Infekcje adware, ekrany śmierci podczas skanu - logi otl

[Niemieto]

Od kilku dni firefox pracuje w agonalnym stanie a jak już otworze dwie karty to kompletnie zamarza.
Wykonałem skanowanie komputera wieloma skanerami.
ESET Online - zero infekcji
Bitdefender Online - zero infekcji
F Secure Online - zero infekcji
Panda Online - same ciasteczka
Emisoft Malware Kit - zero infekcji
MBAM - zero infekcji
Avast free antivirus 7 - zero infekcji
Dr. Web CureIt - 2 infekcje http://wklej.org/id/733968/ i powtarzający się blue screen z tego o ile dobrze pamiętam raczej podczas pełnego skanu.
A blue screen brzmiał następująco:

Sterownik przekroczył (coś tam coś tam) buforu na stosie. Jeżeli problem nie zostanie rozwiazany inne osoby mogą uzyskać dostęp do tego komputera.

nie zapamiętałem go dokładnie treści blue screena bo szybko uruchomił się komputer ale wpisałem to co zapamiętałem w google i ktoś miał tam podobny na jakies stronie. a brzmiał on podobnie

Sterownik przekroczył bufor oparty na stosie. Przekroczenie może pozwolić złośliwemu użytkownikowi na uzyskanie kontroli nad tym komputerem

Po chwili doszedłem do wniosku że miałem raczej identyczną treść blue screen podczas skanu. Jednak nie zapamiętałem kodów błędów.
Poprosiłem na pewnym innym forum o przegląd logów otla i gmera bo przeglądarka, nadal muliła i były blue screeny uniemożliwiające dokończenie skanu Dr Web'a mogą wg mnie mogłyby wskazywać na kolejne infekcje. W odpowiedzi dostałem sugestię abym dodał w zmienne środowiskowe we właściwościach komputera w zakładce Zaawansowane w sekcji Zmienne systemowe następującą zmienną:
Nazwa zmiennej:
_NT_SYMBOL_PATH
Wartość zmiennej:
srv*c:\symbols*http://msdl.microsoft.com/download/symbols
Następnie miałem pobrać debuging tools for windows i wczytać plik z rozszerzeniem DMP z lokalizacji %SystemRoot%\Minidump albo %SystemRoot%\MEMORY.DMP
Po wpisaniu/wczytaniu %SystemRoot%\Minidump i kliknieciu "otwórz" w programie wyskoczyła tylko nazwa Minidump a po wpisaniu/wczytaniu %SystemRoot%\MEMORY.DMP jakiś komunikat z pytaniem po angielsku, zaznaczyłem "yes" i wyskoczyło białe okno a komputer zamarzł. Gdy napisałem o zaistniałej sytuacji na forum expertowi który zajmował się moją sprawą. Ten mnie olał i od wczoraj nie odpisuje. Być może źle też coś wczytałem do programu debuging ale co nie tłumaczy tego że mnie olał Zatem prosze o sprawdzenie logów i przy okazji odpowiedź czy Usunąć program Debuging i zmienne wprowadzone wcześniej w właściwościach komputera. CO mam dalej robić, prosze o pomoc

Ponizsze logi wykonałem zgodnie z instrukcją na waszym forum tylko gmera dodałem na wszelki wypadek.
OTL.Txt http://wklej.org/id/733972/
Extras.Txt http://wklej.org/id/733976/
Gmer http://wklej.org/id/734018/

[wojtas]

wiem na jakim forum była prowadzona pomoc, zobaczymy może u nas się uda

co do logów nic takiego złego nie widzę..

zaznaczyłem "yes"

Na pytanie: Save information for workspace odpowiadasz no , następnie wklej zawartość na forum treść z programu

jeśli o to chodziło, ale spróbujmy od nowa wszystko:

odinstaluj cały program i powtórz akcję

z punktu 5 z tego tematu -> spróbuj dwóch programów gdy ten pierwszy zawiedzie..

jak nie będzie wychodziło spakuj i ja spróbuje

[Niemieto]

Co mam robic bo nie rozumiem.
a). zainstalować debuging, następnie: WinDbg-> file-> open sure file %SystemRoot%\Minidump czy %SystemRoot%\Minidump.DMP (prosze napisać która komenda bedzie poprawna) Jeżelio nic się nie wydarzy. Ponownie: WinDbg->file-> open sure file %SystemRoot%\MEMORY.DMP .
b) zastosować 3 metody z punktu 5 w tym linku http://www.fixitpc.pl/forum-10/announcement-4-zakladanie-tematu-pomocne-raporty-i-informacje/ Każdą po kolei, osobno, w razie nie rozwiązania problemu przez poprzednią z tychże trzech
A czy b?

[wojtas]

wszystko masz opisane w/w linku... zastosuj :

C:\WINDOWS\*.DMP (Zrzut pamięci jądra / Pełny zrzut pamięci).

potem:

!analyze -v

i treść przekleić.. oczywiście wykonując wcześniejsze instrukcje..

jeśli to się nie powiedzie spróbujemy drugą metodą.....

[Niemieto]

Wcześniejsze instrukcje - czyli najpierw wykonać konfigurację ekranu z błędem, czy mam się ogólnie zająć programem debuging w tej chwili?? Ps. Program debuging pobrałem stąd http://download.chip.eu/pl/Microsoft-Debugging-Tools-6.6_112998.html bo w linku przez pana podanym jest debuging dla windowsa 7 a mam xp I jako mały niuans dodam że nie skonfigurowałem programu jak na zrzucie bo nie było takiej mozliwosci opcji konfigurowania programu. Dobrze instalacja zakończona. Czy mam postepować z programem wg instrukcji z podanego przez pana linku?

[wojtas]

taka postępuj ) i nie na Pan wojtek jestem jakby co

[Niemieto]

czyli najpierw wykonać konfigurację ekranu z błędem, czy mam się ogólnie zająć programem debuging w tej chwili??

[wojtas]

zajmij się programem, żeby powstał log :

ja zawsze dawałem taką instrukcję dla userów: ( to dawało wynik w postaci logu, który masz przekleić, tamta instrukcja jest rozbudowana )

Pobierz to

Start - programy - Debugging Tools for Windows - WinDbg

File Open Crash Dump

Pojawia sie okienko, w którym wskazujesz plik *.dmp
Znajduje sie w windows\minidump\ (najnowszy)
Na pytanie: Save information for workspace odpowiadasz no , następnie wklej zawartość na forum treść z programu

[Niemieto]

Okej. Postaram się zrobić to jak najprędzej

Dodano Dzisiaj, 23:47:
Zrobiłem wg zaleceń ale folder minidump był pusty i kiedy kliknałem "otwórz nastąpił komunikat że nie mozna odnalexć pliku a debuging z kolei nigdzie nie pozostawił raportu. Może spróbować teraz wywołać raport postępując wg instrukcji fixitpc?

[wojtas]

ale jak nie masz żadnych plików w tych folderach??

spróbuj wykonać ale jak nie ma nic to z czego mamy zczytać błąd ?

[Niemieto]

Ok, spróbuję tą rozbudowaną instrukcję, bo póki co folder minudump był puściutki
Odnośnie kroku 2. Które symbole mam pobrać na skoro mam system xp? http://msdn.microsoft.com/pl-pl/windows/hardware/hh852360

[wojtas]

według mnie nie ma czym się przejmować . czasami zdaża się że podczas skanu jakimś programem antywirusowym zdażają się BS.. gorzej byłoby gdyby to odbywało się podczas normalnej pracy kompa

przy Bluescreenie jest robiony zrzut pamięci do dump'a więc nie wiem dlaczego jest pusty... gdy jest pusty to nawet rozbudowana funkcja nic nie da;

tam jest adnotacja :

Brak obecności plików zrzutów *.DMP, mimo prawidłowej konfiguracji systemu na zapis zrzutów, może wynikać z nieprawidłowych ustawień pliku pamięci wirtualnej. Więcej informacji:

Understanding Crash Dump Files

poczytaj tam może coś Ci pomoże...

dalej masz bluescreeny ?

Autor postu otrzymał pochwałę

[Niemieto]

Witam, mam raport z programu debuging. Co oznacza to nie wiem. Wiem tylko tyle że blue screeny pojawiają się podczas pracy dr weba tj. dzisiaj gdy wyskoczytł mi komunikat by pobrać dr weba bo jego definicja bazy wirusów jest już przestarzała bo ma 6 dni. I za każdym razem kiedy pobrałem wyskakiwał blue screen podczas skanu. Kody błędu/STOP na blue screenie był chyba raczej takie same ale na samym dole blue screenu błędny proces/sterownik (nie wiem jak to nazwać) był chyba raz inny od poprzedniego ale nie jestem pewien. Z resztą to chyba mało ważne. Ale jak będzie potrzebny kolejny raport to nie ma sprawy. A co do tych plików w minidump to podejrzewam, że mogło ich tam nie być bo czesto uzywam ccleanera.
Ale do rzeczy. Raport programu debuging (mam nadzieję że to o to chodziło)

Kod: Zaznacz wszystko

Microsoft (R) Windows Debugger  Version 6.6.0003.5
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\WINDOWS\Minidump\Mini041812-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: srv*c:\symbols*http://msdl.microsoft.com/download/symbols
Executable search path is:
Windows XP Kernel Version 2600 (Service Pack 3) UP Free x86 compatible
Product: WinNt
Built by: 2600.xpsp_sp3_gdr.111025-1629
Kernel base = 0x804d7000 PsLoadedModuleList = 0x805540c0
Debug session time: Wed Apr 18 17:41:03.125 2012 (GMT+2)
System Uptime: 0 days 0:58:59.882
Loading Kernel Symbols
......................................................................................................................
Loading User Symbols
Loading unloaded module list
...........
Unable to load image \SystemRoot\system32\drivers\dwprot.sys, Win32 error 2
*** WARNING: Unable to verify timestamp for dwprot.sys
*** ERROR: Module load completed but symbols could not be loaded for dwprot.sys
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck F7, {f87e5956, b662addf, 499d5220, 0}

Probably caused by : dwprot.sys ( dwprot+96a )

Followup: MachineOwner
---------

[wojtas]

Use !analyze -v to get detailed debugging information.

może użyj tej opcji jak znajdziesz ją da dokładniejsze info ale:

Probably caused by : dwprot.sys ( dwprot+96a )

owy plik jest plikiem od Dr Weba . więc albo posypał Ci się program, odinstaluj za pomocą:
http://www.programosy.pl/program,revo-uninstaller.html

pobierz nową wersję i ponownie zainstaluj...

jeśli dalej będzie problem, musisz zrezygnować z programu ;D

[Niemieto]

Niestety w raporcie wg twojej instrukcji opcja

Use !analyze -v to get detailed debugging information.

jest nie aktywna, nie podlinkowana w raporcie w przeciwienstwie do raportu z programu debuging na stronie fixitpc (może dlatego że pomijam klikniecie opcji Symbol file patch przed kliknieciem open crash dump?) BTW w opcjach programu debuging również nie znalazłem opcji

Use !analyze -v to get detailed debugging information

. . BTW. Zapodać kolejny raport tym razem robiony wg obszernej instrukcji ze strony fixitpc, użyć innego programu, czy wykluczyć kolejne infekcje w systemie a blue screeny przypisać dr webowi. Bo skoro jest potrzebna głebsza analiza błędów to ja mogę jeszcze spróbować użyć debuginga dla lepszych wyników wciskajac opcję Symbol file patch przed przed wcisnieciem Open crach dump ale nie wiem czy to coś da. I niuans co to są te foldery? utworzyły mi się nie wiem czemu http://naforum.zapodaj.net/830f2ce82e48.png.html

[wojtas]

wykluczyć kolejne infekcje w systemie a blue screeny przypisać dr webowi?

według mnie to jest trafne spostrzeżenie odinstaluj go całkowicie i zobacz jak system pracuje pozdro

EDIT:
program ewidentnie wskazuje na plik od Weba. więc nie ma sensu głębiej ,,szukać". gdyby to był plik systemowy to i owszem
nie znam tych folderów, ale skoro są w folderze symbols to pewnie mają pochodzenie od wcześniej używanego programu

[Niemieto]

Czyli postanowienia końcowe.. xD dr web odinstalowac progsem revo..., po sprawdzeniu logów OTL kolejne infekcje raczej można wykluczyć, a folderu symbols nie ruszać? Tylko - czy komponenty adware zostały usuniete przez dr weba i czy jego logi/raporty po deinstalacji można wywalic do kosza jakby ich nie skasował revo?

[wojtas]

Dr web wykrył niegroźne dla systemu jakieś pliki więc o nie się nie martw, system czysty

Revo skasuje całość, nawet wpisy w rejestrze jak znajdzie )

[Niemieto]

Megaa wielkie dzięki za poświęcony czas. Co prawda teraz nie było blue screena podczas skanów dr weba. Udało mu się w końcu dokonczyc pełny skan - zero infekcji. Ale po tym jak blue screeny wystrzelały zawsze podczas jego skanu a debuging w raporcie wskazał że dr web ma problem ze swoim składnikiem nie mam prawie wątpliwości że te poprzednie BS były właśnie sprawką "doctorka". Odinstaluję go i szlus. A dl cb Szacuneczek za tak poświęcony czas. Leci podziękowanie

Dodano Dzisiaj, 17:35:
Witam wiem iż już sprawa blue screenów wydaje się wyjaśniona, ale dzisiaj przeglądając wczorajszy temat (a zwłaszcza czytając mój wątek rozpoczynający temat skupiłem się na tym że sugerowano mi wcześniej na innym forum uzywajac debuging By m.in. wczytać %SystemRoot%\Minidump lub %SystemRoot%\MEMORY.DMP Wpadłem więc na jakiś taki dzisiaj pomysł aby wpisać samo memory i w zwykłe "wyszukaj" w panelu sterowania i moze znajdzie mi jakiś ukryty w systemie raport po tamtejszych próbach wczytania %SystemRoot%\Minidump lub %SystemRoot%\MEMORY.DMP i znalazło mi dokument tekstowy o nazwie "memory"
Więcej informacji
Data modyfikacji rok 2005...
Lokalizacja. C:\Program Files\Debugging Tools for Windows\winext\manifest
W folderze C:\Program Files\Debugging Tools for Windows\winext\manifest
Typ Plik H
Rozmiar 11KB

Po kliknięciu pojawił się dokument pod spodem w wynikach wyszukiwania pojawia się skrót "memory"
Data modyfikacji rok 2012 (dzisiejszego dnia, dzisiaj)
Lokalizacja C:\Program Files\Debugging Tools for Windows\winext\manifest
W folderze C:\Documents and Settings\GUCIU\Recent
Typ Skrót
Rozmiar 2KB

Link do raportu pliku H
http://wklej.org/id/735465/
Link do raportu ze skrótu
http://wklej.org/id/735467/


Proszę o odpowiedź czy to ten PEŁNY aktualny raport którego nie miałem mozliwosci wywołac opcją

Use !analyze -v to get detailed debugging information.

, jakie występują na kompie błędy wg raportu a te jak usunąć. Jesli raport nie jest jednak tym czym myslę, tym czym powinien być to ok, rozumiem

[wojtas]

nie to jest po prostu plik od tego programu. nie jest to żadne pomocny raport