• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Закрыто Cиний экран

Статус
В этой теме нельзя размещать новые ответы.

Эмиль23

Новый пользователь
Сообщения
49
Симпатии
2
#1
Логов пока нет, я не вполне уверен что это вирус, но если нужно обязательно скину.
У меня уже 4-ый раз крашится система, в описании написано: critical system process died.
Проверил утилитой WhoCrashed, вот что получил:
C:\WINDOWS
C:\WINDOWS\Minidump

On Sun 08.04.2018 17:46:41 your computer crashed or a problem was reported
crash dump file: C:\WINDOWS\Minidump\040818-256125-01.dmp
This was probably caused by the following module: ntoskrnl.exe (nt+0x175510)
Bugcheck code: 0xEF (0xFFFFC182303BE240, 0x0, 0x0, 0x0)
Error: CRITICAL_PROCESS_DIED
file path: C:\WINDOWS\system32\ntoskrnl.exe
product: Microsoft® Windows® Operating System
company: Microsoft Corporation
description: NT Kernel & System
Bug check description: This indicates that a critical system process died.
There is a possibility this problem was caused by a virus or other malware.
The crash took place in the Windows kernel. Possibly this problem is caused by another driver that cannot be identified at this time.



On Sun 08.04.2018 17:46:41 your computer crashed or a problem was reported
crash dump file: C:\WINDOWS\MEMORY.DMP
This was probably caused by the following module: svchost_400000.sys (0x0000000000000000)
Bugcheck code: 0xEF (0xFFFFC182303BE240, 0x0, 0x0, 0x0)
Error: CRITICAL_PROCESS_DIED
Bug check description: This indicates that a critical system process died.
There is a possibility this problem was caused by a virus or other malware.
A third party driver was identified as the probable root cause of this system error. It is suggested you look for an update for the following driver: svchost_400000.sys .
Google query: svchost_400000.sys CRITICAL_PROCESS_DIED



On Sun 08.04.2018 17:29:37 your computer crashed or a problem was reported
crash dump file: C:\WINDOWS\Minidump\040818-247390-01.dmp
This was probably caused by the following module: ntoskrnl.exe (nt+0x175510)
Bugcheck code: 0xEF (0xFFFFC007FEB71080, 0x0, 0x0, 0x0)
Error: CRITICAL_PROCESS_DIED
file path: C:\WINDOWS\system32\ntoskrnl.exe
product: Microsoft® Windows® Operating System
company: Microsoft Corporation
description: NT Kernel & System
Bug check description: This indicates that a critical system process died.
There is a possibility this problem was caused by a virus or other malware.
The crash took place in the Windows kernel. Possibly this problem is caused by another driver that cannot be identified at this time.



On Sun 08.04.2018 13:45:15 your computer crashed or a problem was reported
crash dump file: C:\WINDOWS\Minidump\040818-305500-01.dmp
This was probably caused by the following module: ntoskrnl.exe (nt+0x175510)
Bugcheck code: 0xEF (0xFFFF8C86204A0580, 0x0, 0x0, 0x0)
Error: CRITICAL_PROCESS_DIED
file path: C:\WINDOWS\system32\ntoskrnl.exe
product: Microsoft® Windows® Operating System
company: Microsoft Corporation
description: NT Kernel & System
Bug check description: This indicates that a critical system process died.
There is a possibility this problem was caused by a virus or other malware.
The crash took place in the Windows kernel. Possibly this problem is caused by another driver that cannot be identified at this time.



On Sat 07.04.2018 22:21:37 your computer crashed or a problem was reported
crash dump file: C:\WINDOWS\Minidump\040818-41766531-01.dmp
This was probably caused by the following module: ntoskrnl.exe (nt+0x175510)
Bugcheck code: 0xEF (0xFFFF8E8E98296580, 0x0, 0x0, 0x0)
Error: CRITICAL_PROCESS_DIED
file path: C:\WINDOWS\system32\ntoskrnl.exe
product: Microsoft® Windows® Operating System
company: Microsoft Corporation
description: NT Kernel & System
Bug check description: This indicates that a critical system process died.
There is a possibility this problem was caused by a virus or other malware.
The crash took place in the Windows kernel. Possibly this problem is caused by another driver that cannot be identified at this time.



On Sat 07.04.2018 16:56:45 your computer crashed or a problem was reported
crash dump file: C:\WINDOWS\Minidump\040718-9126359-01.dmp
This was probably caused by the following module: ntoskrnl.exe (nt+0x175510)
Bugcheck code: 0xEF (0xFFFF810EEA314580, 0x0, 0x0, 0x0)
Error: CRITICAL_PROCESS_DIED
file path: C:\WINDOWS\system32\ntoskrnl.exe
product: Microsoft® Windows® Operating System
company: Microsoft Corporation
description: NT Kernel & System
Bug check description: This indicates that a critical system process died.
There is a possibility this problem was caused by a virus or other malware.
The crash took place in the Windows kernel. Possibly this problem is caused by another driver that cannot be identified at this time.



6 crash dumps have been found and analyzed. A third party driver has been identified to be causing system crashes on your computer. It is strongly suggested that you check for updates for these drivers on their company websites. Click on the links below to search with Google for updates for these drivers:

svchost_400000.sys

Как решить проблему? Что это за драйвер svchost_400000.sys который я нигде немогу найти?
 
Последнее редактирование модератором:

Кирилл

Команда форума
Администратор
Сообщения
13,352
Симпатии
5,887
#2
Как решить проблему? Что это за драйвер svchost_400000.sys который я нигде немогу найти?
Не могу сказать, насколько эта утилита хорошо анализирует дампы, но если ей верить - я бы начал с логов.
Пикрепите их, иначе ничего не выйдет.
 
Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
13,352
Симпатии
5,887
#4
Программа Launcher Prerequisites вам знакома? Сами установили?
Поисковик yahoo сами указали в настройках?
Настройки DNS ваши?

Код:
109.86.2.21
109.86.2.2
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
QuarantineFile('C:\Users\Admin\AppData\Roaming\UMIf.exe', '');
QuarantineFile('C:\Users\Admin\Favorites\Links\Интернет.url', '');
QuarantineFile('C:\WINDOWS\FtulKyAUuTNiO.exe', '');
DeleteFile('C:\WINDOWS\FtulKyAUuTNiO.exe');
DeleteFile('C:\Users\Admin\Favorites\Links\Интернет.url');
DeleteFile('C:\Users\Admin\AppData\Roaming\UMIf.exe');
DeleteFile('C:\WINDOWS\system32\Tasks\{1AC88945-F6BD-60A2-B21F-EA89F23430AB}', '64');
DeleteFile('C:\WINDOWS\system32\Tasks\{9E41528C-28AC-3083-CEDC-5042A6860EB7}', '64');
DeleteFile('C:\WINDOWS\system32\Tasks\hotivitnetoiqe', '64');
ExecuteFile('schtasks.exe', '/delete /TN "{1AC88945-F6BD-60A2-B21F-EA89F23430AB}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{9E41528C-28AC-3083-CEDC-5042A6860EB7}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "hotivitnetoiqe" /F', 0, 15000, true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O22 - Task: (disabled) hotivitnetoiqe - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hotivit.net/oiqe
O22 - Task: {1AC88945-F6BD-60A2-B21F-EA89F23430AB} - C:\WINDOWS\FtulKyAUuTNiO.exe /q /i http://silowstat.net/3burq6wpfeti.unu
O22 - Task: {9E41528C-28AC-3083-CEDC-5042A6860EB7} - C:\Users\Admin\AppData\Roaming\UMIf.exe /q /i http://silowstat.net/ctmddganufkw.ttt

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Эмиль23

Новый пользователь
Сообщения
49
Симпатии
2
#5
По первым двум вопросам однозначно нет. А вот по третьему затрудняюсь дать ответ.
Сообщения объединены:

 

Вложения

Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
13,352
Симпатии
5,887
#6
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    Task: {AB0CE3B6-B8DD-43AD-91CD-18FF70198E58} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [432]
    AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [432]
    HKLM\...\StartupApproved\StartupFolder: => "McAfee Security Scan Plus.lnk"
    HKLM\...\StartupApproved\Run: => "AvastUI.exe"
    HKU\S-1-5-21-2993677496-2127200648-2709929357-1001\...\StartupApproved\Run: => "ycAutoLaunch_8805AEDEE4378A1CB9BB932D43532D08"
    FirewallRules: [{868064DB-39F8-4301-95A9-400564862CFB}] => (Allow) C:\Users\Admin\AppData\Roaming\UMIf.exe
    FirewallRules: [{8CC5A9DA-55ED-431B-9DFE-F4F9FE59D998}] => (Allow) C:\WINDOWS\FtulKyAUuTNiO.exe
    C:\Users\Admin\AppData\Roaming\UMIf.exe
    C:\WINDOWS\FtulKyAUuTNiO.exe
    SearchScopes: HKU\S-1-5-21-2993677496-2127200648-2709929357-1001 -> {C0C3A6C6-03BC-4195-8FCB-AEA091301353} URL = hxxps://search.yahoo.com/yhs/search?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__ch_WCYID10438__171028__yaie&p={searchTerms}
    FF Extension: (Avast SafePrice) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\tskghxfe.default\Extensions\sp@avast.com.xpi [2018-03-13]
    FF Extension: (Avast Online Security) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\tskghxfe.default\Extensions\wrc@avast.com.xpi [2018-03-13]
    OPR Extension: (SearchWay) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\fgldnknlljnfcfgchdijbjmmkdkmnabn [2018-02-04]
    File: C:\WINDOWS\unins000.exe
    2018-03-13 15:25 - 2017-10-28 18:43 - 000000000 ____D C:\Users\Все пользователи\AVAST Software
    2018-03-13 15:25 - 2017-10-28 18:43 - 000000000 ____D C:\ProgramData\AVAST Software
    2017-09-29 16:42 - 2017-09-29 16:42 - 000174592 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\oAhIRZqOauIh.exe
    2017-03-18 23:59 - 2017-03-18 23:59 - 000174592 _____ (Microsoft Corporation) C:\Program Files (x86)\Common Files\xPsZnOOg.exe
    2017-03-18 23:59 - 2017-03-18 23:59 - 000059392 _____ (Microsoft Corporation) C:\Users\Admin\AppData\Roaming\OKLUYOiWRI.exe
    2017-03-18 23:59 - 2017-03-18 23:59 - 000059392 _____ (Microsoft Corporation) C:\Users\Admin\AppData\Local\BQikUf.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

На счет DNS - можно узнать у провайдера.
Или можно воспользоваться альтернативными:
:-вниз:
Обзор альтернативных DNS серверов
 

Sandor

Ассоциация VN/VIP
Сообщения
4,363
Симпатии
1,552
#8
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу