Obywatelpw Opublikowano 6 Czerwca 2012 Zgłoś Udostępnij Opublikowano 6 Czerwca 2012 Witam. Mam taki problem. Kiedy uruchamiam komputer pojawia mi się komunikat o błędzie services.exe, aplikacja zostanie zamknięta. Pojawia się możliwość wysłania raportu o błędzie i tak prawie za każdym razem, gdy uruchamiam komputer. Zdarza się też, że komputer się samoczynnie restartuje. Nie wiem czy to jakieś paskudztwo siedzi w systemie, czy też może jest to coś innego, dlatego bardzo proszę o pomoc. Załączam wymagane logi Otl http://www.wklej.org/id/768148/ Otl Extras http://www.wklej.org/id/768158/ Gmer skrócona http://www.wklej.org/id/768160/ Gmer pełna http://www.wklej.org/id/768161/ Przepraszam, że logi zostały zamieszczone tak, a nie inaczej, ale mój screen reader nie daje mi możliwości, aby logi umieścić w zalecany sposób, bądź też ja go nie umiem do tego zmusić. Dodam jeszcze, że miałem problem ze zrobieniem logów z Gmera. Komputer kilkukrotnie się restartował. Gorąco pozdrawiam Odnośnik do komentarza
picasso Opublikowano 6 Czerwca 2012 Zgłoś Udostępnij Opublikowano 6 Czerwca 2012 Kiedy uruchamiam komputer pojawia mi się komunikat o błędzie services.exe, aplikacja zostanie zamknięta. Pojawia się możliwość wysłania raportu o błędzie i tak prawie za każdym razem, gdy uruchamiam komputer. Zdarza się też, że komputer się samoczynnie restartuje. Nie wiem czy to jakieś paskudztwo siedzi w systemie, czy też może jest to coś innego, dlatego bardzo proszę o pomoc. W logach tu dostarczonych nic nie widać, ale nowością na scenie jest infekcja ZeroAccess modyfikująca plik services.exe. Twoje objawy mogą ją sugerować. Podaj skan na sumy kontrolne pliku services.exe. Uruchom SystemLook, do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. . Odnośnik do komentarza
Obywatelpw Opublikowano 7 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Czerwca 2012 Log z Systemlooka: http://www.wklej.org/id/768286/ Mam jeszcze dodatkowe pytania. Czy jeśli jest to infekcja zeroaccess to zagrożone są moje loginy i hasła np. do serwisów bankowości elektronicznej? Może w takim przypadku najlepiej wrzucić wszystko pod topór i zrobić format z usunięciem partycji? Czy mogły zostać zainfekowane nośniki zewnętrzne np. mój dysk zewnętrzny czy pendrive? Czy mogłem to rozsyłać w mailach np. do znajomych? Dziękuję i pozdrawiam. Odnośnik do komentarza
picasso Opublikowano 7 Czerwca 2012 Zgłoś Udostępnij Opublikowano 7 Czerwca 2012 Temat przenoszę do działu Windows XP. Obywatelpw skanowanie w OTL nie wykazuje, by tu była ta infekcja. Plik services.exe ma zgodną sumę kontrolną z fabrycznym plikiem, a że ZeroAccess w tym wariancie nie działa jak rootkit i nie ukrywa danych, odczyt można uznać za wiarygodny. Ogólnie rzecz biorąc nie ma tu żadnych wykrytych śladów infekcji. Tak więc nasuwa się, że jest tu całkowicie inny problem. I wygląda on na sprzętowy, gdyż w Dzienniku zdarzeń jest conajmniej jeden błąd z tego obszaru (karta graficzna): Error - 2012-05-31 08:45:22 | Computer Name = DOM-AD528B18BCC | Source = nv | ID = 262252Description = Sterownik gwmvid dla display urządzenia \Device\Video0 jest zablokowany przez pętlę nieskończoną. To wskazuje zwykle na problem z samym urządzeniem lub z jego sterownikiem niepoprawnie programującym urządzenie. Sprawdź, czy u dostawcysprzętu są dostępne aktualizacje sterowników. Notujesz też autoresety, korespondujący błąd z Dziennika zdarzeń: Error - 2012-06-06 07:02:19 | Computer Name = DOM-AD528B18BCC | Source = System Error | ID = 1003Description = Kod błędu 100000ea, parametr 1 89959b08, parametr 2 89cf8e58, parametr 3 f78c6cbc, parametr 4 00000001. Ten kod błędu pasuje do artykułu, który także kręci się wokół grafiki: KB293078. Do wykonania punkt 5 z ogłoszenia: KLIK. W skrócie: o ile folder C:\Windows\Minidump nie jest pusty, skopiuj go na Pulpit, zzipuj > na hosting > podeślij tu do analizy. I czy dobrze mi się wydaje, że Ty już wcześniej na forum zgłaszałeś incydenty z restartami systemu? Może to co jest teraz to już apogeum symptomów notowanych wcześniej. . Odnośnik do komentarza
Obywatelpw Opublikowano 7 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Czerwca 2012 Wielkie dzięki za pomoc. Zapewne jak zwykle masz rację. Wcześniej faktycznie pisałem o problemach z którąś z usług - Generic host. Do mojej karty są dostępne nowe sterowniki, ale póki wszystko działało nie chciałem tego ruszać. Korzystam ze screen readera, który do działania potrzebuje karty graficznej i obawiałem się związanych z tym problemów. Teraz najprawdopodobniej czeka mnie aktualizacja sterownika. Zastosuję się do podanej przez Ciebie instrukcji. Jeszcze raz bardzo Ci dziękuję. Link do Minidump https://hotfile.com/dl/159091427/5cef0a1/Minidump.zip.html Odnośnik do komentarza
picasso Opublikowano 8 Czerwca 2012 Zgłoś Udostępnij Opublikowano 8 Czerwca 2012 W tych plikach DMP jest miks danych: 1. Są owszem nagrania z czerwca, ale kod BSOD nie odpowiada temu co cytowałam z Dziennika zdarzeń. Przykładowy odczyt: Mini060612-02.dmp 2012-06-06 13:59:30 KERNEL_MODE_EXCEPTION_NOT_HANDLED 0x1000008e 0xc0000005 0x00009fc4 0xb1cf8ac4 0x00000000 win32k.sys win32k.sys+35e7c Microsoft ® Windows Debugger Version 6.12.0002.633 X86Copyright © Microsoft Corporation. All rights reserved. Loading Dump File [D:\DMP\Obywatel\Minidump\Mini060612-02.dmp]Mini Kernel Dump File: Only registers and stack trace are available Symbol search path is: SRV*D:\Symbols*http://msdl.microsoft.com/download/symbolsExecutable search path is: Windows XP Kernel Version 2600 (Service Pack 3) MP (2 procs) Free x86 compatibleProduct: WinNt, suite: TerminalServer SingleUserTS PersonalBuilt by: 2600.xpsp_sp3_gdr.120411-1615Machine Name:Kernel base = 0x804d7000 PsLoadedModuleList = 0x805634c0Debug session time: Wed Jun 6 13:58:34.187 2012 (UTC + 2:00)System Uptime: 0 days 0:10:38.906Loading Kernel Symbols..............................................................................................................................................Loading User SymbolsLoading unloaded module list..........******************************************************************************** ** Bugcheck Analysis ** ******************************************************************************** Use !analyze -v to get detailed debugging information. BugCheck 1000008E, {c0000005, 9fc4, b1cf8ac4, 0} Unable to load image SYMEVENT.SYS, Win32 error 0n2*** WARNING: Unable to verify timestamp for SYMEVENT.SYS*** ERROR: Module load completed but symbols could not be loaded for SYMEVENT.SYSProbably caused by : SYMEVENT.SYS ( SYMEVENT+1710f ) Followup: MachineOwner--------- 1: kd> !analyze -v******************************************************************************** ** Bugcheck Analysis ** ******************************************************************************** KERNEL_MODE_EXCEPTION_NOT_HANDLED_M (1000008e)This is a very common bugcheck. Usually the exception address pinpointsthe driver/function that caused the problem. Always note this addressas well as the link date of the driver/image that contains this address.Some common problems are exception code 0x80000003. This means a hardcoded breakpoint or assertion was hit, but this system was booted/NODEBUG. This is not supposed to happen as developers should never havehardcoded breakpoints in retail code, but ...If this happens, make sure a debugger gets connected, and thesystem is booted /DEBUG. This will let us see why this breakpoint ishappening.Arguments:Arg1: c0000005, The exception code that was not handledArg2: 00009fc4, The address that the exception occurred atArg3: b1cf8ac4, Trap FrameArg4: 00000000 Debugging Details:------------------ EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - Instrukcja spod 0x%08lx odwo FAULTING_IP: +fc00009fc4 ?? ??? TRAP_FRAME: b1cf8ac4 -- (.trap 0xffffffffb1cf8ac4)ErrCode = 00000000eax=00000000 ebx=00000000 ecx=00000000 edx=00000000 esi=e3ece4c0 edi=00000240eip=00009fc4 esp=b1cf8b38 ebp=b1cf8b58 iopl=0 nv up ei ng nz na pe cycs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=0001028700009fc4 ?? ???Resetting default scope CUSTOMER_CRASH_COUNT: 2 DEFAULT_BUCKET_ID: DRIVER_FAULT BUGCHECK_STR: 0x8E PROCESS_NAME: bh7cnpod.exe LAST_CONTROL_TRANSFER: from e3ece4c0 to 00009fc4 STACK_TEXT: WARNING: Frame IP not in any known module. Following frames may be wrong.b1cf8b34 e3ece4c0 00000000 e39ab210 b1cf8bc0 0x9fc4b1cf8b58 bf835e7c 00000200 00000000 00000000 0xe3ece4c0b1cf8bf4 bf814197 bbe8e358 00001004 00000000 win32k!xxxInterSendMsgEx+0x7f6b1cf8c40 bf898399 bbe8e358 00001004 00000000 win32k!xxxSendMessageTimeout+0x11fb1cf8c64 bf80eee0 bbe8e358 00001004 00000000 win32k!xxxWrapSendMessage+0x1bb1cf8c94 b6d2e10f 000204a8 00001004 00000000 win32k!NtUserMessageCall+0x8ab1cf8d40 804dd99f 000204a8 00001004 00000000 SYMEVENT+0x1710fb1cf8d40 013dca80 000204a8 00001004 00000000 nt!KiFastCallEntry+0xfc03688410 00000000 00000000 00000000 00000000 0x13dca80 STACK_COMMAND: kb FOLLOWUP_IP: SYMEVENT+1710fb6d2e10f ?? ??? SYMBOL_STACK_INDEX: 6 SYMBOL_NAME: SYMEVENT+1710f FOLLOWUP_NAME: MachineOwner MODULE_NAME: SYMEVENT IMAGE_NAME: SYMEVENT.SYS DEBUG_FLR_IMAGE_TIMESTAMP: 4f1dad9c FAILURE_BUCKET_ID: 0x8E_SYMEVENT+1710f BUCKET_ID: 0x8E_SYMEVENT+1710f Followup: MachineOwner W stacku figuruje sterownik Symantec (ewentualnie mógłby tu dodatkowo bruździć), ale istotna rzecz to "PROCESS_NAME: bh7cnpod.exe" = to jest GMER. Ten odczyt pasuje więc do wspominanej przez Ciebie wywałki GMER i tu nie liczymy go. 2. Brak nagrania z czerwca dopasowanego do odczytu z Dziennika zdarzeń, są minidumpy z innego okresu (w tym jeden z końca maja), które notabene również wykazują jako przyczynę sterowniki graficzne: Mini033112-01.dmp 2012-03-31 10:07:32 THREAD_STUCK_IN_DEVICE_DRIVER 0x100000ea 0x89c72830 0x89c86b18 0xf78cacbc 0x00000001 nv4_mini.sys nv4_mini.sys+37d48 Podsumowując, Dzienniki zdarzeń już dostatecznie dużo powiedziały, tzn. kontekst sterowników graficznych conajmniej (urządzenie jako takie też może stanowić problem). Korespondujący artykuł Microsoftu podałam. Kierunek wstępny nakreślony: aktualizacja sterowników grafiki. . Odnośnik do komentarza
Obywatelpw Opublikowano 8 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Czerwca 2012 Jeszcze raz dziękuję za pomoc. Nigdy nie będzie za wiele. Artykuł Microsoftu, do którego link podałaś przeczytałem. Twoje ostatnie uwagi również. No nic, trzeba będzie spróbować z aktualizacją sterownika. Gorąco pozdrawiam Odnośnik do komentarza
Obywatelpw Opublikowano 9 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Aktualizacja sterownika niczego nie pogorszyła, ale też nic nie poprawiła. Nadal ten sam błąd. Przez chwilę już myślałem, że jest lepiej, ale moja radość była przedwczesna. Jest coś jeszcze dziwnego, co jakiś czas uruchamia się ni z gruszki ni z pietruszki Norton autofix. Nie wiem co on tam chce fixować, za to wiem, że jeszcze trochę i ja sfiksuję. W artykule Microsoftu piszą, że można próbować coś pokombinować z ustawieniami grafiki, jednak mocno wątpię, czy to coś pomoże, skoro aktualizacja sterownika nic nie dała. Gdybym miał pewność, że wymiana grafiki załatwi sprawę to można by jeszcze spróbować. Jeśli ten problem będzie narastać to skończy się zapewne na wymianie całego komputera. Dzięki i pozdrawiam Odnośnik do komentarza
picasso Opublikowano 9 Czerwca 2012 Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Aktualizacja sterownika niczego nie pogorszyła, ale też nic nie poprawiła. Mówiłeś: Korzystam ze screen readera, który do działania potrzebuje karty graficznej i obawiałem się związanych z tym problemów. Nie zwróciłam na to wcześniej uwagi. Problem może być niestety w Twoim screen-readerze. W Dzienniku zdarzeń urządzenie video, które wpada w pętlę, to "Sterownik gwmvid", czyli sterownik Twojego screen-readera. Zainstalowana wersja Window-Eyes to: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{BDE776E5-1549-4E8A-B5F3-34FCD13ED37A}" = Window-Eyes PL 7.5.4.1 Niestety z tego co widzę Window-Eyes 7.5.4.1 to najnowsza dostępna wersja na stronie producenta, nie ma czego aktualizować. Jest coś jeszcze dziwnego, co jakiś czas uruchamia się ni z gruszki ni z pietruszki Norton autofix. Nie wiem co on tam chce fixować, za to wiem, że jeszcze trochę i ja sfiksuję. Przedstaw mi na obrazku o co chodzi. . Odnośnik do komentarza
Obywatelpw Opublikowano 10 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2012 Witam, Faktycznie Window-eyes musiał to doinstalować. Wydaje mi się, że w poprzednich wersjach sterownika GWMvid nie było, bądź też nie sprawiał on kłopotów. Dziękuję Ci bardzo za zwrócenie uwagi na ten problem. Koniecznie muszę to im zgłosić. Jak słusznie zauważyłaś jest to najnowsza wersja i na razie nie ma czego aktualizować, ale może w Gwmicro coś z tym zrobią. Jeśli chodzi o Nortona to co jakiś czas pojawia się komunikat Norton autofix. Z tego co się zdążyłem zorientować dotyczył on usługi Liveupdate. Zdarza się, że problem z tym komunikatem występował podczas skanowania, a ostatnio podczas przeglądania internetu nagle wyskoczyło okienko Nortona z tym komunikatem. Dziękuję bardzo za wszelkie cenne wskazówki i gorąco pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się