![奇怪的驱动程序(?) [uwtiruog.sys] 导致偶尔出现 BSOD - 可能感染恶意软件](https://linux22.com/image/1256727/%E5%A5%87%E6%80%AA%E7%9A%84%E9%A9%B1%E5%8A%A8%E7%A8%8B%E5%BA%8F(%3F)%20%5Buwtiruog.sys%5D%20%E5%AF%BC%E8%87%B4%E5%81%B6%E5%B0%94%E5%87%BA%E7%8E%B0%20BSOD%20-%20%E5%8F%AF%E8%83%BD%E6%84%9F%E6%9F%93%E6%81%B6%E6%84%8F%E8%BD%AF%E4%BB%B6.png)
我的笔记本电脑感染了恶意软件。我清理了它,但性能仍然不是 100%。我尝试按照 Bleepingcomputer 和 TechGuy 上的说明检查隐藏的恶意软件/rootkit 感染,结果出现了 BSOD。
我正在发布 MiniDump 的摘录,指出 uwtiruog.sys(或它不存在)是导致 BSOD 的最可能原因:
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
Use !analyze -v to get detailed debugging information.
BugCheck 50, {86208000, 0, 93af4eed, 0}
Unable to load image \??\C:\Users\[USER]\AppData\Local\Temp\uwtiruog.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for uwtiruog.sys
*** ERROR: Module load completed but symbols could not be loaded for uwtiruog.sys
Could not read faulting driver name
Probably caused by : uwtiruog.sys ( uwtiruog+beed )
Followup: MachineOwner
有什么方法可以识别调用 uwtiruog.sys 的进程,因为这可能是 BSOD 的真正原因?
顺便说一下,笔记本电脑是 Packard Bell 的,运行 Win Vista。
非常感谢!
编辑:版主,这更像是 serverfault 的一个主题吗?我希望得到一些答案 :) 我是否应该尝试在那里发布相同的问题(或者您可以迁移它)?
答案1
这是 PAGE_FAULT_IN_NON_PAGED_AREA,这是由驱动程序尝试接触未映射的内存引起的。这通常只是驱动程序错误,但在您的情况下,我注意到驱动程序是从 \??\C:\Users[USER]\AppData\Local\Temp\uwtiruog.sys(磁盘的用户可写部分)加载的,而不是我预期的 \windows\system32。
您是否正在运行任何专业软件来对系统进行深入检查,例如新版的进程监视器或文件系统监视器?如果没有,可能需要将该文件上传到恶意软件检查网站(例如virustotal),并准备好拿出您最喜欢的防病毒软件和/或Windows安装盘。