BlueScreeny i błędy programów

[Dawid10p]

Witam.

 

Dodam jescze przed przejściem do sedna sprawy: Win 7 64-bit, używam IE

 

Ostatnio na moim komputerze zaczęły pojawiać się pop-upy stylu ,, Czy chcesz, aby ta strona została wyświetlona w bezpieczny sposób`` przy uruchamianiu google i innych typowych stron.

Zignorowałem to.

Lecz później gdy uruchomiłem program World of Tanks(posiadam go parę ładnych miesięcy),

Pojawiał się komunikat:

,,,Program World of Tanks przestał działać`` i dwie możliwości:

zamnkij program i znajdź rozwiązanie problemu on-line i zamknij program

wybrałem zamknij program i ...BLUE SCREEN

 

działo się tak ok. 2 dni.

 

pomyślałem: coś się dzieje

 

(Wiem że to strasznie nieodpowiedzialne co teraz powiem - mam tylko 13 lat więc rozumiecie...)

 

Zainstalowałem avasta bo nie miałem żadnego wydarzonego antywirusa na kompie

Już instalację ścinało(to ten objaw Vundo)

Nic nie wykrył

Poszukałem w necie , zainstalowałem malwarebytes anti-malware

Pnalazło Trojan Vundo,

usunąłem,

Restart : trojan vundo.

powtarzało się tak kilka razy

były jeszcze inne wirusy i do tych dochodziło, znajdowało je i blue screen ( to chyba te, w których się ukrywa ten trojan - jako maska dll czy coś)Później już wogóle nie znajdowało.

było jeszcze kilka wirusów, które usunąłem profilaktycznie

 

Poczytałem w necie o tym trojanie(w trybie awaryjnym z obsługą sieci - normalne uruchamianie - blue screen po 10 sek)

 

znalazłem programy typu: FixVundo, VundoFix, VirtumundoBeGone

dochodziły do plików w C:/System32 (tych, co się chyba ten trojan ukrywa- trochę poczytałem)- Blue Screen

 

Znalazłem w internecie o ComboFix

 

(w tym momencie pozwolę sobie na skończenie pierwszego posta- z blue screenami nic nie wiadomo)

[picasso]

Zasady działu: KLIK. Wymagane logi z OTL.

 

 

Poszukałem w necie , zainstalowałem malwarebytes anti-malware

Pnalazło Trojan Vundo,

usunąłem,

Restart : trojan vundo.

powtarzało się tak kilka razy

były jeszcze inne wirusy i do tych dochodziło, znajdowało je i blue screen ( to chyba te, w których się ukrywa ten trojan - jako maska dll czy coś)Później już wogóle nie znajdowało.

było jeszcze kilka wirusów, które usunąłem profilaktycznie

 

Również proszę o dokładne raporty z MBAM przedstawiające co skąd usuwał.

 

 

znalazłem programy typu: FixVundo, VundoFix, VirtumundoBeGone

 

Kompletnie przestarzałe i nieużyteczne.

 

 

Znalazłem w internecie o ComboFix

 

Na temat używania aplikacji: KLIK. To nie jest normalny skaner i nie uruchamia się go bez sprawdzenia systemu.

 

 

.

[Dawid10p]

Moje logi z OTL

 

Logi mogą byc niestety odrobinę sfałszowane(mogę powtórzyć w razie potrzeby)

czytałem o logach na fixitpc.pl, że emulatory, np . daemon ingeruja w logi

Oczywiście usunąłem go , ale wystąpił problem z programem STPD

 

Zrobiłem także logi z ComboFixa(wiem, że nie powinienem ,ale po kolejnych blue screenach przy tworzeniu logów z OTL myślałem że już nie da rady)

 

nie mogłem go uruchomić(plik był cały), bo występował błąd typu:

,,You need to reboot for changes to take effect``

Nie rozumiem o co chodzi , więc proszę o pomoc.

OTL.Txt

Extras.Txt

[picasso]

W logach z OTL brak oznak infekcji. Tylko drobne operacje pod kątem adware:

 

1. Przez Panel sterowania odinstaluj: Ask Toolbar, StartNow Toolbar.

 

2. Zresetuj plik preferencji Firefox. Zamknij przeglądarkę, na Pulpit przenieś poniższy plik (potem go skasujesz):

 

C:\Users\MASTER\AppData\Roaming\mozilla\firefox\profiles\gogvuahn.default\prefs.js

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. Przedstaw go.

 

 

Zrobiłem także logi z ComboFixa(wiem, że nie powinienem ,ale po kolejnych blue screenach przy tworzeniu logów z OTL myślałem że już nie da rady)

 

To gdzie ten log? Pokaż go. Nie uruchamiaj narzędzia ponownie, dołącz tu plik już obecny na dysku C:\ComboFix.txt. I nie dodałeś raportu z MBAM w czym on znalazł "Vundo".

 

 

 

 

.

[Dawid10p]

Jakimś cudem Panel Sterowania nie znajduje Ask Toolbar

Nie wiem, gdzie może się chować.

 

PS. Jadę narazie w trybie normalnym, jakby Vundo zniknął

Ale to może byc tylko tymczasowe

 

Logi z MBAM są bardzo krótkie, bo nawet w trybie awaryjnym ścinało mi go.

Anulowałem skanowanie i usuwałem infekcje zaraz po ich wykryciu.

Moje wszystkie logi z MBAM+ log z ComboFix

mbam-log-2012-09-24 (16-36-25).txt

mbam-log-2012-09-24 (16-42-12).txt

mbam-log-2012-09-24 (16-42-44).txt

mbam-log-2012-09-24 (16-43-25).txt

mbam-log-2012-09-24 (16-55-27).txt

mbam-log-2012-09-24 (21-36-29).txt

ComboFix.txt

[picasso]

Jakimś cudem Panel Sterowania nie znajduje Ask Toolbar

Nie wiem, gdzie może się chować.

 

On jest, tylko widocznie wpis ukryty. Przejdź po prostu do dalszych działań, jak rozpisałam, a w końcowej fazie AdwCleaner i tak namierzy Ask i usunie.

 

 

Moje wszystkie logi z MBAM+ log z ComboFix

 

Log z ComboFix kompletnie uszkodzony, praktycznie brak zawartości - czy na pewno ten log na dysku wygląda w taki sposób? W ogóle nie wiadomo co robił ComboFix, ale jeśli log rzeczywiście tylko taki, to może w ogóle nic nie robił. Natomiast wg skanu MBAM nie wynika obecność żadnego trojana, to co wykrył MBAM to tylko adware (FunWebProducts / MyWebSearch). Te wpisy sklasyfikowane jako "Trojan.Vundo" to były wyszukiwarki w Internet Explorer (ID wyszukiwarki = {56256A51-B582-467e-B8D4-7786EDA79AE0}):

 

HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

 

To nie jest prawdziwy Vundo, zresztą ta infekcja jest prehistoryczna i jest bardzo nikła szansa, by ktoś się tym zainfekował w dzisiejszych czasach. To co zostało wykryte jako Vundo to tylko wyszukiwarka adware MyWebSearch i gdyby MBAM tego nie usunął, w logu z OTL byłoby widzialne to jako:

 

IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm227YYPL&ptnrS=GRxdm227YYPL&ptb=10YjZopMRaeXbVG5waOnOw&ind=2010111700&n=77cfded4&psa=&st=sb&searchfor={searchTerms}"

 

To wszystko co usuwał MBAM nie mogło mieć tak drastycznego wpływu na system, to śmieci, ale kaliber bardzo słaby...

 

 

---

Na razie tu nie ma potwierdzenia, że system jest zainfekowany czymś. Objaśnij mi co się teraz dzieje z systemem, jaki jest problem.

 

 

 

.

[Dawid10p]

hmmmm

jakby to powiedzieć

 

Głównym problemem są Blue Screeny po pop-upach stylu:

 

,,Program xxx przestał działać``

 

i odpowiedzi, jak wcześniej

 

Moze podam co pisze tymi drukowanymi na blue screenach

Było coś takiego:

 

,,BAD_POOL_HEADER``

 

,,SYSTEM_SERVICE EXCEPTION``

 

,,IRQL_NOT_LESS_OR_ERQUAL``

 

Mogę jeszcze powiedzieć,że jak byłem młodszy( 8-9 lat ), w moim XP też się to zdarzało.

 

Komp działa, działa, działa i nagle, ni z gruszki, ni z pietruszki Blue screen

Może samym problemem , jest według tekstu na blue screenie jest ,,caching or shadowing``

Próbowałem tego, ale nie mogłem w BIOSIE znaleźć

 

Mogę jeszcze powiedzieć, że na moim pulpicie po którymś uruchomieniu w awaryjmym z obsługą sieci pojawiły się moje stare pliki z Worda i dwa o nazwie desktop.ini

Chciałem dodać jako załącznik ale napisało, że nie mam uprawnień do wysyłanie tego typu plików, więc pozwolę sobie na skopiowanie

 

,,

[.ShellClassInfo]

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769

IconResource=%SystemRoot%\system32\imageres.dll,-183

[LocalizedFileNames]

Internet Explorer (64-bit).lnk=@%windir%\System32\ie4uinit.exe,-735

``

i jeszcze:

 

,,[.ShellClassInfo]

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21799

``

 

wszystkie te pliki i te z worda są takie zamglone, tak jakby ktoś chciał je wyciąć i gdzieś wkleić

 

jest paredziesiąt takich w moim komputerze.

 

np. adddata jest taka zamglona, użytkownik MASTER i inne.

 

,,

 

Log z AdwCleaner

AdwCleanerS3.txt

[picasso]

Na wszelki wypadek sprawdź co powie Kaspersky TDSSKiller. Jeśli on nic nie wykryje, to trop infekcji definitywnie zarzucam:

 

 

Głównym problemem są Blue Screeny po pop-upach stylu:

 

,,Program xxx przestał działać``

 

i odpowiedzi, jak wcześniej

 

Moze podam co pisze tymi drukowanymi na blue screenach

Było coś takiego:

 

,,BAD_POOL_HEADER``

 

,,SYSTEM_SERVICE EXCEPTION``

 

,,IRQL_NOT_LESS_OR_ERQUAL``

 

To może być też sprawa sprzętowa. Wstępnie do wykonania punkt numer 5 z ogłoszenia, czyli debug zrzutów pamięci DMP: KLIK. W skrócie: skopiuj na Pulpit cały folder C:\Windows\Minidump (o ile nie pusty), spakuj do ZIP, umieść na jakimś hostingu i podaj link do paczki.

 

 

Może samym problemem , jest według tekstu na blue screenie jest ,,caching or shadowing``

Próbowałem tego, ale nie mogłem w BIOSIE znaleźć

 

To standardowy tekst.

 

 

.

[Dawid10p]

TDSS killer nic nie pokazuje- czyli to nie vundo lub inna infekcja

 

minidump:http://maxshare.pl/35n

 

Wtyczka Adobe flash ciągle mi pada. Coś jest nie tak...

może szczegóły problemy się przydadzą, bo to nie tak samo jak było

 

,,Podpis problemu:

Nazwa zdarzenia problemu: BEX

Nazwa aplikacji: FlashPlayerPlugin_11_4_402_278.exe

Wersja aplikacji: 11.4.402.278

Sygnatura czasowa aplikacji: 50565f88

Nazwa modułu z błędem: StackHash_0a9e

Wersja modułu z błędem: 0.0.0.0

Sygnatura czasowa modułu z błędem: 00000000

Przesunięcie wyjątku: 02c00870

Kod wyjątku: c0000005

Dane wyjątku: 00000008

Wersja systemu operacyjnego: 6.1.7600.2.0.0.256.1

Identyfikator ustawień regionalnych: 1045

Dodatkowe informacje 1: 0a9e

Dodatkowe informacje 2: 0a9e372d3b4ad19135b953a78882e789

Dodatkowe informacje 3: 0a9e

Dodatkowe informacje 4: 0a9e372d3b4ad19135b953a78882e789``

 

Zauważyłem też, że komputer wolniej mi chodzi i jakby internet trochę zwolnił.

Ogólnie aplikacje odpalają np . po 5 sek a wtedy po 2-3

 

EDIT

 

dodatkowy wpis z blue screena:

,MEMORY_MANEGEMENT``

 

i jeszcze jakiś inny blue screen z jakimś ,,system device``

 

ogólnie całkowicie inna treść.

 

zdążyłem tylko system device przeczytać

 

jeżeli istnieje program do przechwytywania treści takich blue screenów , to proszę picasso o linka do pobrania

 

Może problemem są wszystkie programy zaśmiecające.

Czy to możliwe?

[picasso]

Temat wstępnie przenoszę pod inną nazwą dopasowaną do problemu do działu systemowego (ale nie jest wykluczona migracja do Hardware). Proszę używaj opcję Edytuj, napisałeś na końcu ze trzy posty w serii. Wszystko skleiłam i zreorganizowałam, bo właściwy log z AdwCleaner miałeś podmienić we wcześniejszym poście (już to zrobiłam), dla utrzymania logicznego toku tematu. Praca z AdwCleaner ukończona, użyj w nim Uninstall. Tam doedytowałeś wcześniej:

 

 

Mogę jeszcze powiedzieć, że na moim pulpicie po którymś uruchomieniu w awaryjmym z obsługą sieci pojawiły się moje stare pliki z Worda i dwa o nazwie desktop.ini

(...)

wszystkie te pliki i te z worda są takie zamglone, tak jakby ktoś chciał je wyciąć i gdzieś wkleić

 

jest paredziesiąt takich w moim komputerze.

 

To normalne. Nie widziałeś wcześniej tych plików, bo w opcjach Widoku miałeś zaznaczone Ukryj chronione pliki systemu operacyjnego. Opcję tę przestawia m.in. skan OTL. Cel plików:

 

1. Pliki desktop.ini służą do nakładania polonizowanej nazwy "Pulpit" zamiast "Desktop" i specjalnej ikonki Pulpitu.

 

 

Na Pulpicie Vista i 7 są zawsze dwa pliki desktop.ini, gdyż Pulpit widziany oczami to wirtualna przestrzeń składająca wspólnie w istocie widok dwóch rzeczywistych folderów Pulpitu zlokalizowanych na dysku twardym:

 

C:\Users\Konto użytkownika\Desktop

C:\Users\Public\Desktop

 

Domyślnie wszystkie pliki desktop.ini mają atrybuty HS (ukryty systemowy) i są usunięte z widoku. Tym zachowaniem steruje się przy udziale opcji w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego. Ujrzałeś nagle te pliki, bo uruchomiłeś OTL, który wpływa na rekonfigurację ustawień Widoku. Opcje wracają na miejsce, gdy w OTL użyje się funkcji Sprzątanie (stosowana tylko wtedy, gdy w OTL przepuszczano skrypt usuwający i jest po prostu co "sprzątać" = kwarantanna OTL). Lub, jak mówię, samemu sobie zmienić w opcjach.

 

2. Ukryte pliki Worda to zapewne jeden z typów tymczasowych. Artykuł MS na temat tego rodzaju plików: KB211632.

 

 

Wtyczka Adobe flash ciągle mi pada. Coś jest nie tak...

może szczegóły problemy się przydadzą, bo to nie tak samo jak było

 

Moduł punktowany w błędzie, czyli StackHash_0a9e, sugeruje problem z DEP (Data Execution Prevention). Ale ten błąd wtyczki to może być tylko jedna z wielu postaci grubszej awarii systemowej i nie sądzę, by należało się na tym koncentrować punktowo, w końcu sypie tu BSOD:

 

 

dodatkowy wpis z blue screena:

,MEMORY_MANEGEMENT``

 

i jeszcze jakiś inny blue screen z jakimś ,,system device`

 

Pliki DMP z dosłanej paczki wykazują rozmaitość BSOD. Biorąc pod uwagę te z września jest cała kolekcja: BAD_POOL_HEADER, SYSTEM_SERVICE_EXCEPTION, MEMORY_MANAGEMENT, IRQL_NOT_LESS_OR_EQUAL, REFERENCE_BY_POINTER, UNEXPECTED_KERNEL_MODE_TRAP, NTFS_FILE_SYSTEM, KMODE_EXCEPTION_NOT_HANDLED, DRIVER_VERIFIER_DETECTED_VIOLATION. Takie skomasowanie niejednolitych wystąpień prędzej oznacza problem sprzętowy niż softwarowy.

 

1. Sugeruję rozpocząć od testu pamięci z poziomu bootowalnej płyty Memtest86. Test całonocny lub do wystąpienia pierwszego błędu.

 

2. Dodaj pełną specyfikację sprzętową: KLIK.

 

 

jeżeli istnieje program do przechwytywania treści takich blue screenów , to proszę picasso o linka do pobrania

 

Ekhm ... Link już dawno podany:

 

punkt numer 5 z ogłoszenia, czyli debug zrzutów pamięci DMP: KLIK

 

Po to właśnie miałeś przesłać pliki DMP....

 

 

 

.

[Dawid10p]

Memtest86 jest płatny. Mam go spiracić czy co?

 

Powoli rozważam ponowną instalację systemu :/

 

EDIT

 

Office 2010 nie działa

[picasso]

Memtest86 jest płatny. Mam go spiracić czy co?

 

Po pierwsze: Memtest nie jest płatny (klik w link Free Download). Po drugie: nawet nie wspominaj tu o "piraceniu".

 

 

Powoli rozważam ponowną instalację systemu :/

 

Diagnostyka jest tu istotna, bo jeśli to problem sprzętowy, nowa instalacja Windows będzie bezcelowa.

 

 

 

.

[Dawid10p]

a co z PC wizard?

 

ciągle nie działa

 

Memtest będzie na cd ok?

[picasso]

Nie rozumiem pytań, w sensie: wszystko jest podane. Memtest ma zostać uruchomiony z płyty startowej, dokładnie w ogłoszeniu podane co należy dołączyć na temat konfiguracji sprzętowej.

[Dawid10p]

Sorki.

Zapomniałem podać specyfikacji błędu:

 

,,Error initialising periphecical driver.

Error:1084``

 

To mi mówi Pc Wizard po uruchomieniu skanowania czy testowania

 

był na stronce program DriverMax, więc teraz pobieram aktualizacje sterowników.

Nie zajmie to za długo( max pół godziny)

[picasso]

To mi mówi Pc Wizard po uruchomieniu skanowania czy testowania

 

Wybierz HWiNFO64 (wersja natywnie 64-bit). Poza tym, ogłoszenie mówi też o podaniu dokładnego modelu zasilacza.

 

 

był na stronce program DriverMax, więc teraz pobieram aktualizacje sterowników.

Nie zajmie to za długo( max pół godziny)

 

Nie zajmuj się na razie niczym poza zadaną diagnostyką, nie instaluj nowych rzeczy, nie aktualizuj sterowników. I jeszcze nie za szczęśliwy wybór narzędzia, programy automaty typu DriverMax mogą przynieść więcej szkody niż pożytku. Sterowniki aktualizuje się ręcznie, wybierając osobiście ze stron producentów, a nie "na oko" (program może się mylić, program może zainstalować zbędne rzeczy...).

 

 

 

.

[Dawid10p]

Też było coś w tym stylu.

Wysłało do Driver scanner.

 

EDIT

 

Szczegóły:

,,Cannot open HWiNFO64 driver.

Check that a valid HWiNFO64 driver is present in the current directory``

 

Przeinstalowałem: to samo

 

Może pomoże to , że powiem, że pracuję w awaryjnym (mniej Blue Screenów)

 

Więc użyć narazie tylko MemTesta i czekać na wyniki?

Bo HWiNFO64 nie odpali.

[picasso]

Jak mówię: porzuć te aktualizacje automatami. To nie jest zdrowe. I nie podejmuj żadnych innych działań w fazie diagnostyki, dopóki ktoś wyraźnie nie powie co masz zrobić.

 

 

Może pomoże to , że powiem, że pracuję w awaryjnym (mniej Blue Screenów)

 

I oto powód niemożności załadowania sterownika HWiNFO64. Ten program musi być uruchomiony z poziomu Trybu normalnego.

 

 

Więc użyć narazie tylko MemTesta i czekać na wyniki?

 

W pierwszej kolejności skompletuj całą specyfikację sprzętową. Po tym zabierz się za Memtest86, bo zajmie więcej czasu.

 

.

[Dawid10p]

Jest problem.

Jadę trybem normalnym i ten sam błąd

spróbuję przeinstalować

 

EDIT

 

po przeinstalowaniu wszystko ok.

 

Nie mam uprawnień do wysyłania, więc daję linka z hosta:

 

http://www63.zippyshare.com/v/71400045/file.html

[picasso]

po przeinstalowaniu wszystko ok.

tylko pytanie : co teraz zrobić?

 

Zapisz pełny log ze spisem składników. I przypominam o podaniu precyzyjnych danych zasilacza (kieruję ponownie do ogłoszenia działu Hardware).

 

 

 

.

[Dawid10p]

Zasilacz- Obrazek:

 

http://imageshack.us.../dsc0280fe.jpg/

Mam nadzieję, że się doczytasz picasso

 

Płyta główna- Gigabyte GA-880GMA-UD2H

 

Procesor- AMD Athlon II X4 640 Procesor - 3 Ghz (nie wiem gdzie znaleźć oznaczenia)

 

Dyski twarde- jeden taki wiekowy - ma 78 GB

drugi ( właśnie zauawżyłem, że teraz nagle ma 154 Gb wg systemu , a nie 232 czy 250)

250GB

 

Napędy-LITE-ON-COMBO

 

Monitor- BENQ T201W

 

Inne podzespoły- Mysz - Logitech M305,

Klawiatura - tak wiekowa że nawet opakowania nie ma - jakiś model K7000

Drukarka- HP deskjet F 2280 All in One

Karta sieciowa- Realtek PCIe GBE Family Controller

 

System operacyjny- Windows 7 Ultimate 64 bit SP1

 

Karta graficzna- NVIDIA GeForce GT 240 Ram 1 GB(chyba to wszystko)

 

RAM- 2 kości ram DDR3 4 Gb XMS3 z firmy Corsair

 

Za chwilę zaczynam test z bootowalnej płytki.

 

Chcę się tylko upewnić: tam trzeba w biosie przestawić w system boot device z HDD na stację dysków?

 

edit

 

Dobrze nagrana płyta?

 

EDIT

 

Uruchomiłem źródło: LITE-ON-COMBO i mi staneło na Loading Operating System.

 

Czy to dobrze czy źle?

 

Bardzo ładny infejers dla smartfonów i komórek:)

Log.txt

[Dawid10p]

Gdzie znajdę log z memtesta?

 

Pomocy!

[picasso]

Należy przedstawić zdjęcie z ekranu, co pokazało narzędzie Memtest.

[Dawid10p]

Za pomocą???

[picasso]

Zdjęcie z ekranu = aparat fotograficzny. Poza tym, fotka ma przedstawiać wyniki po pełnej pracy programu, czyli test musisz uruchomić na nowo...