bluescreen podczas zamykania systemu - windbg log [win7]

[deszczeniespokojne]

Cześć! 3 dni temu zainstalowałem win7 32b i pojawił się problem.

Podczas wyłączania systemu pojawia się bluescreen i komputer się resetuje aby przeprowadzić naprawę... i tak w kółko. Szukałem informacji w internecie na ten temat, po zabawie w instalowanie windbgera otrzymałem taki log:

Kod: Zaznacz cały

*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

INTERNAL_POWER_ERROR (a0)
The power policy manager experienced a fatal error.
Arguments:
Arg1: 00000001, Error Handling power IRP.
Arg2: 00000006, The system has failed to allocate a necessary power irp.
Arg3: 85a30638, target device object
Arg4: 00000000, system power irp

Debugging Details:
------------------


BUGCHECK_STR: 0xA0

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT

PROCESS_NAME: wininit.exe

CURRENT_IRQL: 0

LAST_CONTROL_TRANSFER: from 82850f28 to 8291fdfc

STACK_TEXT:
8a9b39ac 82850f28 000000a0 00000001 00000006 nt!KeBugCheckEx+0x1e
8a9b39f0 82b63ef5 85a30638 00000003 00000000 nt!PopAllocateIrp+0xa0
8a9b3a24 82b62b94 855808d4 8a9b3af4 8726db68 nt!PopNotifyDevice+0x65
8a9b3a94 82b63c9a 00000014 00000004 00000000 nt!PopSleepDeviceList+0xe6
8a9b3ae8 82b64c73 00000000 00000001 00000006 nt!PoBroadcastSystemState+0x219
8a9b3b10 82b64714 8a9b3bdc 8a9b3c60 82b64355 nt!PopSetDevicesSystemState+0x63
8a9b3bc8 8288643a 00000006 00000004 c0000004 nt!NtSetSystemPowerState+0x3bf
8a9b3bc8 82885511 00000006 00000004 c0000004 nt!KiFastCallEntry+0x12a
8a9b3c4c 82b64437 00000006 00000004 c0000004 nt!ZwSetSystemPowerState+0x11
8a9b3d14 82b44e2b 00000006 00000004 c0000004 nt!NtSetSystemPowerState+0xe2
8a9b3d28 8288643a 00000002 0018fe84 77d16344 nt!NtShutdownSystem+0x32
8a9b3d28 77d16344 00000002 0018fe84 77d16344 nt!KiFastCallEntry+0x12a
WARNING: Frame IP not in any known module. Following frames may be wrong.
0018fe84 00000000 00000000 00000000 00000000 0x77d16344


STACK_COMMAND: kb

FOLLOWUP_IP:
nt!PopAllocateIrp+a0
82850f28 cc int 3

SYMBOL_STACK_INDEX: 1

SYMBOL_NAME: nt!PopAllocateIrp+a0

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: nt

IMAGE_NAME: ntkrpamp.exe

DEBUG_FLR_IMAGE_TIMESTAMP: 4cc78ed4

FAILURE_BUCKET_ID: 0xA0_nt!PopAllocateIrp+a0

BUCKET_ID: 0xA0_nt!PopAllocateIrp+a0

Followup: MachineOwner
---------


Niestety mało co z niego rozumiem. Sprawdziłem w internecie odpowiedzi na podstawie "INTERNAL_POWER_ERROR (a0)". Wyskoczyła informacja o wpisaniu komendy dotyczącej pamięci podczas hibernacji jednakpo zresetowaniu komputera (a przynajmniej jego próbie) ciągle pojawiał się bluescreen.

Any ideas??

[cosik_ktosik]

wininit.exe to plik z którego startuje pulpit, więc coś jest tu nie tak. ten plik powinien działać jak marzenie, a skoro robi problemy to coś mogło się do niego dopisać, coś jak wirus. Podaj wszystko o czym było tutaj pisane bezpieczenstwo/nowy-regulamin-dzialu-bezpiecze-stwo-t1887.html

[deszczeniespokojne]

Dzięki za odpowiedź!

Ok, to od początku ; )
Oprócz tego co napisałem w pierwszym poście, nic innego nie modyfikowałem. Zmiana systemu nastąpiła w sobotę, pierwszy bluescreen pojawił się ok. 12 godzin później (w tym czasie miałem kilka restartów podczas których wszystko było OK). Od momentu pojawienia się pierwszego bluescreena za każdym razem podczas wyłączania komputera problem powraca.

Avira po zmianie systemu wykryła takie wirusy/trojany i przeniosła je do kwarantanny:
Dostępne tylko dla zarejestrowanych użytkowników

logi:
GMER log1 (wszystko)
Dostępne tylko dla zarejestrowanych użytkowników
GMER log2 (same usługi)
Dostępne tylko dla zarejestrowanych użytkowników

OTL.txt
Dostępne tylko dla zarejestrowanych użytkowników
OTL extrax.txt
Dostępne tylko dla zarejestrowanych użytkowników

DDS
Dostępne tylko dla zarejestrowanych użytkowników
DDS attach
Dostępne tylko dla zarejestrowanych użytkowników

To chyba tyle, mam nadzieję że dobrze wkleiłem logi. Jeśli coś jeszcze trzeba podać (oprócz passów do konta bankowego ) to pisz.

-- 03 maja 2011, 15:18 --

Skanuje ponownie komputer w poszukiwaniu wirusów i widzę że sporo tego mam...

-- 03 maja 2011, 15:54 --

Update:
Nowe wirusy:
Dostępne tylko dla zarejestrowanych użytkowników
Pytanie: lepiej wrzucać do kwarantanny czy usuwać?

Hijackthis (nie mogę zapisać logfile..)
Dostępne tylko dla zarejestrowanych użytkowników

Malwarebytes Anti-Malware

-- 03 maja 2011, 16:41 --

Malwarebytes Anti-Malware
Dostępne tylko dla zarejestrowanych użytkowników

pliki usunięte

-- 03 maja 2011, 16:49 --

Teraz udało się zapisać log z Hijackthis
Dostępne tylko dla zarejestrowanych użytkowników

Niestety przy restarcie komputera ciągle pojawia się bluescreen

[djarta]

Proszę o wklejenie logu z ComboFixa -> http://www.hotfix.pl/uzytkowanie-progra ... ix-a41.htm

.

[deszczeniespokojne]

Po próbie odpalenia ComboFixa wyskakuje mi bluescreen.

tutaj log z windbg
pierwszy bluescreen
Dostępne tylko dla zarejestrowanych użytkowników

drugi bluescreen
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

sprawdź czy dziala ci tryb awaryjny
jezeli dziala to w trybie awaryjnym uruchom combofixa , ale przed uruchomieniem zmien jego nazwę na 123.com i wtedy spróboj
jezeli nie bedzie działał dalej to wklej nowe logi z OTL

[deszczeniespokojne]

W awaryjnym też wyskakuje bluescreen, nawet jak zmieniłem nazwę pliku.

(przeskanowałem w awaryjnym trybie)
OTL
Dostępne tylko dla zarejestrowanych użytkowników

extras
Dostępne tylko dla zarejestrowanych użytkowników

-- 03 maja 2011, 22:46 --

Nie wiem czy to ma związek ale tapeta zniknęła po bluescreenach z combofixem i nie chce się ustawić nowa...

-- 03 maja 2011, 22:47 --

I rozszerzenia plików też zaginęły.

-- 04 maja 2011, 03:39 --

logi z bluescreenview:
Dostępne tylko dla zarejestrowanych użytkowników
INTERNAL POWER ERROR - ten bluescreen pokazuje mi się gdy wyłączam komputer

ntkrnlpa.exe - winowajca?

Skanowałem przez około 40 minut memtestem ram i nie wykrył on żadnych błędów.

-- 04 maja 2011, 10:51 --

A jeszcze taki dodatek oprócz tej tapety której nie mogę zmienić. Coś się zepsuło i nie wyświetla mi części folderów i zdjęć w miniaturkach.

[djarta]

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
O33 - MountPoints2\{38e4544f-735c-11e0-987b-001c253951e8}\Shell - "" = AutoRun
O33 - MountPoints2\{38e4544f-735c-11e0-987b-001c253951e8}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL M:\KitSetup.exe
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
F3 - HKU\.DEFAULT WinNT: Load - (C:\Windows\TEMP\csrss.exe) - File not found
F3 - HKU\S-1-5-18 WinNT: Load - (C:\Windows\TEMP\csrss.exe) - File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Cyeeegz = C:\Windows\system32\icaapi4.exe
O4 - HKU\S-1-5-21-3693895434-2887532290-3601076681-1001..\Run: [Device Detector] File not found
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57030
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57030
[2011-05-03 19:00:11 | 000,000,336 | ---- | M] () -- C:\Windows\Tasks\At1.job
[2011-05-03 19:20:00 | 000,000,332 | ---- | M] () -- C:\Windows\Tasks\At10.job
[2011-05-03 19:05:00 | 000,000,330 | ---- | M] () -- C:\Windows\Tasks\At2.job
[2011-05-03 19:10:00 | 000,000,336 | ---- | M] () -- C:\Windows\Tasks\At3.job
[2011-05-03 19:15:00 | 000,000,332 | ---- | M] () -- C:\Windows\Tasks\At4.job
[2011-05-03 19:20:00 | 000,000,332 | ---- | M] () -- C:\Windows\Tasks\At5.job
[2011-05-03 19:00:11 | 000,000,336 | ---- | M] () -- C:\Windows\Tasks\At6.job
[2011-05-03 19:05:00 | 000,000,330 | ---- | M] () -- C:\Windows\Tasks\At7.job
[2011-05-03 19:10:00 | 000,000,336 | ---- | M] () -- C:\Windows\Tasks\At8.job
[2011-05-03 19:15:00 | 000,000,332 | ---- | M] () -- C:\Windows\Tasks\At9.job
[2011-04-30 13:55:21 | 000,206,312 | RHS- | C] () -- C:\VAEQM
[2011-04-30 13:55:21 | 000,000,009 | RHS- | C] () -- C:\wedaolu
[2011-04-30 20:59:13 | 212,434,498 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2011-04-30 19:15:34 | 000,040,125 | ---- | C] () -- C:\Users\Public\Documents\dll
[2011-05-01 19:00:14 | 000,000,000 | -HS- | C] () -- C:\Windows\ppascl32.exe
[2011-05-01 19:00:11 | 000,000,000 | -HS- | C] () -- C:\Windows\wmencagt.exe
[2011-05-01 19:00:08 | 000,000,000 | -HS- | C] () -- C:\Windows\multisrv32.exe
[2011-05-01 19:00:00 | 000,000,000 | -HS- | C] () -- C:\Windows\cpasos4.exe
[2011-04-29 10:32:08 | 000,071,834 | -HS- | M] (Sun Micro Inc.) -- C:\Windows\dassvcmgr4.exe

:Commands
[clearallrestorepoints]
[emptyflash]
[emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż raport z usuwania + najnowszy log z OTL'a.

[deszczeniespokojne]

Wykonałem skrypt ale podczas restartu pojawił się BS i po odpaleniu systemu nie było żadnych logów z wykonania skryptu ani nic się nie dokończyło ze skanowania. Pojawiły się za to dwa pliki deskop.ini na pulpicie o takiej treści: Dostępne tylko dla zarejestrowanych użytkowników

Nowe logi ze skanu OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Zobaczymy czy teraz będzie BSOD...

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57030
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57030
F3 - HKU\.DEFAULT WinNT: Load - (C:\Windows\TEMP\csrss.exe) - File not found
F3 - HKU\S-1-5-18 WinNT: Load - (C:\Windows\TEMP\csrss.exe) - File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Cyeeegz = C:\Windows\system32\icaapi4.exe
O3 - HKU\S-1-5-21-3693895434-2887532290-3601076681-1001\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
[2011-05-04 15:12:45 | 246,389,642 | ---- | C] () -- C:\Windows\MEMORY.DMP

:Files
C:\Windows\system32\icaapi4.exe

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" =-

:Commands
[resethosts]
[Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż raport z usuwania + najnowszy log z OTL'a.

EDIT:

Widzę, że bardzo blisko mnie mieszkasz (20 km)

[deszczeniespokojne]

Ciągle pojawia się BSOD - Dostępne tylko dla zarejestrowanych użytkowników i ciągle wina leży po stronie pliku ntkrnlpa.exe+dcdfc

Log z skryptu OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Logi OTL po restarcie:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Też właśnie zauważyłem że jesteś z Łap : )

[djarta]

1. Spróbój dać logi z:
- http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm
- http://www.hotfix.pl/instrukcja-obslugi ... t-a342.htm
- http://www.hotfix.pl/wykrywanie-rootkit ... e-a340.htm

2. Uzyj -> http://www.hotfix.pl/uzytkowanie-progra ... x-a310.htm
z opcji DELETION
daj raport

3. Pozamykaj robaczywe porty -> http://www.hotfix.pl/obsluga-programu-w ... er-a77.htm
ściągniesz go z tąd -> Dostępne tylko dla zarejestrowanych użytkowników

4. Wklej nowe logi z OTL + DDS

[deszczeniespokojne]

TDSS nic nie wykrył
MBR:http://wklej.org/id/524019/

USBFIX - sporo tego było
Dostępne tylko dla zarejestrowanych użytkowników

-- 04 maja 2011, 22:20 --

Podczas skanowania VGA wyskakuje taki BSOD Dostępne tylko dla zarejestrowanych użytkowników

Po restarcie systemu po zablokowaniu portów avira wyświetliła info że jakiś rootkit C:\autorun.ini został zablokowany.

OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

-- 04 maja 2011, 22:22 --

TDDS nic nie wykrył

-- 04 maja 2011, 23:12 --

Przeskanowałem komputer programem DrWeb. Znalazł i usunął takie coś:

Proces w pamięci: C:\Windows\System32\svchost.exe:964 - BackDoor.Tdss.565

Nie będzie mnie do soboty w domu więc dopiero jak wrócę będę mógł cokolwiek przeskanować.

-- 04 maja 2011, 23:22 --

Zauważyłem taką rzecz, że zawsze jak włączam firefoxa, to wyskakuje komunikat Aviry że "Access to the file "D:\autorun.inf" was blocked for your security.

-- 04 maja 2011, 23:24 --

I ten plik "Autorun.inf" mam na każdej partycji jako plik ukryty.

[djarta]

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57030
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57030

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" =""

:Commands
[Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż raport z usuwania + najnowszy log z OTL'a.

[deszczeniespokojne]

Hej
Raport z usuwania nie wyświetlił się po restarcie.

Oto nowe logi z OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Co chwila wyskakuje mi komunikat aviry że zablokowała plik autorun.inf na każdej partycji, niezależnie co robię.

-- 07 maja 2011, 16:54 --

Aha, i podczas restartu wyskoczył BSOD.