Вылет в синий экран после установки непонятного драйвера

[Ghostil]

Добрый вечер. После 18.09.21 компьютер стал вылетать в синий экран смерти. Оказалось что 18.09.21 в 7: 58 в папке с драйверами появился bddci.sys. Это как пишут в интернете драйвер от антивируса Bitdefender. Только вот самого антивируса нет на компьютере и я его не ставил. Я пробовал утилиту которая удаляет файлы от этого антивируса но ничего не изменилось. Проверку на вирусы я делал касперским. Обновление ОС стоит последнее.

Как правильно удалить этот драйвер?

[andrew75]

@Ghostil, попробуйте удалить или переименовать файл в безопасном режиме.

[Ghostil]

Вот это я нашел в реестре.

Щас попробую удалить.

[SQ]

7 hours ago, Ghostil said:

Оказалось что 18.09.21 в 7: 58 в папке с драйверами появился bddci.sys. Это как пишут в интернете драйвер от антивируса Bitdefender

Здравствуйте,

Этот драйвер могут использовать и другие антивирусы, например антивирус Eset. Так что перед удаление убедитесь в безопасности ваших манипуляций, иначе можете добиться того, что ПК не сможет запуститься.

На сторонних форумах пишут, что этот драйвер может конфликтовать с Acronis. Уточните пожалуйста, вы используете продукты Acronis?

По возможности, могли бы приложить дамп для анализа?

[Ghostil]

1 hour ago, SQ said:

Здравствуйте,

Этот драйвер могут использовать и другие антивирусы, например антивирус Eset. Так что перед удаление убедитесь в безопасности ваших манипуляций, иначе можете добиться того, что ПК не сможет запуститься.

На сторонних форумах пишут, что этот драйвер может конфликтовать с Acronis. Уточните пожалуйста, вы используете продукты Acronis?

По возможности, могли бы приложить дамп для анализа?

Добрый день. Нет у меня ничего такого. Из антивирусов только Каспийский стоит. Я уже убрал этот файл на другой раздел и переименовал его. Перед этим сделал точку восстановления на всякий случай. До 18.09 небыло этого драйвера. 

[SQ]

4 minutes ago, Ghostil said:

 Я уже убрал этот файл на другой раздел и переименовал его. 

Могли бы его пожалуйста проверить на сайте virustotal.com

[Ghostil]

1 hour ago, SQ said:

Могли бы его пожалуйста проверить на сайте virustotal.com

Ок. Вечером проверю отпишусь.

[Ghostil]

https://www.virustotal.com/gui/file/bd44c3509f3095551bc3d9379e3e06ca49aac622a6c9d878e07eeb714141530e

Вот ссылка на результат из сайта virustotal.com

Вот дампы за 19.09.21

Minidump.zip

Вот сам файл.

bddci.zip

[SQ]

Ранее анализ дампов ошибочно разместил в вашей теме, они были не для вашей темы.

Драйвер действительно от bitdefender
 

File Version Information:
Copyright	Copyright © Bitdefender
Product	Bitdefender BDDCI
Description	BDDCI filter driver
Original Name	bddci.sys
Internal Name	bddci.sys
File Version	3.1.9.53.bae9656
Date signed	2018-12-03 19:31:00

 

Вот краткий анализ ваших дампов:
 

[CODE]
Debug session time: Sun Sep 19 15:02:45.525 2021 (UTC - 4:00)
Loading Dump File [C:\Users\SQ\SysnativeBSODApps\091921-12937-01.dmp]
Built by: 19041.1.amd64fre.vb_release.191206-1406
System Uptime: 0 days 0:11:20.222
BugCheck Info: [url=http://www.carrona.org/bsodindx.html#0x0000003B]SYSTEM_SERVICE_EXCEPTION (3b)[/url]
Bugcheck code 0000003B
Arguments: 
Arg1: 00000000c0000005, Exception code that caused the bugcheck
Arg2: fffff80752b26ec9, Address of the instruction which caused the bugcheck
Arg3: ffffab804b359920, Address of the context record for the exception that caused the bugcheck
Arg4: 0000000000000000, zero.
PROCESS_NAME:  firefox.exe
Probably caused by: ntkrnlmp.exe ( nt!PspRemoveProperty+51 )
FAILURE_BUCKET_ID:  0x3B_c0000005_STACKPTR_ERROR_nt!PspRemoveProperty
¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨``
Debug session time: Sun Sep 19 06:55:40.269 2021 (UTC - 4:00)
Loading Dump File [C:\Users\SQ\SysnativeBSODApps\091921-13687-01.dmp]
Built by: 19041.1.amd64fre.vb_release.191206-1406
System Uptime: 0 days 3:30:15.966
BugCheck Info: [url=http://www.carrona.org/bsodindx.html#0x00000050]PAGE_FAULT_IN_NONPAGED_AREA (50)[/url]
Bugcheck code 00000050
Arguments: 
Arg1: fffff8040cd9be18, memory referenced.
Arg2: 0000000000000000, value 0 = read operation, 1 = write operation.
Arg3: fffff8050cd7ee73, If non-zero, the instruction address which referenced the bad memory
	address.
Arg4: 0000000000000002, (reserved)
*** WARNING: Unable to verify timestamp for bddci.sys
*** WARNING: Unable to verify timestamp for win32k.sys
PROCESS_NAME:  System
Probably caused by: bddci.sys ( bddci+2ee73 )
FAILURE_BUCKET_ID:  AV_R_INVALID_bddci!unknown_function
¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨``
Debug session time: Sat Sep 18 14:52:41.608 2021 (UTC - 4:00)
Loading Dump File [C:\Users\SQ\SysnativeBSODApps\091821-9437-01.dmp]
Built by: 19041.1.amd64fre.vb_release.191206-1406
System Uptime: 0 days 0:34:38.305
BugCheck Info: [url=http://www.carrona.org/bsodindx.html#0x000000D1]DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)[/url]
Bugcheck code 000000d1
Arguments: 
Arg1: fffff8015730c538, memory referenced
Arg2: 0000000000000002, IRQL
Arg3: 0000000000000000, value 0 = read operation, 1 = write operation
Arg4: fffff802572ce7e1, address which referenced memory
*** WARNING: Unable to verify timestamp for bddci.sys
*** WARNING: Unable to verify timestamp for win32k.sys
PROCESS_NAME:  System
Probably caused by: bddci.sys ( bddci+e7e1 )
FAILURE_BUCKET_ID:  AV_bddci!unknown_function
¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨``
Debug session time: Sat Sep 18 13:21:06.980 2021 (UTC - 4:00)
Loading Dump File [C:\Users\SQ\SysnativeBSODApps\091821-11609-01.dmp]
Built by: 19041.1.amd64fre.vb_release.191206-1406
System Uptime: 0 days 0:23:35.676
BugCheck Info: [url=http://www.carrona.org/bsodindx.html#0x0000003B]SYSTEM_SERVICE_EXCEPTION (3b)[/url]
Bugcheck code 0000003B
Arguments: 
Arg1: 00000000c0000005, Exception code that caused the bugcheck
Arg2: fffff8043d926ec9, Address of the instruction which caused the bugcheck
Arg3: ffffab8182063920, Address of the context record for the exception that caused the bugcheck
Arg4: 0000000000000000, zero.
PROCESS_NAME:  services.exe
Probably caused by: ntkrnlmp.exe ( nt!PspRemoveProperty+51 )
FAILURE_BUCKET_ID:  0x3B_c0000005_STACKPTR_ERROR_nt!PspRemoveProperty
¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨``
Debug session time: Sat Sep 18 12:57:03.344 2021 (UTC - 4:00)
Loading Dump File [C:\Users\SQ\SysnativeBSODApps\091821-8796-01.dmp]
Built by: 19041.1.amd64fre.vb_release.191206-1406
System Uptime: 0 days 10:47:41.041
BugCheck Info: [url=http://www.carrona.org/bsodindx.html#0x00000133]DPC_WATCHDOG_VIOLATION (133)[/url]
Bugcheck code 00000133
Arguments: 
Arg1: 0000000000000001, The system cumulatively spent an extended period of time at
	DISPATCH_LEVEL or above. The offending component can usually be
	identified with a stack trace.
Arg2: 0000000000001e00, The watchdog period.
Arg3: fffff80011efa320, cast to nt!DPC_WATCHDOG_GLOBAL_TRIAGE_BLOCK, which contains
	additional information regarding the cumulative timeout
Arg4: 0000000000000000
*** WARNING: Unable to verify timestamp for win32k.sys
PROCESS_NAME:  System
Probably caused by: ntkrnlmp.exe ( nt!KeAccumulateTicks+20625e )
FAILURE_BUCKET_ID:  0x133_ISR_nt!KeAccumulateTicks
¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨``

В первом дампе фигурирует драйвер от продукта Лаборатории Касперского, видимо из-за конликта с драйвером от BiDefender

ffff9301`85b2c0a0  fffff800`13504cb0 tcpip!FlpReturnNetBufferListChain
ffff9301`85b2c0a8  ffff9301`85b2c36c
ffff9301`85b2c0b0  00000000`00000001
ffff9301`85b2c0b8  fffff800`00000000
ffff9301`85b2c0c0  00000000`00000100
ffff9301`85b2c0c8  fffff800`1c33bf58Unable to load image \SystemRoot\system32\DRIVERS\kneps.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for kneps.sys
 kneps+0x1bf58
ffff9301`85b2c0d0  ffff9301`85b2c200
ffff9301`85b2c0d8  00000000`00000000
ffff9301`85b2c0e0  00000000`00000000
ffff9301`85b2c0e8  00000000`00000000
ffff9301`85b2c0f0  ffffa681`8f7e6510
ffff9301`85b2c0f8  fffff800`1c34b668 kneps+0x2b668
ffff9301`85b2c100  00000000`00040246
ffff9301`85b2c108  fffff800`1149af8b nt!KeQueryCurrentStackInformationEx+0x8b
ffff9301`85b2c110  00000000`01000010
ffff9301`85b2c118  00000000`00000000
ffff9301`85b2c120  fffff800`1c34bac0 kneps+0x2bac0
ffff9301`85b2c128  ffff9301`85b2c36c
ffff9301`85b2c130  fffff800`13504cb0 tcpip!FlpReturnNetBufferListChain

https://www.sysnative.com/drivers/driver.php?id=kneps.sys

Во втором дампе и последующих дампах фигурирует драйвер от Bitdefender

ffff8187`3d445158  fffff802`475f72c7 nt!KeBugCheckEx+0x107
ffff8187`3d445160  ffff8187`3d445231
ffff8187`3d445168  00000000`00000000
ffff8187`3d445170  ffffae83`20946620
ffff8187`3d445178  fffff802`47523c00 nt!HalpApicRequestInterrupt+0x110
ffff8187`3d445180  fffff802`572ce7e1 bddci+0xe7e1
ffff8187`3d445188  00000000`00000000
ffff8187`3d445190  00000000`00040286
ffff8187`3d445198  fffff802`47609169 nt!KiBugCheckDispatch+0x69
ffff8187`3d4451a0  00000000`0000000a
ffff8187`3d4451a8  fffff801`5730c538
ffff8187`3d4451b0  00000000`00000002
ffff8187`3d4451b8  00000000`00000000
ffff8187`3d4451c0  fffff802`572ce7e1 bddci+0xe7e1

На момент когда он был в системе:
 

Browse full module list
start             end                 module name
fffff802`572c0000 fffff802`57319000   bddci    T (no symbols)           
    Loaded symbol image file: bddci.sys
    Image path: \SystemRoot\system32\DRIVERS\bddci.sys
    Image name: bddci.sys
    Browse all global symbols  functions  data
    Timestamp:        Mon Dec  3 09:29:15 2018 (5C053DBB)
    CheckSum:         00066764
    ImageSize:        00059000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4
    Information from resource tables:

 

[Ghostil]

Я нашел откуда это все прилетело похоже.

Web Companion вот это у меня стоит от Lavasoft. Там этот драйвер прописан.

Вот это использует эти файлы.

Изменено 25 сентября, 2021 пользователем Ghostil

[Sandor]

25.09.2021 в 22:26, Ghostil сказал:

Web Companion

Это адварь, удаляйте. Затем не помешает пройтись AdwCleaner.