none
Синий экран смерти, а потом перезагрузка RRS feed

  • Общие обсуждения

  • После перезагрузки
    Сигнатура проблемы:
      Имя события проблемы: BlueScreen
      Версия ОС: 6.1.7601.2.1.0.256.48
      Код языка: 1049

    Дополнительные сведения об этой проблеме:
      BCCode: 1000008e
      BCP1: C0000005
      BCP2: 88CE904A
      BCP3: 9B50F650
      BCP4: 00000000
      OS Version: 6_1_7601
      Service Pack: 1_0
      Product: 256_1

    Файлы, содержащие сведения об этой проблеме:
      C:\Windows\Minidump\062716-22183-01.dmp
      C:\Users\Комп\AppData\Local\Temp\WER-32885-0.sysdata.xml

    Ознакомьтесь с заявлением о конфиденциальности в Интернете:
      http://go.microsoft.com/fwlink/?linkid=104288&clcid=0x0419

    Если заявление о конфиденциальности в Интернете недоступно, ознакомьтесь с его локальным вариантом:
      C:\Windows\system32\ru-RU\erofflps.txt
    • Изменен тип Anton Sashev Ivanov 1 июля 2016 г. 6:19 Тема переведена в разряд обсуждений по причиние отсутствия активности
    27 июня 2016 г. 6:45

Все ответы

  • После перезагрузки
    Сигнатура проблемы:
      Имя события проблемы: BlueScreen
      Версия ОС: 6.1.7601.2.1.0.256.48
      Код языка: 1049

    Дополнительные сведения об этой проблеме:
      BCCode: 1000008e
      BCP1: C0000005
      BCP2: 88CE904A
      BCP3: 9B50F650
      BCP4: 00000000
      OS Version: 6_1_7601
      Service Pack: 1_0
      Product: 256_1

    Файлы, содержащие сведения об этой проблеме:
      C:\Windows\Minidump\062716-22183-01.dmp
      C:\Users\Комп\AppData\Local\Temp\WER-32885-0.sysdata.xml

    Ознакомьтесь с заявлением о конфиденциальности в Интернете:
      http://go.microsoft.com/fwlink/?linkid=104288&clcid=0x0419

    Если заявление о конфиденциальности в Интернете недоступно, ознакомьтесь с его локальным вариантом:
      C:\Windows\system32\ru-RU\erofflps.txt

    опубликуйте файлы C:\Windows\Minidump\062716-22183-01.dmp и C:\Users\Комп\AppData\Local\Temp\WER-32885-0.sysdata.xml на файлообменнике (например onedrive или googledrive) и прикрепите ссылку в сообщении


    The opinion expressed by me is not an official position of Microsoft

    27 июня 2016 г. 7:30
    Модератор

  • Файлы, содержащие сведения об этой проблеме:
      C:\Windows\Minidump\062716-22183-01.dmp
      C:\Users\Комп\AppData\Local\Temp\WER-32885-0.sysdata.xml

    Здравствуйте,

    Загрузите дамп на файловой хранилище (например на onedrive) и предоставьте ссылку для скачивание в следующем сообщение, для анализа проблемы.

    Best Regards, Andrei ...
    MCP

    27 июня 2016 г. 7:32
    Модератор
  • https://1drv.ms/u/s!Ajc3zsIkj3ibak4dXTbTbpxApCo
    C:\Users\Комп\AppData\Local\Temp\WER-32885-0.sysdata.xml(Opera Web Document не удается опубликовать на файлообменнике)
    Спасибо за отзыв.
    27 июня 2016 г. 8:45
  • Похоже на эффект вредоносного ПО по типу Adware:
    *** WARNING: Unable to verify timestamp for UbarDriver.sys
    *** WARNING: Unable to verify timestamp for iSafeNetFilter.sys
    *** WARNING: Unable to verify timestamp for Hookport.sys
    Какой антивирусный продукт Вы используете?

    Анализ Вашего дампа:

    Use !analyze -v to get detailed debugging information.
    
    BugCheck 1000008E, {c0000005, 88ce904a, 9b50f650, 0}
    
    Unable to load image UbarDriver.sys, Win32 error 0n2
    *** WARNING: Unable to verify timestamp for UbarDriver.sys
    *** ERROR: Module load completed but symbols could not be loaded for UbarDriver.sys
    Unable to load image iSafeNetFilter.sys, Win32 error 0n2
    *** WARNING: Unable to verify timestamp for iSafeNetFilter.sys
    *** ERROR: Module load completed but symbols could not be loaded for iSafeNetFilter.sys
    *** WARNING: Unable to verify timestamp for Hookport.sys
    *** ERROR: Module load completed but symbols could not be loaded for Hookport.sys
    Probably caused by : NETIO.SYS ( NETIO!FeApplyModifiedLayerData+22 )
    
    Followup:     MachineOwner
    ---------
    
    0: kd> !analyze -v
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************
    
    KERNEL_MODE_EXCEPTION_NOT_HANDLED_M (1000008e)
    This is a very common bugcheck.  Usually the exception address pinpoints
    the driver/function that caused the problem.  Always note this address
    as well as the link date of the driver/image that contains this address.
    Some common problems are exception code 0x80000003.  This means a hard
    coded breakpoint or assertion was hit, but this system was booted
    /NODEBUG.  This is not supposed to happen as developers should never have
    hardcoded breakpoints in retail code, but ...
    If this happens, make sure a debugger gets connected, and the
    system is booted /DEBUG.  This will let us see why this breakpoint is
    happening.
    Arguments:
    Arg1: c0000005, The exception code that was not handled
    Arg2: 88ce904a, The address that the exception occurred at
    Arg3: 9b50f650, Trap Frame
    Arg4: 00000000
    
    Debugging Details:
    ------------------
    
    
    DUMP_CLASS: 1
    
    DUMP_QUALIFIER: 400
    
    BUILD_VERSION_STRING:  7601.18741.x86fre.win7sp1_gdr.150202-1526
    
    SYSTEM_MANUFACTURER:  PCCHIPS
    
    SYSTEM_PRODUCT_NAME:  A15G
    
    SYSTEM_VERSION:  2.0
    
    BIOS_VENDOR:  Phoenix Technologies, LTD
    
    BIOS_VERSION:  6.00 PG
    
    BIOS_DATE:  12/05/2007
    
    BASEBOARD_MANUFACTURER:  PCCHIPS
    
    BASEBOARD_PRODUCT:  A15G
    
    BASEBOARD_VERSION:  2.0
    
    DUMP_TYPE:  2
    
    BUGCHECK_P1: ffffffffc0000005
    
    BUGCHECK_P2: ffffffff88ce904a
    
    BUGCHECK_P3: ffffffff9b50f650
    
    BUGCHECK_P4: 0
    
    EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - <Unable to get error code text>
    
    FAULTING_IP: 
    NETIO!FeApplyModifiedLayerData+22
    88ce904a 803f00          cmp     byte ptr [edi],0
    
    TRAP_FRAME:  9b50f650 -- (.trap 0xffffffff9b50f650)
    ErrCode = 00000000
    eax=00000000 ebx=88cf72c0 ecx=88cf7200 edx=00000000 esi=86802d08 edi=00000028
    eip=88ce904a esp=9b50f6c4 ebp=9b50f6d4 iopl=0         nv up ei pl zr na pe nc
    cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010246
    NETIO!FeApplyModifiedLayerData+0x22:
    88ce904a 803f00          cmp     byte ptr [edi],0           ds:0023:00000028=??
    Resetting default scope
    
    CPU_COUNT: 2
    
    CPU_MHZ: 9cf
    
    CPU_VENDOR:  AuthenticAMD
    
    CPU_FAMILY: f
    
    CPU_MODEL: 6b
    
    CPU_STEPPING: 2
    
    CUSTOMER_CRASH_COUNT:  1
    
    DEFAULT_BUCKET_ID:  WIN7_DRIVER_FAULT
    
    BUGCHECK_STR:  0x8E
    
    PROCESS_NAME:  iSafeSvc2.exe
    
    CURRENT_IRQL:  0
    
    ANALYSIS_SESSION_HOST:  SQ-PC
    
    ANALYSIS_SESSION_TIME:  06-27-2016 11:58:42.0722
    
    ANALYSIS_VERSION: 10.0.10586.567 amd64fre
    
    LAST_CONTROL_TRANSFER:  from 88f8bb90 to 88ce904a
    
    STACK_TEXT:  
    9b50f6d4 88f8bb90 000003cb 0000051c 86802d08 NETIO!FeApplyModifiedLayerData+0x22
    9b50f6ec 993ef083 000003cb 0000051c 86802d08 fwpkclnt!FwpsApplyModifiedLayerData0+0x24
    WARNING: Stack unwind information not available. Following frames may be wrong.
    9b50f718 88ef3497 850fbbf8 8523eb40 850752c8 UbarDriver+0x1083
    9b50f748 88cddf81 993ef000 850fbbf8 8523eb40 tcpip!AlePostProcessClassify+0xa2
    9b50f7ac 88cc8b5e 00000042 850fbbf8 8523eb40 NETIO!ProcessCallout+0x15c
    9b50f820 88cc724a 00000042 850fbbf8 8523eb40 NETIO!ArbitrateAndEnforce+0xae
    9b50f930 88ef3b7d 00000042 850fbbf8 8523eb40 NETIO!KfdClassify+0x1c7
    9b50faa4 88ce8dec 8523ec98 850fbbf8 8523eb40 tcpip!AleInspectConnectRequestComplete+0x8f
    9b50facc 88f8baff 000003ca 84a4c008 00000000 NETIO!FeCompleteClassify+0x7d
    9b50fae4 8eb4563a 000003ca 0000051a 00000000 fwpkclnt!FwpsCompleteClassify0+0x1e
    9b50fb08 8eb48aca 8513ab10 00000000 00000053 iSafeNetFilter+0x163a
    9b50fb24 8eb48cfe 8f400000 86284e00 9b50fb4c iSafeNetFilter+0x4aca
    9b50fb34 8eb48e35 00000053 86be6ec8 85c11be8 iSafeNetFilter+0x4cfe
    9b50fb4c 8eb49594 86284e00 86284e70 9b50fb74 iSafeNetFilter+0x4e35
    9b50fb5c 82a45c0e 85c11be8 86284e00 86284e00 iSafeNetFilter+0x5594
    9b50fb74 82c3ad15 86be6ec8 86284e00 86284e70 nt!IofCallDriver+0x63
    9b50fb94 82c80b62 85c11be8 86be6ec8 00000001 nt!IopSynchronousServiceTail+0x1f8
    9b50fc30 8860bdc5 85c11be8 000000c8 00000000 nt!NtWriteFile+0x6e8
    9b50fd08 82a4c896 000004b0 000000c8 00000000 Hookport+0xdc5
    9b50fd08 76fd70b4 000004b0 000000c8 00000000 nt!KiSystemServicePostCall
    0699f78c 00000000 00000000 00000000 00000000 0x76fd70b4
    
    
    STACK_COMMAND:  kb
    
    THREAD_SHA1_HASH_MOD_FUNC:  2120cfa200b9d72bd867567ad3e432f299dbc9c7
    
    THREAD_SHA1_HASH_MOD_FUNC_OFFSET:  f0eac769e40a8b414a95ea3e821b7956dbfaa9f1
    
    THREAD_SHA1_HASH_MOD:  76fb380715c292292bd34caf6d919f22675f88c6
    
    FOLLOWUP_IP: 
    NETIO!FeApplyModifiedLayerData+22
    88ce904a 803f00          cmp     byte ptr [edi],0
    
    FAULT_INSTR_CODE:  8b003f80
    
    SYMBOL_STACK_INDEX:  0
    
    SYMBOL_NAME:  NETIO!FeApplyModifiedLayerData+22
    
    FOLLOWUP_NAME:  MachineOwner
    
    MODULE_NAME: NETIO
    
    IMAGE_NAME:  NETIO.SYS
    
    DEBUG_FLR_IMAGE_TIMESTAMP:  4ce78963
    
    IMAGE_VERSION:  6.1.7601.17514
    
    FAILURE_BUCKET_ID:  0x8E_NETIO!FeApplyModifiedLayerData+22
    
    BUCKET_ID:  0x8E_NETIO!FeApplyModifiedLayerData+22
    
    PRIMARY_PROBLEM_CLASS:  0x8E_NETIO!FeApplyModifiedLayerData+22
    
    TARGET_TIME:  2016-06-27T06:40:17.000Z
    
    OSBUILD:  7601
    
    OSSERVICEPACK:  1000
    
    SERVICEPACK_NUMBER: 0
    
    OS_REVISION: 0
    
    SUITE_MASK:  272
    
    PRODUCT_TYPE:  1
    
    OSPLATFORM_TYPE:  x86
    
    OSNAME:  Windows 7
    
    OSEDITION:  Windows 7 WinNt (Service Pack 1) TerminalServer SingleUserTS
    
    OS_LOCALE:  
    
    USER_LCID:  0
    
    OSBUILD_TIMESTAMP:  2015-02-03 04:11:13
    
    BUILDDATESTAMP_STR:  150202-1526
    
    BUILDLAB_STR:  win7sp1_gdr
    
    BUILDOSVER_STR:  6.1.7601.18741.x86fre.win7sp1_gdr.150202-1526
    
    ANALYSIS_SESSION_ELAPSED_TIME: 6d9
    
    ANALYSIS_SOURCE:  KM
    
    FAILURE_ID_HASH_STRING:  km:0x8e_netio!feapplymodifiedlayerdata+22
    
    FAILURE_ID_HASH:  {b647c7ef-8df7-e874-982e-51d57ab2c80e}
    
    Followup:     MachineOwner
    ---------


    Best Regards, Andrei ...
    MCP

    • Изменено SQxModerator 27 июня 2016 г. 9:01 добавлено
    27 июня 2016 г. 8:58
    Модератор
  • Использую антивирус 360 Total Security
    27 июня 2016 г. 9:03
  • Соберите пожалуйста, следующие логи:

    1) Сторонней антивирусной утилиты HiJackThis
    - Нажмите на кнопку "Do a system scan and save a logfile". Сохраните лог. По умолчанию лог сохраняется в папке программы с именем hijackthis.log.
    2) Сторонней антивирусной утилиты AVZ
    - Распакуйте из архива Антивирусную утилиту AVZ и поместите в новую отдельную папку. Запустите AVZ и обновите базы ("Файл" => "Обновление баз"), после чего закройте AVZ.
    - Запустите AVZ*
    . Откройте в меню "Файл"=>"Стандартные скрипты" и отметьте пункт "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог будет сохранен в директории AVZ в папке LOG в архиве virusinfo_syscheck.zip.

    Приложите полученные логи на файловое хранилище (например onedrive).


    Best Regards, Andrei ...
    MCP

    27 июня 2016 г. 9:09
    Модератор
  • Кстати, недавно кто-то из членов семьи скачал антивирус RE не использую, но часто антивирус выдает ошибки компьютера. На счет HiJackThis и AVZ их надо скачивать?
    27 июня 2016 г. 9:20
  • Кстати, недавно кто-то из членов семьи скачал антивирус RE не использую, но часто антивирус выдает ошибки компьютера. На счет HiJackThis и AVZ их надо скачивать?

     Для сбора логов, необходимо будет HiJackThis и AVZ скачать и выполнить инструкции, которые я указал выше, а так решать Вам.
    Также можете обратиться на специализированные сайты по борьбе с вирусами и вредоносным ПО (например: virusinfo.info).

    Best Regards, Andrei ...
    MCP

    • Изменено SQxModerator 27 июня 2016 г. 9:39 добавлено
    27 июня 2016 г. 9:37
    Модератор
  • https://1drv.ms/u/s!Ajc3zsIkj3ibaynzGjSLYZAblXc
    https://1drv.ms/u/s!Ajc3zsIkj3ibbGcvpsQEMXT-bAQ
    27 июня 2016 г. 9:53
  • Обратите внимание необходим архив virusinfo_syscheck.zip лога, а не avz_sysinfo.htm.

    Согласно логам действительно обнаружено заражение вредоносным ПО.

    Best Regards, Andrei ...
    MCP

    27 июня 2016 г. 10:08
    Модератор
  • Извините, 
    https://1drv.ms/u/s!Ajc3zsIkj3ibbSk2wr0l4o92X1Y
    27 июня 2016 г. 10:11
  • Для дальнейшего написания решения, сообщите, что из следующего Вам известно, сами устанавливали и используете?

    Elex-tech
    Reimage Protector
    UBar


    Best Regards, Andrei ...
    MCP

    27 июня 2016 г. 10:25
    Модератор
  • Reimage Protector устанавливали сами, но не пользуюсь, всплывают окна с ошибками этой программы.

    27 июня 2016 г. 10:30
  • Удалите через установку программ в панели управления, программы из списка которые Вам незнакомы или в дальнейшем не потребуются Вам.

    Проверьте следующие файлы на virustotal и приложите ссылку с результатом в следующем сообщение:
    C:\Program Files\BitTorrent\BitTorrent.exe
    C:\Program Files\Mozilla Firefox\upd_ext.exe
    P.S. Также ничего не сказали по поводу других 2-х ПО.

    Best Regards, Andrei ...
    MCP

    • Изменено SQxModerator 27 июня 2016 г. 10:37 добавлено
    27 июня 2016 г. 10:35
    Модератор

  • AVZ выполнить следующий скрипт.
    Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end; 
     TerminateProcessByName('c:\program files\reimage\reimage protector\reiguard.exe');
     TerminateProcessByName('c:\program files\reimage\reimage protector\reisystem.exe');
     TerminateProcessByName('c:\program files\ubar\ubar.exe');
     TerminateProcessByName('c:\program files\ubar\ubarservice.exe');
     StopService('DeskTop_F');
     StopService('HSystem');
     StopService('pcoductproprodqcn');
     StopService('QMUdisk');
     StopService('ReimageRealTimeProtector');
     StopService('tsnethlp');
     StopService('UbarPolicyProvider');
     StopService('WdMan');
     StopService('TSSK');
     DeleteService('TSSK');
     DeleteService('DeskTop_F');
     DeleteService('HSystem');
     DeleteService('pcoductproprodqcn');
     DeleteService('QMUdisk');
     DeleteService('ReimageRealTimeProtector');
     DeleteService('tsnethlp');
     DeleteService('UbarPolicyProvider');
     DeleteService('WdMan');
     QuarantineFile('C:\Program Files\BitTorrent\BitTorrent.exe','');
     QuarantineFile('C:\Program Files\Mozilla Firefox\upd_ext.exe','');
     QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','');
     QuarantineFile('c:\program files\reimage\reimage protector\reiguard.exe','');
     QuarantineFile('c:\program files\reimage\reimage protector\reisystem.exe','');
     QuarantineFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe','');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.3.17207.222\QMUdisk.sys','');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.3.17207.222\TsNetHlp.sys','');
     QuarantineFile('c:\program files\ubar\ubar.exe','');
     QuarantineFile('C:\Program Files\UBar\UbarDriver.sys','');
     QuarantineFile('C:\Program Files\UBar\UbarService.exe','');
     QuarantineFile('c:\program files\ubar\ubarservice.exe','');
     QuarantineFile('C:\Users\Комп\AppData\Local\Zamcom.exe','');
     QuarantineFile('C:\Windows\System32\Drivers\Hookport.sys','');
     QuarantineFile('C:\Windows\system32\tssk.sys','');
     DeleteFile('C:\Windows\system32\tssk.sys','32'); 
     DeleteFile('C:\Program Files\HDefsoft\INMyfW.exe','32');
     DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32');
     DeleteFile('c:\program files\reimage\reimage protector\reiguard.exe','32');
     DeleteFile('c:\program files\reimage\reimage protector\reisystem.exe','32');
     DeleteFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe','32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.3.17207.222\QMUdisk.sys','32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.3.17207.222\TsNetHlp.sys','32');
     DeleteFile('c:\program files\ubar\ubar.exe','32');
     DeleteFile('C:\Program Files\UBar\UbarDriver.sys','32');
     DeleteFile('c:\program files\ubar\ubarservice.exe','32');
     DeleteFile('C:\Program Files\UBar\UbarService.exe','32');
     DeleteFile('C:\ProgramData\6WdM6\WdMan.exe','32');
     DeleteFile('C:\ProgramData\desktopfind\desktop293.exe','32');
     DeleteFile('C:\Users\Комп\AppData\Local\Zamcom.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\Reimage Reminder','32');
     DeleteFile('C:\Windows\system32\Tasks\ReimageUpdater','32');
     DeleteFileMask('C:\ProgramData\6WdM6', '*', true, ' ');
     DeleteDirectory('C:\ProgramData\6WdM6');
     DeleteFileMask('C:\Program Files\HDefsoft', '*', true, ' ');
     DeleteDirectory('C:\Program Files\HDefsoft'); 
     DeleteFileMask('C:\ProgramData\desktopfind', '*', true, ' ');
     DeleteDirectory('C:\ProgramData\desktopfind'); 
     DeleteFileMask('C:\Program Files\Tencent', '*', true, ' ');
     DeleteDirectory('C:\Program Files\Tencent');  
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
      ExecuteRepair(3);
      ExecuteRepair(4);
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.

    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в AVZ:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Файл quarantine.zip из папки AVZ загрузите по ссылке в Malware Protection Center.

    - Сделайте лог CheckBrowserLnk

    - Подготовьте  лог AdwCleaner.

    Приложите полученные логи на файловое хранилище (например onedrive).

    Best Regards, Andrei ...
    MCP



    Best Regards, Andrei ...
    MCP

    27 июня 2016 г. 11:42
    Модератор