253
05 ffff9102`0afd1f50 fffff803`3b827420 nt!MiGetHardFaultPages+0xfb
06 ffff9102`0afd1fd0 fffff803`3b8b77cb nt!MiBuildMdlForMappedFileFault+0x180
07 ffff9102`0afd2110 fffff803`3b815f65 nt!MiResolveMappedFileFault+0x44b
08 ffff9102`0afd2240 fffff803`3b80e7a5 nt!MiResolveProtoPteFault+0x1205
09 ffff9102`0afd2340 fffff803`3b80c6e9 nt!MiDispatchFault+0x3d5
0a ffff9102`0afd2480 fffff803`3b8a15ba nt!MmAccessFault+0x189
0b ffff9102`0afd2620 fffff803`3bc3bbbc nt!MiPrefetchVirtualMemory+0x28a
0c ffff9102`0afd2720 fffff803`3ba071b8 nt!NtSetInformationVirtualMemory+0x64c
0d ffff9102`0afd2a90 00007ffc`4ad4f364 nt!KiSystemServiceCopyEnd+0x28
0e 00000028`533ff068 00000000`00000000 0x00007ffc`4ad4f364

    3 TID:0004 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 ffff9102`070456b8 fffff803`409a1423 intelppm!MWaitIdle+0x1f
01 ffff9102`070456c0 fffff803`3b871396 intelppm!AcpiCStateIdleExecute+0x23
02 ffff9102`070456f0 fffff803`3b870154 nt!PpmIdleExecuteTransition+0x10c6
03 ffff9102`07045af0 fffff803`3b9f92a4 nt!PoIdle+0x374
04 ffff9102`07045c60 00000000`00000000 nt!KiIdleLoop+0x54

    4 TID:0005 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 ffff9102`0a5dad80 fffff803`3b861553 nt!ExpReleaseResourceSharedForThreadLite+0x48
01 ffff9102`0a5dae40 fffff803`3bcf2dd0 nt!ExReleaseResourceLite+0xf3
02 ffff9102`0a5daea0 fffff803`3bd06f14 nt!PspInsertThread+0x27c
03 ffff9102`0a5daf60 fffff803`3bd07336 nt!PspCreateThread+0x294
04 ffff9102`0a5db220 fffff803`3ba071b8 nt!NtCreateThreadEx+0x266
05 ffff9102`0a5dba90 00007ffc`4ad4d7c4 nt!KiSystemServiceCopyEnd+0x28
06 000000b8`e4bfccc8 00000000`00000000 0x00007ffc`4ad4d7c4

    5 TID:0006 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 ffff9102`0ad4f900 fffff803`3bc00193 nt!IopReleaseFileObjectLock+0xdb
01 ffff9102`0ad4f970 fffff803`3ba071b8 nt!NtQueryInformationFile+0x5a3
02 ffff9102`0ad4fa90 00007ffc`4ad4c1d4 nt!KiSystemServiceCopyEnd+0x28
03 00000037`c1efebf8 00000000`00000000 0x00007ffc`4ad4c1d4

#   6 TID:0007 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 ffff9102`0affc0f8 fffff803`3b89d0fa nt!KeBugCheckEx
01 ffff9102`0affc100 fffff803`3b80b9e6 nt!MiDeleteVa+0x153a
02 ffff9102`0affc200 fffff803`3b80bafb nt!MiWalkPageTablesRecursively+0x776
03 ffff9102`0affc2a0 fffff803`3b80bafb nt!MiWalkPageTablesRecursively+0x88b
04 ffff9102`0affc340 fffff803`3b80bafb nt!MiWalkPageTablesRecursively+0x88b
05 ffff9102`0affc3e0 fffff803`3b85de6b nt!MiWalkPageTablesRecursively+0x88b
06 ffff9102`0affc480 fffff803`3b89b991 nt!MiWalkPageTables+0x36b
07 ffff9102`0affc580 fffff803`3b86baf0 nt!MiDeletePagablePteRange+0x4f1
08 ffff9102`0affc890 fffff803`3bc35c99 nt!MiDeleteVad+0x360
09 ffff9102`0affc9a0 fffff803`3bc35a72 nt!MiUnmapVad+0x49
0a ffff9102`0affc9d0 fffff803`3bc358e9 nt!MiUnmapViewOfSection+0x152
0b ffff9102`0affcab0 fffff803`3ba071b8 nt!NtUnmapViewOfSectionEx+0x99
0c ffff9102`0affcb00 00007ffc`4ad4f924 nt!KiSystemServiceCopyEnd+0x28
0d 0000009c`be1ff3d8 00000000`00000000 0x00007ffc`4ad4f924

    7 TID:0008 kb kbn kbnL kn knL kpn kPn
 # Child-SP          RetAddr           Call Site
00 ffff9102`0786f3e0 fffff803`3bc2751e nt!IopParseDevice+0x1d11
01 ffff9102`0786f550 fffff803`3bbeb19a nt!ObpLookupObjectName+0x3fe
02 ffff9102`0786f720 fffff803`3bc6da0e nt!ObOpenObjectByNameEx+0x1fa
03 ffff9102`0786f850 fffff803`3ba071b8 nt!NtQueryFullAttributesFile+0x1ce
04 ffff9102`0786fb00 00007ffc`4ad4e864 nt!KiSystemServiceCopyEnd+0x28
05 000000ae`658cabb8 00000000`00000000 0x00007ffc`4ad4e864

Threads: 8 of 8
Command: knL
 

 

[Андрей62]

11 часов назад, SQ сказал:

Уточните пожалуйста, если вы проверяли память утилитой memtest86+

У меня не получилось создать загрузочный диск. Если есть возможность, расскажите, как это сделать.

[SQ]

8 minutes ago, Андрей62 said:

У меня не получилось создать загрузочный диск. Если есть возможность, расскажите, как это сделать.

Уточните пожалуйста, вы пробовали использовать приложение Rufus для создания загрузочной флэшки (как например указано запись образа KRD)?

[Андрей62]

On 31.12.2020 at 09:50, SQ said:

Уточните пожалуйста, вы пробовали использовать приложение Rufus для создания загрузочной флэшки (как например указано запись образа KRD)?

Попробовал разными способами создать мульти загрузочный диск для проверки памяти.

У меня ничего не получилось. 

В начале я пробовал сделать как описано в подыщем сообщении, потом как в крайнем. Максимально, что получилось это загрузочная флешка для чистой установки виндовс.

 

 

Spoiler

 

 

Spoiler

 

 

Spoiler

 

 

Spoiler

 

 

Spoiler

 

 

Spoiler

 

 

 

Spoiler

 

[SQ]

Вам необходимо было разархивировать архив zip, приложение Rufus работает с образами формата .iso

[Андрей62]

Я это делал. На выходе получался результат в Указанно месте нет загрузочного образа.

[SQ]

Попробуйте сменить схему раздела на mbr.

[Андрей62]

С Новым годом!

 

Перед самым новым годом мне получилось сделать загрузочную флешку для проверки памяти. Скачал с  https://www.memtest86.com/download.htm сайта. Описание по адресу: https://onoutbukax.ru/soft-memtest86/ .

Сейчас, уже почти сутки, идет проверка памяти. Каждая планка памяти, в каждом слоте для памяти работает без ошибок. Когда устанавливаю две планки в первый слот для совместной работы, тест начинает показывать ошибки. после 10 000 ошибок тест прерывается.

На данный момент тестируется вторая планка памяти в последнем слоте для памяти.

После этого думаю проверить работу пары планок во втором слоте для памяти.

Логи тестирования прилагаю.

Оставил одну планку памяти в первом черном слоте.

 

 

Spoiler

 

 

Spoiler

 

 

Spoiler

 

 

Spoiler

 

 

Spoiler

 

 

Spoiler

 

 

Spoiler

 

 

Spoiler

 

 

Spoiler

 

MemTest86.log

[SQ]

Отлично, рад что у Вас получилось.

 

Убедитесь, чтобы тест не давал ошибок, в случае необходимости выньте проблемную планку. После этого понаблюдайте на за работой ПК в нормальном режиме. Если проблема вернется, то пожалуйста удалите (временно) Malwarebytes Anti-Ransomware Protection (чтобы его исключить в качестве виновника) и понаблюдайте дальше.

 

В итоге проделанного сообщите  пожалуйста, если проблема в итоге была решена или нет.

[Андрей62]

Обе планки тестируются без ошибок.

Ошибки  возникают, когда стоят две планки памяти.

Сейчас я оставил одну планку. Посмотрим, как будет работать система.

Посоветуйте более-менее нормальный антивирус (лучше бесплатный). Я установил Malwarebytes. 

[SQ]

50 minutes ago, Андрей62 said:

Посоветуйте более-менее нормальный антивирус (лучше бесплатный). Я установил Malwarebytes. 

Могу посоветовать только Kaspersky Free. Malwarebytes - это не антивирус, а скорее всего продукт защищающий Ваш компьютер от вредоносного ПО, так как он как минимум не способен защищать компьютер от файловых вирусов и т.п.

P.S. Как вы понимаете на данном форуме, антивирусный продукт другого бренда врядли Вам кто-то посоветует.

[Андрей62]

6 hours ago, SQ said:

Могу посоветовать только Kaspersky Free.

Установить не получилось.

Еще, если знаете, подскажите как правильно  и без ошибок удалить папку Windows.old.

 

Spoiler

 

[SQ]

5 hours ago, Андрей62 said:

Еще, если знаете, подскажите как правильно  и без ошибок удалить папку Windows.old.

 

Правильней удалить через очистку диска (нажать правой кнопкой мыши на системный диск).

- выбрать очистку диска

Spoiler

- после чего выбрать очистка системных файлов;

Spoiler

- далее отметьте файлы предыдущей установки:

Spoiler

- и нажите ок.
Важно, после вышеуказанных манипуляции вы не сможете откатить версии Windows 10 на более ранюю.

[Андрей62]

Спасибо!

Я просто устанавливал в один день два раза систему. После того, как все заработает корректно, я хочу создать точку восстановления системы.