luko80 utworzono 19 sierpnia 2010 utworzono 19 sierpnia 2010 (edytowane) Witam serdecznie, i mnie to dopadło. Wczoraj 2 razy, w odstępie 1, może 1,5 godziny.. Dodam, że nie instalowałem nic nowego.. Poniżej przedstawiam zrzuty z programu WinDebugger: BSOD #1 [spoiler]Loading Dump File [C:\Users\Lucas\Desktop\Minidump\Mini081810-01.dmp] Mini Kernel Dump File: Only registers and stack trace are available Symbol search path is: SRV*c:\symbols*http://msdl.microsoft.com/download/symbols Executable search path is: Windows Server 2008/Windows Vista Kernel Version 6002 (Service Pack 2) MP (2 procs) Free x64 Product: WinNt, suite: TerminalServer SingleUserTS Personal Built by: 6002.18267.amd64fre.vistasp2_gdr.100608-0458 Machine Name: Kernel base = 0xfffff800`0281f000 PsLoadedModuleList = 0xfffff800`029e3dd0 Debug session time: Wed Aug 18 17:42:12.279 2010 (GMT+2) System Uptime: 0 days 0:06:25.003 Loading Kernel Symbols ............................................................... Loading User Symbols Loading unloaded module list .... ******************************************************************************* * Bugcheck Analysis * ******************************************************************************* Use !analyze -v to get detailed debugging information. BugCheck F4, {3, fffffa80066ed040, fffffa80066ed278, fffff80002afd4b0} Probably caused by : csrss.exe Followup: MachineOwner --------- 1: kd> !analyze -v ******************************************************************************* * Bugcheck Analysis * ******************************************************************************* CRITICAL_OBJECT_TERMINATION (f4) A process or thread crucial to system operation has unexpectedly exited or been terminated. Several processes and threads are necessary for the operation of the system; when they are terminated (for any reason), the system can no longer function. Arguments: Arg1: 0000000000000003, Process Arg2: fffffa80066ed040, Terminating object Arg3: fffffa80066ed278, Process image file name Arg4: fffff80002afd4b0, Explanatory message (ascii) Debugging Details: ------------------ KERNEL_LOG_EXIT_STATUS: Exit Status 7D33 KERNEL_LOG_FAILING_PROCESS: Sf.bin PROCESS_OBJECT: fffffa80066ed040 IMAGE_NAME: csrss.exe DEBUG_FLR_IMAGE_TIMESTAMP: 0 MODULE_NAME: csrss FAULTING_MODULE: 0000000000000000 PROCESS_NAME: csrss.exe EXCEPTION_CODE: (Win32) 0x8011bb0 (134290352) - <Unable to get error code text> BUGCHECK_STR: 0xF4_8011BB0 CUSTOMER_CRASH_COUNT: 1 DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT CURRENT_IRQL: 0 STACK_TEXT: fffffa60`06eccb28 fffff800`02b78083 : 00000000`000000f4 00000000`00000003 fffffa80`066ed040 fffffa80`066ed278 : nt!KeBugCheckEx fffffa60`06eccb30 fffff800`02a92438 : fffffa80`08011bb0 fffffa80`08011bb0 00000000`0703f790 00000000`000066ef : nt!PspCatchCriticalBreak+0x93 fffffa60`06eccb70 fffff800`02ac5b60 : fffffa80`08011bb0 00000000`00000008 00000000`0703f790 00000000`00000008 : nt! ?? ::NNGAKEGL::`string'+0x11286 fffffa60`06eccbc0 fffff800`02878f73 : fffffa80`066ed040 fffffa80`08011bb0 fffffa60`06eccca0 00000000`0703f790 : nt!NtTerminateProcess+0xd8 fffffa60`06eccc20 00000000`76ef6fda : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13 00000000`0703dc28 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x76ef6fda STACK_COMMAND: kb FOLLOWUP_NAME: MachineOwner FAILURE_BUCKET_ID: X64_0xF4_8011BB0_IMAGE_csrss.exe BUCKET_ID: X64_0xF4_8011BB0_IMAGE_csrss.exe Followup: MachineOwner ---------[/spoiler] [b]i nieco później BSOD #2:[/b] [spoiler]Loading Dump File [C:\Users\Lucas\Desktop\Minidump\Mini081810-02.dmp] Mini Kernel Dump File: Only registers and stack trace are available Symbol search path is: SRV*c:\symbols*http://msdl.microsoft.com/download/symbols Executable search path is: Windows Server 2008/Windows Vista Kernel Version 6002 (Service Pack 2) MP (2 procs) Free x64 Product: WinNt, suite: TerminalServer SingleUserTS Personal Built by: 6002.18267.amd64fre.vistasp2_gdr.100608-0458 Machine Name: Kernel base = 0xfffff800`02819000 PsLoadedModuleList = 0xfffff800`029dddd0 Debug session time: Wed Aug 18 19:39:56.976 2010 (GMT+2) System Uptime: 0 days 1:56:49.139 Loading Kernel Symbols ............................................................... Loading User Symbols Loading unloaded module list .... ******************************************************************************* * Bugcheck Analysis * ******************************************************************************* Use !analyze -v to get detailed debugging information. BugCheck C2, {7, 110b, 2d0005, fffffa80239cd660} GetPointerFromAddress: unable to read from fffff80002a40080 Probably caused by : NETIO.SYS ( NETIO!NetioDereferenceNetBufferListChain+137 ) Followup: MachineOwner --------- 0: kd> !analyze -v ******************************************************************************* * Bugcheck Analysis * ******************************************************************************* BAD_POOL_CALLER (c2) The current thread is making a bad pool request. Typically this is at a bad IRQL level or double freeing the same allocation, etc. Arguments: Arg1: 0000000000000007, Attempt to free pool which was already freed Arg2: 000000000000110b, (reserved) Arg3: 00000000002d0005, Memory contents of the pool block Arg4: fffffa80239cd660, Address of the block of pool being deallocated Debugging Details: ------------------ POOL_ADDRESS: fffffa80239cd660 FREED_POOL_TAG: TNbl BUGCHECK_STR: 0xc2_7_TNbl CUSTOMER_CRASH_COUNT: 2 DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT PROCESS_NAME: System CURRENT_IRQL: 2 LAST_CONTROL_TRANSFER: from fffff8000294c3a5 to fffff800028734d0 STACK_TEXT: fffffa60`017d97f8 fffff800`0294c3a5 : 00000000`000000c2 00000000`00000007 00000000`0000110b 00000000`002d0005 : nt!KeBugCheckEx fffffa60`017d9800 fffffa60`00e60109 : 00000000`00000000 fffffa80`239cd680 fffffa80`4656d300 fffffa60`00e567d9 : nt!ExFreePool+0x48a fffffa60`017d98b0 fffffa60`00b648e7 : fffffa80`049c8c80 00000000`00000001 00000000`00000001 fffffa60`00e6b7f1 : tcpip!TcpSendDatagramsComplete+0x99 fffffa60`017d98f0 fffffa60`00e6ebff : fffffa60`017d9900 00000000`00001701 00000000`000018c5 fffffa60`00e56234 : NETIO!NetioDereferenceNetBufferListChain+0x137 fffffa60`017d99b0 fffffa60`00e46e7d : fffffa80`04a21700 fffffa60`00000000 fffffa60`017d9c00 fffffa80`06a1fe40 : tcpip!TcpFlushDelay+0x15f fffffa60`017d9a70 fffffa60`00e46f29 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : tcpip!IppDeliverListToProtocol+0x4d fffffa60`017d9b30 fffffa60`00e46533 : fffffa60`00f40050 fffffa80`04a42080 00000000`00000000 fffffa60`017d9bf0 : tcpip!IppProcessDeliverList+0x59 fffffa60`017d9ba0 fffffa60`00e352d2 : fffffa60`005ec180 00000000`00000000 00000000`00000000 fffff800`02acfa7c : tcpip!IppReceiveHeaderBatch+0x223 fffffa60`017d9c80 fffff800`02ad4063 : fffffa80`048ea040 fffff800`029aa8f8 fffffa80`039ba040 fffffa80`04a24420 : tcpip!IppLoopbackTransmit+0x72 fffffa60`017d9cc0 fffff800`0287a8c3 : fffff800`02acfa7c fffff800`029aa801 fffffa80`039ba000 00000000`00000000 : nt!IopProcessWorkItem+0x27 fffffa60`017d9cf0 fffff800`02a7df57 : fffffa80`04a24420 ffffffff`ffffffff fffffa80`039ba040 00000000`00000080 : nt!ExpWorkerThread+0xfb fffffa60`017d9d50 fffff800`028b0656 : fffffa60`005ec180 fffffa80`039ba040 fffffa60`005f5d40 fffffa80`039bb818 : nt!PspSystemThreadStartup+0x57 fffffa60`017d9d80 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiStartSystemThread+0x16 STACK_COMMAND: kb FOLLOWUP_IP: NETIO!NetioDereferenceNetBufferListChain+137 fffffa60`00b648e7 4c8bb42480000000 mov r14,qword ptr [rsp+80h] SYMBOL_STACK_INDEX: 3 SYMBOL_NAME: NETIO!NetioDereferenceNetBufferListChain+137 FOLLOWUP_NAME: MachineOwner MODULE_NAME: NETIO IMAGE_NAME: NETIO.SYS DEBUG_FLR_IMAGE_TIMESTAMP: 49e02e06 FAILURE_BUCKET_ID: X64_0xc2_7_TNbl_NETIO!NetioDereferenceNetBufferListChain+137 BUCKET_ID: X64_0xc2_7_TNbl_NETIO!NetioDereferenceNetBufferListChain+137 Followup: MachineOwner ---------[/spoiler] Nie wiem szczerze mówiąc, czy obydwa błędy są jakoś ze sobą powiązane.. Dodam, że mam Vistę 64..i zauważyłem, ze obydwa BSODy pojawiły się, gdy uruchomiony był program VRoute (fani MS Flight Simulator znają zapewne tę aplikację.. generalnie program służy do planowania lotu, ma połączenie z Internetem). Niemniej jednak używam ten soft od kilku m-cy i nie było takich problemów. Dodam jeszcze, że przeskanowałem komputer Avastem free (po aktualizacji definicji) oraz SpyBootem (również po aktualizacji definicji). Co do BSOD 1 - tam podejrzany jest plik csrss.exe - gdzieś czytałem w sieci, że może to oznaczać trojana i generalnie ten plik powinien znajdować się tylko w katalogu Windows\System32. U mnie jest jeszcze w katalogach: C:\Windows\winsxs\amd64_microsoft-windows-csrss_31bf3856ad364e35_6.0.6001.18000_none_b5027f5b9c731f82 oraz C:\Windows\winsxs\amd64_microsoft-windows-csrss_31bf3856ad364e35_6.0.6000.16386_none_b2cbbd5f9f880eae Aha, w Procesach, mam dwa razy uruchomiony proces csrss. Od czego zacząć? PS. Wczoraj zmieniłem przy okazji sterowniki karty graficznej (Radeon HD 4870 na wersję 10.5; wcześniej 10.3) PS2. Jeszcze kilka słów o sprzęcie: Płyta MSI P35 Neo II fir, 2x2GM RAM Corsair, grafika j.w., Intel E6750 delikatnie podkręcony do ok. 3GHz, 2 dyski Samsunga (ale nie w RAID), zasilacz Corsair 520 (lub 560 nie pamiętam) Wat. OS: Vista64 + Sp1, 2 (oryg. OEM) Pozdrawiam, Łukasz
ziomal166 komentarz 19 sierpnia 2010 komentarz 19 sierpnia 2010 Wpierw zaczniemy od sprawdzenia czy komputer zawiera jakieś syfy. Umieść log z OTL: http://www.forumpc.pl/index.php?showtopic=104338
luko80 komentarz 19 sierpnia 2010 Autor komentarz 19 sierpnia 2010 (edytowane) Dzięki za chęć pomocy!! Zanim wkleję log, dodam, że dziś przeskanowałem dysk C mks_online (wywalił jakiegoś 1 trojana) a teraz leci Panda skaner online i przy 30% mam 5 zainfekowanych i 1 podejrzany plik (niestety nie wiem jakie, bo nie ma żadnego podglądu, pewnie na koniec coś się wyświetli). OTL log w załączeniu.
ziomal166 komentarz 19 sierpnia 2010 komentarz 19 sierpnia 2010 (edytowane) W logu nic nie znalazłem, lecz może ktoś inny coś znajdzie. Jak skończy się skanowanie to podaj jakie ci pliki wykrył, lecz mi się wydaje, że to będą pliki od ComoboFixa.
raazor90 komentarz 19 sierpnia 2010 komentarz 19 sierpnia 2010 [quote]Probably caused by : csrss.exe[/quote] Przyczyną jest infekcja, temat przeniosę do Bezpieczeństwa gdzie logi sprawdzą nasi fachowcy [quote]Probably caused by : NETIO.SYS ( NETIO!NetioDereferenceNetBufferListChain+137 )[/quote] Zainstaluj tą łatkę: http://thehotfixshare.net/board/index.php?showtopic=6400
luko80 komentarz 19 sierpnia 2010 Autor komentarz 19 sierpnia 2010 [quote="raazor90"]Zainstaluj tą łatkę: http://thehotfixshar...?showtopic=6400 [/quote] Mam komunikat, że ta aktualizacja nie ma zastosowania to tego systemu. PS. Panda jest dopiero na 46% - już 10 zainfekowanych i 2 podejrzane. PS. Czy ten skaner również naprawia/usuwa infekcje, czy tylko je wykazuje?
luko80 komentarz 19 sierpnia 2010 Autor komentarz 19 sierpnia 2010 (edytowane) Nie wiem jak usuwa.. u mnie tylko jest możliwość wyeksportowania wyników do txt. Wykrył kilkanaście zainfekowanych plików, które spokojnie mogę usunąć ręcznie.. cały czas podejrzewam tego csrss i nie wiem jak to usunąć.. tzn. nie próbowałem jeszcze ręcznie, więc może spróbuję, tylko pewnie najpierw muszę zakończyć któryś z dwóch uruchomionych procesów csrss..? Przypomnę, że csrss.exe, oprócz katalogu System32 mam jeszcze w dwóch miejscach (vide pierwszy post)
Tomek01 komentarz 19 sierpnia 2010 komentarz 19 sierpnia 2010 Do [url=http://images.malwareremoval.com/jpshortstuff/SystemLook.exe][b]System Look[/b][/url] wklej: [code]:file csrss.exe :reg csrss.exe [/code] Wciśnij look, pokaż co wyskoczy.
luko80 komentarz 19 sierpnia 2010 Autor komentarz 19 sierpnia 2010 SystemLook v1.0 by jpshortstuff (11.01.10) Log created at 21:50 on 19/08/2010 by Lucas (Administrator - Elevation successful) ========== file ========== csrss.exe - Unable to find/read file. ========== reg ========== [csrss.exe] Hive unrecognized. -=End Of File=-
Tomek01 komentarz 19 sierpnia 2010 komentarz 19 sierpnia 2010 To teraz: [code]:filefind csrss.exe[/code] look...
luko80 komentarz 20 sierpnia 2010 Autor komentarz 20 sierpnia 2010 (edytowane) ========== filefind ========== Searching for "csrss.exe" C:\Windows\winsxs\amd64_microsoft-windows-csrss_31bf3856ad364e35_6.0.6000.16386_none_b2cbbd5f9f880eae\csrss.exe --a--- 7680 bytes [09:05 02/11/2006] [11:15 02/11/2006] 2C1B6476C4E84B885A54B7C6CDE7DC97 C:\Windows\winsxs\amd64_microsoft-windows-csrss_31bf3856ad364e35_6.0.6001.18000_none_b5027f5b9c731f82\csrss.exe --a--- 7680 bytes [20:56 01/04/2010] [22:00 18/01/2008] B4ABE68596B173FF2AB2076BC7C35EB4 -=End Of File=- ..macie jakiś pomysł co dalej z tym fantem? Ja jeszcze dodam ze swojej strony, że próbowałem odpalić Combofixa w trybie awaryjnym (ktoś mi tak zasugerował), ale niestety pod Vistą64 to nie działa.
Tomek01 komentarz 22 sierpnia 2010 komentarz 22 sierpnia 2010 I dobrze, że nie udało Ci się użyć Combofix'a. Nie jest to zgodne z regulaminem i radzę sobie na ten temat poczytać. Jeśli ktoś ma system pod Vistą i SP2 proszę o wykonanie #11 i wklejenie na forum w celu porównania.
luko80 komentarz 22 sierpnia 2010 Autor komentarz 22 sierpnia 2010 Z tym Combofixem to było tak, że polecił mi go odpalić mój znajomy, bo twierdził, że usunął tym kiedyś podobną zarazę .. zasugerowany tym, uczyniłem to, ale jak piszę wyżej - nie zadziałał.. a punkt z nagłówka tego działu niestety mi umknął Tomek, a co oznacza wykonanie #11?
Tomek01 komentarz 23 sierpnia 2010 komentarz 23 sierpnia 2010 Csrss.exe jest czysty. http://translate.google.pl/translate?hl=pl&sl=en&u=http://www.backgroundtask.eu/Systeemtaken/Taakinfo.php%3FID%3D3639&ei=KORyTMm5OY2Vswa76pC6Bg&sa=X&oi=translate&ct=result&resnum=1&ved=0CCgQ7gEwAA&prev=/search%3Fq%3DB4ABE68596B173FF2AB2076BC7C35EB4%26hl%3Dpl%26lr%3Dlang_pl%26sa%3DX%26tbs%3Dlr:lang_1pl
luko80 komentarz 24 sierpnia 2010 Autor komentarz 24 sierpnia 2010 Ok, dzięki wielkie za pomoc Tomek. Trochę się uspokoiłem.. gdyby jednak coś jeszcze mnie niepokoiło.. pewnie się odezwę Pozdrawiam, Łukasz
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.