Trojaner-Board - Windows XP startet nicht

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)

- - Windows XP startet nicht - IRQL_NOT_LESS_OR_EQUAL (https://www.trojaner-board.de/83668-windows-xp-startet-irql_not_less_or_equal.html)

Windows XP startet nicht - IRQL_NOT_LESS_OR_EQUAL

Hallo!

seit einigen Tagen funktioniert mein Windows XP nicht mehr.
Zuerst werde ich gefragt, da irgendwas verändert wurde, ob ich normal starten, F8-Modus, letzte funktionierende Konfiguration, ... wählen will.
Nachdem das XP-Logo erscheint und der Balken unten läuft (ihr wisst schon was ich meine) -> Bluescreen:

Code:

Es wurde ein Problem festgestellt. windows wurde heruntergefahren, damit der

Computer nicht beschädigt wird.
 

IRQL_NOT_LESS_OR_EQUAL
 

...blablabla...
 

Technische Information:
 

*** STOP: 0x0000000A (0x017F0304, 0x00000002, 0x00000000, 0x804D9B64)

Was ich schon gemacht habe:
* Datensicherung über OpenSuse 11.2 von einer zweiten Partition aus (kein Live-System)
* Gegoogelt: Falscher / defekter Treiber als mögliche Ursache
* Sämtliche Bootmöglichkeiten ausprobiert -> Bluescreen, selbe Meldung.
* :headbang: :killpc:

Am Abend bevor das alles los ging, habe ich beim Ausschalten die automatischen Updates installieren lassen.
Evtl. hat sich hier ein defekter Treiber eingeschlichen, was weiß ich ;)

Ich hoffe mal, ich könnt mir weiterhelfen, wie ich wieder auf mein XP zugreifen kann.

Achja: Windows-Updates sind auf dem laufenden, sprich SP3 und MSIE 8

Viele Grüße,
Julian

Hallo und :hallo:

Wir hatten in letzter Zeit Probleme mit einem Rootkit, wenn Windows-Updates eingespielt wurden. Wenn Dein OpenSuse noch bootet, dann starte das mal und werte die Datei atapi.sys aus windows/system32 in Deiner Windowspartition bei Virustotal.com aus und poste den Ergebnislink.

Hallo und danke für deine Hilfe :)

leider finde ich in windows\system32 keine atapi.sys nur eine at.exe, einige Ati2....dll bzw. Ati3....dll

VG, Julian

Hallo nochmal,

in windows\system32\drivers liegt eine atapi.sys - hast du die gemeint?

Habe die mal bei VT auswerten lassen, war schon ausgewertet -> nochmal auswerten lassen:

Virustotal. MD5: 9f3a2f5aa6875c72bf062c712cfa2674 Win32.Rootkit

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis

a-squared        4.5.0.50        2010.03.11        -

AhnLab-V3        5.0.0.2        2010.03.11        -

AntiVir        8.2.1.180        2010.03.11        -

Antiy-AVL        2.0.3.7        2010.03.11        -

Authentium        5.2.0.5        2010.03.11        -

Avast        4.8.1351.0        2010.03.11        -

Avast5        5.0.332.0        2010.03.10        -

AVG        9.0.0.787        2010.03.11        -

BitDefender        7.2        2010.03.11        -

CAT-QuickHeal        10.00        2010.03.11        -

ClamAV        0.96.0.0-git        2010.03.11        -

Comodo        4229        2010.03.11        -

DrWeb        5.0.1.12222        2010.03.11        -

eSafe        7.0.17.0        2010.03.11        Win32.Rootkit

eTrust-Vet        35.2.7354        2010.03.11        -

F-Prot        4.5.1.85        2010.03.11        -

F-Secure        9.0.15370.0        2010.03.11        -

Fortinet        4.0.14.0        2010.03.09        -

GData        19        2010.03.11        -

Ikarus        T3.1.1.80.0        2010.03.11        -

Jiangmin        13.0.900        2010.03.11        -

K7AntiVirus        7.10.995        2010.03.11        -

Kaspersky        7.0.0.125        2010.03.11        -

McAfee        5917        2010.03.11        -

McAfee+Artemis        5917        2010.03.11        -

McAfee-GW-Edition        6.8.5        2010.03.11        -

Microsoft        1.5502        2010.03.11        -

NOD32        4937        2010.03.11        -

Norman        6.04.08        2010.03.11        -

nProtect        2009.1.8.0        2010.03.11        -

Panda        10.0.2.2        2010.03.11        -

PCTools        7.0.3.5        2010.03.11        -

Prevx        3.0        2010.03.11        -

Rising        22.38.03.04        2010.03.11        -

Sophos        4.51.0        2010.03.11        -

Sunbelt        5827        2010.03.11        -

Symantec        20091.2.0.41        2010.03.11        -

TheHacker        6.5.2.0.230        2010.03.11        -

TrendMicro        9.120.0.1004        2010.03.11        -

VBA32        3.12.12.2        2010.03.11        -

ViRobot        2010.3.11.2222        2010.03.11        -

VirusBuster        5.0.27.0        2010.03.11        -

weitere Informationen

File size: 96512 bytes

MD5...: 9f3a2f5aa6875c72bf062c712cfa2674

SHA1..: a719156e8ad67456556a02c34e762944234e7a44

SHA256: b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9

ssdeep: 1536:MwXpkfV74F1D7yNEZIHRRJMohmus27G1j/XBoDQi7oaRMJfYHFktprll1Kb

DD0uu:MQ+N74vkEZIxMohjsimBoDTRMBwFktZu

PEiD..: -

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x159f7

timedatestamp.....: 0x4802539d (Sun Apr 13 18:40:29 2008)

machinetype.......: 0x14c (I386)
 

( 9 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x380 0x97ba 0x9800 6.45 0d7d81391f33c6450a81be1e3ac8c7b7

NONPAGE 0x9b80 0x18e8 0x1900 6.48 c74a833abd81cc5d037de168e055ad29

.rdata 0xb480 0xa64 0xa80 4.31 8523651899e28819a14bf9415af25708

.data 0xbf00 0xd94 0xe00 0.45 3575b51634ae7a56f55f1ee0a6213834

PAGESCAN 0xcd00 0x157f 0x1580 6.20 dc4c309c4db9576daa752fdd125fccf9

PAGE 0xe280 0x61da 0x6200 6.46 40b83d4d552384e58a03517a98eb4863

INIT 0x14480 0x22be 0x2300 6.47 906462abc478368424ea462d5868d2e3

.rsrc 0x16780 0x3e0 0x400 3.36 8fd2d82e745b289c28bc056d3a0d62ab

.reloc 0x16b80 0xd20 0xd80 6.39 ce2b0898cc0e40b618e5df9099f6be45
 

( 3 imports )

> ntoskrnl.exe: RtlInitUnicodeString, swprintf, KeSetEvent, IoCreateSymbolicLink, IoGetConfigurationInformation, IoDeleteSymbolicLink, MmFreeMappingAddress, IoFreeErrorLogEntry, IoDisconnectInterrupt, MmUnmapIoSpace, ObReferenceObjectByPointer, IofCompleteRequest, RtlCompareUnicodeString, IofCallDriver, MmAllocateMappingAddress, IoAllocateErrorLogEntry, IoConnectInterrupt, IoDetachDevice, KeWaitForSingleObject, KeInitializeEvent, KeCancelTimer, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, IoQueueWorkItem, MmMapIoSpace, IoInvalidateDeviceRelations, IoReportDetectedDevice, IoReportResourceForDetection, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, PoRequestPowerIrp, KeInsertByKeyDeviceQueue, PoRegisterDeviceForIdleDetection, sprintf, MmMapLockedPagesSpecifyCache, ObfDereferenceObject, IoGetAttachedDeviceReference, IoInvalidateDeviceState, ZwClose, ObReferenceObjectByHandle, ZwCreateDirectoryObject, IoBuildSynchronousFsdRequest, PoStartNextPowerIrp, IoCreateDevice, RtlCopyUnicodeString, IoAllocateDriverObjectExtension, RtlQueryRegistryValues, ZwOpenKey, RtlFreeUnicodeString, IoStartTimer, KeInitializeTimer, IoInitializeTimer, KeInitializeDpc, KeInitializeSpinLock, IoInitializeIrp, ZwCreateKey, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, ZwSetValueKey, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, IoStartPacket, KefReleaseSpinLockFromDpcLevel, IoBuildAsynchronousFsdRequest, IoFreeMdl, MmUnlockPages, IoWriteErrorLogEntry, KeRemoveByKeyDeviceQueue, MmMapLockedPagesWithReservedMapping, MmUnmapReservedMapping, KeSynchronizeExecution, IoStartNextPacket, KeBugCheckEx, KeRemoveDeviceQueue, KeSetTimer, _allmul, MmProbeAndLockPages, _except_handler3, PoSetPowerState, IoOpenDeviceRegistryKey, RtlWriteRegistryValue, RtlDeleteRegistryValue, _aulldiv, strstr, _strupr, KeQuerySystemTime, IoWMIRegistrationControl, KeTickCount, IoAttachDeviceToDeviceStack, IoDeleteDevice, ExAllocatePoolWithTag, IoAllocateWorkItem, IoAllocateIrp, IoAllocateMdl, MmBuildMdlForNonPagedPool, MmLockPagableDataSection, IoGetDriverObjectExtension, MmUnlockPagableImageSection, ExFreePoolWithTag, IoFreeIrp, IoFreeWorkItem, InitSafeBootMode, RtlCompareMemory, PoCallDriver, memmove, MmHighestUserAddress

> HAL.dll: KfAcquireSpinLock, READ_PORT_UCHAR, KeGetCurrentIrql, KfRaiseIrql, KfLowerIrql, HalGetInterruptVector, HalTranslateBusAddress, KeStallExecutionProcessor, KfReleaseSpinLock, READ_PORT_BUFFER_USHORT, READ_PORT_USHORT, WRITE_PORT_BUFFER_USHORT, WRITE_PORT_UCHAR

> WMILIB.SYS: WmiSystemControl, WmiCompleteRequest
 

( 0 exports )

RDS...: NSRL Reference Data Set

-

packers (Kaspersky): PE_Patch

sigcheck:

publisher....: Microsoft Corporation

copyright....: (c) Microsoft Corporation. All rights reserved.

product......: Microsoft_ Windows_ Operating System

description..: IDE/ATAPI Port Driver

original name: atapi.sys

internal name: atapi.sys

file version.: 5.1.2600.5512 (xpsp.080413-2108)

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

pdfid.: -

trid..: Win32 Executable Generic (68.0%)

Generic Win/DOS Executable (15.9%)

DOS Executable Generic (15.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

Einzig eSafe will einen Win32.Rootkit erkannt haben.
Was meinst du dazu? - Ist das die Ursache?

VG, Julian

Ja, die in Drivers meinte ich. Aber die atapi.sys ist sauber. Blöderweise ist das mit dem Rootkit auch nur eine Vermutung und falls es das Rootkit überhaupt ist, kann es auch andere Dateien als die atapi.sys zur Manipulation ausgewählt haben.

> heise Security - Symantec: Rootkit verursacht Windows-XP-Bluescreens

Zitat:

Zitat von heise.de

Neben dem Treiber atapi.sys kann Tidserv auch anderen Treiber infiziert haben, etwa iastor.sys, idechndr.sys, ndis.sys, nvata.sys und vmscsi.sys. Betroffene Anwender sollten aber auch nach der Reparatur des Systems ein vollständige Windows-Neuinstallation in Betracht ziehen.

Hallo,

drei von den Drivern habe ich gefunden und bei VT auswerten lassen.

IaStor.sys

ndis.sys

nvatabus.sys

Die sind alle drei sauber.
Was wäre denn neben dem Rootkit noch eine Möglichkeit für den Bluescreen?

Ein Neuaufsetzten hätte auch zur Folge, dass ich OpenSuse wieder plattmachen müsste...
Könnte ich evtl. versuchen von CD zu booten und zu (R)eparieren?

Gruß, Julian

Zitat:

Ein Neuaufsetzten hätte auch zur Folge, dass ich OpenSuse wieder plattmachen müsste...

Die Linux-Partitionen musst Du ja nicht überschreiben. Ich würde vor dem Neuaufsetzen einfach den MBR unter Linux sichern und nach dem Windows-Setup wieder unter Linux (Live-CD?) zurückschreiben.

Zitat:

Zitat von StLB (Beitrag 508619)

Was wäre denn neben dem Rootkit noch eine Möglichkeit für den Bluescreen?

bei mir hatte sich mal der Treiber der Grafikkarte nicht mit der Jetico Firewall vertragen, Bluescreen.

Zitat:

Zitat von Heike (Beitrag 508714)

mit der Jetico Firewall vertragen, Bluescreen.

Was installierst Du Dir auch ne PFW... :heilig:

eben, man sollte von solch Teufelszeug die Finger lassen, es war mir auch eine Lehre. :)

Wie kamst Du eigentlich gerade auf Jetico? Den Hersteller hab ich bis eben noch nichtmal gekannt!

Ich hatte mir vor langer Zeit mal die Version 1 angesehen und fand sie eigentlich recht gut, nur die Konfig ist etwas fummelig. ([Firewall] Jetico - eine kleine Anleitung )

Ich hatte die Bypass-Fähigkeiten einiger Server getestet, Jetico war nicht schlecht, wie es aktuell aussieht weiß ich allerdings nicht, es wird jedoch, gerade bei Jetico, sehr vom User abhängen.

Zitat:

Zitat von cosinus (Beitrag 508622)

Die Linux-Partitionen musst Du ja nicht überschreiben. Ich würde vor dem Neuaufsetzen einfach den MBR unter Linux sichern und nach dem Windows-Setup wieder unter Linux (Live-CD?) zurückschreiben.

So, habe jetzt mal den MBR mit

Code:

dd if=/dev/sda of=mbr.bin bs=512 count=1

gesichert. Werde morgen mal (wenn ich die richtige CD gefunden habe :rolleyes:) XP neu aufsetzen.
Wie muss ich dann weiterverfahren?
Die XP-Installation wird ja vsl. GRUB deaktivieren und der MBR verändern.
Die ganzen OpenSuse-Daten sind ja noch auf der Festplatte vorhanden, oder? Also nur logisch gelöscht?
OpenSuse dann von Installations-CD starten, oder von Live-CD?

Vielen Dank!
Gruß, Julian

Btw: Gibt es eine Möglichkeit, hier als Helfer mitzuwirken?

Zitat:

Die XP-Installation wird ja vsl. GRUB deaktivieren und der MBR verändern.
Die ganzen OpenSuse-Daten sind ja noch auf der Festplatte vorhanden, oder? Also nur logisch gelöscht?

Voraussetzung ist, dass Du nur die Windowspartition formatierst und auch sonst keine Änderungen an den Partitionen vornimmst. Dann kannst Du eigentlich mit einer beliebigen Linux-Live-CD den MBR zurückspielen.

Zitat:

Btw: Gibt es eine Möglichkeit, hier als Helfer mitzuwirken?

Einfach mitmachen ;)

Hallo,

habe jetzt die CD gefunden, sie eingelegt und im BIOS "von Hard Disk booten" disabled.
Danach kam 'Operating system not found'. Nach ein paar Versuchen wurde dann interessanterweise trotzdem von Harddisk gebootet. Im GRUB Windows ausgewählt und - er fährt ganz normal hoch und alles funktioniert wieder :confused:
Nochmal einen "Kontrollneustart" ohne CD gemacht - alles funktioniert wunderbar!
Vor der Anmeldung wurde noch ein chkdsk durchgeführt und ein paar verwaiste Dateien entfernt, aber sonst läuft alles wieder wie vorher.
Der Eventlog zeigt auch keine Warnungen / Fehler an. Was der Grund war, werden wir wohl nie erfahren :killpc: :D

Vielen Dank trotzdem @cosinus :daumenhoc

Gruß, Julian