rarug

Dziękuję za przegląd - usunąłem AVG Security Toolbar i Avira AntiVir Personal. Na razie korzystam tylko z tego komputera, mam jeszcze dwóch podejrzanych (komputery żony i rodziców), ale na razie nie mam jak zrobić przesłać z nich logów - czy w razie czego mam je umieścić w tym samym temacie, czy utworzyć nowy? Hasła oczywiście pozmieniałem przynajmniej w tych najważniejszych miejscach...

Cześć, ostatnio korzystałem z Waszej pomocy w listopadzie 2012 i od tego czasu raczej nie miałem problemów z komputerem. Pierwsze bardzo niepokojące zdarzenie miało miejsce 14 kwietnia 2013 - otrzymałem informację, że wystawiłem na sprzedaż na allegro 50 dysków - DYSK PRZENOSNY 2,5 SAMSUNG M3 1TB USB3 (piszę tak szczegółowo, bo może ktoś spotkał się z podobnym problemem i to ułatwi identyfikację). Następnego dnia, po kontakcie z allegro dowiedziałem się, że "Pańskie konto zostało tymczasowo zablokowane ze względów bezpieczeństwa. Nasze dane wskazywały, że dostęp do niego uzyskała nieupoważniona osoba." Zalecili także by "niezwłocznie przeskanować komputer aktualnym programem antywirusowym i antyszpiegowskim, a następnie zmienić hasło do skrzynki e-mail." Tyle, że nie zauważyłem żadnego ataku na moją skrzynkę email, a na komputerze, przynajmniej w obecnie używanym Chrome, nie przechowuję haseł do emaila, allegro itp. Drugi sygnał dostałem wczoraj - po raz pierwszy od jakiegoś miesiąca zalogowałem się do swojego konta na facebook'u i zobaczyłem komunikat, że ktoś zalogował się do mojego konta z dziwnej lokalizacji i na mapie świata zobaczyłem okolice Tajlandii. Dodam, że nie ruszałem się w tym roku poza granice Polski. Nie wiem czy problem tkwi rzeczywiście w moim komputerze, czy w jakimś innym, z którego zdarza mi się korzystać, ale chciałbym zacząć od mojej maszyny. Niestety, zanim przypomniałem sobie o Was uruchomiłem combofix'a. Specjalnie na potrzeby jego uruchomienia wyłączyłem Zaporę systemu Windows i Microsoft Security Essentials. W takich warunkach utworzyłem logi w OTL i Gmer (przed uruchomieniem Gmera usunąłem sptd z rejestru, samego sterownika nie było już wcześniej). Przed uruchomieniem SecurityCheck włączyłem z powrotem zaporę i MSE, żeby pokazać jak moje środowisko wygląda na co dzień. Gdyby trzeba było zrobić jakieś inne logi proszę o info. Log z SecurityCheck: Results of screen317's Security Check version 0.99.62 Windows 7 Service Pack 1 x64 (UAC is enabled) Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` Microsoft Security Essentials Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Java 6 Update 33 Java 7 Update 11 Java version out of Date! Adobe Flash Player 11.6.602.180 Adobe Reader 9 Adobe Reader out of Date! Mozilla Firefox 18.0.1 Firefox out of Date! Google Chrome 26.0.1410.43 Google Chrome 26.0.1410.64 Google Chrome plugins... ````````Process Check: objlist.exe by Laurent```````` Microsoft Security Essentials MSMpEng.exe Microsoft Security Essentials msseces.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` OTL.Txt Extras.Txt Gmer.txt

Dzięki wielkie za pomoc udało mi się wykonać wszystkie punkty i przesyłam raporty. Okazało się też, że ustawienia w sekcji Uruchamianie i odzyskiwanie mam odpowiednie i przy pomocy WinDbg odczytałem plik MEMORY.DMP: Microsoft ® Windows Debugger Version 6.12.0002.633 AMD64 Copyright © Microsoft Corporation. All rights reserved. Loading Dump File [C:\Users\User\Desktop\Nowy folder\MEMORY.DMP] Kernel Summary Dump File: Only kernel address space is available Symbol search path is: SRV*C:\WinDbgSymbols*http://msdl.microsoft.com/download/symbols Executable search path is: Windows 7 Kernel Version 7601 (Service Pack 1) MP (2 procs) Free x64 Product: WinNt, suite: TerminalServer SingleUserTS Built by: 7601.17944.amd64fre.win7sp1_gdr.120830-0333 Machine Name: Kernel base = 0xfffff800`0361c000 PsLoadedModuleList = 0xfffff800`03860670 Debug session time: Mon Oct 29 07:55:05.639 2012 (UTC + 1:00) System Uptime: 17 days 5:27:58.669 Loading Kernel Symbols ............................................................... ................................................................ .......................................... Loading User Symbols Loading unloaded module list .................................................. ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* Use !analyze -v to get detailed debugging information. BugCheck D1, {538, 2, 0, fffff880042d7836} *** ERROR: Module load completed but symbols could not be loaded for athrx.sys Probably caused by : athrx.sys ( athrx+59836 ) Followup: MachineOwner --------- 1: kd> !analyze -v ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1) An attempt was made to access a pageable (or completely invalid) address at an interrupt request level (IRQL) that is too high. This is usually caused by drivers using improper addresses. If kernel debugger is available get stack backtrace. Arguments: Arg1: 0000000000000538, memory referenced Arg2: 0000000000000002, IRQL Arg3: 0000000000000000, value 0 = read operation, 1 = write operation Arg4: fffff880042d7836, address which referenced memory Debugging Details: ------------------ READ_ADDRESS: 0000000000000538 CURRENT_IRQL: 2 FAULTING_IP: athrx+59836 fffff880`042d7836 0fb78038050000 movzx eax,word ptr [rax+538h] DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT BUGCHECK_STR: 0xD1 PROCESS_NAME: System TRAP_FRAME: fffff8800acba230 -- (.trap 0xfffff8800acba230) NOTE: The trap frame does not contain all registers. Some register values may be zeroed or incorrect. rax=0000000000000000 rbx=0000000000000000 rcx=fffffa800471b770 rdx=0000000000000002 rsi=0000000000000000 rdi=0000000000000000 rip=fffff880042d7836 rsp=fffff8800acba3c8 rbp=0000000000000000 r8=fffffa800a303b00 r9=0000000000000000 r10=fffff88003100f40 r11=0000000000000002 r12=0000000000000000 r13=0000000000000000 r14=0000000000000000 r15=0000000000000000 iopl=0 nv up ei pl nz na pe nc athrx+0x59836: fffff880`042d7836 0fb78038050000 movzx eax,word ptr [rax+538h] ds:3000:0538=???? Resetting default scope LAST_CONTROL_TRANSFER: from fffff8000369a569 to fffff8000369afc0 STACK_TEXT: fffff880`0acba0e8 fffff800`0369a569 : 00000000`0000000a 00000000`00000538 00000000`00000002 00000000`00000000 : nt!KeBugCheckEx fffff880`0acba0f0 fffff800`036991e0 : 00000000`00000000 fffffa80`09513630 fffff880`03100180 00000000`000000a6 : nt!KiBugCheckDispatch+0x69 fffff880`0acba230 fffff880`042d7836 : fffff880`042da0f1 fffffa80`0471b770 fffff880`042d49f3 fffffa80`04eabc56 : nt!KiPageFault+0x260 fffff880`0acba3c8 fffff880`042da0f1 : fffffa80`0471b770 fffff880`042d49f3 fffffa80`04eabc56 00000000`000000a6 : athrx+0x59836 fffff880`0acba3d0 fffff880`042acb20 : fffffa80`05328470 fffff880`00000001 fffffa80`0a303bc0 fffff880`042d1501 : athrx+0x5c0f1 fffff880`0acba410 fffff880`042ba587 : fffffa80`03de9030 00000000`00000000 00000000`58b80000 fffffa80`04eabb80 : athrx+0x2eb20 fffff880`0acba460 fffff880`042baaef : fffffa80`03de9030 00000000`00000000 00000000`536c0000 fffff880`00000010 : athrx+0x3c587 fffff880`0acba490 fffff880`042baea6 : fffffa80`03de9030 fffff880`042e0000 fffffa80`05320001 fffffa80`0963f648 : athrx+0x3caef fffff880`0acba510 fffff880`042e6c86 : fffffa80`03de9030 fffff880`00000000 fffffa80`00000001 fffffa80`0963f648 : athrx+0x3cea6 fffff880`0acba550 fffff880`042fa1b0 : fffffa80`0471b770 00000000`00000010 fffff880`090e0421 fffff880`0acb0000 : athrx+0x68c86 fffff880`0acba5a0 fffff880`042fba84 : fffffa80`0471b770 fffffa80`0963f648 fffff880`00000010 fffffa80`0a0b4248 : athrx+0x7c1b0 fffff880`0acba630 fffff880`0430351e : fffffa80`0471b770 fffffa80`0963f648 fffffa80`00000010 fffff880`0acba820 : athrx+0x7da84 fffff880`0acba670 fffff880`04303c4a : fffffa80`0471b770 fffffa80`0963f648 fffff880`0acba820 fffffa80`04d931a0 : athrx+0x8551e fffff880`0acba740 fffff880`043161a4 : fffffa80`0533b030 00000000`00000000 fffff880`0acba820 fffff880`0acba7c0 : athrx+0x85c4a fffff880`0acba790 fffff880`0431bf9d : fffffa80`0533b030 fffffa80`0963f648 fffff880`0acba910 fffff880`0acb00ff : athrx+0x981a4 fffff880`0acba890 fffff880`043380f7 : fffffa80`05367030 fffffa80`0963f648 fffff880`0acba910 fffff880`09e100ff : athrx+0x9df9d fffff880`0acba8c0 fffff880`042a3499 : fffffa80`05367030 fffffa80`00000000 00000000`00000000 fffff800`03696876 : athrx+0xba0f7 fffff880`0acba9e0 fffff880`042975ce : fffffa80`0533b030 00000000`00000001 00000000`00000000 fffff880`04346286 : athrx+0x25499 fffff880`0acbaa20 fffff880`0431c09b : fffffa80`04d88030 fffffa80`05367030 fffffa80`09a89bd0 00000000`00000000 : athrx+0x195ce fffff880`0acbaa60 fffff880`04323181 : fffffa80`05367030 00000000`00000000 fffffa80`09a89bd0 fffffa80`04d931a0 : athrx+0x9e09b fffff880`0acbaa90 fffff880`042a3637 : fffffa80`05367030 fffff880`03100180 fffffa80`0a747060 fffff880`03100180 : athrx+0xa5181 fffff880`0acbaaf0 fffff880`0427f9fa : fffffa80`0533b030 00000000`00000000 fffffa80`0a747168 fffff800`03690a32 : athrx+0x25637 fffff880`0acbab20 fffff880`016d814b : fffffa80`04d88030 00000000`00000000 fffff880`0acbabd8 00000000`00000000 : athrx+0x19fa fffff880`0acbab60 fffff880`0165f56d : 00000000`00000002 00000000`0000000a 00000000`00000001 00000000`00000001 : ndis! ?? ::DKGKHJNI::`string'+0x1687 fffff880`0acbabd0 fffff880`01685b7d : 00000000`00000002 00000000`00000002 00000000`00000000 fffffa80`09a89db8 : ndis!ndisQueuedMiniportDpcWorkItem+0xcd fffff880`0acbac70 fffff800`03931e5a : 25f69efa`eebd1208 fffffa80`0a747060 00000000`00000080 c552fe8d`47d47e59 : ndis!ndisReceiveWorkerThread+0x1bd fffff880`0acbad00 fffff800`0368bd26 : fffff800`0380de80 fffffa80`0a747060 fffffa80`0a16a990 89698fa5`e3e1d6c1 : nt!PspSystemThreadStartup+0x5a fffff880`0acbad40 00000000`00000000 : fffff880`0acbb000 fffff880`0acb5000 fffff880`0acba9c0 00000000`00000000 : nt!KxStartSystemThread+0x16 STACK_COMMAND: kb FOLLOWUP_IP: athrx+59836 fffff880`042d7836 0fb78038050000 movzx eax,word ptr [rax+538h] SYMBOL_STACK_INDEX: 3 SYMBOL_NAME: athrx+59836 FOLLOWUP_NAME: MachineOwner MODULE_NAME: athrx IMAGE_NAME: athrx.sys DEBUG_FLR_IMAGE_TIMESTAMP: 4aca1ff5 FAILURE_BUCKET_ID: X64_0xD1_athrx+59836 BUCKET_ID: X64_0xD1_athrx+59836 Followup: MachineOwner --------- OTL.Txt AdwCleanerS1.txt

Cześć, nadszedł czas porządków na moim laptopie (Asus UL30A, Windows 7 Professional 64-bit) (szczególnie po pojawieniu się ostatnio niebieskiego ekranu, niestety, spanikowałem i nie zrobiłem żadnych zdjęć, notatek o błędach, więc nie liczę akurat w tym względzie na pomoc). Proszę o porady. W Panelu sterowania sprawdziłem czy są (i odinstalowałem co jeszcze było): Browsers Protector (usunąłem), Contextual Tool Extrafind (usunąłem), DAEMON Tools Toolbar, vShare Plugin, vShare.tv plugin 1.3 (usunąłem) Wśród zainstalowanych rozszerzeń firefox'a mam jeszcze niezidentyfikowane: toolplugin 1.03 z 4.6.8.5 (brak opcji usuń) Korzystając z Defogger'a tymczasowo wyłączyłęm sterowniki i przygotowałem logi z OTL (zgodnie z instrukcją) defogger_disable.txt OTL.Txt Extras.Txt