matimen Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 witam podczas próby wyłączenia komputera wyskakuje mi blue screen z kodem 0x00000F4 a potem komputer sie restartuje i uruchamia 5 min. http://www37.zippysh...30516/file.html <-- pliki Może pomocne zdjęcia: Dodam że w czasie pracy też wyskakuje Odnośnik do komentarza
mgrzeg Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Witam na forum, 0: kd> !analyze -v ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* CRITICAL_OBJECT_TERMINATION (f4) A process or thread crucial to system operation has unexpectedly exited or been terminated. Several processes and threads are necessary for the operation of the system; when they are terminated (for any reason), the system can no longer function. Arguments: Arg1: 0000000000000003, Process Arg2: fffffa800843b970, Terminating object Arg3: fffffa800843bc50, Process image file name Arg4: fffff800035cb460, Explanatory message (ascii) Debugging Details: ------------------ ----- ETW minidump data unavailable----- KERNEL_LOG_FAILING_PROCESS: <NULL> PROCESS_OBJECT: fffffa800843b970 IMAGE_NAME: threed.exe DEBUG_FLR_IMAGE_TIMESTAMP: 0 MODULE_NAME: threed FAULTING_MODULE: 0000000000000000 PROCESS_NAME: ekrn.exe BUGCHECK_STR: 0xF4_ekrn.exe CUSTOMER_CRASH_COUNT: 1 DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT CURRENT_IRQL: 0 LAST_CONTROL_TRANSFER: from fffff80003653822 to fffff800032cbfc0 STACK_TEXT: fffff880`0e0f59c8 fffff800`03653822 : 00000000`000000f4 00000000`00000003 fffffa80`0843b970 fffffa80`0843bc50 : nt!KeBugCheckEx fffff880`0e0f59d0 fffff800`035ffe0b : ffffffff`ffffffff fffffa80`0bce3b50 fffffa80`0843b970 fffffa80`0b6d3b30 : nt!PspCatchCriticalBreak+0x92 fffff880`0e0f5a10 fffff800`0357ef04 : ffffffff`ffffffff 00000000`00000001 fffffa80`0843b970 00000000`00000008 : nt! ?? ::NNGAKEGL::`string'+0x176e6 fffff880`0e0f5a60 fffff800`032cb253 : fffffa80`0843b970 fffff880`00000000 fffffa80`0bce3b50 00000000`00000790 : nt!NtTerminateProcess+0xf4 fffff880`0e0f5ae0 00000000`778615da : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13 00000000`07ace248 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x778615da STACK_COMMAND: kb FOLLOWUP_NAME: MachineOwner FAILURE_BUCKET_ID: X64_0xF4_ekrn.exe_IMAGE_threed.exe BUCKET_ID: X64_0xF4_ekrn.exe_IMAGE_threed.exe Followup: MachineOwner --------- 0: kd> !process -1 0 GetPointerFromAddress: unable to read from fffff800034fb000 PROCESS fffffa800b6d3b30 SessionId: none Cid: 0790 Peb: 7efdf000 ParentCid: 02ac DirBase: 15f4a8000 ObjectTable: fffff8a002631700 HandleCount: <Data Not Accessible> Image: ekrn.exe Błąd zdaje się być powiązany z threed.exe, z którym ma problem ESET NOD32. Przygotuj logi zgodnie z opisem: [KLIK] m.g. Odnośnik do komentarza
matimen Opublikowano 16 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Logi wysłane. ps. Jaki poleca Pan antywirus?? OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2012 Zgłoś Udostępnij Opublikowano 17 Listopada 2012 matimen, nie przeczytałeś uważnie instrukcji programów: OTL nie skonfigurowany na pokazywanie 64-bitowych wpisów, a GMER bezcelowy (było napisane wyraźnie: nie działa poprawnie na x64). GMER bezużyteczny = usuwam. Temat przenoszę do działu diagnostyki infekcji, bo też i tu infekcja jest, w postaci owego "threed.exe" wzmiankowanego przez mgrzeg: O4 - HKLM..\Run: [dbbfe35cd211fb3de704545a4ba62af5] C:\ProgramData\threed.exe ()O4 - HKU\S-1-5-21-1771593470-3012635902-189330645-1001..\Run: [dbbfe35cd211fb3de704545a4ba62af5] C:\ProgramData\threed.exe () Poza tym, system zaśmiecony adware. Przy okazji będę usuwać szczątki po Firefox. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{154d339e-ccaa-49a5-9b38-6878ad4220bc}: "URL" = "http://www.searchamong.com/searchview.php?query={searchTerms}&cat=webs&bar=true" IE - HKU\S-1-5-21-1771593470-3012635902-189330645-1001\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKU\S-1-5-21-1771593470-3012635902-189330645-1001\..\SearchScopes\{154d339e-ccaa-49a5-9b38-6878ad4220bc}: "URL" = "http://www.searchamong.com/searchview.php?query={searchTerms}&cat=webs&bar=true" IE - HKU\S-1-5-21-1771593470-3012635902-189330645-1001\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-1771593470-3012635902-189330645-1001\..\SearchScopes\{A85D2065-14D4-4E62-BFE3-727D777CE826}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=NDV&o=15765&src=kw&q={searchTerms}&locale=&apn_ptnrs=NY&apn_dtid=YYYYYYYYPL&apn_uid=3F434824-E081-4FF1-AF81-1A9A874852C8&apn_sauid=54AE625A-D8F0-4B9E-BB5B-AD03BBED05F6&" O2 - BHO: (Codecv Class) - {0BB2E43C-B14C-D6B7-2AFF-0F1F60A64285} - Reg Error: Value error. File not found O4 - HKLM..\Run: [dbbfe35cd211fb3de704545a4ba62af5] C:\ProgramData\threed.exe () O4 - HKU\S-1-5-21-1771593470-3012635902-189330645-1001..\Run: [dbbfe35cd211fb3de704545a4ba62af5] C:\ProgramData\threed.exe () DRV - [2012-10-19 19:47:29 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] -- C:\Windows\SysWOW64\drivers\obueqei.sys -- (aebaxlob) :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Search Bar"=- "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896" "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_CURRENT_USER\Software\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins] :Files C:\Users\admin\AppData\Roaming\bsetter-adfly.exe C:\Users\admin\AppData\Roaming\vio_clean.exe C:\Users\admin\AppData\Roaming\satoolbar.exe C:\Users\admin\AppData\Roaming\PriceGong C:\Users\admin\AppData\Roaming\Mozilla C:\ProgramData\mtbjfghn.xbe C:\windows\SysWow64\mssusr.dat C:\windows\SysWow64\msffffde2e.dll C:\windows\SysWow64\iprun.exe C:\windows\SysWow64\mssfng.dat C:\windows\SysWow64\mssdtls.dat C:\windows\SysWow64\mssctm.dat C:\windows\SysWow64\mssfwl.dat C:\windows\SysWow64\mssds.dat C:\windows\SysWow64\msswds.dat C:\windows\SysWow64\mssip.dat C:\windows\SysWow64\msswgs.dat C:\windows\SysWow64\msstln.dat C:\windows\SysWow64\mssavt.dat C:\windows\SysWow64\mssbkd.dat :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj adware Codecv, DVDVideoSoftTB Toolbar, Facemoods Toolbar, V9 Homepage Uninstaller. A skoro Firefox nie jest zainstalowany, przy okazji usuń Adobe Flash Player 11 Plugin + Windows Media Player Firefox Plugin (wtyczki Firefox). 3. Otwórz Google Chrome i w Rozszerzeniach odmontuj adware Codecv, DVDVideoSoftTB, Facemoods. W sekcji "Po uruchomieniu" usuń stronę startową www.v9.com. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj zaznaczając Część 64bit systemu. Dołącz log utworzony przez AdwCleaner. Na wszelki wypadek sprawdź co widzi Kaspersky TDSSKiller (jeśli cokolwiek zostanie wykryte, ustaw Skip i pokaż log, jeśli nic = nie podawaj raportu). . Odnośnik do komentarza
matimen Opublikowano 17 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2012 przy próbie 1 i 4 punktu wyskakuje bluescreen, 2 i 3 wykonałem, kaspersky nieznalazł nic,logi z pnkt 5 zamieszczam. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2012 Zgłoś Udostępnij Opublikowano 17 Listopada 2012 Niestety skrypt w ogóle nie wykonany. Infekcja nadal działa, inne adresowane wpisy też tam gdzie były. 1. Przejdź w Tryb awaryjny Windows i ponów próbę. Jeśli nadal skrypt będzie tym skutkował, to odetnij ze skryptu tę część: :Commands [emptytemp] PS. Popatrz ponownie do mojego posta wcześniejszego, bo edytowałam skrypt w momencie, gdy chyba już czytałeś odpowiedź, więc pewności nie mam czy cały próbowałeś użyć. 2. Zrób nowy log OTL z opcji Skanuj (bez Extras). . Odnośnik do komentarza
matimen Opublikowano 17 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2012 daje skanowanie z trybu awaryjnego OTL awaryjny.Txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2012 Zgłoś Udostępnij Opublikowano 17 Listopada 2012 Ale zaraz: jakie "skanowanie w Trybie awaryjnym"? Nie. Miałeś powtórzyć wykonanie skryptu w Trybie awaryjnym, a po tym zrobić nowy skan OTL w Trybie normalnym. Nie wiem czym się zajmowałeś, ale jest bez zmian, skrypt w ogóle nie wykonany. EDIT: I robi się coraz gorzej. W starcie pojawił się nowy obiekt infekcji: O4 - Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dbbfe35cd211fb3de704545a4ba62af5.exe () Jeszcze raz: 1. Startujesz do Trybu awaryjnego. Uruchamiasz OTL i w sekcji Własne opcje skanowania / skrypt wklejasz: :OTL IE - HKLM\..\SearchScopes\{154d339e-ccaa-49a5-9b38-6878ad4220bc}: "URL" = "http://www.searchamong.com/searchview.php?query={searchTerms}&cat=webs&bar=true" IE - HKU\S-1-5-21-1771593470-3012635902-189330645-1001\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKU\S-1-5-21-1771593470-3012635902-189330645-1001\..\SearchScopes\{154d339e-ccaa-49a5-9b38-6878ad4220bc}: "URL" = "http://www.searchamong.com/searchview.php?query={searchTerms}&cat=webs&bar=true" IE - HKU\S-1-5-21-1771593470-3012635902-189330645-1001\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-1771593470-3012635902-189330645-1001\..\SearchScopes\{A85D2065-14D4-4E62-BFE3-727D777CE826}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=NDV&o=15765&src=kw&q={searchTerms}&locale=&apn_ptnrs=NY&apn_dtid=YYYYYYYYPL&apn_uid=3F434824-E081-4FF1-AF81-1A9A874852C8&apn_sauid=54AE625A-D8F0-4B9E-BB5B-AD03BBED05F6&" O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - No CLSID value found. O2 - BHO: (Codecv Class) - {0BB2E43C-B14C-D6B7-2AFF-0F1F60A64285} - Reg Error: Value error. File not found O4 - HKLM..\Run: [dbbfe35cd211fb3de704545a4ba62af5] C:\ProgramData\threed.exe () O4 - HKU\S-1-5-21-1771593470-3012635902-189330645-1001..\Run: [dbbfe35cd211fb3de704545a4ba62af5] C:\ProgramData\threed.exe () DRV - [2012-10-19 19:47:29 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] -- C:\Windows\SysWOW64\drivers\obueqei.sys -- (aebaxlob) :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Search Bar"=- "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896" "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_CURRENT_USER\Software\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins] :Files C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dbbfe35cd211fb3de704545a4ba62af5.exe C:\Users\admin\AppData\Roaming\bsetter-adfly.exe C:\Users\admin\AppData\Roaming\vio_clean.exe C:\Users\admin\AppData\Roaming\satoolbar.exe C:\Users\admin\AppData\Roaming\PriceGong C:\Users\admin\AppData\Roaming\Mozilla C:\ProgramData\mtbjfghn.xbe C:\windows\SysWow64\mssusr.dat C:\windows\SysWow64\msffffde2e.dll C:\windows\SysWow64\iprun.exe C:\windows\SysWow64\mssfng.dat C:\windows\SysWow64\mssdtls.dat C:\windows\SysWow64\mssctm.dat C:\windows\SysWow64\mssfwl.dat C:\windows\SysWow64\mssds.dat C:\windows\SysWow64\msswds.dat C:\windows\SysWow64\mssip.dat C:\windows\SysWow64\msswgs.dat C:\windows\SysWow64\msstln.dat C:\windows\SysWow64\mssavt.dat C:\windows\SysWow64\mssbkd.dat :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Wchodzisz w Tryb normalny. Robisz nowy log OTL z opcji Skanuj (bez Extras). . Odnośnik do komentarza
matimen Opublikowano 17 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2012 acha już zrozumiałem OTL.Txt Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2012 Zgłoś Udostępnij Opublikowano 18 Listopada 2012 W końcu zadanie wykonane. Infekcja została pomyślnie usunięta. Czy notujesz poprawę w działania systemu, czy nadal wita Cię BSOD? Kolejne działania wykończeniowe: 1. Nadal nie wykonane to: Otwórz Google Chrome (...) W sekcji "Po uruchomieniu" usuń stronę startową www.v9.com. Raport pokazuje tę stronę w konfiguracji: ========== Chrome ========== CHR - homepage: "http://www.v9.com/?utm_source=b&utm_medium=ism&from=ism&uid=132775_34605056_532341695_3219913727_501BB70B&ts=1349974547"CHR - homepage: "http://www.v9.com/?utm_source=b&utm_medium=ism&from=ism&uid=132775_34605056_532341695_3219913727_501BB70B&ts=1349974547" Jeśli nie widzisz tego w opcjach, ręcznie usuń z preferencji. Zamknij Google Chrome (nie może być uruchomione w procesach). Otwórz w Notatniku plik: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Preferences Wyszukaj frazy homepage i zastąp w nich adresy. 2. Do powtórzenia poniższe, bo mówiłeś że uruchomienie tego skutkowało BSOD (czyli nic nie wykonane). Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 3. AdwCleaner przetasuje domyślne wyszukiwarki IE i należy to skorygować. Plus drobne poprawki. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 4. Usunięcie odpadkowych plików. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Program Files\Server.exe C:\Users\admin\AppData\Local\DVDVideoSoftTB C:\Users\admin\AppData\Roaming\Mozilla Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 5. Zrób nowy log OTL z opcji Skanuj (bez Extras). Przedstaw log utworzony przez AdwCleaner. . Odnośnik do komentarza
matimen Opublikowano 18 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2012 Bardzo panu dziękuję za pomoc BSOD już nie wyskakuje komputer się nie wiesza oraz szybko włącza. OTL.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2012 Zgłoś Udostępnij Opublikowano 18 Listopada 2012 Apropos "pan" = Jestem kobietą. Użyłeś stary AdwCleaner v2.006. Najnowsza wersja to 2.008. Wyraźnie kierowałam do przyklejonego opisu na forum, gdzie są jedyne autoryzowane linki pobierania. Na przyszłość: tylko stamtąd pobieraj i zawsze od nowa. Wersja ma ogromne znaczenie (nowe poprawki i definicje adware). A zadania nie wykonane dobrze: nie zaimportował się FIX.REG (to mój błąd, za późno poprawiłam literówkę w nagłówku) oraz nadal w Google Chrome widać to: ========== Chrome ========== CHR - homepage: "http://www.v9.com/?utm_source=b&utm_medium=ism&from=ism&uid=132775_34605056_532341695_3219913727_501BB70B&ts=1349974547"CHR - homepage: "http://www.v9.com/?utm_source=b&utm_medium=ism&from=ism&uid=132775_34605056_532341695_3219913727_501BB70B&ts=1349974547" 1. Powtórz operację z FIX.REG. Przeklej jego treść ponownie, bo jak mówię literówka była i to poprawiałam. 2. Wykonaj: Zamknij Google Chrome (nie może być uruchomione w procesach). Otwórz w Notatniku plik: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Preferences Wyszukaj frazy homepage i zastąp w nich adresy. 3. Zrób nowy (mam nadzieję, że ostatni) log z OTL poświadczający zmiany, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj. . Odnośnik do komentarza
matimen Opublikowano 18 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2012 Teraz scaliło. Dziękuję Pani jeszcze raz. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2012 Zgłoś Udostępnij Opublikowano 19 Listopada 2012 (edytowane) Zadania pomyślnie wykonane. Przejdź do wykończeń: 1. Wyczyść po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek zrób jeszcze skanowanie w Malwarebytes Anti-Malware (przy instalacji wybierz darmową wersję). Jeżeli coś zostanie wykryte, przedstaw raport. . Edytowane 18 Grudnia 2012 przez picasso 19.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi