机器狗的新面孔：开机登录时出现0x0000008E蓝屏错误1

caobihole

浏览: 951116 次

最近访客更多访客>>

u012363178

jerry_shen

fish119

educationAAAA

博主相关

博客

微博

相册

留言

关于我

文章分类

全部博客 (1423)

社区版块

存档分类

2013-09 ( 92)
2013-08 ( 32)
2013-07 ( 23)
更多存档...

机器狗的新面孔：开机登录时出现0x0000008E蓝屏错误1

endurer 原创
2008-03-14 第1版

一位朋友的电脑昨天在系统登录前后这段时间里出现0x0000008E蓝屏错误，请偶帮忙检修。

一、分析
一般当程序引用不正确的内存地址时，可能会引起0x0000008E蓝屏错误。当这种错误发生成系统登录时，那很可能是开机启动项引起的。

二、检测
为了跳过开机启动项，我们在开机时按住F8键，选择以带网络连接的安全模式启动。
结果可以正常登录～
看来问题真的出在开机启动项上。
运行msconfig.exe，检查启动项，发现了下面 pe_xscan 的 log 中的几个O4项，确认是电脑中了病毒。

下载pe_xscan 扫描log并分析，发现如下可疑项（进程模块中相同的部分有省略）：

/===
pe_xscan 08-03-03 by Purple Endurer
2008-3-13 12:34:0
Windows XP Service Pack 2(5.1.2600)
管理员用户组
带网络连接的安全模式

[System Process]* 0 
　　C:/WINDOWS/SYSTEM32/FYOM.DLL | 2008-3-12 10:22:26 
　　C:/WINDOWS/SYSTEM32/TAIJOAD.DLL | 2008-3-12 10:22:58 
　　C:/WINDOWS/SYSTEM32/ATGNEHZ.DLL | 2008-3-12 10:21:46 
　　C:/WINDOWS/SYSTEM32/TSQC.DLL | 2008-3-12 10:22:52 
　　C:/WINDOWS/SYSTEM32/MNAUYGNIQAIXNAIJ.DLL | 2008-3-12 10:25:0 
　　C:/WINDOWS/SYSTEM32/OQNAUHC.DLL | 2008-3-12 10:22:46 
　　C:/WINDOWS/SYSTEM32/GNOLNAIT.DLL | 2008-3-12 10:22:0 
　　C:/WINDOWS/SYSTEM32/DUYGNEF.DLL | 2008-3-12 10:23:24 
　　C:/WINDOWS/SYSTEM32/SLCS.DLL | 2008-3-12 10:24:54 
　　C:/WINDOWS/SYSTEM32/IEMNAW.DLL | 2008-3-12 10:22:24 
C:/WINDOWS/SYSTEM32/WINLOGON.EXE* 220 | 2004-8-23 16:0:0 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | Windows NT Logon Application | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | winlogon | WINLOGON.EXE 
　　C:/WINDOWS/SYSTEM32/MNAUYGNIQAIXNAIJ.DLL | 2008-3-12 10:25:0 
　　C:/WINDOWS/SYSTEM32/OQNAUHC.DLL | 2008-3-12 10:22:46 
　　C:/WINDOWS/SYSTEM32/GNOLNAIT.DLL | 2008-3-12 10:22:0 
　　C:/WINDOWS/SYSTEM32/DUYGNEF.DLL | 2008-3-12 10:23:24 
　　C:/WINDOWS/SYSTEM32/FYOM.DLL | 2008-3-12 10:22:26 
　　C:/WINDOWS/SYSTEM32/TAIJOAD.DLL | 2008-3-12 10:22:58 
　　C:/WINDOWS/SYSTEM32/ATGNEHZ.DLL | 2008-3-12 10:21:46 
　　C:/WINDOWS/SYSTEM32/TSQC.DLL | 2008-3-12 10:22:52 
　　C:/WINDOWS/SYSTEM32/SLCS.DLL | 2008-3-12 10:24:54 
　　C:/WINDOWS/SYSTEM32/IEMNAW.DLL | 2008-3-12 10:22:24 
C:/WINDOWS/SYSTEM32/SERVICES.EXE* 392 | 2004-8-23 16:0:0 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | Services and Controller app | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | services.exe | services.exe 
　　C:/WINDOWS/SYSTEM32/MNAUYGNIQAIXNAIJ.DLL | 2008-3-12 10:25:0 
　　C:/WINDOWS/SYSTEM32/OQNAUHC.DLL | 2008-3-12 10:22:46 
　　C:/WINDOWS/SYSTEM32/GNOLNAIT.DLL | 2008-3-12 10:22:0 
　　C:/WINDOWS/SYSTEM32/DUYGNEF.DLL | 2008-3-12 10:23:24 
　　C:/WINDOWS/SYSTEM32/FYOM.DLL | 2008-3-12 10:22:26 
　　C:/WINDOWS/SYSTEM32/TAIJOAD.DLL | 2008-3-12 10:22:58 
　　C:/WINDOWS/SYSTEM32/ATGNEHZ.DLL | 2008-3-12 10:21:46 
　　C:/WINDOWS/SYSTEM32/TSQC.DLL | 2008-3-12 10:22:52 
　　C:/WINDOWS/SYSTEM32/SLCS.DLL | 2008-3-12 10:24:54 
C:/WINDOWS/SYSTEM32/LSASS.EXE* 412 | 2004-8-23 16:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | LSA Shell (Export Version) | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | lsass.exe | lsass.exe 
　　C:/WINDOWS/SYSTEM32/MNAUYGNIQAIXNAIJ.DLL | 2008-3-12 10:25:0 
　　C:/WINDOWS/SYSTEM32/OQNAUHC.DLL | 2008-3-12 10:22:46 
　　C:/WINDOWS/SYSTEM32/GNOLNAIT.DLL | 2008-3-12 10:22:0 
　　C:/WINDOWS/SYSTEM32/DUYGNEF.DLL | 2008-3-12 10:23:24 
　　C:/WINDOWS/SYSTEM32/FYOM.DLL | 2008-3-12 10:22:26 
　　C:/WINDOWS/SYSTEM32/TAIJOAD.DLL | 2008-3-12 10:22:58 
　　C:/WINDOWS/SYSTEM32/ATGNEHZ.DLL | 2008-3-12 10:21:46 
　　C:/WINDOWS/SYSTEM32/TSQC.DLL | 2008-3-12 10:22:52 
　　C:/WINDOWS/SYSTEM32/SLCS.DLL | 2008-3-12 10:24:54 
C:/WINDOWS/SYSTEM32/SVCHOST.EXE* 968 | 2004-8-23 16:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Generic Host Process for Win32 Services | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | svchost.exe | svchost.exe 
　　C:/WINDOWS/SYSTEM32/MNAUYGNIQAIXNAIJ.DLL | 2008-3-12 10:25:0 
　　C:/WINDOWS/SYSTEM32/OQNAUHC.DLL | 2008-3-12 10:22:46 
　　C:/WINDOWS/SYSTEM32/GNOLNAIT.DLL | 2008-3-12 10:22:0 
　　C:/WINDOWS/SYSTEM32/DUYGNEF.DLL | 2008-3-12 10:23:24 
　　C:/WINDOWS/SYSTEM32/FYOM.DLL | 2008-3-12 10:22:26 
　　C:/WINDOWS/SYSTEM32/TAIJOAD.DLL | 2008-3-12 10:22:58 
　　C:/WINDOWS/SYSTEM32/ATGNEHZ.DLL | 2008-3-12 10:21:46 
　　C:/WINDOWS/SYSTEM32/TSQC.DLL | 2008-3-12 10:22:52 
　　C:/WINDOWS/SYSTEM32/SLCS.DLL | 2008-3-12 10:24:54 
C:/WINDOWS/SYSTEM32/CONIME.EXE* 456 | 2004-8-23 16:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Console IME | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | Console | CONIME.EXE 
　　C:/WINDOWS/SYSTEM32/FYOM.DLL | 2008-3-12 10:22:26 
　　C:/WINDOWS/SYSTEM32/TAIJOAD.DLL | 2008-3-12 10:22:58 
　　C:/WINDOWS/SYSTEM32/ATGNEHZ.DLL | 2008-3-12 10:21:46 
　　C:/WINDOWS/SYSTEM32/TSQC.DLL | 2008-3-12 10:22:52 
　　C:/WINDOWS/SYSTEM32/MNAUYGNIQAIXNAIJ.DLL | 2008-3-12 10:25:0 
　　C:/WINDOWS/SYSTEM32/OQNAUHC.DLL | 2008-3-12 10:22:46 
　　C:/WINDOWS/SYSTEM32/GNOLNAIT.DLL | 2008-3-12 10:22:0 
　　C:/WINDOWS/SYSTEM32/DUYGNEF.DLL | 2008-3-12 10:23:24 
　　C:/WINDOWS/SYSTEM32/SLCS.DLL | 2008-3-12 10:24:54 
O2 - BHO - {D29DCEE0-457B-45A2-A92D-741B95B7723B} -C:/PROGRAM FILES/INTERNET EXPLORER/PLUGINS/NS_SYS55.SYS
O4 - HKLM/../RUN: [UPXDND]C:/WINDOWS/UPXDND.EXE
O4 - HKLM/../RUN: [KVSC3]C:/WINDOWS/KVSC3.EXE
O4 - HKLM/../RUN: [MSCCRT]C:/WINDOWS/MSCCRT.EXE
O4 - HKLM/../RUN: [CMDBCS]C:/WINDOWS/CMDBCS.EXE
O4 - HKLM/../RUN: [DBGHLP32]C:/WINDOWS/DBGHLP32.EXE
O4 - HKLM/../RUN: [LOTUSHLP]C:/WINDOWS/LOTUSHLP.EXE
O4 - HKLM/../RUN: [SHAPROC]C:/WINDOWS/SHAPROC.EXE
O4 - HKLM/../RUN: [WINSVR32]C:/WINDOWS/WINSVR32.EXE
O4 - HKLM/../RUN: [WSOCKDRV32]C:/WINDOWS/WSOCKDRV32.EXE
O4 - HKLM/../POLICIES/EXPLORER/RUN: [COMREPL32]C:/WINDOWS/SYSTEM32/COM/COMRECFG.EXE
O4 - HKLM/../POLICIES/EXPLORER/RUN: [VISIN]C:/WINDOWS/SYSTEM32/VISIN.EXE

O20 - AppInit_DLLs = fyom.dll,taijoad.dll,atgnehz.dll,tsqc.dll,mnauygniqaixnaij.dll,oqnauhc.dll,gnolnait.dll ,duygnef.dll,slcs.dll,iemnaw.dll
O23 - 服务: ASYNCMAC (RAS ASYNCHRONOUS MEDIA DRIVER) - SYSTEM32/DRIVERS/COMINT32.SYS (自动) 
O23 - 服务: COMINT32 (COMINT32) -C:/WINDOWS/SYSTEM32/DRIVERS/COMINT32.SYS | 2007-12-3 9:49:4(手动) 
O23 - 服务: MSERT (MSERT) - SYSTEM32/DRIVERS/MSELK.SYS (自动) 
O23 - 服务: NPF (NETGROUP PACKET FILTER) - SYSTEM32/DRIVERS/NPF.SYS | WinPcap Netgroup Packet Filter Driver | 3, 1, 0, 27 | npf | Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino. | 3, 1, 0, 27 | CACE Technologies | | NPF + TME | npf.sys(手动) 
O23 - 服务: PCIHARDDISK (PCIHARDDISK) -C:/WINDOWS/SYSTEM32/DRIVERS/FAT32.SYS (手动) 
O23 - 服务: WINDOWSDOWN (WINDOWS_SYSTEMDOWN) -C:/WINDOWS/SYSTEM32/SERVET.EXE (禁用) 
O24 - SHLEXECHOOK: [MICROSOFT] - {7914E0AA-ECCB-4311-B584-C49538227824} =C:/WINDOWS/SYSTEM32/JHFRXZ.DLL
O24 - SHLEXECHOOK: [] - {D29DCEE0-457B-45A2-A92D-741B95B7723B} =C:/PROGRAM FILES/INTERNET EXPLORER/PLUGINS/NS_SYS55.SYS
O24 - SHLEXECHOOK: [MICROSOFT] - {84143967-B645-4BFF-B873-DA1DC886E9A7} =C:/WINDOWS/SYSTEM32/CEDAFB.DLL
O24 - SHLEXECHOOK: [MICROSOFT] - {5E907A48-400E-4EA8-9792-FFAE052D59E9} =C:/WINDOWS/SYSTEM32/PEDADT.DLL
O24 - SHLEXECHOOK: [MICROSOFT] - {1E51C0FD-EE36-434B-AD2A-FD1FF3731C38} =C:/WINDOWS/SYSTEM32/WYRSDJ.DLL

O25 - INSCOM: {11716107-A10D-11CF-64CD-11115FE1CF41} =C:/WINDOWS/SYSTEM32/NWIZZHUXIANS.EXE
O26 - IFEO: 360rpt.exe -> ntsd -d
O26 - IFEO: 360safe.exe -> ntsd -d
O26 - IFEO: 360safebox.exe -> ntsd -d
O26 - IFEO: 360tray.exe -> ntsd -d
O26 - IFEO: adam.exe -> ntsd -d
O26 - IFEO: AgentSvr.exe -> ntsd -d
O26 - IFEO: AppSvc32.exe -> ntsd -d
O26 - IFEO: autoruns.exe -> ntsd -d
O26 - IFEO: avconsol.exe -> ntsd -d
O26 - IFEO: avgrssvc.exe -> ntsd -d
O26 - IFEO: AvMonitor.exe -> ntsd -d
O26 - IFEO: avp.com -> ntsd -d
O26 - IFEO: avp.exe -> ntsd -d
O26 - IFEO: CCenter.exe -> ntsd -d
O26 - IFEO: ccSvcHst.exe -> ntsd -d
O26 - IFEO: EGHOST.exe -> ntsd -d
O26 - IFEO: FileDsty.exe -> ntsd -d
O26 - IFEO: FTCleanerShell.exe -> ntsd -d
O26 - IFEO: FYFireWall.exe -> ntsd -d
O26 - IFEO: HijackThis.exe -> ntsd -d
O26 - IFEO: IceSword.exe -> ntsd -d
O26 - IFEO: iparmo.exe -> ntsd -d
O26 - IFEO: Iparmor.exe -> ntsd -d
O26 - IFEO: isPwdSvc.exe -> ntsd -d
O26 - IFEO: kabaload.exe -> ntsd -d
O26 - IFEO: KaScrScn.SCR -> ntsd -d
O26 - IFEO: KASMain.exe -> ntsd -d
O26 - IFEO: KASTask.exe -> ntsd -d
O26 - IFEO: KAV32.exe -> ntsd -d
O26 - IFEO: KAVDX.exe -> ntsd -d
O26 - IFEO: KAVPF.exe -> ntsd -d
O26 - IFEO: KAVPFW.exe -> ntsd -d
O26 - IFEO: KAVSetup.exe -> ntsd -d
O26 - IFEO: KAVStart.exe -> ntsd -d
O26 - IFEO: KISLnchr.exe -> ntsd -d
O26 - IFEO: KMailMon.exe -> ntsd -d
O26 - IFEO: KMFilter.exe -> ntsd -d
O26 - IFEO: KPFW32.exe -> ntsd -d
O26 - IFEO: KPFW32X.exe -> ntsd -d
O26 - IFEO: KPfwSvc.exe -> ntsd -d
O26 - IFEO: KRegEx.exe -> ntsd -d
O26 - IFEO: KRepair.com -> ntsd -d
O26 - IFEO: KsLoader.exe -> ntsd -d
O26 - IFEO: KVCenter.kxp -> ntsd -d
O26 - IFEO: KvDetect.exe -> ntsd -d
O26 - IFEO: KvfwMcl.exe -> ntsd -d
O26 - IFEO: KVMonXP.kxp -> ntsd -d
O26 - IFEO: KVMonXP_1.kxp -> ntsd -d
O26 - IFEO: kvol.exe -> ntsd -d
O26 - IFEO: kvolself.exe -> ntsd -d
O26 - IFEO: KvReport.kxp -> ntsd -d
O26 - IFEO: KVScan.kxp -> ntsd -d
O26 - IFEO: KVSrvXP.exe -> ntsd -d
O26 - IFEO: KVStub.kxp -> ntsd -d
O26 - IFEO: kvupload.exe -> ntsd -d
O26 - IFEO: kvwsc.exe -> ntsd -d
O26 - IFEO: KvXP.kxp -> ntsd -d
O26 - IFEO: KvXP_1.kxp -> ntsd -d
O26 - IFEO: KWatch.exe -> ntsd -d
O26 - IFEO: KWatch9x.exe -> ntsd -d
O26 - IFEO: KWatchX.exe -> ntsd -d
O26 - IFEO: MagicSet.exe -> ntsd -d
O26 - IFEO: mcconsol.exe -> ntsd -d
O26 - IFEO: mmqczj.exe -> ntsd -d
O26 - IFEO: mmsk.exe -> ntsd -d
O26 - IFEO: Navapsvc.exe -> ntsd -d
O26 - IFEO: Navapw32.exe -> ntsd -d
O26 - IFEO: nod32.exe -> ntsd -d
O26 - IFEO: nod32krn.exe -> ntsd -d
O26 - IFEO: nod32kui.exe -> ntsd -d
O26 - IFEO: NPFMntor.exe -> ntsd -d
O26 - IFEO: OllyDBG.EXE -> ntsd -d
O26 - IFEO: OllyICE.EXE -> ntsd -d
O26 - IFEO: PFW.exe -> ntsd -d
O26 - IFEO: PFWLiveUpdate.exe -> ntsd -d
O26 - IFEO: procexp.exe -> ntsd -d
O26 - IFEO: QHSET.exe -> ntsd -d
O26 - IFEO: QQDoctor.exe -> ntsd -d
O26 - IFEO: QQKav.exe -> ntsd -d
O26 - IFEO: Ras.exe -> ntsd -d
O26 - IFEO: RavMonD.exe -> ntsd -d
O26 - IFEO: RavStub.exe -> ntsd -d
O26 - IFEO: RawCopy.exe -> ntsd -d
O26 - IFEO: RegClean.exe -> ntsd -d
O26 - IFEO: RegTool.exe -> ntsd -d
O26 - IFEO: rfwcfg.exe -> ntsd -d
O26 - IFEO: rfwmain.exe -> ntsd -d
O26 - IFEO: rfwProxy.exe -> ntsd -d
O26 - IFEO: rfwsrv.exe -> ntsd -d
O26 - IFEO: rfwstub.exe -> ntsd -d
O26 - IFEO: RsAgent.exe -> ntsd -d
O26 - IFEO: Rsaupd.exe -> ntsd -d
O26 - IFEO: runiep.exe -> ntsd -d
O26 - IFEO: safebank.exe -> ntsd -d
O26 - IFEO: safeboxTray.exe -> ntsd -d
O26 - IFEO: safelive.exe -> ntsd -d
O26 - IFEO: scan32.exe -> ntsd -d
O26 - IFEO: shcfg32.exe -> ntsd -d
O26 - IFEO: SmartUp.exe -> ntsd -d
O26 - IFEO: SREng.EXE -> ntsd -d
O26 - IFEO: symlcsvc.exe -> ntsd -d
O26 - IFEO: SysSafe.exe -> ntsd -d
O26 - IFEO: TrojanDetector.exe -> ntsd -d
O26 - IFEO: Trojanwall.exe -> ntsd -d
O26 - IFEO: TrojDie.kxp -> ntsd -d
O26 - IFEO: UIHost.exe -> ntsd -d
O26 - IFEO: UmxAgent.exe -> ntsd -d
O26 - IFEO: UmxAttachment.exe -> ntsd -d
O26 - IFEO: UmxCfg.exe -> ntsd -d
O26 - IFEO: UmxFwHlp.exe -> ntsd -d
O26 - IFEO: UmxPol.exe -> ntsd -d
O26 - IFEO: UpLive.exe -> ntsd -d
O26 - IFEO: vsstat.exe -> ntsd -d
O26 - IFEO: webscanx.exe -> ntsd -d
O26 - IFEO: WinDbg.exe -> ntsd -d
O26 - IFEO: WoptiClean.exe -> ntsd -d
===/

从 log 中的

O23 - 服务: PciHardDisk (PciHardDisk) - C:/WINDOWS/system32/drivers/fat32.sys(手动)

可知电脑中了机器狗，中标时间为3月12日上午10点多。

(未完待续)

分享到：

用c#和GDI+实现杂志翻页动画效果 | 再打机器狗comint32.sys,fat32.sys,tk71ov0 ...

2008-03-14 12:31
浏览 696
评论(0)
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论