Добрый день господа!
У меня возникла следующая ситуация:
Скачал утилиту cureit 11-12 февраля, запустил проверку 16 числа, по стандартным дерикториям выставленным в нём и дополнительно по моим документам, папке скачиваний и папке винды.
Через 20 минут проверки было найдено 2 вредных файла, оба pdf, оба в 2 из подпапок /AppData/ я оставил включённую проверку и ушёл. через 2 часа вернулся и у меня был BSOD.
Я запустил chkdsk и перезагрузил ноутбук ( acer aspire 5750g, win 7 home premium x64) после 3.5 часов проверки не было найдено никаких проблем или плохих секторов. После окончания проверки я скачал свежую версию qureit от 16 февраля и запустил проверку по таким же дерикториям как первый раз и ничего не нашёл, никаких вредоносное программное обеспечениеных pdf файлов. После чего я проверил ВСЕ дериктории компа полностью и так же ничего не нашёл.
Меня беспокоит вся эта ситуация, то вирусы есть, то их нет, то BSOD при проверке, то всё работает снова идеально, параноидальные мысли одаливают меня господа, хотелось бы выслушать мнения людей разбирающихся в вирусах и работе продукции drweb, чтобы понять стоит ли сносить систему, для страховки, или же это всё была ошибка распознования утилитой и не понятный глюк.
Других антивирусников или програм засчиты не стоит, конфликтов с qureit за 3 года на этой системе не было, лог проверки из за BSOD не сохранился, лог последней проверки не выкладываю, так как там ничего не найдено. Дамп и лог chkdsk прикрепить к теме не получилось (internal service error) так что отпишу их в комментариях к теме.
Если тема создана в неправильном разделе, то прошу модераторов её перенести и не закрывать до получения ответа.
Всем большое спасибо за ывшу помощь.
Dump file
Microsoft ® Windows Debugger Version 6.12.0002.633 AMD64
Copyright © Microsoft Corporation. All rights reserved.
Loading Dump File [C:\Windows\MEMORY.DMP]
Kernel Summary Dump File: Only kernel address space is available
Symbol search path is: SRV*C:\Windows\symbol_cache*http://msdl.microsoft.com/download/symbols
Executable search path is:
Windows 7 Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS Personal
Built by: 7601.18717.amd64fre.win7sp1_gdr.150113-1808
Machine Name:
Kernel base = 0xfffff800`02e5c000 PsLoadedModuleList = 0xfffff800`030a0890
Debug session time: Mon Feb 16 17:24:52.649 2015 (UTC + 2:00)
System Uptime: 0 days 6:42:15.318
Loading Kernel Symbols
...............................................................
................................................................
.............................................................
Loading User Symbols
Loading unloaded module list
.........................................
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
Use !analyze -v to get detailed debugging information.
BugCheck 50, {fffff8a016672040, 1, fffff880016a5b1c, 0}
Probably caused by : Ntfs.sys ( Ntfs!NtfsTeardownStructures+1bc )
Followup: MachineOwner
---------
0: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: fffff8a016672040, memory referenced.
Arg2: 0000000000000001, value 0 = read operation, 1 = write operation.
Arg3: fffff880016a5b1c, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 0000000000000000, (reserved)
Debugging Details:
------------------
OVERLAPPED_MODULE: Address regions for '9CF6FF917' and 'HIDCLASS.SYS' overlap
WRITE_ADDRESS: fffff8a016672040 Paged pool
FAULTING_IP:
Ntfs!NtfsTeardownStructures+1bc
fffff880`016a5b1c 4c8908 mov qword ptr [rax],r9
MM_INTERNAL_CODE: 0
IMAGE_NAME: Ntfs.sys
DEBUG_FLR_IMAGE_TIMESTAMP: 52e1be8a
MODULE_NAME: Ntfs
FAULTING_MODULE: fffff88001619000 Ntfs
DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT
BUGCHECK_STR: 0x50
PROCESS_NAME: System
CURRENT_IRQL: 0
TRAP_FRAME: fffff88003385780 -- (.trap 0xfffff88003385780)
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=fffff8a016672040 rbx=0000000000000000 rcx=fffffa80085dc800
rdx=fffffa8008469638 rsi=0000000000000000 rdi=0000000000000000
rip=fffff880016a5b1c rsp=fffff88003385910 rbp=fffff80003078280
r8=0000000000009d30 r9=fffff8a0125b23d8 r10=fffff80002e5c000
r11=0000000000000310 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0 nv up ei pl zr na po nc
Ntfs!NtfsTeardownStructures+0x1bc:
fffff880`016a5b1c 4c8908 mov qword ptr [rax],r9 ds:fffff8a0`16672040=????????????????
Resetting default scope
LAST_CONTROL_TRANSFER: from fffff80002f4feb0 to fffff80002ed0ec0
STACK_TEXT:
fffff880`03385618 fffff800`02f4feb0 : 00000000`00000050 fffff8a0`16672040 00000000`00000001 fffff880`03385780 : nt!KeBugCheckEx
fffff880`03385620 fffff800`02ecefee : 00000000`00000001 fffff8a0`16672040 fffffa80`0605b500 fffff8a0`125b2010 : nt! ?? ::FNODOBFM::`string'+0x4518f
fffff880`03385780 fffff880`016a5b1c : fffff8a0`125b2010 fffff800`03078280 fffff880`03385a12 fffffa80`09609160 : nt!KiPageFault+0x16e
fffff880`03385910 fffff880`01628a52 : fffffa80`09609160 fffffa80`09609160 fffff8a0`125b2010 00000000`00000000 : Ntfs!NtfsTeardownStructures+0x1bc
fffff880`03385990 fffff880`016b52d3 : fffffa80`09609160 fffff800`03078280 fffff8a0`125b2010 00000000`00000009 : Ntfs!NtfsDecrementCloseCounts+0xa2
fffff880`033859d0 fffff880`01707d32 : fffffa80`09609160 fffff8a0`125b2140 fffff8a0`125b2010 fffffa80`085dc180 : Ntfs!NtfsCommonClose+0x353
fffff880`03385aa0 fffff800`02edaa95 : 00000000`00000000 fffff800`031c9b01 fffffa80`05b58000 00000000`00000002 : Ntfs!NtfsFspCloseInternal+0x186
fffff880`03385b70 fffff800`0316fb8a : 0c602414`021112a1 fffffa80`05b58040 00000000`00000080 fffffa80`05a8fb30 : nt!ExpWorkerThread+0x111
fffff880`03385c00 fffff800`02ec28e6 : fffff880`031d7180 fffffa80`05b58040 fffff880`031e1fc0 fea30afe`6da9c993 : nt!PspSystemThreadStartup+0x5a
fffff880`03385c40 00000000`00000000 : fffff880`03386000 fffff880`03380000 fffff880`033858a0 00000000`00000000 : nt!KiStartSystemThread+0x16
STACK_COMMAND: kb
FOLLOWUP_IP:
Ntfs!NtfsTeardownStructures+1bc
fffff880`016a5b1c 4c8908 mov qword ptr [rax],r9
SYMBOL_STACK_INDEX: 3
SYMBOL_NAME: Ntfs!NtfsTeardownStructures+1bc
FOLLOWUP_NAME: MachineOwner
FAILURE_BUCKET_ID: X64_0x50_Ntfs!NtfsTeardownStructures+1bc
BUCKET_ID: X64_0x50_Ntfs!NtfsTeardownStructures+1bc
Followup: MachineOwner
---------
chkdsk
Checking file system on C:
The type of the file system is NTFS.
A disk check has been scheduled.
Windows will now check the disk.
CHKDSK is verifying files (stage 1 of 5)...
213248 file records processed. File verification completed.
1376 large file records processed. 0 bad file records processed. 0 EA records processed. 60 reparse records processed. CHKDSK is verifying indexes (stage 2 of 5)...
281852 index entries processed. Index verification completed.
0 unindexed files scanned. 0 unindexed files recovered. CHKDSK is verifying security descriptors (stage 3 of 5)...
213248 file SDs/SIDs processed. Cleaning up 168 unused index entries from index $SII of file 0x9.
Cleaning up 168 unused index entries from index $SDH of file 0x9.
Cleaning up 168 unused security descriptors.
Security descriptor verification completed.
34303 data files processed. CHKDSK is verifying Usn Journal...
33590968 USN bytes processed. Usn Journal verification completed.
CHKDSK is verifying file data (stage 4 of 5)...
213232 files processed. File data verification completed.
CHKDSK is verifying free space (stage 5 of 5)...
86355497 free clusters processed. Free space verification is complete.
Windows has checked the file system and found no problems.
609298431 KB total disk space.
263436632 KB in 173810 files.
106172 KB in 34304 indexes.
0 KB in bad sectors.
333635 KB in use by the system.
65536 KB occupied by the log file.
345421992 KB available on disk.
4096 bytes in each allocation unit.
152324607 total allocation units on disk.
86355498 allocation units available on disk.
Internal Info:
00 41 03 00 fd 2c 03 00 8d fd 05 00 00 00 00 00 .A...,..........
32 02 00 00 3c 00 00 00 00 00 00 00 00 00 00 00 2...<...........
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
Windows has finished checking your disk.
Please wait while your computer restarts.