fenrir
Uzman
- Katılım
- 19 Eylül 2024
- Mesajlar
- 153
- Beğeniler
- 48
asdasd.rar minidump dosyaları burada sorun ne olabilir?
Son düzenleyen: Moderatör:
0xffffad0e98a37918 : 0xfffff8060600eb52 : nt!KiPageFault+0x452 // Çökme
0xffffad0e98a37a08 : 0xfffff806061abbc6 : nt!PerfInfoLogSysCallEntry+0x86
0xffffad0e98a37a18 : 0xfffff806061b4130 : nt!NtShutdownSystem
0xffffad0e98a37a40 : 0xfffff806061b4130 : nt!NtShutdownSystem // sistem kapatılıyor
*** WARNING: Unable to verify timestamp for avgSnx.sys // AVAST
0xffffad0e98a37a88 : 0xfffff80606014992 : nt!memcpy+0x92 // Bir bellek alanındaki belli bir bloğu kopyaları
0xffffad0e98a37ab8 : 0xfffff8060601310b : nt!KiSystemServiceExitPico+0x41f // NT'e geçiş
4: kd> u nt!memcpy+0x92
nt!memcpy+0x92:
fffff802`6fc14992 0f100411 movups xmm0,xmmword ptr [rcx+rdx] // Geçersiz alanlar
fffff802`6fc14996 4883c110 add rcx,10h
fffff802`6fc1499a f6c10f test cl,0Fh
fffff802`6fc1499d 7412 je nt!memcpy+0xb1 (fffff802`6fc149b1)
fffff802`6fc1499f 4883e1f0 and rcx,0FFFFFFFFFFFFFFF0h // RCX'teki belli bir alana ait bitlerin temizlenmesi
fffff802`6fc149a3 0f100c11 movups xmm1,xmmword ptr [rcx+rdx]
fffff802`6fc149a7 0f1100 movups xmmword ptr [rax],xmm0
fffff802`6fc149aa 0f28c1 movaps xmm0,xmm1
9: kd> lmvm fstjysfy
Browse full module list
start end module name
fffff804`51720000 fffff804`5172c000 fstjysfy T (no symbols)
Loaded symbol image file: fstjysfy.sys
Image path: \??\C:\WINDOWS\system32\drivers\fstjysfy.sys
Image name: fstjysfy.sys
Browse all global symbols functions data
Timestamp: Thu Jan 15 12:00:40 2015 (54B781B8)
CheckSum: 0000E1B6
ImageSize: 0000C000
Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4
Information from resource tables:
Rich (BB code):0xffffad0e98a37918 : 0xfffff8060600eb52 : nt!KiPageFault+0x452 // Çökme 0xffffad0e98a37a08 : 0xfffff806061abbc6 : nt!PerfInfoLogSysCallEntry+0x86 0xffffad0e98a37a18 : 0xfffff806061b4130 : nt!NtShutdownSystem 0xffffad0e98a37a40 : 0xfffff806061b4130 : nt!NtShutdownSystem // sistem kapatılıyor *** WARNING: Unable to verify timestamp for avgSnx.sys // AVAST 0xffffad0e98a37a88 : 0xfffff80606014992 : nt!memcpy+0x92 // Bir bellek alanındaki belli bir bloğu kopyaları 0xffffad0e98a37ab8 : 0xfffff8060601310b : nt!KiSystemServiceExitPico+0x41f // NT'e geçiş
Rich (BB code):4: kd> u nt!memcpy+0x92 nt!memcpy+0x92: fffff802`6fc14992 0f100411 movups xmm0,xmmword ptr [rcx+rdx] // Geçersiz alanlar fffff802`6fc14996 4883c110 add rcx,10h fffff802`6fc1499a f6c10f test cl,0Fh fffff802`6fc1499d 7412 je nt!memcpy+0xb1 (fffff802`6fc149b1) fffff802`6fc1499f 4883e1f0 and rcx,0FFFFFFFFFFFFFFF0h // RCX'teki belli bir alana ait bitlerin temizlenmesi fffff802`6fc149a3 0f100c11 movups xmm1,xmmword ptr [rcx+rdx] fffff802`6fc149a7 0f1100 movups xmmword ptr [rax],xmm0 fffff802`6fc149aa 0f28c1 movaps xmm0,xmm1
Tüm dosyaların aynı, bir sürücü (avasta ait de olabilir.) Alanındaki ya da bir bellek alanındaki bir kodun kopyalanması sırasında geçersiz bir adres alanına hem optimize etme var hem de bit temizlenmeye çalışılıyor. Tüm dosyalar aynı Offset'e sahip olduğu için sürücü hatası olma ihtimali var. Avast olabilir mi? Kaldırabilir misin?
Rich (BB code):9: kd> lmvm fstjysfy. Browse full module list. start end module name. fffff804`51720000 fffff804`5172c000 fstjysfy T (no symbols) Loaded symbol image file: fstjysfy.sys Image path: \??\C:\WINDOWS\system32\drivers\fstjysfy.sys Image name: fstjysfy.sys Browse all global symbols functions data. Timestamp: Thu Jan 15 12:00:40 2015 (54B781B8) CheckSum: 0000E1B6. ImageSize: 0000C000. Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4 Information from resource tables:
Şöyle bir karışık sürücü de var. Neye ait olduğunu araştırıyorum ama normal bir sürücü adı gibi durmuyor. 3.taraf zararlı bir yazılıma ait olabilir mi? Avast ile sistemi kontrol mü etmeye çalışıyorsun? Konuyu açıklarsan veya bu 2 sürücüyü kaldırırsan daha rahat bir şey elde edebiliriz.