BSOD tylko na kontach administratorów - podejrzenie infekcji

[doggie]

Z dnia na dzień, 3o września Windows 7 Pro x64 przy logowaniu na konto z uprawieniami administratora zaczął wywalać BSOD z powodu atikmpag.sys chwilę po wyświetleniu pełnego pulpitu. Co ciekawe problem nie występuje na koncie z uprawieniami użytkownika i na koncie Gościa. Jedynie logowanie na dwa konta z uprawieniami administratora daje BSOD. Pierwsza myśl - infekcja. ESET Smart Security znalazł dwie infekcje, które usunął, a Microsoft Security Essentials znalazł z tego dnia JS/CoinHive.A, JS/CoinHive.B i Script/CoinHive, które zostały usunięte. Niestety nie rozwiązało to problemu BSOD z powodu atikpag.sys. Druga myśl - ostatnia aktualizacja krytyczna Windowsa z 29/30 września coś popsuła. Poszło przywracanie do punktu sprzed aktualizacji i logowanie bez dostępu do netu. Nie pomogło. Trzecia myśl - sterownik atikpag.sys faktycznie szaleje. Komputer ma dwie karty graficzne - zintegrowaną i dedykowaną. W trybie safe mode na koncie z nieuprawieniami administracyjnymi odinstalowano sterowniki dla dedykowanej karty graficznej. Po restarcie udało się normalnie zalogować na konto, z tą różnicą, że grafika była rozjechana bez sterownika. Nowy sterownik ze strony Della został zainstalowany. Po restarcie z nowym sterownikiem wrócił wyjściowy problem - BSOD z powodu atikpag.sys. Poszło skanowanie ESETem, który wykrył jedną infekcję w starym pliku z dokumentem wordowskim, ale nie mógł jej usunąć. Niestety nie pozwolił wyświetlić nazwy infekcji. Poszło skanowanie Malwarebyte - nic nie wykrył. Dodam jeszcze, że tryb safe mode kończy ładowanie na classpnp.sys, co też wydaje mi się nieprawidłowe i nie pozwala na działanie ESETa. Nie mam już pomysłu, co - poza ukrytą infekcją - może powodować takie problemy. Na moje laickie oko pliki FRST pokazują trochę śmieci o wątpliwym pochodzeniu, które można by usunąć, ale nie wiem, czy to któreś z tych śmieci może powodować BSOD. Cała nadzieja w Waszej pomocy.

 

[jessica]

Tylko kosmetyka:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,C:\Program Files (x86)\DigitalPersona\Bin\DPAgent.exe, <==== UWAGA
HKU\S-1-5-21-101462307-3171698980-3919436237-1000\...\Run: [] => [X]
HKU\S-1-5-21-101462307-3171698980-3919436237-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-10052019145052098\...\Run: [] => [X]
HKU\S-1-5-21-101462307-3171698980-3919436237-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-10052019145053362\...\Run: [msnmsgr] => C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe [4280184 2012-03-08] (Microsoft Corporation -> Microsoft Corporation)
Task: {946A6EBB-8E88-4407-91EC-33648CABB5C3} - System32\Tasks\{60601D98-F79B-4A0E-91D4-F8C553CF6836} => C:\Windows\system32\pcalua.exe -a C:\ProgramData\LGMOBILEAX\LGMLauncher.exe -d C:\ProgramData\LGMOBILEAX
Task: {A58C3C20-6A0D-4C7D-A967-B00DD574C595} - System32\Tasks\{A9DCB04F-B025-448B-A2FC-6852CBB96756} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Common Files\Nero\Uninstall\Setupx.exe" -c /uninstall ExtraUninstallID=""
ProxyServer: [S-1-5-21-101462307-3171698980-3919436237-1000] => 156.17.10.52:3128
ProxyServer: [S-1-5-21-101462307-3171698980-3919436237-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-10052019145052098] => 156.17.10.52:3128
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
Toolbar: HKU\S-1-5-21-101462307-3171698980-3919436237-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Brak pliku
Toolbar: HKU\S-1-5-21-101462307-3171698980-3919436237-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-10052019145052098 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Brak pliku
Toolbar: HKU\S-1-5-21-101462307-3171698980-3919436237-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-10052019145053362 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Brak pliku
Toolbar: HKU\S-1-5-21-101462307-3171698980-3919436237-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-10052019145054126 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Brak pliku
S1 MpKsl5c6a2ef7; \??\C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{2DDB9027-CCFE-4921-AC6B-340C2592F05B}\MpKsl5c6a2ef7.sys [X]
HOSTS:
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

-----------------------------
 

Cytat

 

Error: (10/05/2019 02:50:38 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

 

Ściągnij MicrosoftFixit50688.msi stąd > http://www.mediafire.com/download/6hwcm6b77098cbb/MicrosoftFixit50688.msi
i go uruchom jako Administator.

 

------------------------

Skoro jest tytułowy problem z kartą graficzną, to załóż temat w dziale https://www.fixitpc.pl/forum/43-hardware/

Może tam znajdzie się ktoś znający się na tym (choć widzę, że w tamtym dziale też nie ma osoby pomagającej).

 

jessi

 

 

[doggie]

Jessi, ogromne dzięki za szybką pomoc! Wszystkie kroki wykonane. Spróbuję w dziale Software albo Hardware - sterownik do karty albo karta. Skłaniam się bardziej ku sterownikowi.