Hallo!

seit einigen Tagen funktioniert mein Windows XP nicht mehr.
Zuerst werde ich gefragt, da irgendwas verändert wurde, ob ich normal starten, F8-Modus, letzte funktionierende Konfiguration, ... wählen will.
Nachdem das XP-Logo erscheint und der Balken unten läuft (ihr wisst schon was ich meine) -> Bluescreen:

Code: Alles auswählenAufklappen

ATTFilter

Es wurde ein Problem festgestellt. windows wurde heruntergefahren, damit der
Computer nicht beschädigt wird.

IRQL_NOT_LESS_OR_EQUAL

...blablabla...

Technische Information:

*** STOP: 0x0000000A (0x017F0304, 0x00000002, 0x00000000, 0x804D9B64)
         

Was ich schon gemacht habe:
* Datensicherung über OpenSuse 11.2 von einer zweiten Partition aus (kein Live-System)
* Gegoogelt: Falscher / defekter Treiber als mögliche Ursache
* Sämtliche Bootmöglichkeiten ausprobiert -> Bluescreen, selbe Meldung.
*

Am Abend bevor das alles los ging, habe ich beim Ausschalten die automatischen Updates installieren lassen.
Evtl. hat sich hier ein defekter Treiber eingeschlichen, was weiß ich

Ich hoffe mal, ich könnt mir weiterhelfen, wie ich wieder auf mein XP zugreifen kann.

Achja: Windows-Updates sind auf dem laufenden, sprich SP3 und MSIE 8

Viele Grüße,
Julian

Hallo und

Wir hatten in letzter Zeit Probleme mit einem Rootkit, wenn Windows-Updates eingespielt wurden. Wenn Dein OpenSuse noch bootet, dann starte das mal und werte die Datei atapi.sys aus windows/system32 in Deiner Windowspartition bei Virustotal.com aus und poste den Ergebnislink.

Hallo und danke für deine Hilfe

leider finde ich in windows\system32 keine atapi.sys nur eine at.exe, einige Ati2....dll bzw. Ati3....dll

VG, Julian

Hallo nochmal,

in windows\system32\drivers liegt eine atapi.sys - hast du die gemeint?

Habe die mal bei VT auswerten lassen, war schon ausgewertet -> nochmal auswerten lassen:

Virustotal. MD5: 9f3a2f5aa6875c72bf062c712cfa2674 Win32.Rootkit

Code: Alles auswählenAufklappen

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.5.0.50	2010.03.11	-
AhnLab-V3	5.0.0.2	2010.03.11	-
AntiVir	8.2.1.180	2010.03.11	-
Antiy-AVL	2.0.3.7	2010.03.11	-
Authentium	5.2.0.5	2010.03.11	-
Avast	4.8.1351.0	2010.03.11	-
Avast5	5.0.332.0	2010.03.10	-
AVG	9.0.0.787	2010.03.11	-
BitDefender	7.2	2010.03.11	-
CAT-QuickHeal	10.00	2010.03.11	-
ClamAV	0.96.0.0-git	2010.03.11	-
Comodo	4229	2010.03.11	-
DrWeb	5.0.1.12222	2010.03.11	-
eSafe	7.0.17.0	2010.03.11	Win32.Rootkit
eTrust-Vet	35.2.7354	2010.03.11	-
F-Prot	4.5.1.85	2010.03.11	-
F-Secure	9.0.15370.0	2010.03.11	-
Fortinet	4.0.14.0	2010.03.09	-
GData	19	2010.03.11	-
Ikarus	T3.1.1.80.0	2010.03.11	-
Jiangmin	13.0.900	2010.03.11	-
K7AntiVirus	7.10.995	2010.03.11	-
Kaspersky	7.0.0.125	2010.03.11	-
McAfee	5917	2010.03.11	-
McAfee+Artemis	5917	2010.03.11	-
McAfee-GW-Edition	6.8.5	2010.03.11	-
Microsoft	1.5502	2010.03.11	-
NOD32	4937	2010.03.11	-
Norman	6.04.08	2010.03.11	-
nProtect	2009.1.8.0	2010.03.11	-
Panda	10.0.2.2	2010.03.11	-
PCTools	7.0.3.5	2010.03.11	-
Prevx	3.0	2010.03.11	-
Rising	22.38.03.04	2010.03.11	-
Sophos	4.51.0	2010.03.11	-
Sunbelt	5827	2010.03.11	-
Symantec	20091.2.0.41	2010.03.11	-
TheHacker	6.5.2.0.230	2010.03.11	-
TrendMicro	9.120.0.1004	2010.03.11	-
VBA32	3.12.12.2	2010.03.11	-
ViRobot	2010.3.11.2222	2010.03.11	-
VirusBuster	5.0.27.0	2010.03.11	-
weitere Informationen
File size: 96512 bytes
MD5...: 9f3a2f5aa6875c72bf062c712cfa2674
SHA1..: a719156e8ad67456556a02c34e762944234e7a44
SHA256: b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9
ssdeep: 1536:MwXpkfV74F1D7yNEZIHRRJMohmus27G1j/XBoDQi7oaRMJfYHFktprll1Kb
DD0uu:MQ+N74vkEZIxMohjsimBoDTRMBwFktZu
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x159f7
timedatestamp.....: 0x4802539d (Sun Apr 13 18:40:29 2008)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0x97ba 0x9800 6.45 0d7d81391f33c6450a81be1e3ac8c7b7
NONPAGE 0x9b80 0x18e8 0x1900 6.48 c74a833abd81cc5d037de168e055ad29
.rdata 0xb480 0xa64 0xa80 4.31 8523651899e28819a14bf9415af25708
.data 0xbf00 0xd94 0xe00 0.45 3575b51634ae7a56f55f1ee0a6213834
PAGESCAN 0xcd00 0x157f 0x1580 6.20 dc4c309c4db9576daa752fdd125fccf9
PAGE 0xe280 0x61da 0x6200 6.46 40b83d4d552384e58a03517a98eb4863
INIT 0x14480 0x22be 0x2300 6.47 906462abc478368424ea462d5868d2e3
.rsrc 0x16780 0x3e0 0x400 3.36 8fd2d82e745b289c28bc056d3a0d62ab
.reloc 0x16b80 0xd20 0xd80 6.39 ce2b0898cc0e40b618e5df9099f6be45

( 3 imports )
> ntoskrnl.exe: RtlInitUnicodeString, swprintf, KeSetEvent, IoCreateSymbolicLink, IoGetConfigurationInformation, IoDeleteSymbolicLink, MmFreeMappingAddress, IoFreeErrorLogEntry, IoDisconnectInterrupt, MmUnmapIoSpace, ObReferenceObjectByPointer, IofCompleteRequest, RtlCompareUnicodeString, IofCallDriver, MmAllocateMappingAddress, IoAllocateErrorLogEntry, IoConnectInterrupt, IoDetachDevice, KeWaitForSingleObject, KeInitializeEvent, KeCancelTimer, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, IoQueueWorkItem, MmMapIoSpace, IoInvalidateDeviceRelations, IoReportDetectedDevice, IoReportResourceForDetection, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, PoRequestPowerIrp, KeInsertByKeyDeviceQueue, PoRegisterDeviceForIdleDetection, sprintf, MmMapLockedPagesSpecifyCache, ObfDereferenceObject, IoGetAttachedDeviceReference, IoInvalidateDeviceState, ZwClose, ObReferenceObjectByHandle, ZwCreateDirectoryObject, IoBuildSynchronousFsdRequest, PoStartNextPowerIrp, IoCreateDevice, RtlCopyUnicodeString, IoAllocateDriverObjectExtension, RtlQueryRegistryValues, ZwOpenKey, RtlFreeUnicodeString, IoStartTimer, KeInitializeTimer, IoInitializeTimer, KeInitializeDpc, KeInitializeSpinLock, IoInitializeIrp, ZwCreateKey, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, ZwSetValueKey, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, IoStartPacket, KefReleaseSpinLockFromDpcLevel, IoBuildAsynchronousFsdRequest, IoFreeMdl, MmUnlockPages, IoWriteErrorLogEntry, KeRemoveByKeyDeviceQueue, MmMapLockedPagesWithReservedMapping, MmUnmapReservedMapping, KeSynchronizeExecution, IoStartNextPacket, KeBugCheckEx, KeRemoveDeviceQueue, KeSetTimer, _allmul, MmProbeAndLockPages, _except_handler3, PoSetPowerState, IoOpenDeviceRegistryKey, RtlWriteRegistryValue, RtlDeleteRegistryValue, _aulldiv, strstr, _strupr, KeQuerySystemTime, IoWMIRegistrationControl, KeTickCount, IoAttachDeviceToDeviceStack, IoDeleteDevice, ExAllocatePoolWithTag, IoAllocateWorkItem, IoAllocateIrp, IoAllocateMdl, MmBuildMdlForNonPagedPool, MmLockPagableDataSection, IoGetDriverObjectExtension, MmUnlockPagableImageSection, ExFreePoolWithTag, IoFreeIrp, IoFreeWorkItem, InitSafeBootMode, RtlCompareMemory, PoCallDriver, memmove, MmHighestUserAddress
> HAL.dll: KfAcquireSpinLock, READ_PORT_UCHAR, KeGetCurrentIrql, KfRaiseIrql, KfLowerIrql, HalGetInterruptVector, HalTranslateBusAddress, KeStallExecutionProcessor, KfReleaseSpinLock, READ_PORT_BUFFER_USHORT, READ_PORT_USHORT, WRITE_PORT_BUFFER_USHORT, WRITE_PORT_UCHAR
> WMILIB.SYS: WmiSystemControl, WmiCompleteRequest

( 0 exports )
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE_Patch
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: IDE/ATAPI Port Driver
original name: atapi.sys
internal name: atapi.sys
file version.: 5.1.2600.5512 (xpsp.080413-2108)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
pdfid.: -
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
         

Einzig eSafe will einen Win32.Rootkit erkannt haben.
Was meinst du dazu? - Ist das die Ursache?

VG, Julian

Ja, die in Drivers meinte ich. Aber die atapi.sys ist sauber. Blöderweise ist das mit dem Rootkit auch nur eine Vermutung und falls es das Rootkit überhaupt ist, kann es auch andere Dateien als die atapi.sys zur Manipulation ausgewählt haben.

> heise Security - Symantec: Rootkit verursacht Windows-XP-Bluescreens

Zitat:

Zitat von heise.de

Neben dem Treiber atapi.sys kann Tidserv auch anderen Treiber infiziert haben, etwa iastor.sys, idechndr.sys, ndis.sys, nvata.sys und vmscsi.sys. Betroffene Anwender sollten aber auch nach der Reparatur des Systems ein vollständige Windows-Neuinstallation in Betracht ziehen.

Hallo,

drei von den Drivern habe ich gefunden und bei VT auswerten lassen.

IaStor.sys

ndis.sys

nvatabus.sys

Die sind alle drei sauber.
Was wäre denn neben dem Rootkit noch eine Möglichkeit für den Bluescreen?

Ein Neuaufsetzten hätte auch zur Folge, dass ich OpenSuse wieder plattmachen müsste...
Könnte ich evtl. versuchen von CD zu booten und zu (R)eparieren?

Gruß, Julian

Zitat:

Ein Neuaufsetzten hätte auch zur Folge, dass ich OpenSuse wieder plattmachen müsste...

Die Linux-Partitionen musst Du ja nicht überschreiben. Ich würde vor dem Neuaufsetzen einfach den MBR unter Linux sichern und nach dem Windows-Setup wieder unter Linux (Live-CD?) zurückschreiben.

Zitat:

Zitat von StLB

Was wäre denn neben dem Rootkit noch eine Möglichkeit für den Bluescreen?

bei mir hatte sich mal der Treiber der Grafikkarte nicht mit der Jetico Firewall vertragen, Bluescreen.

Zitat:

Zitat von Heike

mit der Jetico Firewall vertragen, Bluescreen.

Was installierst Du Dir auch ne PFW...

eben, man sollte von solch Teufelszeug die Finger lassen, es war mir auch eine Lehre.

Wie kamst Du eigentlich gerade auf Jetico? Den Hersteller hab ich bis eben noch nichtmal gekannt!

Ich hatte mir vor langer Zeit mal die Version 1 angesehen und fand sie eigentlich recht gut, nur die Konfig ist etwas fummelig. ([Firewall] Jetico - eine kleine Anleitung )

Ich hatte die Bypass-Fähigkeiten einiger Server getestet, Jetico war nicht schlecht, wie es aktuell aussieht weiß ich allerdings nicht, es wird jedoch, gerade bei Jetico, sehr vom User abhängen.

Zitat:

Zitat von cosinus

Die Linux-Partitionen musst Du ja nicht überschreiben. Ich würde vor dem Neuaufsetzen einfach den MBR unter Linux sichern und nach dem Windows-Setup wieder unter Linux (Live-CD?) zurückschreiben.

So, habe jetzt mal den MBR mit

Code: Alles auswählenAufklappen

ATTFilter

dd if=/dev/sda of=mbr.bin bs=512 count=1
         

gesichert. Werde morgen mal (wenn ich die richtige CD gefunden habe ) XP neu aufsetzen.
Wie muss ich dann weiterverfahren?
Die XP-Installation wird ja vsl. GRUB deaktivieren und der MBR verändern.
Die ganzen OpenSuse-Daten sind ja noch auf der Festplatte vorhanden, oder? Also nur logisch gelöscht?
OpenSuse dann von Installations-CD starten, oder von Live-CD?

Vielen Dank!
Gruß, Julian

Btw: Gibt es eine Möglichkeit, hier als Helfer mitzuwirken?

Zitat:

Die XP-Installation wird ja vsl. GRUB deaktivieren und der MBR verändern.
Die ganzen OpenSuse-Daten sind ja noch auf der Festplatte vorhanden, oder? Also nur logisch gelöscht?

Voraussetzung ist, dass Du nur die Windowspartition formatierst und auch sonst keine Änderungen an den Partitionen vornimmst. Dann kannst Du eigentlich mit einer beliebigen Linux-Live-CD den MBR zurückspielen.

Zitat:

Btw: Gibt es eine Möglichkeit, hier als Helfer mitzuwirken?

Einfach mitmachen

Hallo,

habe jetzt die CD gefunden, sie eingelegt und im BIOS "von Hard Disk booten" disabled.
Danach kam 'Operating system not found'. Nach ein paar Versuchen wurde dann interessanterweise trotzdem von Harddisk gebootet. Im GRUB Windows ausgewählt und - er fährt ganz normal hoch und alles funktioniert wieder
Nochmal einen "Kontrollneustart" ohne CD gemacht - alles funktioniert wunderbar!
Vor der Anmeldung wurde noch ein chkdsk durchgeführt und ein paar verwaiste Dateien entfernt, aber sonst läuft alles wieder wie vorher.
Der Eventlog zeigt auch keine Warnungen / Fehler an. Was der Grund war, werden wir wohl nie erfahren

Vielen Dank trotzdem @cosinus

Gruß, Julian