Skocz do zawartości

Niebieskie ekrany i brak sieci


Daddy71

Rekomendowane odpowiedzi

Nowe zdjęcie, nowe forum...

I nie trafiłbym tu, gdyby nie informacja, że: "Jak wiemy, użytkowniczka @picasso nie gości już na tym forum...". Nie prześledziłbym tematu (Jak to? Picasso nie ma???). Ale dość prywaty.

 

Opiszę w dużym skrócie, jak będzie potrzeba więcej informacji, to będę się bardziej rozpisywał.

 

Najpierw zaczęły się co jakiś czas pojawiać niebieskie ekrany. Myślałem, że odkurzenie kompa (z normalnego kurzu) pomoże. Nie pomogło. Spróbowałem przeskanować avastem - nie skanował. Spróbowałem kilku skanerów online - albo nie działały, albo nic nie wykrywały. Avast uruchamiał się w trybie nieaktywnym (0 uruchomionych dostawców). Firewall (Kerio) też działał jakoś dziwnie (jakby zapomniał, czego się nauczył). W pliku hosts takie fajne wpisy znalazłem (nie usuwałem, bo już wiedziałem, że i tak sam tego nie zwalczę). W końcu przestała działać sieć i skończyły się zabawy.

 

Raporty obowiązkowe poniżej, a wcześniej jeszcze jedna ciekawostka - wyniki skanowania przenosiłem na pendrive. Po włożeniu do "czystego" komputera pierwsze co zrobiłem to skan Avastem pendrive'a. Wyniki:

 

G:\system\...\system32.exe - Win32.Trojan-Gen

G:\Restore\...\lin32.exe - Win32.Malware-Gen

G:\Recycler\...\start.exe - Win32.Malware-Gen

OTL.Txt

Extras.Txt

Gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Dodam:

 

1. Log z GMER robiony w nieprawidłowych warunkach i jest zaciemniony działaniem niepożądanego tu komponentu. Działa w tle emulacja wirtualna, która na dodatek wygląda mocno archaicznie (stealth.sys to z prehistorycznego Daemona):

 

DRV - [2002-06-21 10:58:24 | 000,080,896 | ---- | M] (Generic) [Kernel | Boot | Running] -- C:\WIN_XP\system32\DRIVERS\stealth.sys -- (Stealth)

 

Pozbądź się tego lamusa. Odinstaluj DAEMON Tools. Następnie zweryfikuj czy ten proces pozostawił główny sterownik emulacyjny w programie Autoruns. O ile będzie, skasuj całkowicie ten sterownik w karcie Drivers + restart systemu, by odładować go całkowicie z pamięci. I dopiero po ukończeniu tych kroków zrób nowy log z GMER.

 

2. Ze względu na to co pojawiło się w skanowaniu Avast pokaż część rejestru, której OTL domyślnie nie skanuje:

 

Start > Uruchom > regedit i wyeksportuj cały klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components

 

3. Co do reszty:

 

Najpierw zaczęły się co jakiś czas pojawiać niebieskie ekrany.

 

Pokaż co w ogóle było na niebieskich ekranach - punkt 5 i debug zrzutów pamięci: KLIK.

 

Avast uruchamiał się w trybie nieaktywnym (0 uruchomionych dostawców). Firewall (Kerio) też działał jakoś dziwnie (jakby zapomniał, czego się nauczył).

 

Te dwa programy i tak są w starych wersjach i wymagają aktualizacji (Avast jest już w wersji 5, a sterowniki Kerio są tu datowane na 2007)... Rozpocznij od ich deinstalacji, zwłaszcza mnie interesuje skutek pozbycia się Kerio w kontekście działania sieci. Cały Windows ogólnie wymaga natychmiastowej aktualizacji (tylko SP2!). Prócz cienkich zabezpieczeń, MS odciął takie Windows od Automatycznych aktualizacji.

 

W pliku hosts takie fajne wpisy znalazłem (nie usuwałem, bo już wiedziałem, że i tak sam tego nie zwalczę).

 

Tu wszystko w porządku. To immunizacja statyczna wprowadzona przez Spybot Search & Destroy. Ale sam program jest już dość słaby na dzisiejsze warunki.

 

 

 

PS. A zalecona "kosmetyka" na starych śmieciach i tak jest niepełna. Jest więcej "not found" czy "error". Ale wykonanie tego nie ma na razie żadnego znaczenia ku rozwiązaniu problemów i to potem.

 

 

 

.

Odnośnik do komentarza

Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

 

 

Pendrive (tak mi się wydaje) nie jest problemem. Avast wirusy usunął, Pen zabezpieczony (autorun.inf). Po usunięciu wirusów usunąłem też ukryte katalogi w których były i po problemie. Oczywiście log, na wszelki wypadek dołączam.

 

Problemem jest ten drugi komp, bo się na nim już nic nie da robić. No, prawie nic.

UsbFix.txt

Odnośnik do komentarza

Działam :)

 

Ad 1.

Wywalone. Gmera zapuściłem ale będzie się długo robił, a ja muszę iść spać. :)

Zatem wyniki rano (jak zdążę) lub wieczorem.

 

Ad 2.

W załączeniu.

 

Ad 3.

Kerio wywalone

Avast - przecież on się aktualizuje, to nie wystarczy? Jeśli nie, to też jutro poleci...

 

niebieskie ekrany - te, które ja widziałem to albo "Pamięć nie może być read (lub write - nie pamiętam)" albo "Nie odnaleziono (czy nie można uzyskać dostępu) do pliku:" i tu za każdym razem inny plik (sys lub dll) albo "Strona znaleziona w niestrnicowanym (?) obszarze". Mam kilka minidumpów, zobaczę jutro co da się z nich zrobić i jeden pełen dump.

 

A co do ilości śmieci w systemie - myślę, że to jeden z najdłużej działających XP-ków na świecie. Od nowości nie był przeinstalowywany mimo kilku "trudnych momentów" w przeszłości.

To bodajże na SE za starych, dobrych czasów ktoś miał w sygnaturce: "Walka do końca, nigdy format c:". No to walczę już któryś rok.

 

 

Edit:

Już rano. Dodaję log z gmera.

InstalledComponents.reg.txt

Gmer2.txt

Odnośnik do komentarza
Avast - przecież on się aktualizuje, to nie wystarczy? Jeśli nie, to też jutro poleci...

 

Tylko sygnatury. Trzpień jest nadal stary, jest tu Avast 4. Avast 5 to już zupełnie inny program.

 

 

Klucz Active Setup w porządku. GMER uruchomiony w zredukowanym środowisku także nie pokazuje nic szczególnego. Czekam więc na wyniki z debugowania zrzutów pamięci. Za to już możesz przeprowadzić roboty sprzątające i aktualizacyjne:

 

1. Usunięcie śmieci i martwych odnośników:

 

----> W programie Autoruns skasuj te obiekty:

 

Karta Services:

SRV - File not found [Disabled | Stopped] -- C:\Program Files\UltraVNC\WinVNC.exe -- (winvnc)

SRV - File not found [Disabled | Stopped] -- C:\Program Files\distributed.net\dnetc.exe -- (dnetc)

SRV - [2004-12-25 10:03:35 | 000,054,784 | ---- | M] (Macrovision) [Disabled | Stopped] -- C:\WIN_XP\system32\drivers\CDAC11BA.EXE -- (C-DillaCdaC11BA)

SRV - [2001-10-26 23:29:54 | 000,056,832 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WIN_XP\system32\getmac.exe -- (Darvdpy)

 

Karta Drivers:

DRV - File not found [Kernel | Auto | Stopped] -- C:\WIN_XP\System32\drivers\EIO.sys -- (EIO)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WIN_XP\System32\drivers\CDANT.SYS -- (C-Dilla)

DRV - [2010-10-06 00:46:48 | 000,068,961 | ---- | M] (GMER) [Kernel | On_Demand | Stopped] -- C:\WIN_XP\system32\drivers\gmer.sys -- (gmer)

DRV - [2010-09-06 11:26:20 | 000,189,520 | ---- | M] (Trend Micro Inc.) [Kernel | Auto | Running] -- C:\WIN_XP\system32\drivers\tmcomm.sys -- (tmcomm)

 

Karta Internet Explorer:

O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.

 

----> Start > Uruchom > firewall.cpl i w karcie Wyjątki pousuwaj martwe zapisy:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\Program Files\THQ\Dawn of War\W40k.exe" = C:\Program Files\THQ\Dawn of War\W40k.exe:*:Enabled:W40K -- File not found

"C:\Program Files\EA GAMES\Battlefield 1942\BF1942.exe" = C:\Program Files\EA GAMES\Battlefield 1942\BF1942.exe:*:Enabled:BF1942 -- File not found

"C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe" = C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe:*:Enabled:Kerio Personal Firewall 4 - GUI -- File not found

"C:\Program Files\UltraVNC\winvnc.exe" = C:\Program Files\UltraVNC\winvnc.exe:*:Enabled:VNC server for Win32 -- File not found

"C:\Program Files\America's Army\System\ArmyOps.exe" = C:\Program Files\America's Army\System\ArmyOps.exe:*:Enabled:ArmyOps -- File not found

"C:\Program Files\America's Army\System\Server.exe" = C:\Program Files\America's Army\System\Server.exe:*:Enabled:Server -- File not found

"C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\ir_ext_temp_0\autorun.exe" = C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\ir_ext_temp_0\autorun.exe:*:Enabled:E-Tuner (www.etuner.za.pl) -- File not found

"C:\Program Files\Microsoft Games\Age of Empires II\empires2.EXE" = C:\Program Files\Microsoft Games\Age of Empires II\empires2.EXE:*:Disabled:Age of Empires II -- File not found

 

----> Z Firefoxa usuń te stare wtyczki:

 

[2005-09-19 14:03:00 | 000,044,158 | ---- | M] (Mozilla Foundation) -- C:\Program Files\Mozilla Firefox\components\inspector.dll

[2004-04-07 01:09:04 | 003,268,608 | ---- | M] (Autodesk, Inc.) -- C:\Program Files\Mozilla Firefox\plugins\npmapv32.dll

 

----> Wywołaj plik C:\WIN_XP\gmer_uninstall.cmd.

 

2. Porządki w zainstalowanych programach:

 

  • Możesz wyrzucić i Spybot, gdyż masz lepszy skaner na żądanie Malwarebytes' Anti-Malware. Także Avast (jeśli się go trzymasz, na później do instalacji piątka).
  • Usuń wszystkie prehistoryczne Java przez program JavaRa. To zlikwiduje także widzialne w OTL zapisy O16 relatywne do Java, a mające odnośniki "Reg Error: Value error". Po tym zaaplikuj najnowszą Java 6 Update 21 (JRE).
  • Do deinstalacji archaizmy Microsoft Bootvis i HijackThis 1.99.1
  • Do aktualizacji Adobe, Thunderbird i w miarę możliwości reszta softów...
  • SequoiaView do zastąpienia nowocześniejszym SpaceSniffer.
  • DWG TrueView 2007 do zastąpienia przez DWG TrueView 2011
  • Gadu-Gadu 7.7, nie ma się co męczyć na tym trupie nie obsługującym własnej sieci nawet. W temacie Darmowe komunikatory znajdziesz godne alternatywy z obsługą najnowszego protokołu Gadu i bez reklam (WTW / Miranda / Kadu).
  • Wypada zaktualizować kodeki, bo wszystko strasznie przestarzałe, a przestarzałe kodeki mogą generować problemy. Do wyrzucenia wszystkie wystąpienia związane z kodekami, w zamian montaż tylko K-Lite w wersji podstawowej Basic.
  • Po ukończeniu robót z instalacjami posprzątaj lokalizacje tymczasowe przez TFC - Temp Cleaner.

3. Sterowniki: również stare. Nie wiem czy pod ten sprzęt są w ogóle dostępne nowsze wersje, ale sprawdź to.

 

4. Obowiązkowa aktualizacja Windows do statusu: Service Pack 3 + Internet Explorer 8 (instalowany nawet jeśli w ogóle z niego nie korzystasz, zbyt duża integracja z systemem).

 

 

 

.

Odnośnik do komentarza

Po pierwsze zrzuty pamięci.

Nie zawsze się robiły (czasami nie bo nie, a czasami komputer był wyłączany w trakcie). Kilka starych ocalało, poza tym pomęczyłem go dzisiaj trochę i uzyskałem kilka nowych. To, co znalazłem ze starych lub uzyskałem dzisiaj w załącznikach. Najczęściej jednak przy niebieskim ekranie zrzuty się nie robiły. Powtarzało się kilka sytuacji:

- niebieski ekran z napisem: *** STOP 0x0000008E ((0x0000005,0x80586DA8,0xF65F0C38,0x00000000) /cyferki za każdym razem inne/

- niebieski ekran i komunikat BAD_POOL_HEADER

- niebieski ekran i komunikat PAGE_FAULT_IN_NONPAGED_AREA

- niebieski ekran i komunikat DRIVER_IRQL_NOT_LESS_OR_EQUAL

- kilka razy była informacja, że błąd jest prawdopodobnie związany z plikiem win32k.sys /plik w załączeniu/

- kilka razy była informacja, że błąd jest prawdopodobnie związany z plikiem ati2dvag.dll /plik w załączeniu/

- czasami robił się czarny ekran, brak reakcji i loga też nie było

 

Przypomniało mi się jeszcze jedno - na tym kompie, na oddzielnej partycji mam zainstalowanego staaaarego linuxa (Fedora core). Odpaliłem i męczyłem go przez godzinę (gry, obróbka zdjęć, przeglądanie internetu(!), filmy itd). Nic się nie wydarzyło. W Windowsie niebieski ekran mam przeważnie po kilku minutach, po kilkunastu jak nic nie robię, po minucie jak podepnę internet. To chyba potwierdza, że problem nie jest w sprzęcie.

 

Trochę już też posprzątałem, ale aktualizacje większości programów to dopiero jak internet ruszy a Windows przestanie szaleć. Niektórych nie mam zamiaru aktualizować (np DWGViewer2007 jest wystarczający, a 2011 ten sprzęt może nie uciągnąć).

 

Po sprzątaniu nowe logi z OTL. Z gmera tradycyjnie rano.

dump1.TXT

dump2.TXT

dump3.TXT

dump4.TXT

dump5.TXT

OTL.Txt

Extras.Txt

Odnośnik do komentarza

Jeśli rzecz o logu z OTL, to nie jest uporządkowane do końca według podanych kroków, ale to zostawiam na koniec. Ta "kosmetyka" nie powinna mieć znaczenia dla rozwiązania problemu i można ją wykonać w dowolnym punkcie po ustąpieniu defektów głównych. Nie rozumiem co ma znaczyć załączenie tutaj win32k.sys.txt + ati2dvag.dll.txt, czyli najwyraźniej plików wykonywalnych z dodanym rozszerzeniem TXT. Usuwam te "Załączniki".

 

dopiero jak internet ruszy

 

W jaki sposób objawia się brak internetu? Czy to na pewno problem ogólny a nie relatywny do określonej przeglądarki? Firefox vs. Internet Explorer = ten sam efekt? Nie widzę w raportach żadnego punktu zaczepienia, nie ma już widocznych w sekcji sterowniki aplikacji zabezpieczających mogących mieć wpływ, nie ma żadnych błędów w Dzienniku zdarzeń tyczących obszaru sieci, a proxy ustawione w Firefox ma wartość network.proxy.type na zerze (czyli powinno być połączenie bezpośrednie). Może na początek:

 

1. Firefoxa na wszelki wypadek jednak sprawdź, bo właśnie był na forum temat, gdzie nie widać było nawet ustawień proxy w logu OTL, a jednak było skonfigurowane: KLIK.

 

2. Jeśli problem jest niezależny od przeglądarki, spróbuj tych dwóch narzędzi Fix it resetujących dwa podstawowe obszary sieciowe: KB299357 + KB811259.

 

Przypomniało mi się jeszcze jedno - na tym kompie, na oddzielnej partycji mam zainstalowanego staaaarego linuxa (Fedora core). Odpaliłem i męczyłem go przez godzinę (gry, obróbka zdjęć, przeglądanie internetu(!), filmy itd). Nic się nie wydarzyło. W Windowsie niebieski ekran mam przeważnie po kilku minutach, po kilkunastu jak nic nie robię, po minucie jak podepnę internet. To chyba potwierdza, że problem nie jest w sprzęcie.

 

Zrzuty pamięci mają jakby losowy charakter, za każdym razem jest inny zwrot, a to może insynuować problem sprzętowy. Sugerując się jednak pozytywnym obciążeniem kompa z poziomu Linuxa oraz biorąc na początek te bardziej oczywiste DMP, jako przyczyna są punktowane sterowniki ATI (ati2dvag.dll) i Realtek (ALCXWDM.SYS). Mówiłam:

 

3. Sterowniki: również stare. Nie wiem czy pod ten sprzęt są w ogóle dostępne nowsze wersje, ale sprawdź to.

 

vs. sumaryczne prehistoryczne datowanie w raporcie:

 

DRV - [2006-07-24 17:49:48 | 000,089,856 | ---- | M] (USB Generic Camera) [Kernel | On_Demand | Stopped] -- C:\WIN_XP\system32\drivers\cam1210.sys -- (CAM1210)

DRV - [2006-06-27 17:42:14 | 003,972,672 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WIN_XP\system32\drivers\alcxwdm.sys -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)

DRV - [2006-05-09 10:26:06 | 000,013,312 | R--- | M] (A4Tech Co.,Ltd.) [Kernel | On_Demand | Running] -- C:\WIN_XP\system32\drivers\Amusbprt.sys -- (Amusbprt)

DRV - [2006-01-11 08:33:32 | 000,008,704 | R--- | M] (A4Tech Co.,Ltd.) [Kernel | System | Running] -- C:\WIN_XP\system32\drivers\Amfilter.sys -- (Amfilter)

DRV - [2005-08-08 14:44:04 | 000,006,640 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WIN_XP\system32\drivers\MouseCap.sys -- (MouseCap)

DRV - [2004-12-25 10:03:32 | 000,012,464 | ---- | M] (Macrovision Europe Ltd) [Kernel | Auto | Running] -- C:\WIN_XP\system32\drivers\CdaC15BA.SYS -- (CdaC15BA)

DRV - [2004-08-12 22:14:46 | 000,786,944 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WIN_XP\system32\drivers\ati2mtag.sys -- (ati2mtag)

DRV - [2004-08-04 01:08:22 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WIN_XP\system32\drivers\gameenum.sys -- (gameenum)

DRV - [2004-08-04 00:07:56 | 000,059,264 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WIN_XP\system32\drivers\USBAUDIO.sys -- (usbaudio) Sterownik audio USB (WDM)

DRV - [2003-08-14 17:16:38 | 000,404,736 | ---- | M] (Sensaura Ltd) [Kernel | On_Demand | Stopped] -- C:\WIN_XP\system32\drivers\ALCXSENS.SYS -- (ALCXSENS)

DRV - [2003-04-04 15:07:20 | 000,030,336 | ---- | M] (Politecnico di Torino) [Kernel | On_Demand | Stopped] -- C:\WIN_XP\system32\drivers\npf.sys -- (NPF)

DRV - [2003-03-19 09:51:00 | 000,018,688 | R--- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WIN_XP\system32\DRIVERS\nv_agp.sys -- (nv_agp)

DRV - [2002-11-27 14:52:00 | 000,080,896 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WIN_XP\system32\drivers\NVENET.sys -- (NVENET)

DRV - [2002-11-20 20:45:50 | 000,002,218 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WIN_XP\system32\drivers\vncdrv.sys -- (vncdrv)

DRV - [2002-04-26 13:04:16 | 000,095,484 | ---- | M] (DATOM Dariusz Cielebąk) [Kernel | Auto | Running] -- C:\WIN_XP\System32\drivers\KMM4XNT.SYS -- (Kmm4xNT)

 

Od tego więc rozpocznij = aktualizacji wszystkich sterowników, o ile to jest tu możliwe. Dodatkowa pomoc do usuwania niektórych sterowników (w tym ATI): DriverSweeper.

 

 

 

.

Odnośnik do komentarza

Poszedłem trochę w inną stronę i są sukcesy :D

 

W BIOS-ie wgrałem ustawienia FAIL-SAFE i komp się nie wieszał (tyle, że jedną z rzeczy wyłączonych była karta sieciowa). Włączyłem kartę sieciową i na razie wszystko działa. Właśnie instaluję SP3, następny IE8 później poszukam aktualnych sterowników i sprzątanie resztek wg tego co powyżej.

 

Zastanawiam się, co mogło być problemem. Jak znajdę chwilę, to poszukam instrukcji od płyty i sprawdzę czym się różni FAIL-SAFE od optymalnych ustawień. No i dziwne, że pod Linuxem się nie wieszało. Poza tym ustawienia BIOS-u się nie zmieniały od kilku lat i do tej pory wszystko działało.

 

Jeżeli wszystko będzie OK to bawimy się jeszcze w dopieszczanie systemu, czy zamykamy temat?

Edytowane przez picasso
Dopieszczamy. Temat przenoszę do innego działu. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...