Zurck   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekmpfung

Plagegeister aller Art und deren Bekmpfung: BIOS/Firmware Virus/RK sehr hartnckig und intelligent

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwnschte Software zu deinstallieren bzw. zu lschen. Bitte schildere dein Problem so genau wie mglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.02.2010, 18:02   #1
BiosViruZzZ
 
BIOS/Firmware Virus/RK sehr hartnckig und intelligent - Standard

BIOS/Firmware Virus/RK sehr hartnckig und intelligent



Guten Abend Community,

mein Notebook hat es mit einem sehr widerlichen Virus/Rootkit zu tun,
dieser erstellt bei der Installation von jeglichem OS einen RAMDISK und installiert von dort aus das Betriebssystem, FINDRAMD besttigt error Laufwerk c=3.

2 Ordner und paar dateien erstellt dieser Virus/RK $WIN_NT$.~BT und $WIN_NT$.~LS in diesen dann die Ordner I386 und system32 enthalten sind.
und immer wieder diese komischen Prfixe $LPR$ z.B.

BIOS habe ich geflasht jedoch ohne Erfolg, beim booten richtet er sich immer wieder neu ins RAMDISK nach der Meldung NVRAM checking und bei NVRAM updatet ..OK ist er wieder aktiv. Neu ist auch das eine Ausgabe auftaucht mit smtlichen USB Gerten die angeschlossen sind.

Rechts unten erscheint eine Zahl z.B A078 A068 die bei jedem refresh des Screens,


Batterie habe ich schon rausgenommen und smtliche Hardware die ich nicht zum booten brauche, jedoch ohne Erfolg.

Linux habe ich mit und ohne Festplatte gebootet, so richtig als root will er mich nicht rein lassen weil jedesmal nach der Befehlszeile Root:# <-- ein Prfix dahinter sitzt.

VGA BIOS Version wird angezeigt mit VER009.012.001.013.A05801.012

Ich bin schon lngst verzweifeltes Screens sich ndert.

Batterie habe ich schon rausgenommen und smtliche Hardware die ich nicht zum booten brauche, jedoch ohne Erfolg.

Linux habe ich mit und ohne Festplatte gebootet, so richtig als root will er mich nicht rein lassen weil jedesmal nach der Befehlszeile Root:# <-- ein Prfix dahinter sitzt.

VGA BIOS Version wird angezeigt mit VER009.012.001.013.A05801.012

Ich bin schon lngst verzweifelt, Antivirus Software eignet er sich sich an sodass er nichts erkennt und mit WindowsUpdate sich Datenmaterial holt.

Hier noch das Startup Info vom csrss.exe was mich sehr stutzig macht

Code:
ATTFilter
C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
         
Code:
ATTFilter
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
         
und berall @shell ...dll die irgendwie mit eingebunden sind in die Prozesse \system\GDI32.dll \system\KERNEL32.dll RPCRT.dll

Alt 22.02.2010, 21:32   #2
cosinus
/// Winkelfunktion
/// TB-Sch-Tiger™
 
BIOS/Firmware Virus/RK sehr hartnckig und intelligent - Standard

BIOS/Firmware Virus/RK sehr hartnckig und intelligent



Hallo und

Zitat:
dieser erstellt bei der Installation von jeglichem OS einen RAMDISK und installiert von dort aus das Betriebssystem,
Wieso bist Du Dir so sicher, dass gerade ein Schdling dise RAM-Disk und erstellt und woher weit Du, dass berhaupt eine RAM-Disk aktiv wird?

Zitat:
FINDRAMD besttigt error Laufwerk c=3.
findramd.exe ist ein ein Win9x-Programm, unter welchem OS fhrst Du das aus?

Zitat:
2 Ordner und paar dateien erstellt dieser Virus/RK $WIN_NT$.~BT und $WIN_NT$.~LS in diesen dann die Ordner I386 und system32 enthalten sind.
Von welchem Medium installierst Du welches Windows?

Zitat:
weil jedesmal nach der Befehlszeile Root:# <-- ein Prfix dahinter sitzt.
Was fr ein Prfix meinst Du da?
Du hast Erfahrung mit der Linuxshell, was willst Du da genau machen und hast Du berhaupt in der shell auch mit dem "Prfix" die Befehlseingabe getestet?

Das klingt alles nicht nicht nachvollziehbar was Du da so schreibst...
__________________

__________________

Alt 23.02.2010, 00:05   #3
BiosViruZzZ
 
BIOS/Firmware Virus/RK sehr hartnckig und intelligent - Standard

BIOS/Firmware Virus/RK sehr hartnckig und intelligent



Zitat:
Wieso bist Du Dir so sicher, dass gerade ein Schdling dise RAM-Disk und erstellt und woher weit Du, dass berhaupt eine RAM-Disk aktiv wird?
Ich habs beim installieren von einer Recovery Disk Asus Windows XP mit dem auf dem CD vorhandenem Programm Smartdrv getestet, also Laufwerk A B und C wurden angezeigt unter Y: war dann mein DVD-Laufwerk und C wurde als RAMDISK LAufwerk angezeigt.

FINDRAMD habe ich genauso ausgefhrt, woraufhin er mir C als Ramdisk zeigte.

Zitat:
Von welchem Medium installierst Du welches Windows?
vom DVD-LAufwerk Windows XP, in die Recovery Konsole lsst ermich gar nicht rein, sodass es vorher mit einem Bluescreen abstrzt ..Fehler pci.sys

nur mit der Recovery DVD kann ich das System einigermaen installieren, aber halt mit den ausgetauschten Windows Dateien, das Virus scheint auch Zertifikate (von Versisign?) als gltig erscheinen obwohl diese nicht gltig sein drften, habe diese lschen knnen worraufhin gleich Windows mit einer Fehlermeldung prompt kam, da diese keine Original Windows Dateien sein knnen, weiter bin ich aber nicht gekommen.

mit der Linuxshell wollte ich lediglich das MBR lschen mit /fixmbr dd if=/dev/zero of=/dev/xxx bs=440 count=1

aber die Original root wird irgendwie versteckt.....

Konfus studiere schon seit Tagen das Verhalten von diesem Plagegeist, verstndlich wenn es nicht nachvollziehbar ist

Kann es sein dass das Programm mit $bytesion 5.02 geschrieben worden ist? das habe ich nch in irgendeiner Datei rauslesen knnen .. die Frage brauchst du nicht zu beantworten
__________________

Alt 23.02.2010, 00:18   #4
BiosViruZzZ
 
BIOS/Firmware Virus/RK sehr hartnckig und intelligent - Standard

BIOS/Firmware Virus/RK sehr hartnckig und intelligent



Achso hier habe ich noch eine Kopie von meiner HKEY Current User Registry Datei die ich mit GMER exportiert habe, einige Eintrge sind rot markiert, was interessant sein knnte


hier die komplette REG

http://www.filedump.net/dumped/registry1266881135.zip

Gendert von BiosViruZzZ (23.02.2010 um 00:29 Uhr)

Alt 23.02.2010, 00:59   #5
cosinus
/// Winkelfunktion
/// TB-Sch-Tiger™
 
BIOS/Firmware Virus/RK sehr hartnckig und intelligent - Standard

BIOS/Firmware Virus/RK sehr hartnckig und intelligent



Zitat:
also Laufwerk A B und C wurden angezeigt unter Y: war dann mein DVD-Laufwerk und C wurde als RAMDISK LAufwerk angezeigt.
Was ist denn jetzt an der RAM-Disk so schlimm? Ich will so nicht ganz glauben, dass ein Schdling im BIOS stndig RAM-Disks erstellt, wenn ein Windows aktiv ist
Schonmal berlegt, dass diese von der Recovery-CD selbst kommen knnen? Auf vielen Recovery-Medien werkelt ein PE (=Preinstalled Environment) und wer BartPE kennt, der wei auch, dass eigentlich immer ne RAM-Disk erstellt wird.

Zitat:
sodass es vorher mit einem Bluescreen abstrzt ..Fehler pci.sys
SATA-Platte? Stell im BIOS den Plattencontroller (SATA) mal von AHCI auf IDE bzw. 'compatible' - Windows XP braucht im Setup idR Treiber fr Platten, die im AHCI-Modus laufen, per F6 eingebunden.

Zitat:
mit der Linuxshell wollte ich lediglich das MBR lschen mit /fixmbr dd if=/dev/zero of=/dev/xxx bs=440 count=1
Ist eigentlich unntig, da Windows bei der Neuinstallation auch den MBR schreibt.

Zitat:
aber die Original root wird irgendwie versteckt.....
Die Rootpartition? Wie soll die versteckt sein?
Tipp mal ein mount in die shell von Linux ein und dann siehste welches /dev/xxx auf / eingehngt ist

Zitat:
Konfus studiere schon seit Tagen das Verhalten von diesem Plagegeist,
Ich glaube Du bist auf dem Holzweg, denn da ist kein Plagegeist im BIOS
Studiere besser mal unserer Anleitung zur Neuinstallation von Windows.

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung fr einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board untersttzen
Warum Linux besser als Windows ist!

Alt 23.02.2010, 02:11   #6
BiosViruZzZ
 
BIOS/Firmware Virus/RK sehr hartnckig und intelligent - Standard

BIOS/Firmware Virus/RK sehr hartnckig und intelligent



hm ja vielleicht bin ich ja nur Paranoid



aber ich werde das Gefhl nicht los, dass meine Windows Umgebung vom "Plagegeist" emuliert wird
Zitat:
SATA-Platte? Stell im BIOS den Plattencontroller (SATA) mal von AHCI auf IDE bzw. 'compatible' - Windows XP braucht im Setup idR Treiber fr Platten, die im AHCI-Modus laufen, per F6 eingebunden.
Nee ist ne stinknormale IDE

das mit Mount in der Linux Shell ist eine Idee, was ich noch spter ausfhren werde. thx fr deine Anregungen ich werde bekloppt

Alt 23.02.2010, 12:56   #7
cosinus
/// Winkelfunktion
/// TB-Sch-Tiger™
 
BIOS/Firmware Virus/RK sehr hartnckig und intelligent - Frage

BIOS/Firmware Virus/RK sehr hartnckig und intelligent



So ganz klar ist mir das aber noch nicht bei Dir und auf meine Fragen gest Du auch nicht so richtig ein
  1. Vorgeschichte? Hast Du an Deinem Rechner gefummelt, BIOS upgedated und den Rechner damit vermurkst?
  2. Was ist mit Deiner Windows-Installation passiert? Defekt, voll mit Viren, was ist nun mit der Neuinstallation? Getestet? Wenn ja, was genau geht nicht?
  3. Linux-Shell: Ehrlich gesagt wei ich nicht was Du damit vorhast, selbst wenn Du mit mount "alles" siehst, was fngst Du damit an?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung fr einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board untersttzen
Warum Linux besser als Windows ist!

Alt 26.02.2010, 17:53   #8
BiosViruZzZ
 
BIOS/Firmware Virus/RK sehr hartnckig und intelligent - Standard

BIOS/Firmware Virus/RK sehr hartnckig und intelligent



So, hat sich besttigt der Root ist im BIOS

hab HD rausgehngt und mit MEM.exe den Speicher lesen lassen,

die ersten Sektoren von der HD werden mit Microsoft Hauseigenen Produkten Cypto... gelockt und so der MBR unlesbar gemacht, sodass ich die ersten 63 Sektoren weder mit dd... noch mit anderen Tools lschen kann. Ist echt wicked

Alt 26.02.2010, 18:31   #9
BiosViruZzZ
 
BIOS/Firmware Virus/RK sehr hartnckig und intelligent - Standard

BIOS/Firmware Virus/RK sehr hartnckig und intelligent



Zitat:
Zitat von cosinus Beitrag anzeigen
So ganz klar ist mir das aber noch nicht bei Dir und auf meine Fragen gest Du auch nicht so richtig ein
  1. Vorgeschichte? Hast Du an Deinem Rechner gefummelt, BIOS upgedated und den Rechner damit vermurkst?
  2. Was ist mit Deiner Windows-Installation passiert? Defekt, voll mit Viren, was ist nun mit der Neuinstallation? Getestet? Wenn ja, was genau geht nicht?
  3. Linux-Shell: Ehrlich gesagt wei ich nicht was Du damit vorhast, selbst wenn Du mit mount "alles" siehst, was fngst Du damit an?
Sorry hatte Probs ins Internet zu kommen durch den Root verursacht.

ich habe erst das Bios versucht upzudaten nachdem ich die Symptome entdeckt habe und gesehen habe, dass sich der Root Flashing tools frs BIOS bereit gestellt hatte.

ich habe das System jetzt wieder mal neu aufgesetzt, der Root emuliert meine Windows Umgebung,

ich habe es geschafft die LOG Datei abzusnappen die Windows bei der Installation erstellt hat, da kann man verfolgen, was alles der Root verndert.

Code:
ATTFilter
...07/27/2006 00:55:05.765,d:\xpsprtm\base\ntsetup\syssetup\ctls.c,444,,SETUP: file to register is C:\WINDOWS\system32\rsaenh.dll...
07/27/2006 00:55:05.875,d:\xpsprtm\base\ntsetup\syssetup\ctls.c,467,,SETUP: C:\WINDOWS\system32\rsaenh.dll registered successfully
07/27/2006 00:55:05.937,d:\xpsprtm\base\ntsetup\syssetup\ctls.c,444,,SETUP: file to register is C:\WINDOWS\system32\dssenh.dll...
07/27/2006 00:55:06.000,d:\xpsprtm\base\ntsetup\syssetup\ctls.c,467,,SETUP: C:\WINDOWS\system32\dssenh.dll registered successfully
07/27/2006 00:55:06.046,d:\xpsprtm\base\ntsetup\syssetup\ctls.c,444,,SETUP: file to register is C:\WINDOWS\system32\initpki.dll...
07/27/2006 00:55:12.796,d:\xpsprtm\base\ntsetup\syssetup\ctls.c,467,,SETUP: C:\WINDOWS\system32\initpki.dll registered successfully
07/27/2006 00:55:18.312,d:\xpsprtm\base\ntsetup\syssetup\cmdline.c,228,,SETUP: SpSetupLoadParameter was unable to find nondriversigningpolicy.
07/27/2006 00:55:18.406,d:\xpsprtm\base\ntsetup\syssetup\log.c,133,,C:\$WIN_NT$.~LS\I386\NT5INF.CA_ wurde nach C:\WINDOWS\system32\dllcache\NT5INF.CAT kopiert.

07/27/2006 00:55:18.593,d:\xpsprtm\base\ntsetup\syssetup\log.c,133,,C:\$WIN_NT$.~LS\I386\NT5.CA_ wurde nach C:\WINDOWS\system32\dllcache\NT5.CAT kopiert.

07/27/2006 00:55:18.812,d:\xpsprtm\base\ntsetup\syssetup\log.c,133,,C:\$WIN_NT$.~LS\I386\SP2.CAT wurde nach C:\WINDOWS\system32\dllcache\SP2.CAT kopiert.

07/27/2006 00:55:18.890,d:\xpsprtm\base\ntsetup\syssetup\log.c,133,,C:\$WIN_NT$.~LS\I386\NTPRINT.CAT wurde nach C:\WINDOWS\system32\dllcache\NTPRINT.CAT kopiert.

07/27/2006 00:55:18.968,d:\xpsprtm\base\ntsetup\syssetup\log.c,133,,C:\$WIN_NT$.~LS\I386\NT5IIS.CA_ wurde nach C:\WINDOWS\system32\dllcache\NT5IIS.CAT kopiert.

07/27/2006 00:55:19.015,d:\xpsprtm\base\ntsetup\syssetup\log.c,133,,C:\$WIN_NT$.~LS\I386\MAPIMIG.CA_ wurde nach C:\WINDOWS\system32\dllcache\MAPIMIG.CAT kopiert.

07/27/2006 00:55:19.031,d:\xpsprtm\base\ntsetup\syssetup\log.c,133,,C:\$WIN_NT$.~LS\I386\FP4.CA_ wurde nach C:\WINDOWS\system32\dllcache\FP4.CAT kopiert.

07/27/2006 00:55:19.046,d:\xpsprtm\base\ntsetup\syssetup\log.c,133,,C:\$WIN_NT$.~LS\I386\IMS.CAT wurde nach C:\WINDOWS\system32\dllcache\IMS.CAT kopiert.

07/27/2006 00:55:19.062,d:\xpsprtm\base\ntsetup\syssetup\log.c,133,,C:\$WIN_NT$.~LS\I386\MSMSGS.CA_ wurde nach C:\WINDOWS\system32\dllcache\MSMSGS.CAT kopiert.

07/27/2006 00:55:19.062,d:\xpsprtm\base\ntsetup\syssetup\log.c,133,,C:\$WIN_NT$.~LS\I386\HPCRDP.CA_ wurde nach C:\WINDOWS\system32\dllcache\HPCRDP.CAT kopiert.

07/27/2006 00:55:19.078,d:\xpsprtm\base\ntsetup\syssetup\log.c,133,,C:\$WIN_NT$.~LS\I386\MW770.CA_ wurde nach C:\WINDOWS\system32\dllcache\MW770.CAT kopiert.

07/27/2006 00:55:19.156,d:\xpsprtm\base\ntsetup\syssetup\log.c,133,,C:\$WIN_NT$.~LS\I386\wmerrenu.ca_ wurde nach C:\WINDOWS\system32\dllcache\wmerrenu.cat kopiert.

07/27/2006 00:55:19.156,d:\xpsprtm\base\ntsetup\syssetup\log.c,133,,C:\$WIN_NT$.~LS\I386\IASNT4.CA_ wurde nach C:\WINDOWS\system32\dllcache\IASNT4.CAT kopiert.

07/27/2006 00:55:19.171,d:\xpsprtm\base\ntsetup\syssetup\log.c,133,,C:\$WIN_NT$.~LS\I386\MSTSWEB.CA_ wurde nach C:\WINDOWS\system32\dllcache\MSTSWEB.CAT kopiert.

07/27/2006 00:55:19.187,d:\xpsprtm\base\ntsetup\syssetup\log.c,133,,C:\$WIN_NT$.~LS\I386\OEMBIOS.CA_ wurde nach C:\WINDOWS\system32\dllcache\OEMBIOS.CAT kopiert.

07/27/2006 00:55:19.203,d:\xpsprtm\base\ntsetup\syssetup\log.c,133,,C:\$WIN_NT$.~LS\I386\msn7.ca_ wurde nach C:\WINDOWS\system32\dllcache\msn7.cat kopiert.

07/27/2006 00:55:19.218,d:\xpsprtm\base\ntsetup\syssetup\log.c,133,,C:\$WIN_NT$.~LS\I386\msn9.ca_ wurde nach C:\WINDOWS\system32\dllcache\msn9.cat kopiert.

07/27/2006 00:55:19.234,d:\xpsprtm\base\ntsetup\syssetup\log.c,133,,C:\$WIN_NT$.~LS\I386\startoc.ca_ wurde nach C:\WINDOWS\system32\dllcache\startoc.cat kopiert.

07/27/2006 00:55:19.250,d:\xpsprtm\base\ntsetup\syssetup\cmdline.c,228,,SETUP: SpSetupLoadParameter was unable to find AccMagnifier.
07/27/2006 00:55:19.250,d:\xpsprtm\base\ntsetup\syssetup\cmdline.c,228,,SETUP: SpSetupLoadParameter was unable to find AccReader.
07/27/2006 00:55:19.250,d:\xpsprtm\base\ntsetup\syssetup\cmdline.c,228,,SETUP: SpSetupLoadParameter was unable to find AccKeyboard.
07/27/2006 00:55:19.265,d:\xpsprtm\base\ntsetup\syssetup\cmdline.c,228,,SETUP: SpSetupLoadParameter was unable to find optionaldirs.
07/27/2006 00:55:19.265,d:\xpsprtm\base\ntsetup\syssetup\cmdline.c,228,,SETUP: SpSetupLoadParameter was unable to find userexecute.
07/27/2006 00:55:19.265,d:\xpsprtm\base\ntsetup\syssetup\cmdline.c,228,,SETUP: SpSetupLoadParameter was unable to find skipmissingfiles.
07/27/2006 00:55:19.265,d:\xpsprtm\base\ntsetup\syssetup\syssetup.c,1955,END_SECTION,Processing parameters from sif
07/27/2006 00:55:19.265,d:\xpsprtm\base\ntsetup\syssetup\syssetup.c,1970,BEGIN_SECTION,Loading service pack (phase 1)
07/27/2006 00:55:19.375,d:\xpsprtm\base\ntsetup\syssetup\syssetup.c,1986,END_SECTION,Loading service pack (phase 1)
07/27/2006 00:55:19.375,d:\xpsprtm\base\ntsetup\syssetup\syssetup.c,2004,BEGIN_SECTION,Cleaning up hard drive tags
07/27/2006 00:55:19.375,d:\xpsprtm\base\ntsetup\syssetup\syssetup.c,2006,END_SECTION,Cleaning up hard drive tags
07/27/2006 00:55:19.375,d:\xpsprtm\base\ntsetup\syssetup\syssetup.c,2017,BEGIN_SECTION,Initializing OEM preinstall
07/27/2006 00:55:19.390,d:\xpsprtm\base\ntsetup\syssetup\syssetup.c,2019,END_SECTION,Initializing OEM preinstall
07/27/2006 00:55:19.390,d:\xpsprtm\base\ntsetup\syssetup\syssetup.c,2250,BEGIN_SECTION,Invoking external app (unattended only)
07/27/2006 00:55:19.390,d:\xpsprtm\base\ntsetup\syssetup\syssetup.c,2286,END_SECTION,Invoking external app (unattended only)
07/27/2006 00:55:19.390,d:\xpsprtm\base\ntsetup\syssetup\syssetup.c,2316,BEGIN_SECTION,Initialize user profiles (preinstall)
07/27/2006 00:55:19.625,d:\xpsprtm\base\ntsetup\syssetup\syssetup.c,2359,END_SECTION,Initialize user profiles (preinstall)
07/27/2006 00:55:19.625,d:\xpsprtm\base\ntsetup\syssetup\syssetup.c,2395,BEGIN_SECTION,Copying System Files...
         
weiteres http://www.filedump.net/dumped/mobo1267204415.txt

sieht so aus als ob ich das System aufgeben aus :-( es sei denn ihr zeigt mir einen Ausweg

Gendert von BiosViruZzZ (26.02.2010 um 18:37 Uhr)

Alt 26.02.2010, 18:53   #10
BiosViruZzZ
 
BIOS/Firmware Virus/RK sehr hartnckig und intelligent - Standard

BIOS/Firmware Virus/RK sehr hartnckig und intelligent



In der Datei NTLDR konnte ich folgendes kopieren, zuvor habe ich es nicht geschafft den Inhalt aus dem Zwischenspeicher zu kopieren weil der Inhalt beim kopieren ungltig wurde.

Code:
ATTFilter
Zur Ausfhrung von Windows NT werden 512 KB konventioneller 
Speicherplatz ben”tigt. Sie mssen evtl. Ihren Computer aufrsten 
oder ein Konfigurationsprogramm des Herstellers ausfhren.
 Windows NT hat nicht gengend Erweiterungsspeicher gefunden. Zur
Ausfhrung von Windows NT werden 7 MB Erweiterungsspeicher 
ben”tigt. Sie mssen evtl. Ihren Computer aufrsten oder ein 
Konfigurationsprogramm des Herstellers ausfhren.


Speichertabelle:
     %lx - %lx
 NTLDR ist besch„digt. Das System kann nicht gestartet werden. NTLDR ist besch„digt. Das System kann nicht gestartet werden. ax:%x dx:%x cx:%x bx:%x es:%x
    
 TRAP %lx  
DEBUG TRAP   ================== DOUBLE FAULT ================================ 

  ===== STACK SEGMENT OVERRUN or NOT PRESENT FAULT =============== 

  ============== GENERAL PROTECTION FAULT ======================== 

  =================== PAGE FAULT ================================= 

 ** At linear address %lx
  ===================== EXCEPTION ================================ 

 
 tr=%x  cr0=%lx  cr2=%lx  cr3=%lx
  gdt limit=%x  base=%lx    idt limit=%x  base=%lx
 
 cs:eip=%x:%lx  ss:esp=%x:%lx  errcode=%x
  eax=%lx  ebx=%lx  ecx=%lx  edx=%lx  ds=%x  es=%x
  edi=%lx  esi=%lx  ebp=%lx  cr0=%lx  fs=%x  gs=%x
  flags=%lx   Cy  NoCy  Zr  NoZr  IntEn IntDis  Up  Down  TrapEn 
 TrapDis 
 Link %x
 Esp0 %x
 SS0  %x
 Esp1 %lx
 Cr3  %lx
 Eip  %lx
 Eflg %lx
 Eax  %lx
 Ebx  %lx
 Ecx  %lx
 Edx  %lx
 Esp  %lx
 Ebp  %lx
 Esi  %lx
 Edi  %lx
 ES   %x
 CS   %x
 SS   %x
 DS   %x
 FS   %x
 GS   %x
 Ldt  %x
                          MZ                @                                       	!L!This program cannot be run in DOS mode. $       žC))“)))Rich                PE  L
 N{A         

F „€   ‹N;hbin‰^w   r ft F   ‹O$ƒ‰  j SVPWa€=*G  u	F t=	  @u‹G$ƒˆ  3…Œ8‹F;u‚/!L                                                                                                          N{A       L   P^ P< C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC ‚SPS    SPQ    ‚HLR    HLQ    ‚NCE    ‚NCR    NCQ    ‚NAK    OFF    ‚UNR    ‚ERR    ‚RSP    REQ    ‚RSU    RQU    ‚RES    AU2    AUT    ‚CHL    NEG     NOLEGACY   \ntdetect.com   ntdetect.com    \i386\ntdetect.com  InitializeMemory failed %lx
    multi(0)disk(0)rdisk(0)partition(1) multi(0)disk(0)rdisk(0)partition(%u)    
Rebooting in 5 seconds...
 Couldn't initialize I/O
    Couldn't initialize memory
 Couldn't allocate memory for TSS
   Couldn't allocate memory for PCR
   multi(0)disk(0)rdisk(0)partition(0) multi(0)disk(0)cdrom(%u)    ramdisk(0)  net(0)  multi(0)disk(0)fdisk(0) C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC 
*** Assertion failed %s in %s line %d
 C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC S c s i A d a p t e r   %04x    C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC SPCR    _UUID_   C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC         LoaderMemoryData descriptor!
   ERROR - FwAllocateHeapPermanent couldn't find the
  Out of permanent heap!
 Out of temporary heap!
 GDT - %lx (%x)  IDT - %lx (%x)
 ERROR - GDT and IDT are not contiguous!
    ERROR - MempSetupPaging(%lx, %lx) failed
   MempSetDescriptorRegion failed %lx
 C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC FACP    C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC PXENV_GET_BINL_INFO(BINLREPLY) failed with %x
  PXENV_GET_BINL_INFO(DHCPACK) failed with %x
    n e t   C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC net(    C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC .rsrc   V S _ V E R S I O N _ I N F O   C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC ERROR - Unimplemented Firmware Vector called (FID %lx)
 TRUE    LastKnownGood   multi(0)disk(0)rdisk(1)partition(0) multi(0)disk(0)rdisk(1)partition(%d)    multi(0)disk(0)rdisk(1)partition(1) D:  multi(0)disk(0)rdisk(0)partition(%d)    C:  multi(0)disk(0)fdisk(1)partition(0) B:  multi(0)disk(0)fdisk(0)partition(0) A:  %s(%d)  BlFindDiskSignature found no match for %s
  multi   eisa    multi(xxx)disk(xxx)rdisk(xxx)                       NTBOOTDD.SYS    \NTBOOTDD.SYS   C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC restart   Restart the system immediately.
 ?        Display this message.
    Invalid Command, use '?' for help.
    restart help    ?           \   !SAC>   
  C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC 5.1.2600.2180   C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC HalGetBusData: SlotDataSize > TotalDataSize
    HalGetBusData: KeFindConfigurationEntry failed
 C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC scsi(%d)cdrom(%d)fdisk(%d)  scsi(%d)disk(%d)rdisk(%d)   scsi(%d)disk(%d)fdisk(%d)   scsi(%1d)   BuildRequest: Write Command
    BuildRequest: Read Command
 StartUnit: Enter routine
   InterpretSenseInfo: Request sense info not valid
   InterpretSenseInfo: Media changed
  InterpretSenseInfo: Bus reset
  InterpretSenseInfo: Unit attention
 InterpretSenseInfo: Media write protected
  InterpretSenseInfo: Command aborted
    InterpretSenseInfo: Unrecognized sense code
    InterpretSenseInfo: Illegal command
    InterpretSenseInfo: Illegal block address
  InterpretSenseInfo: Invalid LUN
    InterpretSenseInfo: Music area
 InterpretSenseInfo: Data area
  InterpretSenseInfo: Volume overflow
    InterpretSenseInfo: Illegal SCSI request
   InterpretSenseInfo: No specific sense key
  InterpretSenseInfo: In process of becoming ready
   InterpretSenseInfo: Manual intervention required
   InterpretSenseInfo: Format in progress
 InterpretSenseInfo: Initializing command required
  InterpretSenseInfo: Lun not ready
  InterpretSenseInfo: Waiting for device
 InterpretSenseInfo: Device not ready
   InterpretSenseInfo: Bad media
  InterpretSenseInfo: Hardware error
 InterpretSenseInfo: Additional sense code qualifier is %x
  InterpretSenseInfo: Additional sense code is %x
    InterpretSenseInfo: Sense key is %x
    InterpretSenseInfo: Error code is %x
   ScsiDiskFilterBad:  Found Hitachi CDR-1750S.
   HITACHI CDR-3650/1650S  HITACHI CDR-1750S   FilterBad: Enter routine
   FindScsiDevices: Vendor string is %s
   %s  FindScsiDevices: Vendor string is %.24s
    FindScsiDevices: Inquiry data at %lx
   SCSI ReadDriveCapacity: Number of Sectors is %d
    SCSI ReadDriveCapacity: Sector size is %d
  SCSI ReadCapacity: Enter routine
   partition   disk    cdrom   fdisk   rdisk   scsi(0) )disk   scsi    signature   C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC IoAllocateAdapterChannel:  Out of map registers.
   IoAllocateAdapterChannel: Called while adapter in use.
 C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC c d f s     C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC CDROM   CD001   u d f s     C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC +NSR    n t f s     C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC \bootstat.dat   \hiberfil.sys   NTFS        f a s t f a t   C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC e t f s     C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC EL TORITO SPECIFICATION C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC \BOOTFONT.BIN   BOOTFONT.BIN    C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC multi(0)video(0)monitor(0)  multi(0)key(0)keyboard(0)   eisa(0)disk(0)fdisk(1)  multi(0)disk(0)fdisk(1) eisa(0)disk(0)fdisk(0)  eisa(0)disk(0)fdisk(1)partition(0)  eisa(0)disk(0)fdisk(0)partition(0)  C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC RamdiskOpen: no file table entry available
 RamdiskOpen: exit success
  RamdiskOpen: not ramdisk 0
 RamdiskOpen: not a ramdisk path
    ramdisk RamdiskMount called
    RamdiskReadStatus called
   RamdiskSetFileInfo called
  RamdiskRename called
   RamdiskGetDirectoryEntry called
    RDIMAGELENGTH = 0x%0I64x bytes
 RDIMAGEOFFSET = 0x%x bytes
 RDCHUNKSIZE = 0x%0I64x bytes
   RDFILESIZE = 0x%0I64x bytes
    RDMTFTPTIMEOUT = %d
    RDMTFTPDELAY = %d
  RDMTFTPSPORT = %d
  RDMTFTPCPORT = %d
  RDMTFTPADDR = %u.%u.%u.%u
  RDPATH = %s
    RAMDISK options:
   RDCHUNKSIZE RDFILESIZE  RDMTFTPTIMEOUT  RDMTFTPDELAY    RDMTFTPSPORT    RDMTFTPCPORT    RDMTFTPADDR RDIMAGELENGTH   RDIMAGEOFFSET   RDPATH  %08lx
 Unable to read RAM disk image: status %d count %x (wanted %x)
  Unable to seek RAM disk image: %d
  Done reading ramdisk
   BlGetFileInformation(%s) failed: %d
    BlOpen(%s) failed: %d
  RomMtftpReadFile failed %d
     MTFTP Download complete. 0x%I64x bytes transferred using %d sessions
   MTFTP Session %d: %s from %u.%u.%u.%u sport=%d cport=%d offset=0x%I64x
 Allocated %d pages at page %x for RAM disk
 BlAllocateAlignedDescriptor(%d pages) failed: %d
   Downloading Ramdisk using MTFTP. File Size=0x%I64x Chunk Size=0x%I64x
  status from TftpGetPut 0x%x
    calling TftpGetPut(%s,0x%x)
    ArcOpen(%s) failed: %d
 no \ found in path
 RamdiskReadImage(%s)
   Ramdisk is active
  RamdiskInitializeFromPath(%s)
  RamdiskWrite entered
   Mapped offset %x, va %p, availableLength %x
    RamdiskRead: read beyond EOF
   RamdiskRead: offset %x, length %x, buffer %p
   term    keyboard    pointer print   monitor modem   other   audio   key point   par video   net serial  worm    tape    dti tc  sc  sdc sic pdc pic fpu cpu arc C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC \Device\Harddisk    %s%s(%d)%s(%d)%s(%d)    \Device\Floppy  \Device\CDRom   %s%s(%d)%s(%d)  C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC partition(0)    C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC BD: %s base address %p
 OS Loader   .debug  C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC         [%d;%dH    C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC [%dm   %s%wZ   C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC PCI C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC EFI PART    C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC 3gb 3GB C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC \boot.bmp   C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC CentaurHauls    GenuineTmx86    CyrixInstead    AuthenticAMD    GenuineIntel    C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC DEBUGSTOP   BD: Boot Debugger Initialized
  COM DEBUG   BAUDRATE    DEBUGPORT   NODEBUG C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC 
Boot Debugger Using: COM%d (Baud Rate %d)
 File too big    C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC Bad opcode received Bad TFTP packet length  Timeout on receive  Unexpected port number  Block number greater than expected  Sorry, wasn't talking to you!   Bad TFTP options    tsize   blksize octet           œA A A A A A         3A A A A A A         A A A A A A         (A A A A A A         A A A A A A         A A A A A A %s: %s() failed 0x%lx
%s: OldBase     : %p
%s: NewBase     : %p
%s: Diff        : 0x%I64x
%s: NextOffset  : %p
%s: *NextOffset : 0x%x
%s: SizeOfBlock : 0x%lx
  LdrRelocateImageWithBias            –0 w,aQ	™m jp5c•dž2ˆyˆ—+L	|~ -‘d jHqA„}mQ…ƒV˜lkdzbeŠO\lcc=
 n;^iLA`rqg<GK…
k
5l˜Bɻ@l2u\E
Y=ѫ0&: Q€Qaп!#ijV™•ž(ˆ_$
‡|o/LhXa=-fAvq ˜*‰…qŸ3Ը x4 Ž	–˜
j-=m—ld‘\cQkkbal0e…N b•l{‚WٰeP긾‹|ˆbI-|ŒeLXaMQ:t 0AJ•=mѤjiCn4Fˆg*и`s-D3_L
|
<qPA'
† %hW…o 	fŸa^˜)"˜а=Y
.;\*l ƒššұt9Gwҝ&ƒs
c„;d”>jm
Zjz
	“' 
ž }D“ң‡hi]Wbge€q6lknv+‰ZzJgo߹ŽCŽ`~“ѡ8ROggW?K6H+
L
J6`zA`UgŽn1yiFŒaƒf*o%6hR•wG
"/&U;(
’Z+j\1е‹ž,[d›&cœju
“m	œ?6…g rW ‚J•z+{8›Ž’
|!
†Bhnƒ[&wowGZˆpj;f\
žeibkaElx
*
TƒN³9a&g`MGiIwn>JjѮZf
@;7SžϲG0Šº0“S$6к“)WTg#.zfJah]”+o*7
ŽZ-          ‚   B   "             @   €                         EEE50 P     (8PX  700WP         `h````  ppxxxx              ( n u l l )     (null)                          ( ( ( ( (                                     H                „ „ „ „ „ „ „ „ „ „                                        ‚ ‚ ‚ ‚ ‚ ‚                                                                                                                                                                                                                                                                                                                     h ( ( ( (                                     H                „ „ „ „ „ „ „ „ „ „              ‚‚‚‚‚‚                                                                      H                                  EROFS   ENXIO   ENOTTY  ENOTDIR ENOSPC  ENOMEM  ENOEXEC ENOENT  ENODEV  ENAMETOOLONG    EMLINK  EMFILE  EISDIR  EIO EINVAL  EFAULT  EBUSY   EBADF   EAGAIN  EACCES  E2BIG   operation was success   C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC \pagefile.sys   consolein   consoleout  partition(  %spartition(0)  signature(  \AppPatch\  d r v m a i n . s d b   \inf\   \SYSTEM\    \FONTS\ \system32\  SYSTEM  \SYSTEM32\CONFIG\SYSTEM.SAV system.sav  \SYSTEM32\CONFIG\SYSTEM system.alt  system  \system32\config\   

    x86systempartition  s a c d r v . s y s     s a c d r v     S A C   hal.dll ntoskrnl.exe    kdcom.dll   systempartition system32\   \SystemRoot LastGood\   LastGood.Tmp\   SDIBOOT=    osloadpartition LASTKNOWNGOOD   osloadfilename  osloader    xipmegs=    XIPMEGS=    xipram= XIPRAM= xiprom= XIPROM= xipboot XIPBOOT .DLL    debugport=  DEBUGPORT=  KERNEL= HAL=    execute EXECUTE noexecute   NOEXECUTE   noexecute=alwaysoff NOEXECUTE=ALWAYSOFF nopae   NOPAE   pae PAE BOOTLOGO    sos SOS SAFEBOOT    osloadoptions   C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC load    x86systempartition= osloadoptions=  osloadfilename= osloadpartition=    systempartition=    \System32\NTLDR osloader=   \boot.ini   boot.ini    /fastdetect scsi(   consoleout=multi(0)video(0)monitor(0)   consolein=multi(0)key(0)keyboard(0) Couldn't open drive %s
 SRAT    ntkrnlpa.exe    C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC D e f a u l t   L a s t K n o w n G o o d   %wZ \ S y s t e m R o o t \     R e s t a r t S e t u p     S e t u p   A u t o R e b o o t     C r a s h C o n t r o l     C o n t r o l   V e r i f y M o d e     M e m o r y   M a n a g e m e n t   S e s s i o n   M a n a g e r   W i n N T   Bad ProductType value   Missing ProductType value   P r o d u c t T y p e   Missing ProductOptions key  P r o d u c t O p t i o n s     Missing Control key CmpResolveDriverDependencies        Missing or invalid Control\ServiceGroupOrder\List registry value    CmpFindDriver   CmpFindNLSData  CmpFindControlSet   \ R e g i s t r y \ M a c h i n e \ S y s t e m \ C u r r e n t C o n t r o l S e t \ S e r v i c e s \     S y s t e m 3 2 \ D r i v e r s \   system.log  C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC %s %s %s    LastBootStatus=%d   C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC xpress    SAFEBOOT:DSREPAIR SOS   BASEVIDEO   BOOTLOG SAFEBOOT:MINIMAL(ALTERNATESHELL) SOS BOOTLOG NOGUIBOOT  SAFEBOOT:NETWORK SOS BOOTLOG NOGUIBOOT  SAFEBOOT:MINIMAL SOS BOOTLOG NOGUIBOOT  C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC  %d 
       %s  C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC C:\ CRASHDEBUG  /WIN95  /WIN95DOS   /MAXMEM /REDIRECT   /SCSIORDINAL:   undo    ROLLBACK    cmdcons NTFS    \bootsect.dos   [%sm   1;34    %s.%s   %s.w40  %s.dos  config  autoexec    bat io  winboot.sys msdos   sys command com default usebiossettings redirect    19200   57600   115200  redirectbaudrate    timeout DefSwitches  	  [operating systems] [multiboot] [flexboot]  [boot loader]   C:\windows\ C:\winnt    C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC BlAllocateDescriptor failed!
       Couldn't allocate PCR descriptor in NtProcessStartup,BlSetupForNt is failing
   Couldn't allocate valid TSS descriptor in NtProcessStartup, BlSetupForNt is failing
    C C C C C C C C C C C C C œC ”C ŒC „C |C tC lC NoMem                                                                                                                                                                                                                                                                                   ?   €                        ?                    ?            ?    ?                                                                                                                                                                                                                                                                        0123456789ABCDEF0 1 2 3 4 5 6 7 8 9 A B C D E F     N{A    žY    /   /   W „X @Y   
 1&     ƒ%      v  @  !$      +  ,  %      $    K  a  V  ;  Q  F  }  “  ˆ  \  r  g    
  F  l  ‚  w  s2    ž        ~2      Y Y Y Y Z (Z 9Z PZ cZ yZ Z Z Z Z Z [ [ +[ >[ S[ k[ ‡[ [ [ [ [ \ #\ C\ d\ ~\ ˜\ \ \ \ \ ] 5] S] j] ] ™] ] ] ] ^ 3^            	 
 
  
                     ! " # $ % & ' ( ) * + , - . osloader.EXE RtlAssert ScsiDebugPrint ScsiPortCompleteRequest ScsiPortConvertPhysicalAddressToUlong ScsiPortConvertUlongToPhysicalAddress ScsiPortFlushDma ScsiPortFreeDeviceBase ScsiPortGetBusData ScsiPortGetDeviceBase ScsiPortGetLogicalUnit ScsiPortGetPhysicalAddress ScsiPortGetSrb ScsiPortGetUncachedExtension ScsiPortGetVirtualAddress ScsiPortInitialize ScsiPortIoMapTransfer ScsiPortLogError ScsiPortMoveMemory ScsiPortNotification ScsiPortQuerySystemTime ScsiPortReadPortBufferUchar ScsiPortReadPortBufferUlong ScsiPortReadPortBufferUshort ScsiPortReadPortUchar ScsiPortReadPortUlong ScsiPortReadPortUshort ScsiPortReadRegisterBufferUchar ScsiPortReadRegisterBufferUlong ScsiPortReadRegisterBufferUshort ScsiPortReadRegisterUchar ScsiPortReadRegisterUlong ScsiPortReadRegisterUshort ScsiPortSetBusDataByOffset ScsiPortStallExecution ScsiPortValidateRange ScsiPortWritePortBufferUchar ScsiPortWritePortBufferUlong ScsiPortWritePortBufferUshort ScsiPortWritePortUchar ScsiPortWritePortUlong ScsiPortWritePortUshort ScsiPortWriteRegisterBufferUchar ScsiPortWriteRegisterBufferUlong ScsiPortWriteRegisterBufferUshort ScsiPortWriteRegisterUchar ScsiPortWriteRegisterUlong ScsiPortWriteRegisterUshort  RSDSwXŠaŽJˆgtFձ   osloader.pdb se\boot\bldr\ger\obj\i386\osloader.pdb                                                                                                                                                                                                                                                                                                                                                                                                                                  C         <                       %   @ƒF                                    ‡                        ’         #      ‘%’%“%%$%a%b%V%U%c%Q%W%]%\%[%%%4%,%% %<%^%_%Z%T%i%f%`%P%l%g%h%d%e%Y%X%R%S%k%j%%%ˆ%„%Œ%%€% “ ˜")"a" e"d" #!# H" " "  *%*                                                                                                                                                                                                                                                                         ױ@ ˆ@ @ “@ ˆ@ ˆ@ •@ lˆ@                 $C ,%C %C    &C x&C  €
 ɻȼ    
     A /c@ š0A !A /c@ ˜A A ˜/A /c@ /c@ /c@ /c@ A /c@ &A V/A /c@ ˜A (A /A /c@ /c@ /c@ /c@ A /c@ &A w/A /c@ ˜A /c@ /A /c@ /c@ /c@ /c@               ױ@ 4A \3A •EA 4A ˜A DA H4A 4A 4A 5A     t0C p0C l0C h0C d0C `0C \0C X0C C T0C *#C P0C C p#C H0C x#C @0C 80C 40C ,0C (0C  0C 0C 0C 0C ˆ#C €#C H0C 0C /C /C /C /C /C 0C C *#C C 40C <*C     p#C x#C     ˆ#C €#C x#C     ,  ,  P            P   ,„A l„A …A „„A „A …A :…A {…A …A P†A *†A h†A Š†A ‡A †A †A       
 ? €€@  !               	 
 
  
                                                           (
 @  <>C ,>C         J>C R@C    .      
B 
B 
B 
B 
B 
B u˜  s˜      OS Loader V5.10
   O S   L o a d e r   V 5 . 1 0 
 
   osloader.exe    ntoskrnl.exe    hal.dll         KDCOM.DLL        CC BC BC BC BC BC BC BC BC BC BC BC œBC ”BC ŒBC „BC |BC tBC lBC dBC \BC TBC        d   P         debug   \hiberfil.sys   0123456789abcdef           *      LC                       *      LC                       *      „LC                                                         +      |LC                         +      pLC                         +                 hB            *      XLC                        +      <6C                        +                  hB                                              	+                               
+                                 
+                      &FB     unsupporteddebug                                                                          
              @      F —˜                                                                                                                                                                                                                                                                                                                                                                                                                                      pG \G                HG \G                 4G \G                 (G \G                 $G G                  G \G                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      S A M   U S E R \ . D E F A U L T   D E F A U L T   S O F T W A R E     S E C U R I T Y     M A C H I N E \     H A R D W A R E         0G G xG \G @G  G  G G G G ˆC œG pG PG 0G G G G G „G \G 8G G G G G „G dG DG  G G G G ˆG hG HG $G G G G €G L0G         lG HG G G `G G G xG @G G ˆG G G  G G 0G €G G ˆG hG 8G (G ˜G tG DG  G G     \ R E G I S T R Y \ M A C H I N E \ S Y S T E M \ C U R R E N T C O N T R O L S E T \ C O N T R O L \ B I O S I N F O   S y m b o l i c L i n k V a l u e   C o n t r o l \ S e s s i o n   M a n a g e r   P r o c e s s o r C o n t r o l     \ R E G I S T R Y \ M A C H I N E \ S O F T W A R E \ M I C R O S O F T \ W I N D O W S   N T \ C U R R E N T V E R S I O N \ P E R F L I B     S Y S T E M     \ R E G I S T R Y \ M A C H I N E \ C L O N E   \ R E G I S T R Y \ U S E R     \ R E G I S T R Y \ M A C H I N E \ S Y S T E M \ C U R R E N T C O N T R O L S E T \ S E R V I C E S \ E V E N T L O G         \ R E G I S T R Y \ M A C H I N E \ S Y S T E M \ C U R R E N T C O N T R O L S E T \ C O N T R O L \ B O O T L O G     \ R E G I S T R Y \ M A C H I N E \ S Y S T E M \ C U R R E N T C O N T R O L S E T \ C O N T R O L \ S E S S I O N   M A N A G E R \ M E M O R Y   M A N A G E M E N T         \ R E G I S T R Y \ M A C H I N E \ S Y S T E M \ C U R R E N T C O N T R O L S E T \ C O N T R O L \ S A F E B O O T   \ R E G I S T R Y \ M A C H I N E \ S Y S T E M \ C U R R E N T C O N T R O L S E T \ C O N T R O L \ C L A S S         \ R E G I S T R Y \ M A C H I N E \ S Y S T E M \ C U R R E N T C O N T R O L S E T \ H A R D W A R E   P R O F I L E S \ C U R R E N T         \ R E G I S T R Y \ M A C H I N E \ S Y S T E M \ C U R R E N T C O N T R O L S E T \ S E R V I C E S   \ R E G I S T R Y \ M A C H I N E \ S Y S T E M \ C U R R E N T C O N T R O L S E T \ E N U M \ R O O T         \ R E G I S T R Y \ M A C H I N E \ S Y S T E M \ C U R R E N T C O N T R O L S E T \ E N U M   \ R E G I S T R Y \ M A C H I N E \ S Y S T E M \ C U R R E N T C O N T R O L S E T     \ R E G I S T R Y \ M A C H I N E \ S Y S T E M         \ R E G I S T R Y \ M A C H I N E \ H A R D W A R E \ O W N E R M A P   \ R E G I S T R Y \ M A C H I N E \ H A R D W A R E \ R E S O U R C E M A P     \ R E G I S T R Y \ M A C H I N E \ H A R D W A R E \ D E V I C E M A P         \ R E G I S T R Y \ M A C H I N E \ H A R D W A R E \ D E S C R I P T I O N \ S Y S T E M       \ R E G I S T R Y \ M A C H I N E \ H A R D W A R E \ D E S C R I P T I O N     \ R E G I S T R Y \ M A C H I N E \ H A R D W A R E     \ R E G I S T R Y \ M A C H I N E   \ R E G I S T R Y   R e a l M o d e P C I E n u m e r a t i o n     R e a l M o d e I r q R o u t i n g T a b l e   D o c k i n g I n f o r m a t i o n     S y s t e m M e m o r y     N e t w o r k P e r i p h e r a l   L i n e P e r i p h e r a l     O t h e r P e r i p h e r a l   T e r m i n a l P e r i p h e r a l     K e y b o a r d P e r i p h e r a l     P o i n t e r P e r i p h e r a l   P r i n t e r P e r i p h e r a l   M o n i t o r P e r i p h e r a l   M o d e m P e r i p h e r a l   T a p e P e r i p h e r a l     F l o p p y D i s k P e r i p h e r a l     D i s k P e r i p h e r a l     O t h e r C o n t r o l l e r   A u d i o C o n t r o l l e r   K e y b o a r d C o n t r o l l e r     P o i n t e r C o n t r o l l e r   P a r a l l e l C o n t r o l l e r     D i s p l a y C o n t r o l l e r   N e t w o r k C o n t r o l l e r   S e r i a l C o n t r o l l e r     W o r m C o n t r o l l e r     C d R o m C o n t r o l l e r   T a p e C o n t r o l l e r     D i s k C o n t r o l l e r     M u l t i f u n c t i o n A d a p t e r     D t i A d a p t e r     T c A d a p t e r   E i s a A d a p t e r   S e c o n d a r y C a c h e     S e c o n d a r y D C a c h e   S e c o n d a r y I C a c h e   P r i m a r y D C a c h e   P r i m a r y I C a c h e   F l o a t i n g P o i n t P r o c e s s o r     C e n t r a l P r o c e s s o r                                                                                                                                 (0G    $0G    h3C     0G    0G    0G 	   0G 
    0G 
                @                                                                                                                                                                                                                                                                                                                                                                          MPSA    MPIPI   CBUS    PCMCIA  VME MCA ISA 0G 0G 0G 0G 0G x0G `0G L0G U n d e f i n e d   M e m o r y C l a s s   P e r i p h e r a l     C o n t r o l l e r     A d a p t e r   C a c h e   P r o c e s s o r   S y s t e m                                                                                                                                                                                                                                                                                                            
      €   8  €                  P  €                  h  €               	  €                  	     (D  #          *@  ˆ          ˆ4   V S _ V E R S I O N _ I N F O          „(
  „(
?                           S t r i n g F i l e I n f o      0 4 0 9 0 4 B 0   L   C o m p a n y N a m e     M i c r o s o f t   C o r p o r a t i o n   @   F i l e D e s c r i p t i o n     B o o t   L o a d e r   r )  F i l e V e r s i o n     5 . 1 . 2 6 0 0 . 2 1 8 0   ( x p s p _ s p 2 _ r t m . 0 4 0 8 0 3 - 2 1 5 8 )     : 
  I n t e r n a l N a m e   o s l o a d e r . e x e     € .  L e g a l C o p y r i g h t      M i c r o s o f t   C o r p o r a t i o n .   A l l   r i g h t s   r e s e r v e d .   B 
  O r i g i n a l F i l e n a m e   o s l o a d e r . e x e     j %  P r o d u c t N a m e     M i c r o s o f t    W i n d o w s    O p e r a t i n g   S y s t e m     @   P r o d u c t V e r s i o n   5 . 1 . 2 6 0 0 . 2 1 8 0   D    V a r F i l e I n f o     $    T r a n s l a t i o n     	
   (#  @#  |   B#  H#  ˆ   J#  m#    '  "'    *  +     +  +    ,  ,  #  ˜:  ˜:   #  ›:  ›:  t#  :  :  #     BL_MSG_FIRST
  p   Windows konnte wegen eines Softwarefehlers nicht gestartet werden.
Bitte melden Sie dieses Problem als:
  h   Windows konnte nicht gestartet werden, da folgende ben”tigte
Datei nicht gefunden werden konnte:
 d   Windows konnte nicht gestartet werden, da eine fehlerhafte
Kopie der folgenden Datei vorlag:
 \   Windows konnte nicht gestartet werden, da folgende Datei
fehlt oder besch„digt ist:
  `   Windows konnte nicht gestartet werden, da ein Speicher-
konfigurationsproblem vorlag.
    `   Windows konnte nicht gestartet werden, da ein Festplatten-
konfigurationsproblem vorlag.
 p   Windows konnte nicht gestartet werden, da ein allgemeines
Computerhardware-Konfigurationsproblem vorlag.
 `   Windows konnte nicht gestartet werden, da folgendes ARC-
Konfigurationsproblem vorlag:
   D   šberprfen Sie die Speicherkonfiguration und verfgbares RAM.
 (   Zu viele Konfigurationseintr„ge.
  H   Es konnte nicht auf die Partitionstabellen zugegriffen werden.
    D   Der Wert fr den Parameter 'osloadpartition' ist ungltig.
    |   Vom ausgew„hlten Startdatentr„ger konnte nicht gelesen werden. 
šberprfen Sie Startpfad und Datentr„gerhardware.
    D   Der Wert fr den Parameter 'systempartition' ist ungltig.
    |   Vom ausgew„hlten Systemstartdatentr„ger konnte nicht gelesen werden.
šberprfen Sie den Pfad von 'systempartition'.
  P   Der Parameter 'osloadfilename' verweist nicht auf eine zul„ssige Datei.
   ,   <Windows root>\system32\ntoskrnl.exe.
 H   Der Parameter 'osloader' verweist nicht auf eine zul„ssige Datei.
 (   <Windows root>\system32\hal.dll.
     'osloader'\hal.dll
       Ladeprogrammfehler 1.
    Ladeprogrammfehler 2.
 0   Ladeprogramm ben”tigt DLLs fr Kernel.
    ,   Ladeprogramm ben”tigt DLLs fr HAL.
   $   Systemtreiber werden gesucht.
 $   Systemtreiber werden gelesen.
 <   Systemstartger„tetreiber konnte nicht geladen werden.
 8   Systemhardware-Konfigurationsdatei wird geladen.
  4   Ger„tename der Systempartition wird gesucht.
  ,   Name der Startpartition wird gesucht.
 H   ARC-Name fr HAL und Systempfade wurden nicht richtig generiert.
     Ladeprogrammfehler 3.
 ,   <Windows root>\system32\ntoskrnl.exe
  \   Bitte wenden Sie sich an Ihren Supportansprechpartner,
um dieses Problem zu melden.
     Sie k”nnen versuchen, diese Datei zu reparieren, indem Sie
Windows Setup unter Verwendung der Original-CD starten.
W„hlen Sie in der ersten Bildschirmanzeige die Option 'R',
um die Setupreparatur zu starten.
    L   Installieren Sie ein Exemplar der oben angegebenen Datei 
erneut.
       Informieren Sie sich in der Windows-Dokumentation ber die
Hardwarespeicherplatzanforderungen, und ziehen Sie die
Hardwarereferenzhandbcher fr zus„tzliche Informationen zu Rate.
    Informieren Sie sich in der Windows-Dokumentation ber die
Hardwarefestplattenkonfiguration, und ziehen Sie die
Hardwarereferenzhandbcher fr zus„tzliche Informationen zu Rate.
      Informieren Sie sich in der Windows-Dokumentation ber die
Hardwarekonfiguration, und ziehen Sie die Hardwarereferenz-
handbcher fr zus„tzliche Informationen zu Rate.
    ˜   Weitere Informationen ber ARC-Konfigurationsoptionen finden Sie
 in der Windows-Dokumentation und in den Referenzhandbchern
dieses Computers.
        Hardwareprofil und Wiederherstellung der Konfiguration

In diesem Men k”nnen Sie ein Hardwareprofil ausw„hlen, das beim
Start von Windows verwendet werden soll.

Dieses Men erm”glicht Ihnen auerdem, zu einer frheren System-
konfiguration zu wechseln, um eventuelle Systemstartprobleme zu
beheben.
WICHTIG: Alle Žnderungen der Systemkonfiguration, die seit dem letzten
         erfolgreichen Starten gemacht worden sind, gehen verloren.
 |   Verwenden Sie Pfeil nach oben bzw. unten, um einen Eintrag zu markieren.
Drcken Sie anschlieend die EINGABETASTE.
  ˆ   Es sind keine Hardwareprofile definiert. Sie k”nnen Hardwareprofile mit
der Anwendung 'System' in der Systemsteuerung erstellen.
    Drcken Sie die L-TASTE, um die letzte als funktionierend bekannte 
Konfiguration zu verwenden. Drcken Sie die F3-TASTE, um dieses Men
zu verlassen und den Computer neu zu starten.
     Drcken Sie die S-TASTE, um die Standardhardwarekonfiguration zu 
verwenden. Drcken Sie die F3-TASTE, um dieses Men zu verlassen und 
den Computer neu zu starten.
       L
    S
 L   Sekunden, bis die markierte Auswahl automatisch gestartet wird: %d
    ”   
Drcken Sie JETZT die LEERTASTE, um das Men fr das Hardwareprofil
und die letzte als funktionierend bekannte Konfiguration aufzurufen.
   0   Standardhardwarekonfiguration verwenden
   |   Das System wird in den vorherigen Zustand gestartet.
Drcken Sie die LEERTASTE, um diesen Vorgang zu unterbrechen.
   L   Das System konnte nicht in den vorherigen Zustand gestartet werden,
   <   weil nicht gengend Arbeitsspeicher vorhanden ist.
    8   weil die Wiederherstellungsdaten besch„digt sind.
 `   weil die Wiederherstellungsdaten nicht mit der aktuellen Konfiguration
kompatibel sind.
  0   weil ein interner Fehler aufgetreten ist.
 0   weil ein interner Fehler aufgetreten ist.
 ,   weil ein Lesefehler aufgetreten ist.
  ,   Der Systemneustart wurde angehalten:
  D   Wiederherstellungsdaten l”schen und zum Startmen wechseln.
   $   Systemneustart fortsetzen.
    t   Der letzte Versuch, das System in den vorherigen Zustand zu starten,
ist fehlgeschlagen. Erneut versuchen?
   D   Mit Debug-Breakpoint bei Systemwiederherstellung fortsetzen.
     Windows kann nicht gestartet werden, weil der angegebene Kernel
entweder nicht vorhanden, oder nicht zu diesem Prozessor kompatibel ist.
     Windows wird gestartet...
 $   Windows wird fortgesetzt...
      Windows kann aufgrund eines Fehlers beim Lesen der Starteinstellungen
von NVRAM nicht gestartet werden.

šberprfen Sie die Firmwareeinstellungen. M”glicherweise mssen Sie
die NVRAM-Einstellungen von einer Sicherung wiederherstellen.
        [Debugger aktiviert]
 $   Windows (Standardeinstellung)
 4   NTLDR: Datei BOOT.INI ist nicht vorhanden.
    H   NTLDR: Abschnitt [operating systems] fehlt in der Datei BOOT.TXT.
 ,   Starten des Standardkernels von %s.
   4   W„hlen Sie das zu startende Betriebssystem:
   €   

Verwenden Sie Pfeil nach oben bzw. unten, um einen Eintrag zu markieren.
Drcken Sie anschlieend die EINGABETASTE.
  H   Sekunden, bis die markierte Auswahl automatisch gestartet wird:  
 4   Fehlerhafte Datei BOOT.INI.
Starten von %s.
  D   E/A-Fehler beim Zugriff auf Startsektordatei %s\BOOTSECT.DOS.
 <   NTLDR: Auf Laufwerk %s kann nicht zugegriffen werden.
 H   NTLDR: Schwerwiegender Fehler %d beim Lesen der Datei BOOT.INI.
   4   
NTDETECT V5.0 berprft die Hardware...

   $   NTDETECT ist fehlgeschlagen.
  H   Aktuelle Auswahl:
  Titel...: %s
  Pfad....: %s
  Optionen: %s
 ,   Geben Sie die neuen Ladeoptionen an:
      [EMS-aktiviert]
      Ungltige BOOT.INI-Datei
  D   Erweiterte Windows-Startoptionen
W„hlen Sie eine Option aus:
    Abgesicherter Modus
   0   Abgesicherter Modus mit Netzwerktreibern
  (   Schritt fr Schritt best„tigen
    4   Abgesicherter Modus mit Eingabeaufforderung
      VGA-Modus
 H   Verzeichnisdienstwiederherstellung (Windows-Dom„nencontroller)
    8   Letzte als funktionierend bekannte Konfiguration
     Debugmodus
    <   Automatischen Neustart bei Systemfehler deaktivieren
  (   Startprotokollierung aktivieren
   P   Problembehebung und erweiterte Windows-Startoptionen: F8-TASTE drcken
       VGA-Modus aktivieren
  L   
Normaler Systemstart ohne abgesicherten Modus: ESC-TASTE drcken
        Windows normal starten
    4   Zum Betriebssystemauswahlmen zurckkehren
       Neustarten
      Windows konnte leider nicht erfolgreich gestartet werden. Dies kann durch eine
vor kurzem erfolgte Hardware- oder Software„nderung verursacht worden sein.

W„hlen Sie "Letzte als funktionierend bekannte Konfiguration", um die letzten
funktionierenden Einstellungen wiederherzustellen, wenn der Computer nicht mehr
reagierte, unerwartet neu startete oder automatisch heruntergefahren wurde, um
Dateien und Ordner zu schtzen.

W„hlen Sie "Windows normal starten", wenn ein vorheriger Startversuch durch einen
Stromausfall unterbrochen wurde oder weil die Einschalt- oder Resettaste gedrckt
wurde, oder wenn Sie sich nicht sicher sind, was das Problem verursachte.
 (  Windows konnte nicht erfolgreich heruntergefahren werden. Falls die Ursache
ist, dass das System nicht reagiert oder zum Schutz von Daten heruntergefahren
wurde, k”nnen Sie das System m”glicherweise wiederherstellen, indem Sie 
'Abgesicherter Modus' im unten angezeigten Men ausw„hlen:
 ,   Sekunden bis Windows gestartet wird:
     
    
 T   Windows konnte aufgrund eines RAMDISK-Startfehlers nicht gestartet werden.
    8   Das RAMDISK-Abbild konnte nicht ge”ffnet werden.
  (   RAMDISK-Abbild wird geladen...
         

Alt 28.02.2010, 17:27   #11
cosinus
/// Winkelfunktion
/// TB-Sch-Tiger™
 
BIOS/Firmware Virus/RK sehr hartnckig und intelligent - Standard

BIOS/Firmware Virus/RK sehr hartnckig und intelligent



Zitat:
ich habe erst das Bios versucht upzudaten nachdem ich die Symptome entdeckt habe und gesehen habe, dass sich der Root Flashing tools frs BIOS bereit gestellt hatte.
Aha, Du hast versucht ein BIOS-Update durchzufhren. Was war der Anlass dafr? Ein BIOS-Update ist nur in ganz wenigen Fllen vonnten. Hast Du denn auch das richtige BIOS-Image genommen und aus welcher Quelle war das?
Mit etwas Glck kannst Du das originale BIOS zurckflashen. Da mir aber die Erfahrung mit einem zermurksten BIOS fehlt, kann ich das nur vermuten
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung fr einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board untersttzen
Warum Linux besser als Windows ist!

Alt 20.03.2010, 00:21   #12
BiosViruZzZ
 
BIOS/Firmware Virus/RK sehr hartnckig und intelligent - Standard

BIOS/Firmware Virus/RK sehr hartnckig und intelligent



[QUOTE=cosinus;505599]Was ist denn jetzt an der RAM-Disk so schlimm? Ich will so nicht ganz glauben, dass ein Schdling im BIOS stndig RAM-Disks erstellt, wenn ein Windows aktiv ist
Schonmal berlegt, dass diese von der Recovery-CD selbst kommen knnen? Auf vielen Recovery-Medien werkelt ein PE (=Preinstalled Environment) und wer BartPE kennt, der wei auch, dass eigentlich immer ne RAM-Disk erstellt wird.
QUOTE]


Du hattest Recht, inzwischen kenne ich auch BartPE

und dieser wurde so modifiziert, sodass Botclients ber meinen Rechner verbinden konnten, die Treiber von meinen UMTS MODEM haben sie auch so gemoddet, sodass das MODEM sich ins Netz einwhlt ohne, dass ich mich manuell verbinden muss, die DOS Umgebung mit den richtigen Treibern reicht denen aus, clever!

Antwort

Themen zu BIOS/Firmware Virus/RK sehr hartnckig und intelligent
antivirus, betriebssystem, booten, c:\windows, code, csrss.exe, dateien, error, festplatte, hardware, hartnckig, installation, laufwerk, laufwerk c, meldung, neu, notebook, ordner, prozesse, refresh, shell, software, system32, update, usb, usb gerte, version, win



hnliche Themen: BIOS/Firmware Virus/RK sehr hartnckig und intelligent


  1. GVU Trojaner sehr hartnckig- habe frst.txt erstellt und wei nun nicht weiter
    Log-Analyse und Auswertung - 11.11.2014 (44)
  2. Lpcloudsvr203.com - sehr hartnckig, werde ihn einfach nicht los
    Plagegeister aller Art und deren Bekmpfung - 04.05.2014 (20)
  3. GVU sehr hartnckig
    Plagegeister aller Art und deren Bekmpfung - 07.06.2013 (25)
  4. Deltasearch in Firefox sehr hartnckig
    Log-Analyse und Auswertung - 23.04.2013 (26)
  5. BRAUCHE DRINGEND HILFE!!! PerformerSoft.com Virus/Trojaner? Hartnckig!!!
    Plagegeister aller Art und deren Bekmpfung - 28.02.2013 (6)
  6. polizei trojaner sehr hartnckig! bitte um hilfe!
    Log-Analyse und Auswertung - 17.09.2012 (1)
  7. Der Computer ist fr die Verletzung....bla bla Ukash Virus - Hartnckig
    Log-Analyse und Auswertung - 02.09.2012 (10)
  8. Gema Virus hartnckig!
    Log-Analyse und Auswertung - 18.06.2012 (74)
  9. gema virus hartnckig
    Log-Analyse und Auswertung - 30.03.2012 (1)
  10. Sehr mysterises upload Problem (hartnckig!)
    Netzwerk und Hardware - 03.09.2010 (1)
  11. Virus.Win32.Tenga.A sehr hartnckig
    Log-Analyse und Auswertung - 30.01.2010 (13)
  12. Bios und XP Booten pltzlich sehr langsam!!!
    Plagegeister aller Art und deren Bekmpfung - 28.07.2008 (7)
  13. Brain 1.0 nicht sehr intelligent
    Diskussionsforum - 21.04.2006 (5)
  14. Autostart sehr hartnckig.
    Alles rund um Windows - 12.09.2005 (9)
  15. about:blank - sehr hartnckig / HJT log
    Log-Analyse und Auswertung - 07.01.2005 (1)
  16. searchx-Virus bleibt hartnckig / xfind-Variante?
    Plagegeister aller Art und deren Bekmpfung - 26.05.2004 (17)
  17. Ein Trojaner ?? Ein Virus ?? Hartnckig !!!
    Archiv - 15.01.2003 (6)

Zum Thema BIOS/Firmware Virus/RK sehr hartnckig und intelligent - Guten Abend Community, mein Notebook hat es mit einem sehr widerlichen Virus/Rootkit zu tun, dieser erstellt bei der Installation von jeglichem OS einen RAMDISK und installiert von dort aus das - BIOS/Firmware Virus/RK sehr hartnckig und intelligent...
Archiv
Du betrachtest: BIOS/Firmware Virus/RK sehr hartnckig und intelligent auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.