Debugowanie plików dmp - dlaczego bez efektów?

[Zappa]

I bardzo fajnie, że dałeś wreszcie logi z FRST. Picasso, z tego co widzę, bedzie mogła zamieścić komentarz. A zapewniam, że jest czemu się dziwić.

[picasso]

Na szybko uwagi:

 

problem w tym, ze av nie chodzi w tle, calkowicie wygaszony, sluzy tylko do sprawdzania przez ppm. Poza tym - jest od tzw. "zawsze" i te aplikacje dzialaly dotad bez problemu.

(...)

To znaczy: zaden jego komponent nie jest widoczny chocby (chocby!) w procexp. Ani żadną inną droga nic nie widac. Wszelkie monitorowanie jest wylaczone, że nie wspomne o automatycznym pobieraniu aktualizacji. Wszystko recznie dziala.

(...)

"jakies" pliki aviry [dll, minidrivery, itd w tym stylu] są - by w ogole mozna bylo spod ppm skanowac, albo recznie uruchomic uaktualnienie, usluga-monitor wylaczona, usluga aviry scheduler na reczne ustawiona, na moj gust nic twardo nie trzyma czegokolwiek w systemie

Niedziałający w tle AV to pobożne życzenia, nawet jeśli chodzi o tzw. "tryb ręczny". Powyłączałeś sobie usługi programowe Avira i sprawdzasz obecność procesów strony "user mode", natomiast silniejsza ingerencja i tak ma miejsce, czyli sterowniki poziomu kernel, bo tego po prostu nie da się uniknąć przy tym typie oprogramowania. Tu "uruchomienie na żądanie" to się odbywa na innych poziomach, nie dotyczy sterowników. Wszystkie sterowniki Avira są tu w stanie uruchomionym (oznaczenie R) i jeszcze jakiś archaiczny odpadek po AVG do towarzystwa:

 

R1 AvgArCln; C:\WINDOWS\System32\DRIVERS\AvgArCln.sys [3968 2007-01-18] (GRISOFT, s.r.o.) [File not signed]

R2 avgntflt; C:\WINDOWS\System32\DRIVERS\avgntflt.sys [97648 2014-07-03] (Avira Operations GmbH & Co. KG)

R1 avipbb; C:\WINDOWS\System32\DRIVERS\avipbb.sys [136216 2014-06-03] (Avira Operations GmbH & Co. KG)

R1 avkmgr; C:\WINDOWS\System32\DRIVERS\avkmgr.sys [37352 2013-11-26] (Avira Operations GmbH & Co. KG)

R1 ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [28520 2012-08-27] (Avira GmbH)

 

Ogólnie to dużo w systemie niedomyślnych i starych sterowników. Porównaj proszę z:

 

Może być to problem jakiegoś AV / EMET, lub innego zabezpieczenia, a może faktycznie coś fizycznego - zaczął bym od usunięcia softu zabezpieczającego i jak to nie pomoże, to test pamięci.

(...)

W zasadzie każdy sterownik trybu jądra może być podejrzany o wraże działanie, więc najprostsza metoda, to usuwanie po kolei sterowników firm trzecich, które mogą sprawiać problemy

Dodam, iż widoczne i kombinacje z restrykcjami oprogramowania, trudno stwierdzić skąd ta modyfikacja, ale EMET jest tu zainstalowany.

 

HKLM Group Policy restriction on software: D:\Avira\AntiVir Desktop\avnotify.exe 

HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% 

HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe 

HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe 

HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% 

GroupPolicy: Group Policy on Chrome detected 

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
 

Wspomnę jeszcze, że system jest wprost wytapetowany niedomyślnymi wpisami polityk, nie wiadomo po co dodane niedomyślne wpisy ustawione na zero. To przypomina ten temat. U Ciebie też są ślady pobytu Webroot (śmietnik w ustawieniach Trybu awaryjnego, szczątki sterowników skanerów).

 

 

a dwa: niemożliwość zakladania dyskow wirtualnych w alcoholu - dla mnie akurat jest uciążliwa i wolę doprowadzic to do pionu, tylko, że plikow dmp juz w tej sprawie nie ma...)

Jeśli chodzi o Alcohol, to jest tu następujący układ usług i sterowników:
 

S4 StarWindServiceAE; D:\Alcohol 120\StarWind\StarWindServiceAE.exe [370688 2009-12-23] (StarWind Software) [File not signed]

R0 d347bus; C:\WINDOWS\System32\DRIVERS\d347bus.sys [155136 2004-08-22] ( ) [File not signed]

R0 d347prt; C:\WINDOWS\System32\Drivers\d347prt.sys [5248 2004-08-22] ( ) [File not signed]

R0 sptd; C:\WINDOWS\System32\Drivers\sptd.sys [320120 2014-08-12] (Duplex Secure Ltd.)

U3 a553ntr8; C:\WINDOWS\system32\Drivers\a553ntr8.sys [0 ] ( ) [File not signed] 
 

Usługa StarWindServiceAE od Alcohola jest wyłączona. Występują także dwa archaiczne i bardzo inwazyjne sterowniki d347bus i d347prt, które nie należą do Alcohola tylko do starej wersji DAEMON Tools. Te sterowniki blokują systemowy atapi.sys, co może powodować skutki uboczne (m.in. martwa Hibernacja), a także mogą kolidować z innymi i należy wyrzucić je z systemu. Nowe wersje Alcohol i DAEMON dzielą sterownik SPTD, który działa inaczej niż stare indywidualne wersje i produkuje dodatkowy "rootkit-podobny" sterownik o losowej nazwie - tu a553ntr8 - zmieniający się przy każdym starcie komputera.
 

Jest także czynny strasznie stary sterownik ASPI:
 

R2 Aspi32; C:\WINDOWS\system32\Drivers\Aspi32.sys [25244 1999-09-10] (Adaptec) [File not signed]

 

zastanowil mnie brak pliku volsnap.sys - pewnie nie ma zwiazku z awariami tych 4ech aplikacji, ani z niemozliwoscia zakladania napedow wirtualnych alcoholem..., ale brak pliku jest, jeszcze nie doczytalem po co ten plik...

==================== Bamital & volsnap Check =================
 

C:\WINDOWS\system32\Drivers\volsnap.sys IS MISSING 
 

==================== Restore Points =========================
 

Could not list Restore Points. Check "winmgmt" service or repair WMI.
 

Volsnap = "Sterownik kopiowania woluminów w tle". Czy to modyfikowany Windows? Czy coś było wycinane z komponentów? I jeszcze w zakreślonej partii jest notowana dysfunkcja WMI.
 
 

Na teraz proponuję ogarnąć przynajmniej część powyższych:
 

1. W Autoruns przeprowadź następujące działania:

• W karcie Services włącz StarWindServiceAE.
• W karcie Drivers usuń Aspi32, AvgArCln, cleanhlp (od EmsisoftEmergencyKit) i ERmvrDrv (od ESET). Pozycje d347bus i d347prt wymagają dwustopniowej operacji: odfajkuj te pozycje i zresetuj system, po resecie sterowniki nie będą już czynne i bez przeszkód można je usunąć. Powiązane pliki należy ręcznie załatwić z dysku.

Start > Uruchom > devmgmt.msc > w menu Widok włącz pokazywanie ukrytych, na liście "Sterowniki niezgodne z Plug and Play" sprawdź czy są jakieś odpadki po powyższych do deinstalacji.

 

2. Pozbądź się tego próchna Norton Utilities 2002 for Windows (kolejny obiekt jadący na potwornie starych sterownikach).

 

3. Te restrykcje oprogramowania są podejrzane. Skoro jest tu EMET, to na próbę odwróć działania w nim przeprowadzone. Zmiany ma udowodnić nowy log z FRST (zanik wcześniej zakreślonych wpisów).

 

 

 

 

.