Много BSOD и зависаний

[ValX]

Много BSOD и зависаний

Здравствуйте! Прошу помощи!

Обновил в своём PC материнку, процессор и добавил немного памяти. Винт и видеокарта остались прежними. Соответственно новая винда и заново установленные программы.

С первых включений компа в сеть практически постоянно появляются BSOD . Иногда при перезагрузке не определяется винт. Часто полностью зависает система, спасает только принудительная перезагрузка. И пр...
Логи BSOD отмечены в bluescreenview и есть в наличии. Также имеются фото со смартфона некоторых ошибок.

Лог uVS:

 

[Гризлик]

Вирусов не увидел. Для очистки системы от мусора выполните это.

Логи BSOD отмечены в bluescreenview и есть в наличии. Также имеются фото со смартфона некоторых ошибок.

выложите

 

[safety]

после выполнения скрипта необходимо установить патч для вашей системы,
возможно, система атакуется из внешней сети сетевым червем, и проникает в систему через уязвимость.

Microsoft Security Bulletin MS17-010 - Critical
Security Update for Microsoft Windows SMB Server (4013389)

Published: March 14, 2017

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

+
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
apply

; OpenAL
exec  C:\Program Files (x86)\OpenAL\oalinst.exe" /U
deltmp
delref %SystemDrive%\TEMP\YUPDATE-PING-YABROWSER.TEMP
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref %SystemRoot%\SYSWOW64\LOGONUI.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\55.0.2883.87\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\[CLSID]
delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\PLUGINS\NPFOXITREADERPLUGIN.DLL
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\PLUGINS\FOXITREADERBROWSERAX.DLL
delref %SystemDrive%\PROGRAM FILES\WINRAR\RAREXT32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\MSCONFIG.EXE
delref D:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

 

[ValX]

Гризлик, safety спасибо. По порядку.

1. Не могу загрузить фото в сообщение, ошибка: 413 Request Entity Too Large.
2. Отчёты в bluescreenview, как я уже понял, сохраняются пока система не перезагружена, увы. Ибо открываю её сейчас, а там пусто... Просто помню что было KMODE_EXCEPTION_NOT_HANDLED и PAGE_FAULT_IN_NONPAGED_AREA.
3. Вчера с обеда перестал втыкаться интернет (выделенка Билайн напрямую в сетевую карту без модема) - исчезли все доступные подключения. Инженер Билайна при консультации по тлф. обнаружил файл powershell.exe в процессах диспетчера задач и сообщил, что это вирус, который маскируясь под майкрософтовское приложение, блокирует доступ в инет. Теперь при каждой перезагрузке приходится убивать этот процесс ч/з диспетчер задач ибо ни лицензионный установленный Dr.Web, ни онлайн-сканер ESET никаких вирусов не находят...
4. Выполнил все указанные вами скрипты, пока ни зависаний ни синих экранов нет. Скачал указанные патчи для системы, но при попытке установки выдаётся ошибка: 0х80070422, указанная служба отключена...

 

[ValX]

а) Один из BSOD
б) Неизвестное сообщение, затем самостоятельная перезагрузка
в) Сообщение от Dr.Web при выполнении второго из указанного вами скрипта в uVS

 

[safety]

ValX,
выполните скрипт в uVS из безопасного режима системы.
+
добавьте новый образ автозапуска.
+
сделайте проверку на уязвимость MS-2017-010
https://help.eset.com/eset_tools/ESETEternalBlueChecker.exe

 

[Гризлик]

2. Отчёты в bluescreenview, как я уже понял, сохраняются пока система не перезагружена, увы. Ибо открываю её сейчас, а там пусто... Просто помню что было KMODE_EXCEPTION_NOT_HANDLED и PAGE_FAULT_IN_NONPAGED_AREA.

В папке Windows\Minidump есть файлы? Если да то запакуйте их в архив и выложите сюда, а также файл Windows\memmory.dmp (если есть) тоже сюда.

3. Вчера с обеда перестал втыкаться интернет (выделенка Билайн напрямую в сетевую карту без модема) - исчезли все доступные подключения. Инженер Билайна при консультации по тлф. обнаружил файл powershell.exe в процессах диспетчера задач и сообщил, что это вирус, который маскируясь под майкрософтовское приложение, блокирует доступ в инет. Теперь при каждой перезагрузке приходится убивать этот процесс ч/з диспетчер задач ибо ни лицензионный установленный Dr.Web, ни онлайн-сканер ESET никаких вирусов не находят...

Выполните

4. Выполнил все указанные вами скрипты, пока ни зависаний ни синих экранов нет. Скачал указанные патчи для системы, но при попытке установки выдаётся ошибка: 0х80070422, указанная служба отключена...

Включите службу Центр обновлений

 

[ValX]

safety, Гризлик. После выполнения указанного скрипта в безопасном режиме интернет не втыкается совсем, даже после удаления процесса powershell.exe. Заодно перестала запускаться и GTAV: отсутствует steam_api64.dll. Пишу с ноутбука...
Соответственно из-за отсутствия инета не смог сделать проверку на уязвимость MS-2017-010 и сделать лог сканирования в MBAM.
В папке Windows\Minidump пусто. Файл Windows\memmory.dmp - отсутствует.
Новый лог uVS здесь:

 

[Гризлик]

Соответственно из-за отсутствия инета

Запустите командную строку от имени Администратора и в ней выполните

netsh winsock reset

После чего перезагрузите ПК.

 

[safety]

судя по новому образу левый обработчик WMI очищен.
процесс powershell.exe не причем. не влияет на сеть, другое дело, что он делает в процессах.

 

[ValX]

Гризлик, safety

Командную строку выполнил - результаты те же.

процесс powershell.exe не причем. не влияет на сеть - тем не менее ранее при удалении этого процесса из диспетчера задач сеть восстанавливалась и инет запускался. Сейчас уже и на это не реагирует...

Лог другого MBAM:

 

[ValX]

Выполнил сканирование sfc /scannow. Найдены повреждённые файлы, но они не восстановлены.

 

[ValX]

Лог сканирования, если поможет...

 

[safety]

этот файл необходимо восстановить.
Файл не найден: C:\WINDOWS\SYSWOW64\LOGONUI.EXE

 

[ValX]

М-м-м... КАК?!?

 

[ValX]

ОК...
Как исправить частое периодическое зависание экрана с чёрным фоном и дальнейшим сообщением "Видеодрайвер перестал отвечать и был восстановлен. NVidia Windows Kernel Mode Drive, version 388.59"??