一个蓝屏文件求分析

我爱浅浅的蓝

dmp文件打开后 如下：

Loading Dump File [C:\Windows\Minidump\102913-20748-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: *** Invalid ***
****************************************************************************
* Symbol loading may be unreliable without a symbol search path.           *
* Use .symfix to have the debugger choose a symbol path.                   *
* After setting your symbol path, use .reload to refresh symbol locations. *
****************************************************************************
Executable search path is:
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
*                                                                   *
* The Symbol Path can be set by:                                    *
*   using the _NT_SYMBOL_PATH environment variable.                 *
*   using the -y <symbol_path> argument when starting the debugger. *
*   using .sympath and .sympath+                                    *
*********************************************************************
Unable to load image \SystemRoot\system32\ntkrnlpa.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntkrnlpa.exe
*** ERROR: Module load completed but symbols could not be loaded for ntkrnlpa.exe
Windows 7 Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 7601.18113.x86fre.win7sp1_gdr.130318-1533
Machine Name:
Kernel base = 0x84c18000 PsLoadedModuleList = 0x84d614d0
Debug session time: Tue Oct 29 20:40:43.321 2013 (GMT+8)
System Uptime: 0 days 0:01:07.304
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
*                                                                   *
* The Symbol Path can be set by:                                    *
*   using the _NT_SYMBOL_PATH environment variable.                 *
*   using the -y <symbol_path> argument when starting the debugger. *
*   using .sympath and .sympath+                                    *
*********************************************************************
Unable to load image \SystemRoot\system32\ntkrnlpa.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntkrnlpa.exe
*** ERROR: Module load completed but symbols could not be loaded for ntkrnlpa.exe
Loading Kernel Symbols
...............................................................
................................................................
................................................................
........
Loading User Symbols
Loading unloaded module list
......

伊川书院

不清楚operyuae.sys是个什么文件，可以偿试上传个看看

如果确定不需要它，偿试在：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

找到operyuae,下面把Start的值改为4，关闭加载

然后再重起一下看看，


如果是正常文件，应该能关闭它，

如果是恶意文件，建议排查系统当前是否中毒状态，

我爱浅浅的蓝

伊川书院 发表于 2013-10-29 21:52
不清楚operyuae.sys是个什么文件，可以偿试上传个看看

如果确定不需要它，偿试在：

我为什么在dmp文件里没有找到“operyuae.sys”的相关文字呢？？

伊川书院

我爱浅浅的蓝 发表于 2013-10-29 22:03
我为什么在dmp文件里没有找到“operyuae.sys”的相关文字呢？？

Symbols can not be loaded because symbol path is not initialized.


文件——》符号路径：SRV*X:\Symbol*http://msdl.microsoft.com/download/symbols

我爱浅浅的蓝

伊川书院 发表于 2013-10-29 22:07
Symbols can not be loaded because symbol path is not initialized.

弱弱的问一下 怎么找的 这句话我找到了 但是：“operyuae.sys”没有额···

我爱浅浅的蓝

伊川书院 发表于 2013-10-29 22:07
Symbols can not be loaded because symbol path is not initialized.

弱弱的问一下 怎么找的 这句话我找到了 但是：“operyuae.sys”没有额···




这个文件找到了是在驱动文件目录下

我爱浅浅的蓝

伊川书院 发表于 2013-10-29 22:07
Symbols can not be loaded because symbol path is not initialized.

额 家里的网不给力 打开是空的··

我爱浅浅的蓝

伊川书院 发表于 2013-10-29 22:07
Symbols can not be loaded because symbol path is not initialized.

恩恩 知道怎么用了 谢谢

woxihuan2011

我爱浅浅的蓝 发表于 2013-10-29 22:13
弱弱的问一下 怎么找的 这句话我找到了 但是：“operyuae.sys”没有额···

怀疑是不是病毒或者rootkit，windows7下无此文件。在http://www.drwebhk.com/zh/virus_ ... Loader10.31855.html，大蜘蛛提到木马下载器Trojan.DownLoader10.31855会在注册表中创建包括operyuae的项，你可以对照一下官方对该病毒的描述，如果相符，你可能中了此木马。

我爱浅浅的蓝

woxihuan2011 发表于 2013-10-29 22:27
怀疑是不是病毒或者rootkit，windows7下无此文件。在http://www.drwebhk.com/zh/virus_techinfo/Trojan.D ...

好的 谢谢你
但是我用了那个命令还是看不到相关的文件名···