Porządki (jesienne, ale m.in. po vshare)

[rarug]

Cześć,

nadszedł czas porządków na moim laptopie (Asus UL30A, Windows 7 Professional 64-bit) (szczególnie po pojawieniu się ostatnio niebieskiego ekranu, niestety, spanikowałem i nie zrobiłem żadnych zdjęć, notatek o błędach, więc nie liczę akurat w tym względzie na pomoc). Proszę o porady. W Panelu sterowania sprawdziłem czy są (i odinstalowałem co jeszcze było):

Browsers Protector (usunąłem), Contextual Tool Extrafind (usunąłem), DAEMON Tools Toolbar, vShare Plugin, vShare.tv plugin 1.3 (usunąłem)

Wśród zainstalowanych rozszerzeń firefox'a mam jeszcze niezidentyfikowane:

toolplugin 1.03

z 4.6.8.5 (brak opcji usuń)

 

Korzystając z Defogger'a tymczasowo wyłączyłęm sterowniki i przygotowałem logi z OTL (zgodnie z instrukcją)

defogger_disable.txt

OTL.Txt

Extras.Txt

[picasso]

Wśród zainstalowanych rozszerzeń firefox'a mam jeszcze niezidentyfikowane:

toolplugin 1.03

z 4.6.8.5 (brak opcji usuń)

 

Oba to niepożądana ingerencja. A to tajemnicze "z" bez opcji usuwania to jest rozszerzenie malware. W OTL widać go jako:

 

[2012-10-27 14:19:26 | 000,000,000 | ---D | M] (z) -- C:\Program Files (x86)\mozilla firefox\extensions\{0691e9c7-a358-cda0-406c-be44364df082}

 

 

1. Na liście zainstalowanych są jeszcze dwie pozycje: StartSearch Toolbar 1.3, toolplugin. Pozbądź się tego przez Panel sterowania. Następnie w Google Chrome w Rozszerzeniach odinstaluj vshare plugin, a w sekcji "Po Uruchomieniu" z listy stron startowych zlikwiduj startsear.ch.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Program Files (x86)\mozilla firefox\extensions\{0691e9c7-a358-cda0-406c-be44364df082}
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\Search the web.src
C:\Program Files (x86)\toolbar2.exe
C:\Users\User\AppData\Roaming\Babylon
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:OTL
IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=66f777b7-f9c0-11e0-b643-485b397cbc3f&q={searchTerms}"
IE - HKU\S-1-5-21-2169345570-3444342467-73271387-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=66f777b7-f9c0-11e0-b643-485b397cbc3f&q={searchTerms}"
IE - HKU\S-1-5-21-2169345570-3444342467-73271387-1000\..\SearchScopes\{F8B0778D-0226-4B2B-8F25-8033FD8B7132}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=108921&tt=090212_ctrl&babsrc=SP_ss&mntrId=e6994f820000000000001a4bd6860164"
O4 - Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Wilq - Kalendarz 2011.lnk =  File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

3. Wykonaj radykalne czyszczenie Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

(szczególnie po pojawieniu się ostatnio niebieskiego ekranu, niestety, spanikowałem i nie zrobiłem żadnych zdjęć, notatek o błędach, więc nie liczę akurat w tym względzie na pomoc)

 

Do wglądu punkt 5 w ogłoszeniu i diagnostyka w oparciu o pliki zrzutów pamięci DMP: KLIK.

 

 

.

[rarug]

Dzięki wielkie za pomoc udało mi się wykonać wszystkie punkty i przesyłam raporty. Okazało się też, że ustawienia w sekcji Uruchamianie i odzyskiwanie mam odpowiednie i przy pomocy WinDbg odczytałem plik MEMORY.DMP:

 

Microsoft ® Windows Debugger Version 6.12.0002.633 AMD64

Copyright © Microsoft Corporation. All rights reserved.

 

 

Loading Dump File [C:\Users\User\Desktop\Nowy folder\MEMORY.DMP]

Kernel Summary Dump File: Only kernel address space is available

 

Symbol search path is: SRV*C:\WinDbgSymbols*http://msdl.microsoft.com/download/symbols

Executable search path is:

Windows 7 Kernel Version 7601 (Service Pack 1) MP (2 procs) Free x64

Product: WinNt, suite: TerminalServer SingleUserTS

Built by: 7601.17944.amd64fre.win7sp1_gdr.120830-0333

Machine Name:

Kernel base = 0xfffff800`0361c000 PsLoadedModuleList = 0xfffff800`03860670

Debug session time: Mon Oct 29 07:55:05.639 2012 (UTC + 1:00)

System Uptime: 17 days 5:27:58.669

Loading Kernel Symbols

...............................................................

................................................................

..........................................

Loading User Symbols

 

Loading unloaded module list

..................................................

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************

 

Use !analyze -v to get detailed debugging information.

 

BugCheck D1, {538, 2, 0, fffff880042d7836}

 

*** ERROR: Module load completed but symbols could not be loaded for athrx.sys

Probably caused by : athrx.sys ( athrx+59836 )

 

Followup: MachineOwner

---------

 

1: kd> !analyze -v

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************

 

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)

An attempt was made to access a pageable (or completely invalid) address at an

interrupt request level (IRQL) that is too high. This is usually

caused by drivers using improper addresses.

If kernel debugger is available get stack backtrace.

Arguments:

Arg1: 0000000000000538, memory referenced

Arg2: 0000000000000002, IRQL

Arg3: 0000000000000000, value 0 = read operation, 1 = write operation

Arg4: fffff880042d7836, address which referenced memory

 

Debugging Details:

------------------

 

 

READ_ADDRESS: 0000000000000538

 

CURRENT_IRQL: 2

 

FAULTING_IP:

athrx+59836

fffff880`042d7836 0fb78038050000 movzx eax,word ptr [rax+538h]

 

DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT

 

BUGCHECK_STR: 0xD1

 

PROCESS_NAME: System

 

TRAP_FRAME: fffff8800acba230 -- (.trap 0xfffff8800acba230)

NOTE: The trap frame does not contain all registers.

Some register values may be zeroed or incorrect.

rax=0000000000000000 rbx=0000000000000000 rcx=fffffa800471b770

rdx=0000000000000002 rsi=0000000000000000 rdi=0000000000000000

rip=fffff880042d7836 rsp=fffff8800acba3c8 rbp=0000000000000000

r8=fffffa800a303b00 r9=0000000000000000 r10=fffff88003100f40

r11=0000000000000002 r12=0000000000000000 r13=0000000000000000

r14=0000000000000000 r15=0000000000000000

iopl=0 nv up ei pl nz na pe nc

athrx+0x59836:

fffff880`042d7836 0fb78038050000 movzx eax,word ptr [rax+538h] ds:3000:0538=????

Resetting default scope

 

LAST_CONTROL_TRANSFER: from fffff8000369a569 to fffff8000369afc0

 

STACK_TEXT:

fffff880`0acba0e8 fffff800`0369a569 : 00000000`0000000a 00000000`00000538 00000000`00000002 00000000`00000000 : nt!KeBugCheckEx

fffff880`0acba0f0 fffff800`036991e0 : 00000000`00000000 fffffa80`09513630 fffff880`03100180 00000000`000000a6 : nt!KiBugCheckDispatch+0x69

fffff880`0acba230 fffff880`042d7836 : fffff880`042da0f1 fffffa80`0471b770 fffff880`042d49f3 fffffa80`04eabc56 : nt!KiPageFault+0x260

fffff880`0acba3c8 fffff880`042da0f1 : fffffa80`0471b770 fffff880`042d49f3 fffffa80`04eabc56 00000000`000000a6 : athrx+0x59836

fffff880`0acba3d0 fffff880`042acb20 : fffffa80`05328470 fffff880`00000001 fffffa80`0a303bc0 fffff880`042d1501 : athrx+0x5c0f1

fffff880`0acba410 fffff880`042ba587 : fffffa80`03de9030 00000000`00000000 00000000`58b80000 fffffa80`04eabb80 : athrx+0x2eb20

fffff880`0acba460 fffff880`042baaef : fffffa80`03de9030 00000000`00000000 00000000`536c0000 fffff880`00000010 : athrx+0x3c587

fffff880`0acba490 fffff880`042baea6 : fffffa80`03de9030 fffff880`042e0000 fffffa80`05320001 fffffa80`0963f648 : athrx+0x3caef

fffff880`0acba510 fffff880`042e6c86 : fffffa80`03de9030 fffff880`00000000 fffffa80`00000001 fffffa80`0963f648 : athrx+0x3cea6

fffff880`0acba550 fffff880`042fa1b0 : fffffa80`0471b770 00000000`00000010 fffff880`090e0421 fffff880`0acb0000 : athrx+0x68c86

fffff880`0acba5a0 fffff880`042fba84 : fffffa80`0471b770 fffffa80`0963f648 fffff880`00000010 fffffa80`0a0b4248 : athrx+0x7c1b0

fffff880`0acba630 fffff880`0430351e : fffffa80`0471b770 fffffa80`0963f648 fffffa80`00000010 fffff880`0acba820 : athrx+0x7da84

fffff880`0acba670 fffff880`04303c4a : fffffa80`0471b770 fffffa80`0963f648 fffff880`0acba820 fffffa80`04d931a0 : athrx+0x8551e

fffff880`0acba740 fffff880`043161a4 : fffffa80`0533b030 00000000`00000000 fffff880`0acba820 fffff880`0acba7c0 : athrx+0x85c4a

fffff880`0acba790 fffff880`0431bf9d : fffffa80`0533b030 fffffa80`0963f648 fffff880`0acba910 fffff880`0acb00ff : athrx+0x981a4

fffff880`0acba890 fffff880`043380f7 : fffffa80`05367030 fffffa80`0963f648 fffff880`0acba910 fffff880`09e100ff : athrx+0x9df9d

fffff880`0acba8c0 fffff880`042a3499 : fffffa80`05367030 fffffa80`00000000 00000000`00000000 fffff800`03696876 : athrx+0xba0f7

fffff880`0acba9e0 fffff880`042975ce : fffffa80`0533b030 00000000`00000001 00000000`00000000 fffff880`04346286 : athrx+0x25499

fffff880`0acbaa20 fffff880`0431c09b : fffffa80`04d88030 fffffa80`05367030 fffffa80`09a89bd0 00000000`00000000 : athrx+0x195ce

fffff880`0acbaa60 fffff880`04323181 : fffffa80`05367030 00000000`00000000 fffffa80`09a89bd0 fffffa80`04d931a0 : athrx+0x9e09b

fffff880`0acbaa90 fffff880`042a3637 : fffffa80`05367030 fffff880`03100180 fffffa80`0a747060 fffff880`03100180 : athrx+0xa5181

fffff880`0acbaaf0 fffff880`0427f9fa : fffffa80`0533b030 00000000`00000000 fffffa80`0a747168 fffff800`03690a32 : athrx+0x25637

fffff880`0acbab20 fffff880`016d814b : fffffa80`04d88030 00000000`00000000 fffff880`0acbabd8 00000000`00000000 : athrx+0x19fa

fffff880`0acbab60 fffff880`0165f56d : 00000000`00000002 00000000`0000000a 00000000`00000001 00000000`00000001 : ndis! ?? ::DKGKHJNI::`string'+0x1687

fffff880`0acbabd0 fffff880`01685b7d : 00000000`00000002 00000000`00000002 00000000`00000000 fffffa80`09a89db8 : ndis!ndisQueuedMiniportDpcWorkItem+0xcd

fffff880`0acbac70 fffff800`03931e5a : 25f69efa`eebd1208 fffffa80`0a747060 00000000`00000080 c552fe8d`47d47e59 : ndis!ndisReceiveWorkerThread+0x1bd

fffff880`0acbad00 fffff800`0368bd26 : fffff800`0380de80 fffffa80`0a747060 fffffa80`0a16a990 89698fa5`e3e1d6c1 : nt!PspSystemThreadStartup+0x5a

fffff880`0acbad40 00000000`00000000 : fffff880`0acbb000 fffff880`0acb5000 fffff880`0acba9c0 00000000`00000000 : nt!KxStartSystemThread+0x16

 

 

STACK_COMMAND: kb

 

FOLLOWUP_IP:

athrx+59836

fffff880`042d7836 0fb78038050000 movzx eax,word ptr [rax+538h]

 

SYMBOL_STACK_INDEX: 3

 

SYMBOL_NAME: athrx+59836

 

FOLLOWUP_NAME: MachineOwner

 

MODULE_NAME: athrx

 

IMAGE_NAME: athrx.sys

 

DEBUG_FLR_IMAGE_TIMESTAMP: 4aca1ff5

 

FAILURE_BUCKET_ID: X64_0xD1_athrx+59836

 

BUCKET_ID: X64_0xD1_athrx+59836

 

Followup: MachineOwner

---------

OTL.Txt

AdwCleanerS1.txt

[picasso]

Zadania pomyślnie wykonane, ale jeszcze poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{FDAC2BDA-2EE4-4C9D-8E16-D3DE4A911D9E}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{FDAC2BDA-2EE4-4C9D-8E16-D3DE4A911D9E}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i wybierz z menu opcję Scal. Zatwierdź import do rejestru.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Users\User\AppData\Roaming\toolplugin
C:\Users\User\AppData\Roaming\mozilla\firefox\profiles\8cbb1n7t.default-1352035939911\extensions\{fe272bd1-5f76-4ea4-8501-a05d35d823fc}.xpi
C:\Windows\tasks\RegClean Pro_DEFAULT.job
C:\Windows\tasks\RegClean Pro_UPDATES.job

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

3. W Google Chrome nadal ustawiona wyszukiwarka adware. Wejdź do ustawień i wzarządzaniu wyszukiwarkami przestaw domyślną z Web Search na Google, po tym Web Search usuń z listy.

 

4. Są zainstalowane i pracują w tym samym czasie dwa antywirusy: Avira + MSSE. Jeden z nich do deinstalacji, wskazuję na Avirę, bo starsza.

 

 

Okazało się też, że ustawienia w sekcji Uruchamianie i odzyskiwanie mam odpowiednie i przy pomocy WinDbg odczytałem plik MEMORY.DMP

 

Debug mówi, że konflikt stworzył sterownik athrx.sys, czyli sieciowy Atheros:

 

DRV:64bit: - [2009-10-05 15:34:00 | 001,542,656 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\athrx.sys -- (athr)

 

Póki co, najwyżej mogę zalecić aktualizację sterowników, o ile jest tu co aktualizować / dostępna nowsza paczka na stronie producenta.

 

 

 

.

Edytowane 6 Grudnia 2012 przez picasso
6.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso