PDA

View Full Version : Blocco improvviso Gmer e schermata blu

Dumbledore
31-10-2008, 13:00
Ciao a tutti l'altro giorno stavo effettuando la solita scansione sul sistema con l'amato Gmer quando arrivato alla voce devices si è impallato è stato terminato ed è spuntata una schermata blu! Ho riavviato e riprovato ma nulla da sempre lo stesso errore! Ho seguito allora tutta la guida per infetti ma non ho riscontrato assolutamente nulla. Non hanno trovato nulla (scansioni complete con max impostazioni): Avira Free (che ho installato sul pc permanentemente), Superantispyware,Sysinspector,Prevx CSI, CureIt, A-squared free, Malwarebytes, Rootkit Buster. In tutte queste scansoni l'output è sempre stato 0 oggetti rilevati! Non so più cosa fare! Ho fatto anche lo stealth MBR rootkit detector ma come potete vedere dal log ancora nulla! Vi posto sotto una immagine di gmer prima che si blocchi.
http://img158.imageshack.us/img158/6910/immagineha7.th.jpg (http://img158.imageshack.us/my.php?image=immagineha7.jpg)http://img158.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

Si blocca quando arriva a device\harddiskVolumeShadowCopy1 e mi dice."gmer.exe has stopped working"
La scansione in modalità sia normale che provvisoria si interrompe e ogni volta ottengo una schermata blu. L'errore credo sia una serie di zeri e poi 8XE e parla di win32.sys o qualcosa del genere!


Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.35.27, on 29/10/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Safe mode

Running processes:
C:\Windows\Explorer.EXE
C:\WINDOWS\System32\WerFault.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = WWW.google.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=73&bd=Pavilion&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=73&bd=Pavilion&pf=laptop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Invia immagine alla periferica &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Invia pagina alla periferica &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CSIScanner - Prevx - C:\Program Files\PrevxCSI\prevxcsi.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 6025 bytes
xcdegasp
31-10-2008, 14:41
riscarica gmer e pubblica il log anche se fosse nuovamente parziale :)

fixa:
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)
Dumbledore
01-11-2008, 12:39
Ciao! Fixata la voce, riscaricato Gmer ma nulla! Il log che riesco a salvare è quello precedente il blocco perchè appena arriva a devices parte la schermata blu!
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-11-01 12:33:04
Windows 6.0.6001 Service Pack 1


---- System - GMER 1.0.14 ----

SSDT 8131647C ZwCreateThread
SSDT 81316468 ZwOpenProcess
SSDT 8131646D ZwOpenThread
SSDT \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys ZwTerminateProcess [0x8CFD0F20]
SSDT 81316472 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!KeSetTimerEx + 454 81CFAA18 3 Bytes [ 7C, 64, 31 ]
.text ntkrnlpa.exe!KeSetTimerEx + 624 81CFABE8 3 Bytes [ 68, 64, 31 ]
.text ntkrnlpa.exe!KeSetTimerEx + 640 81CFAC04 3 Bytes [ 6D, 64, 31 ]
.text ntkrnlpa.exe!KeSetTimerEx + 854 81CFAE18 4 Bytes [ 20, 0F, FD, 8C ]
.text ntkrnlpa.exe!KeSetTimerEx + 8B4 81CFAE78 3 Bytes [ 72, 64, 31 ]
Chill-Out
01-11-2008, 14:10
Ciao! Fixata la voce, riscaricato Gmer ma nulla! Il log che riesco a salvare è quello precedente il blocco perchè appena arriva a devices parte la schermata blu!
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-11-01 12:33:04
Windows 6.0.6001 Service Pack 1


---- System - GMER 1.0.14 ----

SSDT 8131647C ZwCreateThread
SSDT 81316468 ZwOpenProcess
SSDT 8131646D ZwOpenThread
SSDT \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys ZwTerminateProcess [0x8CFD0F20]
SSDT 81316472 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!KeSetTimerEx + 454 81CFAA18 3 Bytes [ 7C, 64, 31 ]
.text ntkrnlpa.exe!KeSetTimerEx + 624 81CFABE8 3 Bytes [ 68, 64, 31 ]
.text ntkrnlpa.exe!KeSetTimerEx + 640 81CFAC04 3 Bytes [ 6D, 64, 31 ]
.text ntkrnlpa.exe!KeSetTimerEx + 854 81CFAE18 4 Bytes [ 20, 0F, FD, 8C ]
.text ntkrnlpa.exe!KeSetTimerEx + 8B4 81CFAE78 3 Bytes [ 72, 64, 31 ]


Normale mi è capitato di recente su 3 Pc con configurazioni diverse, unico comune denominatore Vista SP1 :)
davocam
13-12-2008, 11:25
Anche a me è capitato, anche io ho Windows Vista SP1, però mi ricordo che prima di installare il SP1 funzionava.
Dunque possiamo dedurre che il service pack o qualche agg di Windows che blocca Gmer?

Ciao
Davide