Blue screen (UNEXPECTED_KERNEL_MODE_TRAP Wdf01000)

[nowik6300]

Witam,

Niedawno aktualizowałem mój system do wersji Windows 8.1, przy aktualizacji pojawił się problem ze sterownikiem do karty dźwiękowej ( sterownik usunełem i zainstalowałem od nowa), od tego czasu pojawiły mi się kilka razy blue screeny, które zignorowałem. Pojawiały się zazwyczaj podczas oglądania filmów ( YT lub VLC). Szukałem pomocy na forach ale z moim angielskim ciężko było mi cokolwiek wywnioskować. Ostatnio blue screeny się nasiliły więc postanowaiłem coś z tym zrobić.

Z dzienników zdarzeń wyczytałem, że tuż przed blue screenem wyskauje bląd:

Inicjowanie zrzutu awaryjnego nie powiodło się!

- System

    - Provider

      [ Name] volmgr

    - EventID 46

      [ Qualifiers] 49156

      Level 2       Task 0       Keywords 0x80000000000000     - TimeCreated

      [ SystemTime] 2014-12-14T17:15:15.249313600Z

      EventRecordID 56200       Channel System       Computer Daniel       Security

 

 

GMER 2.1.19357 - http://www.gmer.net

Rootkit scan 2014-12-14 19:04:18

Windows 6.2.9200  x64 \Device\Harddisk0\DR0 -> \Device\0000002e ST1000LM024_HN-M101MBB rev.2AR10001 931.51GB

Running: hig9wlyp.exe; Driver: C:\Users\Nowik\AppData\Local\Temp\kwtdapod.sys

 

 

---- Disk sectors - GMER 2.1 ----

 

Disk    \Device\Harddisk0\DR0                        unknown MBR code

 

---- Threads - GMER 2.1 ----

 

Thread  C:\WINDOWS\system32\csrss.exe [644:668]      fffff960008d3b90

Thread  C:\WINDOWS\syswow64\wwahost.exe [3160:4628]  00000000777255dc

Thread  C:\WINDOWS\syswow64\wwahost.exe [3160:1140]  00000000777255dc

Thread  C:\WINDOWS\syswow64\wwahost.exe [3160:5108]  00000000777255dc

Thread  C:\WINDOWS\syswow64\wwahost.exe [3160:396]   000000006d2a3c40

Thread  C:\WINDOWS\syswow64\wwahost.exe [3160:3700]  0000000076bb6241

Thread  C:\WINDOWS\syswow64\wwahost.exe [3160:3940]  00000000733059d1

Thread  C:\WINDOWS\syswow64\wwahost.exe [3160:4960]  00000000777255dc

Thread  C:\WINDOWS\syswow64\wwahost.exe [3160:3608]  0000000076bb6241

Thread  C:\WINDOWS\syswow64\wwahost.exe [3160:2116]  00000000733052ee

Thread  C:\WINDOWS\syswow64\wwahost.exe [3160:3220]  0000000076dd0ca7

Thread  C:\WINDOWS\syswow64\wwahost.exe [3160:4168]  0000000076dd0ca7

Thread  C:\WINDOWS\syswow64\wwahost.exe [3160:3232]  00000000777255dc

Thread  C:\WINDOWS\syswow64\wwahost.exe [3160:2932]  00000000777255dc

Thread  C:\WINDOWS\syswow64\wwahost.exe [3160:4868]  0000000076dd0ca7

Thread  C:\WINDOWS\syswow64\wwahost.exe [3160:1656]  0000000076bb6241

Thread  C:\WINDOWS\syswow64\wwahost.exe [3160:3780]  0000000076bb6241

 

---- EOF - GMER 2.1 ----

 

 

Liczę na pomoc i czekam na odpowiedź

Extras.Txt

OTL.Txt

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Temat założony w niewłaściwym dziale diagnostyki malware, przenoszę na razie do działu Windows 8, ale może wyląduje w Hardware. Jest tu wyraźnie sugerowany trop ze sterownikami / problematycznymi urządzeniami. Dostarcz wyniki analizy plików DMP (punkt 5): KLIK.

 

 

PS. W spoilerze doczyszczanie odpadków adware i wpisów pustych, nie ma to jednak żadnego związku z problemami i nie pomoże rozwiązać powyższego problemu.

 

 

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM-x32\...\Run: [fst_pl_102] => [X]
HKU\S-1-5-21-1751098283-2581091257-1606318300-1002\...\Policies\Explorer: []
GroupPolicy: Group Policy on Chrome detected 
CHR HKU\S-1-5-21-1751098283-2581091257-1606318300-1002\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1398076670&from=slbnew&uid=ST1000LM024XHN-M101MBB_S2U5J9FC905671
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1398076670&from=slbnew&uid=ST1000LM024XHN-M101MBB_S2U5J9FC905671&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1398076670&from=slbnew&uid=ST1000LM024XHN-M101MBB_S2U5J9FC905671
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1398076670&from=slbnew&uid=ST1000LM024XHN-M101MBB_S2U5J9FC905671&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-1751098283-2581091257-1606318300-1002\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms}
HKU\S-1-5-21-1751098283-2581091257-1606318300-1002\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006
HKU\S-1-5-21-1751098283-2581091257-1606318300-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006
URLSearchHook: [s-1-5-21-1751098283-2581091257-1606318300-1001] ATTENTION ==> Default URLSearchHook is missing.
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1398076670&from=slbnew&uid=ST1000LM024XHN-M101MBB_S2U5J9FC905671&q={searchTerms}
SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1751098283-2581091257-1606318300-1002 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1751098283-2581091257-1606318300-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1398076670&from=slbnew&uid=ST1000LM024XHN-M101MBB_S2U5J9FC905671&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1751098283-2581091257-1606318300-1002 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms}
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
CHR HomePage: Default -> hxxp://istart.webssearches.com/?type=hp&ts=1398076670&from=slbnew&uid=ST1000LM024XHN-M101MBB_S2U5J9FC905671
CHR StartupUrls: Default -> "hxxp://istart.webssearches.com/?type=hp&ts=1398076670&from=slbnew&uid=ST1000LM024XHN-M101MBB_S2U5J9FC905671"
CHR HKLM-x32\...\Chrome\Extension: [dopemniaeocfenlpnoannaefnhfcjcgi] - C:\Users\Nowik\AppData\Local\Google\Chrome\User Data\Default\Extensions\searchswitch.crx [2014-03-25]
CHR HKLM-x32\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Nowik\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-03-25]
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\webssearches.xml
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
FF Plugin HKU\S-1-5-21-1751098283-2581091257-1606318300-1002: pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
FF HKLM-x32\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Users\Nowik\AppData\Roaming\Mozilla\Firefox\Profiles\nui8n9k2.default\extensions\quick_start@gmail.com
S3 BTATH_LWFLT; \SystemRoot\system32\DRIVERS\btath_lwflt.sys [X]
U4 WMCoreService; No ImagePath
Task: {05A575BF-9295-43A0-A191-6E8FF2B32290} - \AmiUpdXp No Task File 
Task: {338CE08B-37B8-4182-A0F8-15DB86DBE9A9} - System32\Tasks\{425E6285-AE1A-42C3-95E1-5E323E7BF4B9} => pcalua.exe -a "C:\Program Files (x86)\BonanzaDeals\uninst.exe" -c /uninstall
Task: {775C716D-F3CB-48BA-A1E7-D91DF1FF146F} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe 
C:\Users\Nowik\AppData\Roaming\OpenCandy
C:\WINDOWS\system32\FxsTmp
C:\WINDOWS\system32\SET*.tmp
C:\WINDOWS\SysWOW64\SET*.tmp
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Autodesk Sync" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v ETDCtrl /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v fst_pl_102 /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v upfst_pl_102.exe /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "BlueStacks Agent" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "LogMeIn Hamachi Ui" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CardDetectorHUAWEI177 /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BitTorrent /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Akamai NetSession Interface" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. W Przeglądarkach:

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus, FXChrome, FT DeepDark) trzeba będzie przeinstalować)

- Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (ręcznie włącz ponownie).

 

 

 

[nowik6300]

Zrobiłem co było w spoilerze, we wskazanych folderach nie znalazłem plików DMP.Jedyne pliki dmp znalazłm tutaj:C:\Users\Nowik\Desktop\Stare dane programu Firefox\a2hweu3c.default\minidumps. Zrobiłem to co było w "Konfiguracja ekranu z błędem". Teraz czekam na pojawienie się "ekranu śmierci"