Hallo!

seit einigen Tagen funktioniert mein Windows XP nicht mehr.
Zuerst werde ich gefragt, da irgendwas verändert wurde, ob ich normal starten, F8-Modus, letzte funktionierende Konfiguration, ... wählen will.
Nachdem das XP-Logo erscheint und der Balken unten läuft (ihr wisst schon was ich meine) -> Bluescreen:

Code: Alles auswählenAufklappen

Es wurde ein Problem festgestellt. windows wurde heruntergefahren, damit der
Computer nicht beschädigt wird.

IRQL_NOT_LESS_OR_EQUAL

...blablabla...

Technische Information:

*** STOP: 0x0000000A (0x017F0304, 0x00000002, 0x00000000, 0x804D9B64)
         

Was ich schon gemacht habe:
* Datensicherung über OpenSuse 11.2 von einer zweiten Partition aus (kein Live-System)
* Gegoogelt: Falscher / defekter Treiber als mögliche Ursache
* Sämtliche Bootmöglichkeiten ausprobiert -> Bluescreen, selbe Meldung.
*

Am Abend bevor das alles los ging, habe ich beim Ausschalten die automatischen Updates installieren lassen.
Evtl. hat sich hier ein defekter Treiber eingeschlichen, was weiß ich

Ich hoffe mal, ich könnt mir weiterhelfen, wie ich wieder auf mein XP zugreifen kann.

Achja: Windows-Updates sind auf dem laufenden, sprich SP3 und MSIE 8

Viele Grüße,
Julian

Hallo und

Wir hatten in letzter Zeit Probleme mit einem Rootkit, wenn Windows-Updates eingespielt wurden. Wenn Dein OpenSuse noch bootet, dann starte das mal und werte die Datei atapi.sys aus windows/system32 in Deiner Windowspartition bei Virustotal.com aus und poste den Ergebnislink.

Hallo und danke für deine Hilfe

leider finde ich in windows\system32 keine atapi.sys nur eine at.exe, einige Ati2....dll bzw. Ati3....dll

VG, Julian

Hallo nochmal,

in windows\system32\drivers liegt eine atapi.sys - hast du die gemeint?

Habe die mal bei VT auswerten lassen, war schon ausgewertet -> nochmal auswerten lassen:

Virustotal. MD5: 9f3a2f5aa6875c72bf062c712cfa2674 Win32.Rootkit

Code: Alles auswählenAufklappen

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.5.0.50	2010.03.11	-
AhnLab-V3	5.0.0.2	2010.03.11	-
AntiVir	8.2.1.180	2010.03.11	-
Antiy-AVL	2.0.3.7	2010.03.11	-
Authentium	5.2.0.5	2010.03.11	-
Avast	4.8.1351.0	2010.03.11	-
Avast5	5.0.332.0	2010.03.10	-
AVG	9.0.0.787	2010.03.11	-
BitDefender	7.2	2010.03.11	-
CAT-QuickHeal	10.00	2010.03.11	-
ClamAV	0.96.0.0-git	2010.03.11	-
Comodo	4229	2010.03.11	-
DrWeb	5.0.1.12222	2010.03.11	-
eSafe	7.0.17.0	2010.03.11	Win32.Rootkit
eTrust-Vet	35.2.7354	2010.03.11	-
F-Prot	4.5.1.85	2010.03.11	-
F-Secure	9.0.15370.0	2010.03.11	-
Fortinet	4.0.14.0	2010.03.09	-
GData	19	2010.03.11	-
Ikarus	T3.1.1.80.0	2010.03.11	-
Jiangmin	13.0.900	2010.03.11	-
K7AntiVirus	7.10.995	2010.03.11	-
Kaspersky	7.0.0.125	2010.03.11	-
McAfee	5917	2010.03.11	-
McAfee+Artemis	5917	2010.03.11	-
McAfee-GW-Edition	6.8.5	2010.03.11	-
Microsoft	1.5502	2010.03.11	-
NOD32	4937	2010.03.11	-
Norman	6.04.08	2010.03.11	-
nProtect	2009.1.8.0	2010.03.11	-
Panda	10.0.2.2	2010.03.11	-
PCTools	7.0.3.5	2010.03.11	-
Prevx	3.0	2010.03.11	-
Rising	22.38.03.04	2010.03.11	-
Sophos	4.51.0	2010.03.11	-
Sunbelt	5827	2010.03.11	-
Symantec	20091.2.0.41	2010.03.11	-
TheHacker	6.5.2.0.230	2010.03.11	-
TrendMicro	9.120.0.1004	2010.03.11	-
VBA32	3.12.12.2	2010.03.11	-
ViRobot	2010.3.11.2222	2010.03.11	-
VirusBuster	5.0.27.0	2010.03.11	-
weitere Informationen
File size: 96512 bytes
MD5...: 9f3a2f5aa6875c72bf062c712cfa2674
SHA1..: a719156e8ad67456556a02c34e762944234e7a44
SHA256: b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9
ssdeep: 1536:MwXpkfV74F1D7yNEZIHRRJMohmus27G1j/XBoDQi7oaRMJfYHFktprll1Kb
DD0uu:MQ+N74vkEZIxMohjsimBoDTRMBwFktZu
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x159f7
timedatestamp.....: 0x4802539d (Sun Apr 13 18:40:29 2008)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0x97ba 0x9800 6.45 0d7d81391f33c6450a81be1e3ac8c7b7
NONPAGE 0x9b80 0x18e8 0x1900 6.48 c74a833abd81cc5d037de168e055ad29
.rdata 0xb480 0xa64 0xa80 4.31 8523651899e28819a14bf9415af25708
.data 0xbf00 0xd94 0xe00 0.45 3575b51634ae7a56f55f1ee0a6213834
PAGESCAN 0xcd00 0x157f 0x1580 6.20 dc4c309c4db9576daa752fdd125fccf9
PAGE 0xe280 0x61da 0x6200 6.46 40b83d4d552384e58a03517a98eb4863
INIT 0x14480 0x22be 0x2300 6.47 906462abc478368424ea462d5868d2e3
.rsrc 0x16780 0x3e0 0x400 3.36 8fd2d82e745b289c28bc056d3a0d62ab
.reloc 0x16b80 0xd20 0xd80 6.39 ce2b0898cc0e40b618e5df9099f6be45

( 3 imports )
> ntoskrnl.exe: RtlInitUnicodeString, swprintf, KeSetEvent, IoCreateSymbolicLink, IoGetConfigurationInformation, IoDeleteSymbolicLink, MmFreeMappingAddress, IoFreeErrorLogEntry, IoDisconnectInterrupt, MmUnmapIoSpace, ObReferenceObjectByPointer, IofCompleteRequest, RtlCompareUnicodeString, IofCallDriver, MmAllocateMappingAddress, IoAllocateErrorLogEntry, IoConnectInterrupt, IoDetachDevice, KeWaitForSingleObject, KeInitializeEvent, KeCancelTimer, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, IoQueueWorkItem, MmMapIoSpace, IoInvalidateDeviceRelations, IoReportDetectedDevice, IoReportResourceForDetection, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, PoRequestPowerIrp, KeInsertByKeyDeviceQueue, PoRegisterDeviceForIdleDetection, sprintf, MmMapLockedPagesSpecifyCache, ObfDereferenceObject, IoGetAttachedDeviceReference, IoInvalidateDeviceState, ZwClose, ObReferenceObjectByHandle, ZwCreateDirectoryObject, IoBuildSynchronousFsdRequest, PoStartNextPowerIrp, IoCreateDevice, RtlCopyUnicodeString, IoAllocateDriverObjectExtension, RtlQueryRegistryValues, ZwOpenKey, RtlFreeUnicodeString, IoStartTimer, KeInitializeTimer, IoInitializeTimer, KeInitializeDpc, KeInitializeSpinLock, IoInitializeIrp, ZwCreateKey, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, ZwSetValueKey, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, IoStartPacket, KefReleaseSpinLockFromDpcLevel, IoBuildAsynchronousFsdRequest, IoFreeMdl, MmUnlockPages, IoWriteErrorLogEntry, KeRemoveByKeyDeviceQueue, MmMapLockedPagesWithReservedMapping, MmUnmapReservedMapping, KeSynchronizeExecution, IoStartNextPacket, KeBugCheckEx, KeRemoveDeviceQueue, KeSetTimer, _allmul, MmProbeAndLockPages, _except_handler3, PoSetPowerState, IoOpenDeviceRegistryKey, RtlWriteRegistryValue, RtlDeleteRegistryValue, _aulldiv, strstr, _strupr, KeQuerySystemTime, IoWMIRegistrationControl, KeTickCount, IoAttachDeviceToDeviceStack, IoDeleteDevice, ExAllocatePoolWithTag, IoAllocateWorkItem, IoAllocateIrp, IoAllocateMdl, MmBuildMdlForNonPagedPool, MmLockPagableDataSection, IoGetDriverObjectExtension, MmUnlockPagableImageSection, ExFreePoolWithTag, IoFreeIrp, IoFreeWorkItem, InitSafeBootMode, RtlCompareMemory, PoCallDriver, memmove, MmHighestUserAddress
> HAL.dll: KfAcquireSpinLock, READ_PORT_UCHAR, KeGetCurrentIrql, KfRaiseIrql, KfLowerIrql, HalGetInterruptVector, HalTranslateBusAddress, KeStallExecutionProcessor, KfReleaseSpinLock, READ_PORT_BUFFER_USHORT, READ_PORT_USHORT, WRITE_PORT_BUFFER_USHORT, WRITE_PORT_UCHAR
> WMILIB.SYS: WmiSystemControl, WmiCompleteRequest

( 0 exports )
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE_Patch
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: IDE/ATAPI Port Driver
original name: atapi.sys
internal name: atapi.sys
file version.: 5.1.2600.5512 (xpsp.080413-2108)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
pdfid.: -
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
         

Einzig eSafe will einen Win32.Rootkit erkannt haben.
Was meinst du dazu? - Ist das die Ursache?

VG, Julian

Ja, die in Drivers meinte ich. Aber die atapi.sys ist sauber. Blöderweise ist das mit dem Rootkit auch nur eine Vermutung und falls es das Rootkit überhaupt ist, kann es auch andere Dateien als die atapi.sys zur Manipulation ausgewählt haben.

> heise Security - Symantec: Rootkit verursacht Windows-XP-Bluescreens

Zitat:

Zitat von heise.de

Neben dem Treiber atapi.sys kann Tidserv auch anderen Treiber infiziert haben, etwa iastor.sys, idechndr.sys, ndis.sys, nvata.sys und vmscsi.sys. Betroffene Anwender sollten aber auch nach der Reparatur des Systems ein vollständige Windows-Neuinstallation in Betracht ziehen.

Hallo,

drei von den Drivern habe ich gefunden und bei VT auswerten lassen.

IaStor.sys

ndis.sys

nvatabus.sys

Die sind alle drei sauber.
Was wäre denn neben dem Rootkit noch eine Möglichkeit für den Bluescreen?

Ein Neuaufsetzten hätte auch zur Folge, dass ich OpenSuse wieder plattmachen müsste...
Könnte ich evtl. versuchen von CD zu booten und zu (R)eparieren?

Gruß, Julian

Zitat:

Ein Neuaufsetzten hätte auch zur Folge, dass ich OpenSuse wieder plattmachen müsste...

Die Linux-Partitionen musst Du ja nicht überschreiben. Ich würde vor dem Neuaufsetzen einfach den MBR unter Linux sichern und nach dem Windows-Setup wieder unter Linux (Live-CD?) zurückschreiben.

Zitat:

Zitat von StLB

Was wäre denn neben dem Rootkit noch eine Möglichkeit für den Bluescreen?

bei mir hatte sich mal der Treiber der Grafikkarte nicht mit der Jetico Firewall vertragen, Bluescreen.

Zitat:

Zitat von Heike

mit der Jetico Firewall vertragen, Bluescreen.

Was installierst Du Dir auch ne PFW...

eben, man sollte von solch Teufelszeug die Finger lassen, es war mir auch eine Lehre.