Bs 0x19 na win7 - błąd procesu csrss.exe

**Posty:** 10264 · przez **Mike** 24 Lut 2013, 21:17

Witam,
Ostatnio na jednym z kompów wyrzuca BS'a 0x19 ze wskazaniem na proces systemowy: csrss.exe
Podejrzewam, że przyczyną problemu może być jakiś syf. Proszę o weryfikację loga z OTL.
System Win7 x64.

**Posty:** 4765 · przez **ordynat** 24 Lut 2013, 21:42

O4 - Startup: C:\Users\Jin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\86582e5c5207ddc25be59e4cdf4cc3d1.exe ()
O4 - Startup: C:\Users\Joka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\86582e5c5207ddc25be59e4cdf4cc3d1.exe (.Electronic Arts Inc)
O4 - HKLM..\Run: [86582e5c5207ddc25be59e4cdf4cc3d1] C:\Users\Joka\AppData\Local\Temp\WinRAR.exe (.Electronic Arts Inc)
[2013-02-24 11:18:59 | 001,946,624 | ---- | C] (.Electronic Arts Inc) -- C:\Users\Joka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\86582e5c5207ddc25be59e4cdf4cc3d1.exe
Error - 2013-02-24 10:54:02 | Computer Name = i5 | Source = Application Error | ID = 1000
Description = Nazwa aplikacji powodującej błąd: 86582e5c5207ddc25be59e4cdf4cc3d1.exe,
wersja: 1.0.0.0, sygnatura czasowa: 0x51296f3f Nazwa modułu powodującego błąd: 86582e5c5207ddc25be59e4cdf4cc3d1.exe,
wersja: 1.0.0.0, sygnatura czasowa: 0x51296f3f Kod wyjątku: 0xc0000005 Przesunięcie
błędu: 0x004ce560 Identyfikator procesu powodującego błąd: 0xce4 Godzina uruchomienia
aplikacji powodującej błąd: 0x01ce129ec660cb70 Ścieżka aplikacji powodującej błąd:
C:\Users\Joka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\86582e5c5207ddc25be59e4cdf4cc3d1.exe
Ścieżka
modułu powodującego błąd: C:\Users\Joka\AppData\Roaming\Microsoft\Windows\Start
Menu\Programs\Startup\86582e5c5207ddc25be59e4cdf4cc3d1.exe Identyfikator raportu:
06548773-7e92-11e2-9ee3-14dae9efb2e2

Znasz to?

Dla jasności:

[2013-01-29 11:14:30 | 000,000,000 | ---D | C] -- C:\Users\Joka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR
[2013-01-29 11:14:30 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR

To jest prawidłowe WINRAR

EDIT:
To chyba jest BACKDOOR >http://home.mcafee.com/virusinfo/virusprofile.aspx?key=1594179#none

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2013-02-24 11:18:59 | 001,946,624 | ---- | C] (.Electronic Arts Inc) -- C:\Users\Joka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\86582e5c5207ddc25be59e4cdf4cc3d1.exe
O4 - Startup: C:\Users\Jin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\86582e5c5207ddc25be59e4cdf4cc3d1.exe ()
O4 - Startup: C:\Users\Joka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\86582e5c5207ddc25be59e4cdf4cc3d1.exe (.Electronic Arts Inc)
O4 - HKU\S-1-5-21-306947604-2441636459-872853631-1000..\Run: [JavaUpdate] C:\Users\Joka\AppData\Local\Temp\JavaUpdate.exe File not found
O4 - HKU\S-1-5-21-306947604-2441636459-872853631-1000..\Run: [ares] "C:\Program Files (x86)\Ares\Ares.exe" -h File not found
O4 - HKU\S-1-5-21-306947604-2441636459-872853631-1000..\Run: [ALLUpdate] "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" File not found
O4 - HKU\S-1-5-21-306947604-2441636459-872853631-1000..\Run: [] C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe File not found
O4 - HKU\S-1-5-21-306947604-2441636459-872853631-1000..\Run: [86582e5c5207ddc25be59e4cdf4cc3d1] C:\Users\Joka\AppData\Local\Temp\WinRAR.exe (.Electronic Arts Inc)
O4 - HKLM..\Run: [86582e5c5207ddc25be59e4cdf4cc3d1] C:\Users\Joka\AppData\Local\Temp\WinRAR.exe (.Electronic Arts Inc)
[2012-11-17 14:09:25 | 000,003,998 | ---- | M] () -- C:\Users\Joka\AppData\Roaming\mozilla\firefox\profiles\3f7kzhxv.default\searchplugins\sweetim.xml
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://pl.search.yahoo.com/search?fr=ytff-comodo&p="
FF - prefs.js..browser.search.selectedEngine: "SweetIM Search"
FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000.10009&barid={F28976F3-30B7-11E2-9770-14DAE9EFB2E2}"
FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&barid={F28976F3-30B7-11E2-9770-14DAE9EFB2E2}&q="
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
.

.

**Posty:** 10264 · przez **Mike** 24 Lut 2013, 22:58

Był problem z wygenerowaniem loga (wywalało BSy). Udało sie z trybu awaryjnego. Ale wygenerowany log jest jakiś dziwny.
Oto log:

Kod: Zaznacz wszystko: All processes killed ========== OTL ========== File C:\Users\Joka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\86582e5c5207ddc25be59e4cdf4cc3d1.exe not found. File C:\Users\Jin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\86582e5c5207ddc25be59e4cdf4cc3d1.exe not found. File C:\Users\Joka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\86582e5c5207ddc25be59e4cdf4cc3d1.exe not found. Registry value HKEY_USERS\S-1-5-21-306947604-2441636459-872853631-1000\Software\Microsoft\Windows\CurrentVersion\Run\\JavaUpdate not found. Registry value HKEY_USERS\S-1-5-21-306947604-2441636459-872853631-1000\Software\Microsoft\Windows\CurrentVersion\Run\\ares not found. Registry value HKEY_USERS\S-1-5-21-306947604-2441636459-872853631-1000\Software\Microsoft\Windows\CurrentVersion\Run\\ALLUpdate not found. Registry value HKEY_USERS\S-1-5-21-306947604-2441636459-872853631-1000\Software\Microsoft\Windows\CurrentVersion\Run\\ not found. Registry value HKEY_USERS\S-1-5-21-306947604-2441636459-872853631-1000\Software\Microsoft\Windows\CurrentVersion\Run\\86582e5c5207ddc25be59e4cdf4cc3d1 not found. File C:\Users\Joka\AppData\Local\Temp\WinRAR.exe not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\86582e5c5207ddc25be59e4cdf4cc3d1 not found. File C:\Users\Joka\AppData\Local\Temp\WinRAR.exe not found. File C:\Users\Joka\AppData\Roaming\mozilla\firefox\profiles\3f7kzhxv.default\searchplugins\sweetim.xml not found. Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=\ not found. Prefs.js: "http://pl.search.yahoo.com/search?fr=ytff-comodo&p=" removed from sweetim.toolbar.previous.keyword.URL Prefs.js: "SweetIM Search" removed from browser.search.selectedEngine Prefs.js: "http://home.sweetim.com/?crg=3.1010000.10009&barid={F28976F3-30B7-11E2-9770-14DAE9EFB2E2}" removed from browser.startup.homepage Prefs.js: "http://search.sweetim.com/search.asp?src=2&barid={F28976F3-30B7-11E2-9770-14DAE9EFB2E2}&q=" removed from keyword.URL Prefs.js: "SweetIM Search" removed from browser.search.defaultenginename ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: beata ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Jin ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Joka ->Temp folder emptied: 757 bytes ->Temporary Internet Files folder emptied: 139042 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 434 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 0,00 mb OTL by OldTimer - Version 3.2.69.0 log created on 02242013_214736 Files\Folders moved on Reboot... File move failed. C:\Users\Joka\AppData\Local\Temp\FXSAPIDebugLogFile.txt scheduled to be moved on reboot. PendingFileRenameOperations files... Registry entries deleted on Reboot...

ordynat napisał(a):Znasz to?

To jest jakiś syf. Nie wiem co to jest. Dodam, że w dumpie też wskazywało problem z WinRAR.

**Posty:** 4765 · przez **ordynat** 24 Lut 2013, 23:06

zobaczymy w nowym logu, czy to zniknęło

**Posty:** 10264 · przez **Mike** 25 Lut 2013, 00:00

Załączam nowe logi

**Posty:** 4765 · przez **ordynat** 25 Lut 2013, 00:14

Znikło, więc jest OK.
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
.

Autor postu otrzymał pochwałę

**Posty:** 10264 · przez **Mike** 25 Lut 2013, 10:04

Dzięki ordynat.

Kto jest na forum