Pierwsze symptomy były takie, że czasem jak włączałem laptopa to następowoło sprawdzanie poprawności dysku mimo że pamiętałem, że system został poprawnie zamknięty.
Następnie kilka razy zdarzyły się Blue Screeny. W końcu jeden raz nie udało się w ogóle uruchomić systemu, ale po przywróceniu systemu do stanu ostatniej kopii zapasowej, udało się go jednak uruchomić.
Ale nadal co jakiś czas powtarzają się BSoD.
Inne niepokojące symptopy to:
- Co jakiś czas występuje awaryjne zamknięcie Mozilli Firefox (przeinstalowanie jej nie pomogło)
- Raz miałem błąd z sdiagnhost.exe, ale nie pamiętam dokładnie treści, było coś w stylu "Program przestał działać w wyniku awarii.."
- Używałem wcześniej jako programu antywirusowego AVG Free 2012 i co jakiś czas dostawałem błąd:
"W następujących składnikach AVG wystąpił nieokreślony błąd:
- avgcsrva.exe
- avgcsrva.exe
Czy chcesz wysłać dane diagnostyczne do działu Pomocy technicznej AVG w celu dalszej analizy?"
Program AVG nie znajdywał żadnego wirusa.
W końcu zmieniłem antywirusa na COMODO (od 2 dni). Po przeskanowaniu całego systemu znalazł:
Backdoor.Win32.Turkojan.a38@122853176 w C:\Program Files (x86)/System Control Manager\MGSysCtrl.exe
Niestety nadal pojawiają się BSoD oraz już 2 razy zdarzyło się, że padło COMODO Internet Security - wyświetlił się monit czy wysłać do nich raport z awarii.
Dodam jeszcze, że laptop jest świeżo kupiony, bo mam go niewiele ponad miesiąc, był bez systemu operacyjnego i sam installowałem Windows 7 Professional 64-bit oraz sterowniki, które dostałem przy zakupie.
Rezultaty z WinDbg, OTL zamieszczam w załącznikach.
Proszę o w miarę szybką pomoc
---------------------------------------------------------------------------------
Czekając na odpowiedź, spróbowałem sam przeanalizować to co wypluł OTL:
Zacząłem od próby ustalenia co spowodowało pierwszego Blue Sreena..
Z minidumpów można wyczytać, że pierwszy BSoD wystąpił 5 kwietnia 2012.
Na pewno istotne są informacje:
BugCheck 1000009F, {4, 258, fffffa8006704680, fffff80000b9c3d0}
Probably caused by : memory_corruption
DRIVER_POWER_STATE_FAILURE (9f)
A driver is causing an inconsistent power state.
Arguments:
Arg1: 0000000000000004, The power transition timed out waiting to synchronize with the Pnp
subsystem.
Arg2: 0000000000000258, Timeout in seconds.
Arg3: fffffa8006704680, The thread currently holding on to the Pnp lock.
Arg4: fffff80000b9c3d0
PROCESS_NAME: System
STACK_TEXT:
fffff880`033a1060 fffff800`030da6c2 : fffffa80`06704680 fffffa80`06704680 fffff800`03513910 00000000`0000000c : nt!KiSwapContext+0x7a
fffff880`033a11a0 fffff800`030ebbaf : fffffa80`096ae5f8 00000000`00000001 00000000`00000000 fffffa80`096ae5f8 : nt!KiCommitThreadWait+0x1d2
fffff880`033a1230 fffff880`01ad8194 : 00000000`0dbea500 fffff800`00000000 00000000`00000000 00000000`00000000 : nt!KeWaitForSingleObject+0x19f
fffff880`033a12d0 fffff880`01af4207 : 00000000`00000000 00000000`00008000 fffffa80`0bbeb8e0 00000000`00000000 : volsnap!VspAcquire+0x24
fffff880`033a1310 fffff880`01ac08f9 : fffffa80`096ae301 ffffffff`80001ca4 fffffa80`096ae83c fffff880`033a192c : volsnap!VspOpenAndValidateDiffAreaFiles+0x497
fffff880`033a13f0 fffff800`0334e87c : fffff8a0`048e9100 fffff8a0`048e9200 fffff880`033a1950 fffff800`00000000 : volsnap! ?? ::FNODOBFM::`string'+0xdc5
fffff880`033a1860 fffff800`0334d153 : fffff8a0`180abda0 fffff880`033a1928 fffff800`0321d518 00000000`00000000 : nt!PnpNotifyDriverCallback+0x5c
fffff880`033a18f0 fffff800`0355dab4 : 00000000`00000000 fffff8a0`1f1b6310 fffffa80`0c06002e fffff8a0`00000004 : nt!PnpNotifyTargetDeviceChange+0x16b
fffff880`033a19a0 fffff800`0355e29c : fffff880`00000000 fffffa80`090b5100 fffffa80`06704600 fffffa80`00000006 : nt!PnpProcessQueryRemoveAndEject+0xaa4
fffff880`033a1ae0 fffff800`0344756e : 00000000`00000000 fffffa80`090b5170 fffff8a0`15d56860 00000000`00000000 : nt!PnpProcessTargetDeviceEvent+0x4c
fffff880`033a1b10 fffff800`030ee471 : fffff800`0334d958 fffff8a0`1f1b6310 fffff800`032842b8 00000000`00000000 : nt! ?? ::NNGAKEGL::`string'+0x5aeab
fffff880`033a1b70 fffff800`0337ef7a : 00000000`00000000 fffffa80`06704680 00000000`00000080 fffffa80`066ee6f0 : nt!ExpWorkerThread+0x111
fffff880`033a1c00 fffff800`030d59c6 : fffff880`031d7180 fffffa80`06704680 fffff880`031e1fc0 00000000`00000000 : nt!PspSystemThreadStartup+0x5a
fffff880`033a1c40 00000000`00000000 : fffff880`033a2000 fffff880`0339c000 fffff880`10be44d0 00000000`00000000 : nt!KxStartSystemThread+0x16
Analizując te dane trafiłem na link - http://www.sevenforums.com/crashes-debugging/152788-frequent-bsods.html
Z informacji tam zawartych wynika, że może to być problem związany ze sterownikami.
Poza tym wracając do wyników z OTL, zauważyłem że:
========== Files Created - No Company Name ==========
[2012-05-01 19:57:21 | 000,525,153 | ---- | C] () -- C:\Windows\SysNative\drivers\sfi.dat
[2012-05-01 19:55:53 | 000,001,846 | ---- | C] () -- C:\Users\Public\Desktop\COMODO Internet Security.lnk
[2012-05-01 15:34:08 | 000,000,512 | ---- | C] () -- C:\Users\Mars\Desktop\MBR.dat
[2012-04-22 21:00:44 | 029,708,364 | ---- | C] () -- C:\Users\Mars\Desktop\Wprowadzenie_do_algorytmow_by_Thomas_Cormen.pdf
[2012-04-14 12:59:48 | 000,002,441 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader 9.lnk
[2012-04-14 12:59:48 | 000,002,020 | ---- | C] () -- C:\Users\Public\Desktop\Adobe Reader 9.lnk
[2012-04-05 07:39:04 | 772,498,489 | ---- | C] () -- C:\Windows\MEMORY.DMP <- wystąpienie pierwszego BSoD
[2012-04-04 21:43:40 | 000,000,183 | ---- | C] () -- C:\Users\Mars\Desktop\100075480093.sdx
[2012-04-04 19:34:33 | 000,003,133 | ---- | C] () -- C:\Users\Mars\Desktop\Shortcut to SecureDownloadManager.exe.lnk
[2012-04-04 18:40:51 | 000,000,000 | -H-- | C] () -- C:\Windows\SysNative\drivers\Msft_User_WpdFs_01_09_00.Wdf <- podejrzewam, że to może być przyczyna
[2012-03-31 14:52:41 | 001,823,000 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI
[2012-03-30 20:05:24 | 000,000,092 | ---- | C] () -- C:\ProgramData\CameraRecorder.ini
Idąc dalej poszukałem informacji o tym Msft_User_WpdFs_01_09_00.Wdf i znalazłem tylko, że jest to plik tworzony przez Windows Driver Foundation - User-mode Platform Device Co-Installer, więc niby powinnien być ok.
Ale, co ciekawe, okazało się, że jest kilka przypadków gdzie ludziom zdarzały się BSoD, właśnie po utworzeniu pliku Msft_User_WpdFs_01_09_00.Wdf:
1. http://peb.pl/logi-do-sprawdzenia/815776-100-obciazenie-procesora-mimo-wylaczonych-programow.html
2010-05-17 07:00:23 194834354 ----a-w- c:\windows\MEMORY.DMP
2010-05-17 06:43:22 0 d-----w- c:\program files\GIGABYTE
2010-05-17 06:43:03 17488 ----a-w- c:\windows\gdrv.sys
2010-05-16 22:36:25 0 d-----w- c:\windows\Panther
2010-05-16 21:17:39 445016 ----a-w- c:\windows\system32\wrap_oal.dll
2010-05-16 21:17:39 109144 ----a-w- c:\windows\system32\OpenAL32.dll
2010-05-16 21:17:39 0 d-----w- c:\program files\OpenAL
2010-05-16 21:16:42 0 d-----w- c:\program files\common files\Futuremark Shared
2010-05-16 21:15:41 0 d-----w- c:\program files\Futuremark
2010-05-16 20:30:57 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_09_00.Wdf
2. http://forums.techguy.org/virus-other-malware-removal/953128-inst-exe-trogan-pretends-antivirus.html
[2010/09/28 23:52:57 | 294,631,983 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2010/09/28 23:51:31 | 000,921,636 | ---- | M] () -- C:\PAP7501.dat
[2010/09/28 17:35:05 | 000,002,231 | ---- | M] () -- C:\Users\Public\Desktop\BlackBerry Desktop Software.lnk
[2010/09/28 17:32:09 | 105,378,136 | ---- | M] () -- C:\Users\Josh\Documents\600_b047_multilanguage.exe
[2010/09/28 16:44:34 | 000,713,888 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2010/09/28 16:44:34 | 000,615,122 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2010/09/28 16:44:34 | 000,103,496 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2010/09/28 16:43:04 | 000,000,000 | -H-- | M] () -- C:\Windows\SysNative\drivers\Msft_User_WpdFs_01_09_00.Wdf
3. http://forum.idg.pl/prosze-o-pomoc-komuter-sie-wylancza-oto-log-z-otl-t210672.html
[2012-01-12 07:15:07 | 250,079,975 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2012-01-11 18:13:56 | 000,001,142 | ---- | M] () -- C:\Users\Public\Desktop\Mozilla Firefox.lnk
[2012-01-11 18:11:49 | 000,739,385 | ---- | M] (V9 Downloader) -- C:\Users\Adam\Desktop\Mozilla Firefox 9.0.1.exe
[2012-01-11 15:48:37 | 000,000,561 | ---- | M] () -- C:\Users\Adam\Desktop\Testy kategorii T.lnk
[2012-01-09 18:12:09 | 000,001,852 | ---- | M] () -- C:\Users\Public\Desktop\Vuze.lnk
[2012-01-09 16:04:18 | 000,000,124 | ---- | M] () -- C:\Users\Adam\Documents\ax_files.xml
[2012-01-09 15:42:09 | 000,001,184 | ---- | M] () -- C:\Users\Public\Desktop\Alcohol 120%.lnk
[2012-01-09 15:40:06 | 000,503,352 | ---- | M] () -- C:\Windows\SysNative\drivers\sptd.sys
[2012-01-09 15:34:15 | 000,000,085 | -HS- | M] () -- C:\ProgramData\.zreglib
[2012-01-09 14:59:08 | 000,000,000 | ---- | M] () -- C:\Users\Adam\AppData\Local\{D24262DB-E563-45E7-8218-5AB256053B75}
[2012-01-09 10:29:31 | 000,000,000 | ---- | M] () -- C:\Users\Adam\AppData\Local\{5021C4E0-7818-431A-80BD-E9037A4F8E84}
[2012-01-09 06:53:19 | 000,000,000 | ---- | M] () -- C:\Users\Adam\AppData\Local\{589DDE33-96A4-4D9C-92A9-C852C739AEA3}
[2012-01-08 17:41:45 | 000,000,276 | ---- | M] () -- C:\Windows\SysNative\PSUNCpl.dat
[2012-01-08 17:25:47 | 000,001,035 | ---- | M] () -- C:\Users\Public\Desktop\foobar2000.lnk
[2012-01-08 17:18:38 | 000,000,000 | -H-- | M] () -- C:\Windows\SysNative\drivers\Msft_User_WpdFs_01_09_00.Wdf
Wydaje mi się, że nieprzypadkowo Blue Screeny pojawiają się własnie po dodaniu Msft_User_WpdFs_01_09_00.Wdf
W każdym razie sprowadza się to do problemu ze sterownikami, bo w końcu to Msft_User_WpdFs_01_09_00.Wdf to też jakiś sterownik chyba.
Jakieś rady co powinienen zrobić? Wypowie się ktoś? Przeinstalować sterowniki, tylko które?
OTL.Txt
Extras.Txt
windbg.txt
securitycheck.txt
