Blue screen

[iwona]

Witam wszytkich,

nekaja mnie ostatnimi czasy powtarzajace sie tzw blue creen" wlasnie robie ktores z rzedu podejscie do wytworzenia raportu GMER, poprzednie proby skonczyly sie wyskakujacymi niebieskimi ekranami, weszlam w tryb awaryjny ale sie zawiesil dokumentnie, moze teraz sie uda,zamieszczam logi z OTL i jesli mi bedzie dane wyedytuje post dodajac gmera, narazie sie ciesze, ze sobie pisze:)

pozdrawiam cieplo

iwona

 

udalo sie, z tym ze wydaje mi sie, ze zostala bardzo skrocona wersja, za 1 razem w szybkim poczatkowym skanie bylo cos w okienku - bs, next o wiele wiecej podczas skanowania lecz znow bs, to jest chyba 3 badz 4 proba. nie bardzo wiedzac jak ie zachowac za kazdym razem sciagalam inna wersje gmera - uruchamiajac po wyrzuceniu wczesniejszych exe

Extras.Txt

OTL.Txt

GMER.txt

[Landuss]

Na początek wyjaśnienie - Gmer to nie jest program dla systemów 64 bitowych i nie należy go używać na takim systemie.

 

W logach brak śladów jakiejkolwiek infekcji. Temat zmienia dział na razie na Windows, ale niewykluczone, że to sprawa sprzętowa.

 

Drobne korekty na podstawie logów do wykonania w spoilerze:

 

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-4036507714-3948119402-2232320888-1003\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://www.claro-search.com/?affID=114508&tt=4612_5&babsrc=HP_clro&mntrId=6e5c8900000000000000001de137e6b4"
IE - HKU\S-1-5-21-4036507714-3948119402-2232320888-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.claro-search.com/?affID=114508&tt=4612_5&babsrc=HP_clro&mntrId=6e5c8900000000000000001de137e6b4"
IE - HKU\S-1-5-21-4036507714-3948119402-2232320888-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.claro-search.com/?q={searchTerms}&affID=114508&tt=4612_5&babsrc=SP_clro&mntrId=6e5c8900000000000000001de137e6b4"
O2:64bit: - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL File not found
O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: []  File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL i wybierasz opcje Sprzątanie.

 

 

Natomiast w kwestii bluescreenów wykonaj punkt 5 z tego tematu: KLIK z opcji Delete

[Anonim8]

Na początek wyjaśnienie - Gmer to nie jest program dla systemów 64 bitowych i nie należy go używać na takim systemie.

 

Dawno pana nie było na forum. Niech pan zajrzy tutaj https://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/page__p__318#entry318

[iwona]

Microsoft ® Windows Debugger Version 6.2.9200.16384 X86

Copyright © Microsoft Corporation. All rights reserved.

 

 

Loading Dump File [C:\Windows\Minidump\032113-34928-01.dmp]

Mini Kernel Dump File: Only registers and stack trace are available

 

Symbol search path is: SRV*C:\symbole.*http://msdl.microsoft.com/download/symbols

Executable search path is:

Windows 7 Kernel Version 7601 (Service Pack 1) MP (8 procs) Free x64

Product: WinNt, suite: TerminalServer SingleUserTS Personal

Built by: 7601.18044.amd64fre.win7sp1_gdr.130104-1431

Machine Name:

Kernel base = 0xfffff800`02c1f000 PsLoadedModuleList = 0xfffff800`02e63670

Debug session time: Thu Mar 21 00:41:54.700 2013 (UTC - 4:00)

System Uptime: 0 days 1:44:39.714

Loading Kernel Symbols

...............................................................

................................................................

........................................

Loading User Symbols

Loading unloaded module list

......

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************

 

Use !analyze -v to get detailed debugging information.

 

BugCheck 3B, {c0000096, fffff80002c97f57, fffff880099195e0, 0}

 

Probably caused by : ntkrnlmp.exe ( nt!SwapContext_PatchXSave+a7 )

 

Followup: MachineOwner

---------

 

1: kd> !analyze -v

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************

 

SYSTEM_SERVICE_EXCEPTION (3b)

An exception happened while executing a system service routine.

Arguments:

Arg1: 00000000c0000096, Exception code that caused the bugcheck

Arg2: fffff80002c97f57, Address of the instruction which caused the bugcheck

Arg3: fffff880099195e0, Address of the context record for the exception that caused the bugcheck

Arg4: 0000000000000000, zero.

 

Debugging Details:

------------------

 

 

EXCEPTION_CODE: (NTSTATUS) 0xc0000096 - {EXCEPTION} Privileged instruction.

 

FAULTING_IP:

nt!SwapContext_PatchXSave+a7

fffff800`02c97f57 0f22da mov cr3,rdx

 

CONTEXT: fffff880099195e0 -- (.cxr 0xfffff880099195e0)

rax=0000000000000000 rbx=fffff880009e8180 rcx=0000000000000002

rdx=fffffa8003f33e48 rsi=fffffa8003e64b50 rdi=fffff880009f30c0

rip=fffff80002c97f57 rsp=fffff88009919fc0 rbp=0000000000000000

r8=fffffa8003e69bc0 r9=0000000000000000 r10=fffffffffffffffd

r11=fffffa80092bb9b0 r12=0000000000000000 r13=0000000000000000

r14=fffffa8003e69b38 r15=fffff880009ed040

iopl=0 nv up ei pl zr na po nc

cs=0010 ss=0018 ds=002b es=002b fs=0053 gs=002b efl=00010246

nt!SwapContext_PatchXSave+0xa7:

fffff800`02c97f57 0f22da mov cr3,rdx

Resetting default scope

 

CUSTOMER_CRASH_COUNT: 1

 

DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT

 

BUGCHECK_STR: 0x3B

 

CURRENT_IRQL: 2

 

LAST_CONTROL_TRANSFER: from fffff80002c97b8a to fffff80002c97f57

 

STACK_TEXT:

fffff880`09919fc0 fffff800`02c97b8a : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!SwapContext_PatchXSave+0xa7

fffff880`0991a000 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSwapContext+0x7a

 

 

FOLLOWUP_IP:

nt!SwapContext_PatchXSave+a7

fffff800`02c97f57 0f22da mov cr3,rdx

 

SYMBOL_STACK_INDEX: 0

 

SYMBOL_NAME: nt!SwapContext_PatchXSave+a7

 

FOLLOWUP_NAME: MachineOwner

 

MODULE_NAME: nt

 

IMAGE_NAME: ntkrnlmp.exe

 

DEBUG_FLR_IMAGE_TIMESTAMP: 50e79935

 

STACK_COMMAND: .cxr 0xfffff880099195e0 ; kb

 

FAILURE_BUCKET_ID: X64_0x3B_nt!SwapContext_PatchXSave+a7

 

BUCKET_ID: X64_0x3B_nt!SwapContext_PatchXSave+a7

 

Followup: MachineOwner

---------

 

mam nadzieje, ze chodzilo wlasnie o to, zrobilam to z otatniego pliku o bs jest tam ponad 20 z ostatnich 20 dni, prosze o pomoc- dla mnie jest to czarna magia:)