瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 每天不定期蓝屏3、4次 有DMp文件
asd588800123 - 2018-3-30 10:52:00
局域网电脑,有一部分电脑,经常早晨8-10点蓝屏有的电脑连续3、4次,有的不间断的3、4次。这里有一个文件,帮我分析一下,我自己估计是病毒,但杀毒没太大作用,杀毒有病毒,杀完提示没了, 但电脑还是蓝屏

Microsoft (R) Windows Debugger Version 6.10.0003.233 X86
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\Documents and Settings\Administrator\桌面\fck\033018-14040-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: *** Invalid ***
****************************************************************************
* Symbol loading may be unreliable without a symbol search path.          *
* Use .symfix to have the debugger choose a symbol path.                  *
* After setting your symbol path, use .reload to refresh symbol locations. *
****************************************************************************
Executable search path is:
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
*                                                                  *
* The Symbol Path can be set by:                                    *
*  using the _NT_SYMBOL_PATH environment variable.                *
*  using the -y <symbol_path> argument when starting the debugger. *
*  using .sympath and .sympath+                                    *
*********************************************************************
Unable to load image ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Windows 7 Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Machine Name:
Kernel base = 0x84215000 PsLoadedModuleList = 0x84360e30
Debug session time: Thu Mar 29 18:13:11.091 2018 (GMT+8)
System Uptime: 0 days 6:05:48.418
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
*                                                                  *
* The Symbol Path can be set by:                                    *
*  using the _NT_SYMBOL_PATH environment variable.                *
*  using the -y <symbol_path> argument when starting the debugger. *
*  using .sympath and .sympath+                                    *
*********************************************************************
Unable to load image ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Loading Kernel Symbols
...............................................................
................................................................
.........................
Loading User Symbols
Loading unloaded module list
.....
Unable to load image srv.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for srv.sys
*** ERROR: Module load completed but symbols could not be loaded for srv.sys
*******************************************************************************
*                                                                            *
*                        Bugcheck Analysis                                    *
*                                                                            *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 10000050, {8c0cb000, 1, af2832ed, 0}

***** Kernel symbols are WRONG. Please fix symbols to do analysis.

*************************************************************************
***                                                                  ***
***                                                                  ***
***    Your debugger is not using the correct symbols                ***
***                                                                  ***
***    In order for this command to work properly, your symbol path  ***
***    must point to .pdb files that have full type information.      ***
***                                                                  ***
***    Certain .pdb files (such as the public OS symbols) do not      ***
***    contain the required information.  Contact the group that      ***
***    provided you with these symbols if you need this command to    ***
***    work.                                                          ***
***                                                                  ***
***    Type referenced: nt!_KPRCB                                    ***
***                                                                  ***
*************************************************************************
*************************************************************************
***                                                                  ***
***                                                                  ***
***    Your debugger is not using the correct symbols                ***
***                                                                  ***
***    In order for this command to work properly, your symbol path  ***
***    must point to .pdb files that have full type information.      ***
***                                                                  ***
***    Certain .pdb files (such as the public OS symbols) do not      ***
***    contain the required information.  Contact the group that      ***
***    provided you with these symbols if you need this command to    ***
***    work.                                                          ***
***                                                                  ***
***    Type referenced: nt!KPRCB                                      ***
***                                                                  ***
*************************************************************************
*************************************************************************
***                                                                  ***
***                                                                  ***
***    Your debugger is not using the correct symbols                ***
***                                                                  ***
***    In order for this command to work properly, your symbol path  ***
***    must point to .pdb files that have full type information.      ***
***                                                                  ***
***    Certain .pdb files (such as the public OS symbols) do not      ***
***    contain the required information.  Contact the group that      ***
***    provided you with these symbols if you need this command to    ***
***    work.                                                          ***
***                                                                  ***
***    Type referenced: nt!_KPRCB                                    ***
***                                                                  ***
*************************************************************************
*************************************************************************
***                                                                  ***
***                                                                  ***
***    Your debugger is not using the correct symbols                ***
***                                                                  ***
***    In order for this command to work properly, your symbol path  ***
***    must point to .pdb files that have full type information.      ***
***                                                                  ***
***    Certain .pdb files (such as the public OS symbols) do not      ***
***    contain the required information.  Contact the group that      ***
***    provided you with these symbols if you need this command to    ***
***    work.                                                          ***
***                                                                  ***
***    Type referenced: nt!KPRCB                                      ***
***                                                                  ***
*************************************************************************
*************************************************************************
***                                                                  ***
***                                                                  ***
***    Your debugger is not using the correct symbols                ***
***                                                                  ***
***    In order for this command to work properly, your symbol path  ***
***    must point to .pdb files that have full type information.      ***
***                                                                  ***
***    Certain .pdb files (such as the public OS symbols) do not      ***
***    contain the required information.  Contact the group that      ***
***    provided you with these symbols if you need this command to    ***
***    work.                                                          ***
***                                                                  ***
***    Type referenced: nt!_KPRCB                                    ***
***                                                                  ***
*************************************************************************
*************************************************************************
***                                                                  ***
***                                                                  ***
***    Your debugger is not using the correct symbols                ***
***                                                                  ***
***    In order for this command to work properly, your symbol path  ***
***    must point to .pdb files that have full type information.      ***
***                                                                  ***
***    Certain .pdb files (such as the public OS symbols) do not      ***
***    contain the required information.  Contact the group that      ***
***    provided you with these symbols if you need this command to    ***
***    work.                                                          ***
***                                                                  ***
***    Type referenced: nt!_KPRCB                                    ***
***                                                                  ***
*************************************************************************
*************************************************************************
***                                                                  ***
***                                                                  ***
***    Your debugger is not using the correct symbols                ***
***                                                                  ***
***    In order for this command to work properly, your symbol path  ***
***    must point to .pdb files that have full type information.      ***
***                                                                  ***
***    Certain .pdb files (such as the public OS symbols) do not      ***
***    contain the required information.  Contact the group that      ***
***    provided you with these symbols if you need this command to    ***
***    work.                                                          ***
***                                                                  ***
***    Type referenced: nt!_KPRCB                                    ***
***                                                                  ***
*************************************************************************
*************************************************************************
***                                                                  ***
***                                                                  ***
***    Your debugger is not using the correct symbols                ***
***                                                                  ***
***    In order for this command to work properly, your symbol path  ***
***    must point to .pdb files that have full type information.      ***
***                                                                  ***
***    Certain .pdb files (such as the public OS symbols) do not      ***
***    contain the required information.  Contact the group that      ***
***    provided you with these symbols if you need this command to    ***
***    work.                                                          ***
***                                                                  ***
***    Type referenced: nt!_KPRCB                                    ***
***                                                                  ***
*************************************************************************
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
*                                                                  *
* The Symbol Path can be set by:                                    *
*  using the _NT_SYMBOL_PATH environment variable.                *
*  using the -y <symbol_path> argument when starting the debugger. *
*  using .sympath and .sympath+                                    *
*********************************************************************
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
*                                                                  *
* The Symbol Path can be set by:                                    *
*  using the _NT_SYMBOL_PATH environment variable.                *
*  using the -y <symbol_path> argument when starting the debugger. *
*  using .sympath and .sympath+                                    *
*********************************************************************
Probably caused by : srv.sys ( srv+202ed )

Followup: MachineOwner
---------



用户系统信息:Mozilla/5.0 (Windows NT 5.1; rv:52.0) Gecko/20100101 Firefox/52.0

附件: 033018-14040-01.rar
麦青儿 - 2018-3-30 14:23:00
把系统升级一下,打上最新的补丁,应该可以解决问题。
怀疑你们那有病毒,一直想利用系统漏洞去感染别的机器,利用漏洞攻击成功后,修改srv.sys的dispatchtable项指针,可能程序写得有问题部分情况下会导致蓝屏,所以会出现大量的srv.sys蓝屏。
打完补丁全网杀毒,单机建议用:http://buy.rising.com.cn/
企业建议用ESM:http://ep.rising.com.cn/zhuomian/2014-05-14/15634.html
1
查看完整版本: 每天不定期蓝屏3、4次 有DMp文件