Skocz do zawartości
Nadchodzące zmiany w logowaniu

Ekrany śmierci STOP 0x00000077 atapi.sys

lesio111

Przez lesio111
w Hardware

Rekomendowane odpowiedzi

lesio111

lesio111

Opublikowano
Opublikowano

Od dłuższego czasu pojawiają mi się ekrany śmierci. W pewnym momencie doszło do tego że musiałem przeinstalować system. Ale ekrany pojawiały się w dalszym ciągu aż doszło do tego że musiałem zrobić przywracanie uszkodzonego rejestru. Ale w dalszym ciągu problem powyższych ekranów nie zniknął. W dniu dzisiejszym spisałem kody błędów jakie się dzisiaj pojawiły. Cytuje stop 0x00000077 - podejrzenie wirusa w MBR i pod spodem atapi.sys, address f82f0302 base at f82df000, date stamp 4802539b. To pierwszy błąd i po jakiś 15 minutach pojawił się następny stop 0x00000077 (0x000000e, 0x000000e, 0x00000000, 0x03691000). Sporządziłem dwa raporty które dołączam.

eSage Lab Bootkit Remover.txt

MBRCheck_05.08.11_21.54.19.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
W pewnym momencie doszło do tego że musiałem przeinstalować system.

 

Czy reinstalacja odbyła się przy udziale formatu dysku?

 

 

Sporządziłem dwa raporty które dołączam

 

Proszę załączyć wszystkie wymagane tu raporty, czyli także OTL + GMER, a także odczyt z Kaspersky TDSSKiller (tylko raport, cokolwiek wykryte = ustaw akcję Skip).

 

 

 

 

.

Odnośnik do komentarza
lesio111

lesio111

Opublikowano
  • Autor
Opublikowano

Tak reinstalacja odbyła się przy użyciu formatu dysku.

 

Dołączam brakujące raporty, jednocześnie chciałby zaznaczyć że nie do końca został mi skasowany wirtualny naped. Pobrałem program wskazany przez Państwa jako usuwający pozostałości po w/w napędzie. W instrukcji napisane jest że pojawi się komunikat który mówi o podświetleniu przycisku uninstal, natomiast ja mam podświetlony przycisk update. W związku z tym mam pytanie czy samemu mam wykonac operacjie uninstal. W związku z powyższą sprawą mam zrobione aż 4 raporty przez program tdsskiller i je też dołączam. Najdziwniejsze jest to że każy raport pokazuje co innego. POdaje prawidłowy bład gdzyż pisząc posta popełniłem niechcący pomyłkę. stop 0x00000077 (0x000000e, 0x000000e, 0x00000000, 0x03691000)

gmer.txt

Extras.Txt

OTL.Txt

TDSSKiller.2.5.0.0_08.05.2011_23.39.44_log.txt

TDSSKiller.2.5.0.0_09.05.2011_01.09.24_log.txt

TDSSKiller.2.5.0.0_09.05.2011_01.36.42_log.txt

TDSSKiller.2.5.0.0_09.05.2011_01.59.57_log.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Nie jestem przekonana czy tu jest w ogóle problem infekcji. Równie dobrze BSOD z atapi.sys (po formacie) mogą być konsekwencją powtarzania tego samego zachowania przed + po formacie: instalacja aplikacji do montowania wirtualnych napędów i jej sterownik SPTD. Jest to mocny sterownik o charakterystyce para-rootkit. Zaczniemy od ręcznego usunięcia tego sterownika, skoro SPTDinst tego nie wychwytuje. Faza wstępna będzie polegać tylko na deaktywacji SPTD i poddanie systemu obserwacji czy BSODy ustąpią.

 

1. Odinstaluj całkowicie z systemu aplikację do montowania wirtualnych napędów (tu wyczuwam obecność DAEMON Tools). Następnie zastosuj Defogger i zatwierdź restartem komputera.

 

2. Drobnostki poboczne: system jest zaśmiecony aplikacjami sponsoringowymi. Przeprowadź deinstalację Conduit Engine + uTorrentBar Toolbar w dwóch miejscach: Dodaj / Usuń programy oraz menedżer rozszerzeń Firefox. W menedżerze Firefox będzie jeszcze trzeci śmieć do deinstalacji : DAEMON Tools Toolbar.

 

3. Wygeneruj nowe logi z OTL + GMER.

 

 

 

 

.

Odnośnik do komentarza
lesio111

lesio111

Opublikowano
  • Autor
Opublikowano

Zgodnie z Państwa zaleceniami przesyłam raporty OTL + GMER. Jednocześnie chciałbym poinformować, że po uruchomieniu programu Defogger w celu całkowitego odinstalowania napędu wirtualnego Daemon Tools, program nie wykrył tego programu. Jednocześnie pojawił się inny problem, zgodnie z zaleceniem skasowałem Conduit Engine + uTorrentBar Toolbar w obydwu miejscach tzn. w Dodaj/Usuń programy i w menedżerze rozszerzeń Firefoxa. Ale po odinstalowaniu powyższych śmieci i zrestartowaniu komputera okazało się że w dalszym ciągu one są. Po wejściu w zakładkę widok i paski narzędzi one nadal występują pomimo że w menedżerze zostały usunięte. Chciałbym jednocześnie zaznaczyć, że ostatniego podanego śmiecia tj. Daemon Tools Toolbar nie mogę znaleźć w menedżerze rozszerzeń Firefoxa. Mam kłopoty z dołączeniem GMER, widocznie coś źle zapisałem. Zrobię raport jeszcze raz i wyślę.

Extras.Txt

OTL.Txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Mam kłopoty z dołączeniem GMER, widocznie coś źle zapisałem. Zrobię raport jeszcze raz i wyślę.

W Załącznikach można dostarczać tylko rozszerzenie *.TXT a nie *.LOG.

 

 

Jednocześnie chciałbym poinformować, że po uruchomieniu programu Defogger w celu całkowitego odinstalowania napędu wirtualnego Daemon Tools, program nie wykrył tego programu.

Defogger nie służy do deinstalacji tylko do wyłączania usług tych programów. Defogger nic nie wykrył, to może któraś procedura już usunęła SPTD. Widzę bowiem zmianę. W poprzednim OTL było to:

 

DRV - [2011-02-12 17:55:53 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

Aktualny OTL w ogóle nie pokazuje tej linii, co wskazuje na usunięcie tego sterownika z systemu. Dostarcz zaległy GMER, jeśli naprawdę SPTD zniknął, w GMER będzie to widać (ustanie funkcji wywoływanych przez ten sterownik).

 

 

Jednocześnie pojawił się inny problem, zgodnie z zaleceniem skasowałem Conduit Engine + uTorrentBar Toolbar w obydwu miejscach tzn. w Dodaj/Usuń programy i w menedżerze rozszerzeń Firefoxa. Ale po odinstalowaniu powyższych śmieci i zrestartowaniu komputera okazało się że w dalszym ciągu one są. Po wejściu w zakładkę widok i paski narzędzi one nadal występują pomimo że w menedżerze zostały usunięte. Chciałbym jednocześnie zaznaczyć, że ostatniego podanego śmiecia tj. Daemon Tools Toolbar nie mogę znaleźć w menedżerze rozszerzeń Firefoxa.

Rzeczywiście, w menedżerze rozszerzeń Firefox falstart. Tych delikwentów (i inne drobnostki) wyczyszczę skryptem OTL:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}"
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2
FF - prefs.js..extensions.enabledItems: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}:3.2.5.2
FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.4.0024
FF - prefs.js..keyword.URL: "chrome://browser-region/locale/region.properties"
[2011-04-02 02:38:23 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\Leszek\Dane aplikacji\Mozilla\Firefox\Profiles\tajgr85q.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
[2011-04-02 02:39:03 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Leszek\Dane aplikacji\Mozilla\Firefox\Profiles\tajgr85q.default\extensions\engine@conduit.com
[2011-02-08 23:36:08 | 000,000,863 | ---- | M] () -- C:\Documents and Settings\Leszek\Dane aplikacji\Mozilla\Firefox\Profiles\tajgr85q.default\searchplugins\conduit.xml
[2011-02-12 17:57:23 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\Leszek\Dane aplikacji\Mozilla\Firefox\Profiles\tajgr85q.default\searchplugins\daemon-search.xml
[2011-05-09 18:28:23 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Leszek\Ustawienia lokalne\Dane aplikacji\Conduit
[2011-02-24 17:12:06 | 000,000,000 | ---D | M](C:\WINDOWS\System32\-?ystemroot%) -- C:\WINDOWS\System32\-ystemroot%
O2 - BHO: (IplexToALLPlayer) - {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} - File not found
SRV - File not found [Auto | Stopped] -- -- (gupdate)
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymaszlog z usuwania.

 

2. Wytwórz nowe logi z OTL + dołącz i ten z usuwania.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Log z GMER potwierdza zdjęcie sterownika SPTD, ustąpiły wszystkie hooki uprzednio widzialne w raporcie. Pozostały tylko w rejestrze zablokowane klucze SPTD, ale to statyczne odpadki, które zwykle ostają się po deinstalacji sterownika, ze względu na brak uprawnień do manipulacji na kluczach.

 

W związku z tym: nie próbuj w tym systemie instalować żadnego DAEMON Tools czy Alcohola i poddaj system obserwacji czy BSODy ustąpiły. Jeśli ekrany śmierci przestaną się pojawiać, to będzie odpowiedź = system ten nie może mieć sterownika SPTD, co równa się rezygnacji z wymienionych tu programów.

Odnośnik do komentarza
lesio111

lesio111

Opublikowano
  • Autor
Opublikowano

Witam

Zgodnie z Państwa zaleceniem wykonałem skrypt i ponowny raport OTL, co załączam.

Mam jeszcze jeden problem, może to jest drobnostka ale trochę przeszkadzająca.

Nie zawsze przy pierwszym uruchomieniu komputera zaskakuje windows. Rzecz polega na tym ze na ekranie (jest to czarny ekran), pojawia sie treśc. Ja w tej chwili nie pamietam całej ale na dole są polecenia np. Uruchom system windows lub uruchom system windows (ostatnie dobre ustawienia. Wyzej polecenia wykonaia rożnych systemów awaryjnych.

Bardzo bym prosił o pomoc w tej sprawie.

OTL.Txt

Extras.Txt

skrypt.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Problem sponsorów załatwiony - w OTL wywołaj opcję Sprzątanie. Nie wypowiadasz się nic na temat BSOD, czy od momentu usunięcia SPTD wystąpił niebieski ekran śmierci?

 

 

Mam jeszcze jeden problem, może to jest drobnostka ale trochę przeszkadzająca.

Nie zawsze przy pierwszym uruchomieniu komputera zaskakuje windows. Rzecz polega na tym ze na ekranie (jest to czarny ekran), pojawia sie treśc. Ja w tej chwili nie pamietam całej ale na dole są polecenia np. Uruchom system windows lub uruchom system windows (ostatnie dobre ustawienia. Wyzej polecenia wykonaia rożnych systemów awaryjnych.

 

Ten typ ekranu się pojawia, jeśli uprzednie zamknięcie systemu było nieprawidłowe. Tak więc o tym, czy jest to "problem" zdecyduje dopiero czas testowy po przeprowadzonych tu akcjach.

 

 

 

.

Odnośnik do komentarza
lesio111

lesio111

Opublikowano
  • Autor
Opublikowano

Po zrobieniu sprzątania i uruchomieniu ponownym komputera było wszystko dobrze do czasu jak chciałem odpalic gg i po chwili pojawił sie niebieski ekran. Tym razem było stop 0x00000077 (0xc000000e, 0xc000000e, 0x00000000, 0x03c4f000). Nie wiem co może być tego przyczyną. A co do raportu to po sprzataniu zauwazyłem że takiego nie ma. Ponowne uruchomie kompuera po wystąpieniu niebieskiego ekranu obeszło się bez komplikacji.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Niestety tam są stare i nieadekwatne do sytuacji zrzuty pamięci. Jeden minidump pochodzi sprzed miesiąca, drugi zaś sprzed dwóch dni i to jest pokłosie startu GMER.

 

 

było wszystko dobrze do czasu jak chciałem odpalic gg i po chwili pojawił sie niebieski ekran. Tym razem było stop 0x00000077 (0xc000000e, 0xc000000e, 0x00000000, 0x03c4f000). Nie wiem co może być tego przyczyną.

 

Wstępnie artykuł KB315266. Punkt 1 odpada - masz system XP SP3 (ale czy wszystkie aktualizacje wydane po SP3?). Ustęp z wirusami - nic na to nie wskazuje oceniając dostarczone wcześniej logi, a był tu zresztą format dysku. Czyli skup się na punkcie 2 - przetestowanie dysku pod kątem błędów. Nie jest tu wykluczony również problem sprzętowy (piję do przeprowadzonego formatu). Diagnostyka HDD do przeprowadzenia w MHDD.

 

Rozważam jeszcze ewentualny niepożądany wpływ pakietu Kaspersky Internet Security.

 

 

 

.

Odnośnik do komentarza
3oo

3oo

Opublikowano
Opublikowano

W dzienniku zdarzeń systemowych przewija się:

Error - 2011-05-10 12:30:14 | Computer Name = HAMAS-E28E0ABC1 | Source = Disk | ID = 262155

Description = Sterownik wykrył błąd kontrolera na \Device\Harddisk0\D.

Stąd pewno prośba o skan + s.m.a.r.t. z MHDD. I to sugerowałbym odrobić na początek.

 

Procesor? Nie sądzę... Ale moja szkalna kula może się mylić. :) Podaj więcej informacji o sprzęcie = https://www.fixitpc.pl/topic/155-zakladanie-tematu-jakie-informacje-podawac/

Kiedy komputer ostatni raz był czyszczony? Radiator procesora nie jest zabity kurzem? Wentylator na nim się kręci? Podobnie z wentylatorami karty grafiki (o ile nie jest to chłodzenie pasywne).

Sprawdź sobie programami diagnostycznymi jaką temperaturę osiąga procek. HWiNFO32, PC Wizard, SIW (obecnie płatny, ale możesz użyć starszej wersji) - możesz pobrać w wersji portable, nie będziesz musiał ich instalować. Możesz użyć programu AIDA (dawniej Everset). Przyjrzyj się też temperaturom karty grafiki.

 

Sterowniki aktualne? Pokaż screen z menedżera urządzeń jeśli występują jakieś problemy ze sterownikami...

 

Podaj też dane o zasilaczu (producent, model) - spisz dane z jego nalepki (tabliczki znamionowej) lub zapodaj fotkę.

https://www.fixitpc.pl/topic/138-zasilacze-komputerowe-garsc-informacji/

Odnośnik do komentarza
  • 4 tygodnie później...
lesio111

lesio111

Opublikowano
  • Autor
Opublikowano

Witam

Chciałbym podziękować za pomoc w rozwiązaniu problemu, ale jak się okazało dysk musiał iść do wymiany. Po wymianie dysku wszystko wróciło do normy. Ponowne kłopoty zaczęły się po podłączeniu internetu z kablówki. Już myślałem że ponownie komputer musi iść do serwisu ale okazało się że wina leży po mojej stronie. Nie powinienem wyłączać modemu z sieci, gdyż komputer zgłupiał całkowicie. Na szczęście jak na razie jest po kłopocie i mam nadzieje że już tak będzie.

Odnośnik do komentarza
  • 2 tygodnie później...
lesio111

lesio111

Opublikowano
  • Autor
Opublikowano (edytowane)

Witam

W dalszym ciągu mam kłopoty z komputerem. Pojawiają się niebieskie ekrany. Komputer jest po przeglądzie i wymianie dysku. Najciekawsze jest to że kłopoty są tylko w weekendy natomiast w tygodniu komputer pracuje dobrze i nie pojawiają sie te ekrany. Dzisiaj w przeciągu 3 godzin padał już z 4 razy, zawsze ten sam błąd stop 00000077 (0xc000000e, 0xc000000e, 0x00000000, 0x091fe000). Chciałbym zaznaczyć jeszcze że jak już się komputer zaczyna uruchamiać to dochodzi do momentu 504MB OK i otwieranie się zatrzymuje. Nie pomaga reset, dopiero wyłączenie komputera i ponowne włączenie doprowadza komputer do uruchomienia. Właśnie w trakcie pisania postu komputer ponownie padł, tym razem błąd tki stop 0000007a (0xc03e14ec, 0x000000e, 0xf853b302, 0x091a5860)i pod spodem atapi,sys address f853b302, baseat f852a000, date stamp 4802539d.

Edytowane przez picasso
Temat sklejam z poprzednim. //picasso
Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

switch48

 

Pierwszy link już był tu podawany:

 

Wstępnie artykuł KB315266. Punkt 1 odpada - masz system XP SP3 (ale czy wszystkie aktualizacje wydane po SP3?). Ustęp z wirusami - nic na to nie wskazuje oceniając dostarczone wcześniej logi, a był tu zresztą format dysku. Czyli skup się na punkcie 2 - przetestowanie dysku pod kątem błędów.

 

A finał to:

 

dysk musiał iść do wymiany. Po wymianie dysku wszystko wróciło do normy

 

 

lesio111

 

W dalszym ciągu mam kłopoty z komputerem. Pojawiają się niebieskie ekrany. Komputer jest po przeglądzie i wymianie dysku. Najciekawsze jest to że kłopoty są tylko w weekendy natomiast w tygodniu komputer pracuje dobrze i nie pojawiają sie te ekrany. Dzisiaj w przeciągu 3 godzin padał już z 4 razy, zawsze ten sam błąd stop 00000077 (0xc000000e, 0xc000000e, 0x00000000, 0x091fe000). Chciałbym zaznaczyć jeszcze że jak już się komputer zaczyna uruchamiać to dochodzi do momentu 504MB OK i otwieranie się zatrzymuje. Nie pomaga reset, dopiero wyłączenie komputera i ponowne włączenie doprowadza komputer do uruchomienia. Właśnie w trakcie pisania postu komputer ponownie padł, tym razem błąd tki stop 0000007a (0xc03e14ec, 0x000000e, 0xf853b302, 0x091a5860)i pod spodem atapi,sys address f853b302, baseat f852a000, date stamp 4802539d.

 

Skoro dysk wymieniony (co jak rozumiem jest równoważne z czystą instalacją XP) i na pewno nie władowałeś ponownie sterowników emulacji napędów DAEMON Tools / Alcohol (piję do błędu z atapi.sys), to daj pełną specyfikację sprzętu KLIK.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...