respown Opublikowano 4 Września 2013 Zgłoś Udostępnij Opublikowano 4 Września 2013 Prawdopodobnie system przez słabą ochronę (ClamWin Free AV) złapał jakieś złe oprogramowanie. Te same reklamy na różnych stronach (ankieta). Samoczynne usuwanie się pliku hosts (ciągłe błedy w poglądzie zdarzeń mówiące o jego braku). Oprócz tego nie mogę zainstalować poprawnie wtycznki do photoshopa ale to już chyba nie ten dział . EDIT: Błąd przy wyłaczaniu to IRQL not equal or less: plik DMP Addition.txt checkup.txt Extras.Txt FRST.txt OTL.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 5 Września 2013 Zgłoś Udostępnij Opublikowano 5 Września 2013 Proszę nie oszukuj rozszerzeń. Nie bez powodu blokuję w załącznikach formaty inne niż TXT. Wadliwe pliki usunięte, istotny plik DMP zlinkowany. Te same reklamy na różnych stronach (ankieta). Reklamy to jedna ze spraw. W systemie jest po prostu zainstalowane adware i to nie weszło "z lotu" tylko na skutek działań użytkownika, który pobierał nie ten plik co należy lub w instalatorze nie odznaczył "bonusów". Błąd przy wyłaczaniu to IRQL not equal or less: Natomiast BSOD to inna sprawa, debugger zgłasza jako przyczynę sterownik PeerBlock 1.1: ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* IRQL_NOT_LESS_OR_EQUAL (a) An attempt was made to access a pageable (or completely invalid) address at an interrupt request level (IRQL) that is too high. This is usually caused by drivers using improper addresses. If a kernel debugger is available get the stack backtrace. Arguments: Arg1: fffff88000961008, memory referenced Arg2: 0000000000000002, IRQL Arg3: 0000000000000001, bitfield : bit 0 : value 0 = read operation, 1 = write operation bit 3 : value 0 = not an execute operation, 1 = execute operation (only on chips which support this level of status) Arg4: fffff8000363eaf1, address which referenced memory Debugging Details: ------------------ WRITE_ADDRESS: GetPointerFromAddress: unable to read from fffff800038c8100 GetUlongFromAddress: unable to read from fffff800038c81c0 fffff88000961008 Nonpaged pool CURRENT_IRQL: 2 FAULTING_IP: nt!ExpRemoveGeneralLookaside+85 fffff800`0363eaf1 48894108 mov qword ptr [rcx+8],rax CUSTOMER_CRASH_COUNT: 1 DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT BUGCHECK_STR: 0xA PROCESS_NAME: peerblock.exe TRAP_FRAME: fffff8800cbac500 -- (.trap 0xfffff8800cbac500) NOTE: The trap frame does not contain all registers. Some register values may be zeroed or incorrect. rax=fffffa800695eb10 rbx=0000000000000000 rcx=fffff88000961000 rdx=fffffa8006e46740 rsi=0000000000000000 rdi=0000000000000000 rip=fffff8000363eaf1 rsp=fffff8800cbac690 rbp=fffffa8006e46740 r8=0000000000000001 r9=0000000000000000 r10=0000000000000000 r11=fffff8800cbac718 r12=0000000000000000 r13=0000000000000000 r14=0000000000000000 r15=0000000000000000 iopl=0 nv up ei pl zr na po nc nt!ExpRemoveGeneralLookaside+0x85: fffff800`0363eaf1 48894108 mov qword ptr [rcx+8],rax ds:fffff880`00961008=???????????????? Resetting default scope LAST_CONTROL_TRANSFER: from fffff80003690129 to fffff80003690b80 STACK_TEXT: fffff880`0cbac3b8 fffff800`03690129 : 00000000`0000000a fffff880`00961008 00000000`00000002 00000000`00000001 : nt!KeBugCheckEx fffff880`0cbac3c0 fffff800`0368eda0 : 00000000`00000000 00000000`00000000 fffff700`01080000 fffff800`03836430 : nt!KiBugCheckDispatch+0x69 fffff880`0cbac500 fffff800`0363eaf1 : ffffe05d`b2b9db40 fffff880`0cbac970 fffff8a0`02573e40 00000000`00000000 : nt!KiPageFault+0x260 fffff880`0cbac690 fffff800`037bcdfc : 00000000`00000000 00000000`00000000 fffffa80`06e46700 00000000`00000000 : nt!ExpRemoveGeneralLookaside+0x85 fffff880`0cbac6f0 fffff880`0d4da897 : 00000000`00000000 00000000`00000008 00000000`00000001 fffff800`036ce0b0 : nt!ExDeleteNPagedLookasideList+0x1c fffff880`0cbac720 00000000`00000000 : 00000000`00000008 00000000`00000001 fffff800`036ce0b0 fffffa80`0482e010 : pbfilter+0x2897 STACK_COMMAND: kb FOLLOWUP_IP: pbfilter+2897 fffff880`0d4da897 ?? ??? SYMBOL_STACK_INDEX: 5 SYMBOL_NAME: pbfilter+2897 FOLLOWUP_NAME: MachineOwner MODULE_NAME: pbfilter IMAGE_NAME: pbfilter.sys DEBUG_FLR_IMAGE_TIMESTAMP: 4cd60dba FAILURE_BUCKET_ID: X64_0xA_pbfilter+2897 BUCKET_ID: X64_0xA_pbfilter+2897 Followup: MachineOwner --------- Wnioski: odinstaluj PeerBlock 1.1. Natomiast po kątem adware i brakującego pliku HOSTS: 1. Poprawne deinstalacje: - Przez Panel sterowania odinstaluj: ADDICT-THING, Ask Toolbar, IB Updater Service, Incredibar Toolbar on IE, Internet Explorer Toolbar 4.6 by SweetPacks, KMPlayer Toolbar Updater, LiveVDO plugin 1.3, McAfee Security Scan Plus, Pandora Service, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, Update Manager for SweetPacks 1.1, Web Assistant 2.0.0.600. Jeśli DebugBar v6.1 for Internet Explorer to także niecelowa instalacja, też go wywal. - W Google Chrome: w Rozszerzeniach odinstaluj LiveVDO plugin, Web Assistant, o ile będzie widoczne po w/w punkcie. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Uruchom TFC - Temp Cleaner. 4. Uruchom narzędzie Fix-it: KLIK. 5. Zrób nowy skan FRST (bez Addition). Dołącz log z AdwCleaner. Na wszelki wypadek sprawdź też co powie Kaspersky TDSSKiller. Jeśli coś wykryje, ustaw Skip i przedstaw log utworzony na C:\. Jeśli nic nie wykryje, log zbędny. . Odnośnik do komentarza
respown Opublikowano 5 Września 2013 Autor Zgłoś Udostępnij Opublikowano 5 Września 2013 Wszystko w porządku. FRST.txt Odnośnik do komentarza
picasso Opublikowano 5 Września 2013 Zgłoś Udostępnij Opublikowano 5 Września 2013 Nie dodałeś raportu utworzonego przez AdwCleaner. I nie wygląda na to, że zresetowałeś Firefox. Odnośnik do komentarza
respown Opublikowano 6 Września 2013 Autor Zgłoś Udostępnij Opublikowano 6 Września 2013 Nie dodałeś raportu utworzonego przez AdwCleaner. I nie wygląda na to, że zresetowałeś Firefox. Zaległe logi: Dzięki wielkie za dotychczasową pomoc. AdwCleanerS0.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 9 Września 2013 Zgłoś Udostępnij Opublikowano 9 Września 2013 Poprawki: 1. Do deinstalacji był obiekt Pandora Service (nadwyżka instalowana z KMPlayer). Nadal widzę w raporcie. Akcja nadal aktualna. 2. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome. 3. Otwórz Notatnik i wklej w nim: SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=2&src=sp&cf=681ed5ad-fc3d-11e1-8d08-bc5ff40a7c84&q={searchTerms} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=2&src=sp&cf=681ed5ad-fc3d-11e1-8d08-bc5ff40a7c84&q={searchTerms} HKCU\...\Run: [ASRockXTU] - [x] HKCU\...\Run: [AdobeBridge] - [x] HKCU\...\Run: [KiesHelper] - C:\Program Files (x86)\Samsung\Kies\KiesHelper.exe /s [x] HKLM-x32\...\Run: [] - [x] HKLM-x32\...\Run: [NeroFilterCheck] - C:\Windows\system32\NeroCheck.exe [x] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x] S3 GPU-Z; \??\C:\Users\User\AppData\Local\Temp\GPU-Z.sys [x] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się