Технический форум
Вернуться   Технический форум > Компьютерный форум > Операционная система Windows > Windows 7


Ответ
 
Опции темы Опции просмотра
Старый 01.12.2017, 14:07   #1 (permalink)
ValX
Member
 
Регистрация: 11.06.2010
Сообщений: 171
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
По умолчанию Много BSOD и зависаний

Здравствуйте! Прошу помощи!

Обновил в своём PC материнку, процессор и добавил немного памяти. Винт и видеокарта остались прежними. Соответственно новая винда и заново установленные программы.

С первых включений компа в сеть практически постоянно появляются BSOD . Иногда при перезагрузке не определяется винт. Часто полностью зависает система, спасает только принудительная перезагрузка. И пр...
Логи BSOD отмечены в bluescreenview и есть в наличии. Также имеются фото со смартфона некоторых ошибок.

Лог uVS:
Вложения
Тип файла: 7z TSAPTSARAPPBASE_2017-12-01_12-50-32.7z (557.8 Кб, 65 просмотров)
ValX вне форума   Ответить с цитированием

Старый 01.12.2017, 14:07
Helpmaster
Member
 
Аватар для Helpmaster
 
Регистрация: 08.03.2016
Сообщений: 0

На данный момент на форуме имеются схожие топики

Не могу найти причину зависаний, комп не слабый, но в некоторых играх виснет намертво
Усилитель на TDA7294 и ещё много-много разных вопросов
Смена видеокарты + букет зависаний

Старый 01.12.2017, 22:58   #2 (permalink)
Гризлик
Мимо проходил
 
Аватар для Гризлик
 
Регистрация: 06.04.2008
Сообщений: 13,130
Сказал(а) спасибо: 21
Поблагодарили 18 раз(а) в 5 сообщениях
Репутация: 15356
По умолчанию

Вирусов не увидел. Для очистки системы от мусора выполните это.
Цитата:
Сообщение от ValX Посмотреть сообщение
Логи BSOD отмечены в bluescreenview и есть в наличии. Также имеются фото со смартфона некоторых ошибок.
выложите
Гризлик вне форума   Ответить с цитированием
Старый 02.12.2017, 02:38   #3 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

после выполнения скрипта необходимо установить патч для вашей системы,
возможно, система атакуется из внешней сети сетевым червем, и проникает в систему через уязвимость.

Цитата:
Microsoft Security Bulletin MS17-010 - Critical
Security Update for Microsoft Windows SMB Server (4013389)

Published: March 14, 2017

https://technet.microsoft.com/en-us/.../ms17-010.aspx
+
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:
;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
apply

; OpenAL
exec  C:\Program Files (x86)\OpenAL\oalinst.exe" /U
deltmp
delref %SystemDrive%\TEMP\YUPDATE-PING-YABROWSER.TEMP
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref %SystemRoot%\SYSWOW64\LOGONUI.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\55.0.2883.87\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\[CLSID]
delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\PLUGINS\NPFOXITREADERPLUGIN.DLL
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\PLUGINS\FOXITREADERBROWSERAX.DLL
delref %SystemDrive%\PROGRAM FILES\WINRAR\RAREXT32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\MSCONFIG.EXE
delref D:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes
safety вне форума   Ответить с цитированием
Старый 02.12.2017, 14:34   #4 (permalink)
ValX
Member
 
Регистрация: 11.06.2010
Сообщений: 171
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
По умолчанию

Гризлик, safety спасибо. По порядку.

1. Не могу загрузить фото в сообщение, ошибка: 413 Request Entity Too Large.
2. Отчёты в bluescreenview, как я уже понял, сохраняются пока система не перезагружена, увы. Ибо открываю её сейчас, а там пусто... Просто помню что было KMODE_EXCEPTION_NOT_HANDLED и PAGE_FAULT_IN_NONPAGED_AREA.
3. Вчера с обеда перестал втыкаться интернет (выделенка Билайн напрямую в сетевую карту без модема) - исчезли все доступные подключения. Инженер Билайна при консультации по тлф. обнаружил файл powershell.exe в процессах диспетчера задач и сообщил, что это вирус, который маскируясь под майкрософтовское приложение, блокирует доступ в инет. Теперь при каждой перезагрузке приходится убивать этот процесс ч/з диспетчер задач ибо ни лицензионный установленный Dr.Web, ни онлайн-сканер ESET никаких вирусов не находят...
4. Выполнил все указанные вами скрипты, пока ни зависаний ни синих экранов нет. Скачал указанные патчи для системы, но при попытке установки выдаётся ошибка: 0х80070422, указанная служба отключена...
ValX вне форума   Ответить с цитированием
Старый 02.12.2017, 14:39   #5 (permalink)
ValX
Member
 
Регистрация: 11.06.2010
Сообщений: 171
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
По умолчанию

а) Один из BSOD
б) Неизвестное сообщение, затем самостоятельная перезагрузка
в) Сообщение от Dr.Web при выполнении второго из указанного вами скрипта в uVS
Миниатюры
img_20171130_223004.jpg   img_20171201_085343.jpg   img_20171202_113829.jpg  
ValX вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Старый 02.12.2017, 17:11   #6 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

ValX,
выполните скрипт в uVS из безопасного режима системы.
+
добавьте новый образ автозапуска.
+
сделайте проверку на уязвимость MS-2017-010
https://help.eset.com/eset_tools/ESE...lueChecker.exe
safety вне форума   Ответить с цитированием
Старый 02.12.2017, 17:32   #7 (permalink)
Гризлик
Мимо проходил
 
Аватар для Гризлик
 
Регистрация: 06.04.2008
Сообщений: 13,130
Сказал(а) спасибо: 21
Поблагодарили 18 раз(а) в 5 сообщениях
Репутация: 15356
По умолчанию

Цитата:
Сообщение от ValX Посмотреть сообщение
2. Отчёты в bluescreenview, как я уже понял, сохраняются пока система не перезагружена, увы. Ибо открываю её сейчас, а там пусто... Просто помню что было KMODE_EXCEPTION_NOT_HANDLED и PAGE_FAULT_IN_NONPAGED_AREA.
В папке Windows\Minidump есть файлы? Если да то запакуйте их в архив и выложите сюда, а также файл Windows\memmory.dmp (если есть) тоже сюда.
Цитата:
Сообщение от ValX Посмотреть сообщение
3. Вчера с обеда перестал втыкаться интернет (выделенка Билайн напрямую в сетевую карту без модема) - исчезли все доступные подключения. Инженер Билайна при консультации по тлф. обнаружил файл powershell.exe в процессах диспетчера задач и сообщил, что это вирус, который маскируясь под майкрософтовское приложение, блокирует доступ в инет. Теперь при каждой перезагрузке приходится убивать этот процесс ч/з диспетчер задач ибо ни лицензионный установленный Dr.Web, ни онлайн-сканер ESET никаких вирусов не находят...
Выполните
Цитата:
Сообщение от ValX Посмотреть сообщение
4. Выполнил все указанные вами скрипты, пока ни зависаний ни синих экранов нет. Скачал указанные патчи для системы, но при попытке установки выдаётся ошибка: 0х80070422, указанная служба отключена...
Включите службу Центр обновлений
Гризлик вне форума   Ответить с цитированием
Старый 02.12.2017, 22:02   #8 (permalink)
ValX
Member
 
Регистрация: 11.06.2010
Сообщений: 171
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
По умолчанию

safety, Гризлик. После выполнения указанного скрипта в безопасном режиме интернет не втыкается совсем, даже после удаления процесса powershell.exe. Заодно перестала запускаться и GTAV: отсутствует steam_api64.dll. Пишу с ноутбука...
Соответственно из-за отсутствия инета не смог сделать проверку на уязвимость MS-2017-010 и сделать лог сканирования в MBAM.
В папке Windows\Minidump пусто. Файл Windows\memmory.dmp - отсутствует.
Новый лог uVS здесь:
Вложения
Тип файла: 7z TSAPTSARAPPBASE_2017-12-02_20-31-35.7z (536.1 Кб, 65 просмотров)
ValX вне форума   Ответить с цитированием
Старый 03.12.2017, 10:01   #9 (permalink)
Гризлик
Мимо проходил
 
Аватар для Гризлик
 
Регистрация: 06.04.2008
Сообщений: 13,130
Сказал(а) спасибо: 21
Поблагодарили 18 раз(а) в 5 сообщениях
Репутация: 15356
По умолчанию

Цитата:
Сообщение от ValX Посмотреть сообщение
Соответственно из-за отсутствия инета
Запустите командную строку от имени Администратора и в ней выполните
Код:
netsh winsock reset
После чего перезагрузите ПК.
Гризлик вне форума   Ответить с цитированием
Старый 03.12.2017, 10:36   #10 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

судя по новому образу левый обработчик WMI очищен.
процесс powershell.exe не причем. не влияет на сеть, другое дело, что он делает в процессах.
safety вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.




Часовой пояс GMT +4, время: 06:09.

Powered by vBulletin® Version 6.2.5.
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.