Всем привет!Народ помогите пож.Раз десять был "синяк".Постоянно падает плагин adobe Flash(в основном приложения и видео,но только через инет!).Тут базы у каспера начали повреждаться.К кому только не обращался...И память проверял memtest,и ЖД-victoria,переустановил винду поставил XP prof.SP3,скачал драйвера с сайта производителя на железо(хотя у меня родные на дисках есть).После переустановки винды практически ничего спец. не устанавливал,только необходимое.Короче сначала начал падать плагин,а где то через нед. появился "синяк".Вот последний дамп
Плагин обновлял ? Потому как предсказывается мне, что через флеш к тебе подргузилась неистовая малварь и гнусно тебе похекала. Win32.Protector.f, как пишут на virusinfo, походу, пытается что-то сделать с касперским, а в крэшдампе у тебя именно kldw.exe упал на записи в map view, с кривым мапом (насколько я понял). Второй вариант: побитая планка ОЗУ. Для выяснения поставь, для начала антируткит(ы) и посмотри, что они скажут. Либо подожать кого-то, кто точно знает в чем трабла. С каким кодом появлялись БСОДЫ в предыдущие разы ? Ты их анализил ?
Да плагин убрал,подчистил на всякий случай следы CCleaner. да я тестил всё норм(на ночь ставил). А как это сделать?По поводу ошибок:================================================== Файл дампа : Mini030512-01.dmp Время аварии : 05.03.2012 11:30:37 Текст ошибки : PAGE_FAULT_IN_NONPAGED_AREA Код ошибки : 0x10000050 Параметр 1 : 0xdb0974c0 Параметр 2 : 0x00000000 Параметр 3 : 0xf7bc2b19 Параметр 4 : 0x00000000 Драйвер причины : Ntfs.sys Адрес причины : Ntfs.sys+70b19 Описание файла : NT File System Driver Название продукта : Microsoft® Windows® Operating System Производитель : Microsoft Corporation Версия файла : 5.1.2600.5512 (xpsp.080413-2111) Процессор : 32-бит Адрес аварии : Ntfs.sys+70b19 Стек-адрес 1 : Ntfs.sys+60b53 Стек-адрес 2 : Ntfs.sys+3d64e Стек-адрес 3 : Ntfs.sys+3b3b Имя компьютера : Полный путь : C:\WINDOWS\Minidump\Mini030512-01.dmp Число ЦП : 2 Главная версия : 15 Второстепенная версия: 2600 Размер файла дампа: 94 208 ================================================== И еще одна:================================================== Файл дампа : Mini030412-01.dmp Время аварии : 04.03.2012 13:38:16 Текст ошибки : MEMORY_MANAGEMENT Код ошибки : 0x0000001a Параметр 1 : 0x00041284 Параметр 2 : 0x021dc001 Параметр 3 : 0x00000e29 Параметр 4 : 0xc0503000 Драйвер причины : ntoskrnl.exe Адрес причины : ntoskrnl.exe+606ba Описание файла : Системный модуль ядра NT Название продукта : Операционная система Microsoft® Windows® Производитель : Корпорация Майкрософт Версия файла : 5.1.2600.6165 (xpsp_sp3_qfe.111025-1623) Процессор : 32-бит Адрес аварии : ntoskrnl.exe+606ba Стек-адрес 1 : ntoskrnl.exe+52ea2 Стек-адрес 2 : ntoskrnl.exe+1a150 Стек-адрес 3 : ntoskrnl.exe+1a353 Имя компьютера : Полный путь : C:\WINDOWS\Minidump\Mini030412-01.dmp Число ЦП : 2 Главная версия : 15 Второстепенная версия: 2600 Размер файла дампа: 94 208 ==================================================
Код (Text): FOLLOWUP_IP: nt+606ba 805376ba 5d pop ebp PFN_LIST_CORRUPT. Чтобы разобрать эту ошибку нужен полный дамп.
В AVP поставил эвристич.анализ на max и углублённый поиск руткитов(Lunar посоветовал,огромное ему спасибо,я просто уже 1.5 мес бьюсь над этой проблемой на различных форумах...а тут сразу в точку)Короче говоря обнаружил вредоносное ПО.Лечение и удаление было невозможно,поэтому я его удалил вручную.11 часов комп работал норм,но потом опять крах плагина и "синяк". По поводу полного дампа,я могу поставить чтоб он записал.Но, просто другой только что выпал....
Нет, лучше всё-таки используй сторонний антируткит, на анти-рк модуль AVP в таких делах я бы не стал полагаться. И тем более на "сам удалил". В последних двух крэшдампах все падает всё так же при работе avp/его модулей. Так что если предположение о том, что виновата малварь было верным, то ты её не удалил или удалил не окончательно (к примеру, она самовосстановилась).
Там есть кнопка save log, всю инфу давай, скриншоты каждой страницы делать - это мы до конца недели будем так переписываться ...
Я думал там будет отчет со всех страниц, странный антирк. Ну теперь можешь попробовать его удалить своим антируткитом, можешь попробовать для этих целей взять другие - gmer, rku, погуглить: я не в курсе какие на данный момент стабильные и интересные. Если найдешь atapi.sys, который детектится как hidden - можешь выложить. Можешь погуглить "atapi.sys malware" или что-то подобное. Удалённо и без умения телепата ничем больше помочь не смогу)
Lunar_ Да ладно вам. Вы есчо приличную малварь не видили, это начало только. Сносите нт и ставте линя. В нт без матчасти не работают.
Мне как то Билли сказал что позиционирует свою ось как юземодный шлак.(с) а ты с матчастью погнал. Матчасть по юземодному шлаку , эттт несерьезно!
залей сюда файлы: Код (Text): Name: agncqkod.sys Image Path: C:\DOCUME~1\Admin\LOCALS~1\Temp\agncqkod.sys Name: dump_atapi.sys Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys Name: dump_WMILIB.SYS Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS Name: rootrepeal.sys Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys и другие драйверы, которые выглядят подозрительно)
Убрал 1 планку памяти...всё работает.На это же место поставил 2ю(первую убрал).Всё норм.Тоже самое сделал со вторым слотом.Всё норм.Как только поставил как раньше 2 планки,винда вообще не загрузилась,BSOT...Сейчас одна планка стоит...Дампы посмотрел не сохранились.
Раньше стояла в 1 и 3 слотах.Лет 5 работала,сейчас начались вот эти все проблемы(крах плагина,затем BSOT)...Сейчас попробовал все варианты,короче говоря работает или с одной планкой(причём в любых из 4 слотов),или с двумя, но только в 1 и 2 слотах.Все остальные вариации приводят к падению плагина...Со вчерашнего дня ни одной ошибки. Всем спс,надеюсь что проблема решена,но вот теперь как то бы выяснить проблема с материнкой или с памятью(хотя тестил memtest всю ночь,ошибок никаких не нашел)
Ластиком(надеюсь они еще используются...) потри контакты планки . Потом можно еще спиртом. За 5 лет они слегка окислились. Иногда помогает простое вынул/втыкнул. Если сбои будут с двумя планками повторяться, то думаю надо кондеры на маме смотреть. А сама мама скорее всего нормальная, раз 5 лет пропахала. +++++ Ну и блок питания проверить , если еще не меняли
