kiopol098 Opublikowano 19 Września 2010 Zgłoś Udostępnij Opublikowano 19 Września 2010 Proszę o pomoc - dostałem link na to forum z dobrych programów Jestem w desperacji - mój komp - nie ten oczywiscie - swiruje - pojawiaja sie jakies blue screeny - sam sie restartuje - no jawny cyrk - wiem ze to viśta wio .. ale prosze o pomoc LOGi OTL: http://wklej.org/id/391108/ http://wklej.org/id/391109/ Odnośnik do komentarza
picasso Opublikowano 20 Września 2010 Zgłoś Udostępnij Opublikowano 20 Września 2010 W dziale Malware OTL nie wystarczy. Obowiązkiem do pary jest log z rootkit detekcji. Ogłoszeń tu nie przeczytałeś, bo OTL jest robiony na cudzych ustawieniach, działa w tle emulacja wirtualnych napędów SPTD (obowiązkowa do zdjęcia przed wytwarzaniem raportu z rootkit detekcji), no i nie ma raportu z owej rootkit detekcji. Póki co, w OTL nie ma żadnych zapisów infekcji stanu czynnego, które mogą tworzyć problem. Jest tylko resztka po infekcji z USB w mapowaniu MountPoints2 i na widoku zadania stricte kosmetyczne. Bez znaczenia w sugerowanym tu kontekście. Pytaniem jest: dlaczego wybrałeś dział Malware do tego tematu? Czy to świadomy wybór czy przypadek? mój komp - nie ten oczywiscie - swiruje Jak mam rozumieć wyrażenie "nie ten"? Jeśli przedstawiasz logi z innego komputera niż ten o który pytasz = bez sensu. Tak więc pada pytanie: co to za odnośnik w Twojej wypowiedzi. pojawiaja sie jakies blue screeny - sam sie restartuje - no jawny cyrk Do wykonania instrukcje z punktu 5, czyli analiza zrzutów pamięci: KLIK. . Odnośnik do komentarza
kiopol098 Opublikowano 20 Września 2010 Autor Zgłoś Udostępnij Opublikowano 20 Września 2010 Przecież nie jestem glupi - napisałem post z innego kompa - logi są z dobrego wybrałem malware ponieważ największym problemem są freezy - np teraz próbowałem zainstalować ten pkt 5 i sie zacielo w polowie - a to moze byc objaw malware Próboje zrobić pkt 5 wyedytuje post jak juz cos bede miał Memory dump - http://wklej.org/id/391319/ Mini memory dump ostatni - http://wklej.org/id/391320/ Coś chyba nie tak z symbolami? da się je jakos recznie zainstalowac? bo jak wklejałem to w tym programie nic sie nie dzialo Odnośnik do komentarza
picasso Opublikowano 20 Września 2010 Zgłoś Udostępnij Opublikowano 20 Września 2010 wybrałem malware ponieważ największym problemem są freezy - np teraz próbowałem zainstalować ten pkt 5 i sie zacielo w polowie - a to moze byc objaw malware Równie dobrze może być to objaw wadliwych sterowników i sprzętu. Coś chyba nie tak z symbolami? da się je jakos recznie zainstalowac? bo jak wklejałem to w tym programie nic sie nie dzialo Rozumiem, że wprowadziłeś SRV*c:\symbole*http://msdl.microsoft.com/download/symbols? Czy restart debugera po ustawieniu tej ścieżki również powoduje te same odczyty o niemożności załadowania symboli? . Odnośnik do komentarza
kiopol098 Opublikowano 20 Września 2010 Autor Zgłoś Udostępnij Opublikowano 20 Września 2010 (edytowane) Tak ustawiłem tak i cały czas nie hula ... sciagam symbole manualnie wlasnie Manualne zainstalowanie symboli rownie nic nie daje? Moze shostuje memory.dmp gdzies? http://www.speedyshare.com/files/24334107/MEMORY.exe Udało się - sory ale u mnie te symbole nie działają a tak moze mnie poratujesz? Edytowane 20 Września 2010 przez picasso Posty połączone. //picasso Odnośnik do komentarza
picasso Opublikowano 20 Września 2010 Zgłoś Udostępnij Opublikowano 20 Września 2010 (edytowane) Temat przenoszę do działu Vista, to nie ma kwalifikacji na dział infekcji. Wynik z mojego debugera: Microsoft ® Windows Debugger Version 6.11.0001.404 X86Copyright © Microsoft Corporation. All rights reserved. Loading Dump File [E:\Download\MEMORY\MEMORY.DMP]Kernel Summary Dump File: Only kernel address space is available WARNING: Whitespace at end of path elementSymbol search path is: SRV*C:\Symbole*http://msdl.microsoft.com/download/symbols Executable search path is: Windows Server 2008/Windows Vista Kernel Version 6001 (Service Pack 1) MP (2 procs) Free x86 compatibleProduct: WinNt, suite: TerminalServer SingleUserTS PersonalBuilt by: 6001.18488.x86fre.vistasp1_gdr.100608-0458Machine Name:Kernel base = 0x83040000 PsLoadedModuleList = 0x83157c70Debug session time: Sat Sep 18 22:56:09.394 2010 (GMT+2)System Uptime: 0 days 1:01:36.483Loading Kernel Symbols..................................................................................................................................................................Loading User Symbols Loading unloaded module list.....******************************************************************************** ** Bugcheck Analysis ** ******************************************************************************** Use !analyze -v to get detailed debugging information. BugCheck FE, {8, 6, 1, 8df5d000} Probably caused by : usbhub.sys ( usbhub!UsbhTrapFatalTimeout_x9f+1a ) Followup: MachineOwner--------- 0: kd> !analyze -v******************************************************************************** ** Bugcheck Analysis ** ******************************************************************************** BUGCODE_USB_DRIVER (fe)USB Driver bugcheck, first parameter is USB bugcheck code.Arguments:Arg1: 00000008, USBBUGCODE_RESERVED_USBHUBArg2: 00000006, USBHUB_TRAP_FATAL_TIMEOUTArg3: 00000001, TimeoutCode: Timeout_SyncResumePort - Failed resuming a suspended portArg4: 8df5d000, TimeoutContext - PortData Debugging Details:------------------ DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT BUGCHECK_STR: 0xFE PROCESS_NAME: System CURRENT_IRQL: 0 LAST_CONTROL_TRANSFER: from 8d592d9d to 8310d1e3 STACK_TEXT: 8f8bcc44 8d592d9d 000000fe 00000008 00000006 nt!KeBugCheckEx+0x1e8f8bcc60 8d592faf 8df25028 00000001 8df5d000 usbhub!UsbhTrapFatalTimeout_x9f+0x1a8f8bcc98 8d599c9a 8df25028 00000102 0000ea60 usbhub!UsbhWaitEventWithTimeoutEx+0x1148f8bccc4 8d599d31 8df25028 9011d46c 00000001 usbhub!UsbhSyncResumePort+0xa28f8bcce4 8d59d426 9011d030 9011d46c 9011d030 usbhub!UsbhSyncResumeDeviceInternal+0x828f8bcd10 8d5807e1 8df25028 00000000 aca89c20 usbhub!UsbhPdoSetD0+0x1908f8bcd30 8325c3fb 8df25028 9ff63d48 9014ad78 usbhub!UsbhHubWorker+0x518f8bcd44 83078445 85fd4580 00000000 9014ad78 nt!IopProcessWorkItem+0x238f8bcd7c 83215b54 85fd4580 4a27d763 00000000 nt!ExpWorkerThread+0xfd8f8bcdc0 8306ea5e 83078348 80000000 00000000 nt!PspSystemThreadStartup+0x9d00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16 STACK_COMMAND: kb FOLLOWUP_IP: usbhub!UsbhTrapFatalTimeout_x9f+1a8d592d9d cc int 3 SYMBOL_STACK_INDEX: 1 SYMBOL_NAME: usbhub!UsbhTrapFatalTimeout_x9f+1a FOLLOWUP_NAME: MachineOwner MODULE_NAME: usbhub IMAGE_NAME: usbhub.sys DEBUG_FLR_IMAGE_TIMESTAMP: 47919064 FAILURE_BUCKET_ID: 0xFE_usbhub!UsbhTrapFatalTimeout_x9f+1a BUCKET_ID: 0xFE_usbhub!UsbhTrapFatalTimeout_x9f+1a Followup: MachineOwner--------- Wynik zwraca sterownik USB Microsoftu. 1. Masz zdezaktualizowaną Vista - tylko SP1. Do instalacji Vista Service Pack 2. O ile da się to przeprowadzić w obecnych warunkach... 2. Sprawdź czy są nowsze wersje wszystkich sterowników sprzętowych na stronie producentów. 3. Podejrzany może być czytnik linii papilarnych. Jeśli korzystasz, poszukaj zaktualizowanej wersji softu (bo obecna w systemie stara). Jeśli nie korzystasz, zdeaktywuj czytnik i odmontuj Digital Persona. Do przekształcenia połowa tego artykułu: KLIK. W Twoim logu Digital Persona składa się z tych elementów: ========== Win32 Services (SafeList) ========== SRV - [2007-09-20 11:02:58 | 000,299,008 | ---- | M] (DigitalPersona, Inc.) [Auto | Running] -- C:\Program Files\DigitalPersona\Bin\DpHostW.exe -- (DpHost) O4 - HKLM..\Run: [DpAgent] C:\Program Files\DigitalPersona\Bin\DpAgent.exe (DigitalPersona, Inc.) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{C7AF7F33-9092-997E-2D29-DE8095863FE3}" = DigitalPersona Personal 3.0.0 4. Powyłączaj testowo opcje oszczędzania energii dla USB. 5. O ile są jakieś zewnętrzne urządzenia USB wpięte, odepnij dla testu. . Edytowane 16 Lutego 2011 przez picasso 16.02.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi