Blocco improvviso Gmer e schermata blu

Dumbledore · 31-10-2008, 13:00

Ciao a tutti l'altro giorno stavo effettuando la solita scansione sul sistema con l'amato Gmer quando arrivato alla voce devices si è impallato è stato terminato ed è spuntata una schermata blu! Ho riavviato e riprovato ma nulla da sempre lo stesso errore! Ho seguito allora tutta la guida per infetti ma non ho riscontrato assolutamente nulla. Non hanno trovato nulla (scansioni complete con max impostazioni): Avira Free (che ho installato sul pc permanentemente), Superantispyware,Sysinspector,Prevx CSI, CureIt, A-squared free, Malwarebytes, Rootkit Buster. In tutte queste scansoni l'output è sempre stato 0 oggetti rilevati! Non so più cosa fare! Ho fatto anche lo stealth MBR rootkit detector ma come potete vedere dal log ancora nulla! Vi posto sotto una immagine di gmer prima che si blocchi.

Si blocca quando arriva a device\harddiskVolumeShadowCopy1 e mi dice."gmer.exe has stopped working"
La scansione in modalità sia normale che provvisoria si interrompe e ogni volta ottengo una schermata blu. L'errore credo sia una serie di zeri e poi 8XE e parla di win32.sys o qualcosa del genere!

Codice:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.35.27, on 29/10/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Safe mode

Running processes:
C:\Windows\Explorer.EXE
C:\WINDOWS\System32\WerFault.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = WWW.google.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=73&bd=Pavilion&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=73&bd=Pavilion&pf=laptop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Invia immagine alla periferica &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Invia pagina alla periferica &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix: 
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CSIScanner - Prevx - C:\Program Files\PrevxCSI\prevxcsi.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 6025 bytes

xcdegasp · 31-10-2008, 14:41

riscarica gmer e pubblica il log anche se fosse nuovamente parziale

fixa:

Codice:

O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)

Dumbledore · 01-11-2008, 12:39

Ciao! Fixata la voce, riscaricato Gmer ma nulla! Il log che riesco a salvare è quello precedente il blocco perchè appena arriva a devices parte la schermata blu!

Codice:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-11-01 12:33:04
Windows 6.0.6001 Service Pack 1


---- System - GMER 1.0.14 ----

SSDT   8131647C                                            ZwCreateThread
SSDT   81316468                                            ZwOpenProcess
SSDT   8131646D                                            ZwOpenThread
SSDT   \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys  ZwTerminateProcess [0x8CFD0F20]
SSDT   81316472                                            ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

.text  ntkrnlpa.exe!KeSetTimerEx + 454                     81CFAA18 3 Bytes  [ 7C, 64, 31 ]
.text  ntkrnlpa.exe!KeSetTimerEx + 624                     81CFABE8 3 Bytes  [ 68, 64, 31 ]
.text  ntkrnlpa.exe!KeSetTimerEx + 640                     81CFAC04 3 Bytes  [ 6D, 64, 31 ]
.text  ntkrnlpa.exe!KeSetTimerEx + 854                     81CFAE18 4 Bytes  [ 20, 0F, FD, 8C ]
.text  ntkrnlpa.exe!KeSetTimerEx + 8B4                     81CFAE78 3 Bytes  [ 72, 64, 31 ]

**Chill-Out** · 01-11-2008, 14:10

Quote:

Originariamente inviato da Dumbledore

Ciao! Fixata la voce, riscaricato Gmer ma nulla! Il log che riesco a salvare è quello precedente il blocco perchè appena arriva a devices parte la schermata blu!

Codice:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-11-01 12:33:04
Windows 6.0.6001 Service Pack 1


---- System - GMER 1.0.14 ----

SSDT   8131647C                                            ZwCreateThread
SSDT   81316468                                            ZwOpenProcess
SSDT   8131646D                                            ZwOpenThread
SSDT   \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys  ZwTerminateProcess [0x8CFD0F20]
SSDT   81316472                                            ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

.text  ntkrnlpa.exe!KeSetTimerEx + 454                     81CFAA18 3 Bytes  [ 7C, 64, 31 ]
.text  ntkrnlpa.exe!KeSetTimerEx + 624                     81CFABE8 3 Bytes  [ 68, 64, 31 ]
.text  ntkrnlpa.exe!KeSetTimerEx + 640                     81CFAC04 3 Bytes  [ 6D, 64, 31 ]
.text  ntkrnlpa.exe!KeSetTimerEx + 854                     81CFAE18 4 Bytes  [ 20, 0F, FD, 8C ]
.text  ntkrnlpa.exe!KeSetTimerEx + 8B4                     81CFAE78 3 Bytes  [ 72, 64, 31 ]

Normale mi è capitato di recente su 3 Pc con configurazioni diverse, unico comune denominatore Vista SP1

davocam · 13-12-2008, 11:25

Anche a me è capitato, anche io ho Windows Vista SP1, però mi ricordo che prima di installare il SP1 funzionava.
Dunque possiamo dedurre che il service pack o qualche agg di Windows che blocca Gmer?

Ciao
Davide

31-10-2008, 14:41	#2
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	riscarica gmer e pubblica il log anche se fosse nuovamente parziale fixa: Codice: O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing) __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

13-12-2008, 11:25	#5
davocam Junior Member Iscritto dal: Dec 2008 Messaggi: 1	Anche a me è capitato, anche io ho Windows Vista SP1, però mi ricordo che prima di installare il SP1 funzionava. Dunque possiamo dedurre che il service pack o qualche agg di Windows che blocca Gmer? Ciao Davide

Strumenti
Mostra una versione stampabile Invia questa pagina per email