Malwarebytes Anti-Malware Blue Screen

[kijek]

Witam, podczas pełnego skanowania MBAM wystąpił blue screen, szybkie skanowanie przechodzi normalnie. Dodatkowo Kaspersky TDSSkiller wyszukuje mi jakieś "kwiatki". Dla świętego spokoju pozwoliłem sobie założyć temat. Pozdrawiam

OTL.Txt

GMER.txt

Extras.Txt

TDSSKiller.2.8.15.0_27.05.2013_09.13.31_log.txt

[picasso]

Brak oznak czynnej infekcji w rozumieniu trojanów. Wyniki w TDSSKiller są bez znaczenia, tylko detekcja braku podpisu cyfrowego na komponentach usług, w tym jedna z usług (DefaultTabUpdate) pochodzi od reklamodawczego adware. Toteż usuń adware:

1. Przez Dodaj/Usuń programy odinstaluj DefaultTab. Otwórz Firefox i w Dodatkach powtórz jego deinstalację.

2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

podczas pełnego skanowania MBAM wystąpił blue screen, szybkie skanowanie przechodzi normalnie

 

Nie jest wykluczony konflikt sterownika MBAM ze sterownikami innych programów zabezpieczających (tu KIS 2013, Sandboxie, Secunia). Diagnostyka BSOD rozpisana w punkcie 5: KLIK.



.

[kijek]

Zrobione

AdwCleanerS1.txt

OTL.Txt

[picasso]

Jeśli chodzi o akcję usuwania adware, to wykonane pomyślnie. Tylko drobne poprawki i koniec tego zadania:

 

1. Na czas wykonania tej akcji zdeaktywuj rezydenta MBAM (wystąpi konflikt przy zabijaniu procesów). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{092A032F-3D8D-4ECD-A3B9-AE291F1B6BDF}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Services
AntiLog32
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

Czy analizowałeś dane na temat BSOD?

 

 

 

.

[kijek]

Zrobione, dziękuje za pomoc. Jeżeli chodzi o BSOD to nie jeszcze się tym nie zająłem, jak widzę nie jest to związane z infekcją więc na spokojnie się tym zajmę. Jeszcze raz dziękuje.

 

EDIT:

 

Wrzucam zrzut BSOD:

http://speedy.sh/WKaF6/052713-42369-01.zip

[picasso]

BSOD kręci się wokół sterownika dysku:

 

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************
 

Use !analyze -v to get detailed debugging information.
 

BugCheck 7A, {c049a1a0, c0000185, 840a18c0, 93434c94}
 

Probably caused by : ataport.SYS ( ataport!GenRegMigrateDriverKeys+22 )
 

Followup: MachineOwner

---------
 

2: kd> !analyze -v

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************
 

KERNEL_DATA_INPAGE_ERROR (7a)

The requested page of kernel data could not be read in. Typically caused by

a bad block in the paging file or disk controller error. Also see

KERNEL_STACK_INPAGE_ERROR.

If the error status is 0xC000000E, 0xC000009C, 0xC000009D or 0xC0000185,

it means the disk subsystem has experienced a failure.

If the error status is 0xC000009A, then it means the request failed because

a filesystem failed to make forward progress.

Arguments:

Arg1: c049a1a0, lock type that was held (value 1,2,3, or PTE address)

Arg2: c0000185, error status (normally i/o status code)

Arg3: 840a18c0, current process (virtual address for lock type 3, or PTE)

Arg4: 93434c94, virtual address that could not be in-paged (or PTE contents if arg1 is a PTE address)
 

Debugging Details:

------------------
 
 

ERROR_CODE: (NTSTATUS) 0xc0000185 - Urz
 

DISK_HARDWARE_ERROR: There was error with disk hardware
 

BUGCHECK_STR: 0x7a_c0000185
 

CUSTOMER_CRASH_COUNT: 1
 

DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT
 

PROCESS_NAME: System
 

CURRENT_IRQL: 0
 

TRAP_FRAME: 8c3935bc -- (.trap 0xffffffff8c3935bc)

ErrCode = 00000000

eax=93434c94 ebx=0086dc90 ecx=00006972 edx=8b01c008 esi=8b01c008 edi=93bb6b00

eip=830a2fed esp=8c393630 ebp=8c393650 iopl=0 nv up ei ng nz na po nc

cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010282

nt!CmpFindSubKeyByNameWithStatus+0x4f:

830a2fed 663908 cmp word ptr [eax],cx ds:0023:93434c94=0000

Resetting default scope
 

LAST_CONTROL_TRANSFER: from 82ec1172 to 82efcc2c
 

STACK_TEXT:

8c393424 82ec1172 0000007a c049a1a0 c0000185 nt!KeBugCheckEx+0x1e

8c393494 82ec4a55 8c3934e8 82f88280 8c393508 nt!MiWaitForInPageComplete+0x302

8c393524 82eae176 82f88280 93434c94 87ce57d8 nt!MiIssueHardFault+0x3b3

8c3935a4 82e5eaa8 00000000 93434c94 00000000 nt!MmAccessFault+0x29fc

8c3935a4 830a2fed 00000000 93434c94 00000000 nt!KiTrap0E+0xdc

8c393650 8304c8f7 8c393680 8c3936f4 8c3938a8 nt!CmpFindSubKeyByNameWithStatus+0x4f

8c3937d8 83043d1e 8b079948 8568aa48 c46c2320 nt!CmpParseKey+0x938

8c393854 83054147 80000030 8c3938a8 00000240 nt!ObpLookupObjectName+0x4fa

8c3938b0 8301fbd3 8c393aa8 8568aa48 00000000 nt!ObOpenObjectByName+0x165

8c393990 8302001a 8c393a9c 0002001f 8c393aa8 nt!CmCreateKey+0x2b2

8c3939b8 82e5b8ba 8c393a9c 0002001f 8c393aa8 nt!NtCreateKey+0x1f

8c3939b8 82e5939d 8c393a9c 0002001f 8c393aa8 nt!KiFastCallEntry+0x12a

8c393a4c 83000931 8c393a9c 0002001f 8c393aa8 nt!ZwCreateKey+0x11

8c393ac0 82fec69e 8c393c4c 0002001f 00000000 nt!IopCreateRegistryKeyEx+0x61

8c393bec 82fec730 86366450 00000002 0002001f nt!IopOpenOrCreateDeviceRegistryKey+0x3b1

8c393c04 89ae185e 86366450 00000002 0002001f nt!IoOpenDeviceRegistryKey+0x18

8c393c50 89ae5e80 86366450 8c393c64 863ec0e0 ataport!GenRegMigrateDriverKeys+0x22

8c393cb4 89ae0a03 863ec0e0 863ec0e0 888180c0 ataport!IdeRegMigrateDriverKeys+0x7a

8c393cd8 89ae54ee 863ec0e0 863ec028 82f593bc ataport!IdePortScanChannel+0x1b

8c393cec 83032617 863ec028 863ec0e0 85685a70 ataport!ChannelQueryBusRelation+0x40

8c393d00 82e9af0b 86428468 00000000 85685a70 nt!IopProcessWorkItem+0x23

8c393d50 8302712f 00000001 942d386f 00000000 nt!ExpWorkerThread+0x10d

8c393d90 82ece549 82e9adfe 00000001 00000000 nt!PspSystemThreadStartup+0x9e

00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x19
 
 

STACK_COMMAND: kb
 

FOLLOWUP_IP:

ataport!GenRegMigrateDriverKeys+22

89ae185e 8bd8 mov ebx,eax
 

SYMBOL_STACK_INDEX: 10
 

SYMBOL_NAME: ataport!GenRegMigrateDriverKeys+22
 

FOLLOWUP_NAME: MachineOwner
 

MODULE_NAME: ataport
 

IMAGE_NAME: ataport.SYS
 

DEBUG_FLR_IMAGE_TIMESTAMP: 4ce788e8
 

FAILURE_BUCKET_ID: 0x7a_c0000185_ataport!GenRegMigrateDriverKeys+22
 

BUCKET_ID: 0x7a_c0000185_ataport!GenRegMigrateDriverKeys+22
 

Followup: MachineOwner

---------

 

Nie wiem co o tym sądzić. Przeszukałam też forum MBAM i takie BSODy z ataport.sys podczas pełnego skanu MBAM były zanotowane, ale żadnej odpowiedzi objaśniającej czego to wynik. Masz zainstalowaną najnowszą wersję Malwarebytes Anti-Malware wersja 1.75.0.1300, więc aktualizacja odpada.

 

Czy pełny skan MBAM jest możliwy w Trybie awaryjnym?

 

 

 

.

[kijek]

Witam, w trybie awaryjnym problem nie występuje co więcej ponieważ nie jest to pierwszy taki przypadek czasami zdarza się że po wcześniejszym przeskanowaniu dysku CCleaner, z defragmentowaniu, skanowanie MBAM można dokończyć.