Kontrolne sprawdzenie systemu

[dragolice]

Cześć.

Objawów infekcji nie dostrzegam, dlatego nie liczę na natychmiastową odpowiedź.

Podczas robienia raportu z programu GMER wyskoczył BSOD. Mam nadzieję, że nic złego się za tym nie kryje. Podczas wysyłania plików wystąpił problem. Należało skorzystać ze standardowej wersji.

Pozdrawiam.

 

Plik DMP

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

W raportach nie widać nic podejrzanego. Do wykonania tylko drobnostki.

 

1. Do deinstalacji starsze wersje: Adobe AIR, Adobe Flash Player 17 ActiveX, Java 8 Update 45 .

 

2. Akcja "kosmetyczna" (czyszczenie Tempów + drobne wpisy odpadkowe). Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
Task: {23BDEB75-0385-46C1-B37A-1003F021795A} - System32\Tasks\{1CAF6F42-8475-4A59-8703-D5A9E16F630D} => C:\Users\Marcin\Desktop\Moorhuhn.exe
Task: {8BDAF666-1C7A-41E1-893F-F2B305AE947F} - System32\Tasks\{53E68F4E-CB3B-4A82-A314-8CFA6839AD59} => pcalua.exe -a C:\Users\Marcin\Downloads\sp52814.exe -d C:\Users\Marcin\Downloads
Task: {8EE34F3D-E947-48B4-BD89-1236F23B7575} - System32\Tasks\{F240D68B-B1DF-4977-AC21-74C9B645421E} => C:\Users\Marcin\Desktop\Moorhuhn.exe
Task: {9467C4B2-A0A0-4586-9B42-0F6C88A29758} - System32\Tasks\{5BFCCED0-2D35-4EE7-822C-35A73FE1FCF4} => Chrome.exe hxxp://ui.skype.com/ui/0/7.1.0.105/pl/abandoninstall?source=lightinstaller&page=tsInstall
Task: {A07470DB-F5A1-42F8-8387-67E1B9FDD327} - System32\Tasks\{DBAC729D-1856-41FE-B408-07394E9BF15D} => C:\Users\Marcin\Desktop\Moorhuhn.exe
Task: {A725334A-47DA-4FBD-A7C0-A4A37EBA0891} - System32\Tasks\{C74941F4-F360-4518-AC85-75BEFA1CAC70} => C:\Users\Marcin\Desktop\Moorhuhn.exe
Task: {B21F5154-E677-48F9-9ADC-0171AB5EA299} - System32\Tasks\{22C4DB70-584B-4B5B-8017-7F1695D9D2CA} => pcalua.exe -a C:\Users\Marcin\Downloads\sp52791(1).exe -d C:\Users\Marcin\Downloads
Task: {E923C046-1A59-42CF-AE6C-0D37E6018EF5} - System32\Tasks\{4CF41A40-AC0C-4BA9-B6E1-15EF380D52A0} => pcalua.exe -a "C:\Users\Hubert\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LNUVJ7ZI\sp51976[1].exe" -d C:\Users\Hubert\Desktop
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Silverlight.lnk
C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR
C:\Users\Hubert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. Nie potrzebuję nowych raportów FRST.

 

3. W kwestii błędów w Dzienniku zdarzeń. Drobny błąd WMI numer 10 zreperuje Fix-it: KLIK. A to do działu Hardware:

 

Dziennik System:

=============

Error: (11/07/2015 09:02:17 PM) (Source: Microsoft-Windows-Kernel-Power) (EventID: 88) (User: )

Description: Nastąpiło przejście systemu do stanu hibernacji z powodu krytycznego zdarzenia termicznego.

Czas hibernacji = 2015-11-07T20:02:17.994150500Z
 

Strefa termiczna ACPI = ACPI\ThermalZone\TZ01

_HOT = 363 K

[dragolice]

Dziękuję za analizę.

Ciekawi mnie bardzo dlaczego GMER spowodował taką reakcję systemu. MBAM mógł coś namieszać? Pamiętam kiedyś za czasów OTL program obsługiwał tylko 32 bity, ale podobno już 64 nie przeszkadza.

Fix-It poszedł bez błędów.

Jeśli chodzi o problem z temperaturą - uszkodzony jest czujnik na płycie głównej. Wentylator pracuje bardzo wolno lub wcale, a laptop niestety się pali.

 

 

Olśniło mnie i odkodowałem plik dmp:

 

 

Microsoft ® Windows Debugger Version 6.3.9600.17336 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\Users\Marcin\Desktop\110815-18142-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available


************* Symbol Path validation summary **************
Response Time (ms) Location
Deferred SRV*c:\symbole*http://msdl.microsoft.com/download/symbols
Symbol search path is: SRV*c:\symbole*http://msdl.microsoft.com/download/symbols
Executable search path is:
Windows 7 Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS Personal
Built by: 7601.18939.amd64fre.win7sp1_gdr.150722-0600
Machine Name:
Kernel base = 0xfffff800`02e0a000 PsLoadedModuleList = 0xfffff800`03051730
Debug session time: Sun Nov 8 11:25:45.599 2015 (UTC + 1:00)
System Uptime: 0 days 0:31:09.259
Loading Kernel Symbols
.

Press ctrl-c (cdb, kd, ntsd) or ctrl-break (windbg) to abort symbol loads that take too long.
Run !sym noisy before .reload to track down problems loading symbols.

..............................................................
................................................................
.......................
Loading User Symbols
Loading unloaded module list
......
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 109, {a3a039d89ed11631, b3b7465ef14f5477, fffff880009f45c0, 2}

Probably caused by : Unknown_Image ( ANALYSIS_INCONCLUSIVE )

Followup: MachineOwner
---------

3: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

CRITICAL_STRUCTURE_CORRUPTION (109)
This bugcheck is generated when the kernel detects that critical kernel code or
data have been corrupted. There are generally three causes for a corruption:
1) A driver has inadvertently or deliberately modified critical kernel code
or data. See http://www.microsoft.com/whdc/driver/kernel/64bitPatching.mspx
2) A developer attempted to set a normal kernel breakpoint using a kernel
debugger that was not attached when the system was booted. Normal breakpoints,
"bp", can only be set if the debugger is attached at boot time. Hardware
breakpoints, "ba", can be set at any time.
3) A hardware corruption occurred, e.g. failing RAM holding kernel code or data.
Arguments:
Arg1: a3a039d89ed11631, Reserved
Arg2: b3b7465ef14f5477, Reserved
Arg3: fffff880009f45c0, Failure type dependent information
Arg4: 0000000000000002, Type of corrupted region, can be
0 : A generic data region
1 : Modification of a function or .pdata
2 : A processor IDT
3 : A processor GDT
4 : Type 1 process list corruption
5 : Type 2 process list corruption
6 : Debug routine modification
7 : Critical MSR modification

Debugging Details:
------------------


CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT

BUGCHECK_STR: 0x109

PROCESS_NAME: System

CURRENT_IRQL: 0

ANALYSIS_VERSION: 6.3.9600.17336 (debuggers(dbg).150226-1500) amd64fre

STACK_TEXT:
fffff880`035cb5d8 00000000`00000000 : 00000000`00000109 a3a039d8`9ed11631 b3b7465e`f14f5477 fffff880`009f45c0 : nt!KeBugCheckEx


STACK_COMMAND: kb

SYMBOL_NAME: ANALYSIS_INCONCLUSIVE

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: Unknown_Module

IMAGE_NAME: Unknown_Image

DEBUG_FLR_IMAGE_TIMESTAMP: 0

IMAGE_VERSION:

BUCKET_ID: BAD_STACK

FAILURE_BUCKET_ID: BAD_STACK

ANALYSIS_SOURCE: KM

FAILURE_ID_HASH_STRING: km:bad_stack

FAILURE_ID_HASH: {75814664-faf6-4b70-bbc7-dc592132ecdd}

Followup: MachineOwner
---------

 

Fixlog.txt

[picasso]

Ciekawi mnie bardzo dlaczego GMER spowodował taką reakcję systemu. MBAM mógł coś namieszać? Pamiętam kiedyś za czasów OTL program obsługiwał tylko 32 bity, ale podobno już 64 nie przeszkadza.

(...)

Olśniło mnie i odkodowałem plik dmp

Sprawa 32-bitów od dawna nieaktualna i GMER ładuje natywnie 64-bitowy sterownik na systemie x64. DMP już oglądałam wcześniej i nic z tego konkretnego nie wynika. To wygląda na jakąś niedozwoloną operację dostępową wykonaną przez sterownik GMER. Z GMER już tak jest, że procedury skanowania mogą doprowadzić do BSOD i nic to nie oznacza w kontekście samego systemu. Dla porównania sytuacja u mnie: BSOD wystąpił przynajmniej kilka razy na kilku różnych maszynach (główny komputer oraz maszyny wirtualne), na dodatek takich na których nie było żadnych programów zabezpieczających, a układ zainstalowanych sterowników określiłabym jako "podstawowy".

 

PS. Fix FRST wykonany. Zastosuj DelFix.

[dragolice]

Dzięki raz jeszcze za analizę Temat można zamknąć.