Win7 PRO 64 odmítají startovat modrá obr.

[TomasKosta]

Prosím o pomoc. Mám windows 7 professional 64 bit na notebooku HP6550b. Po spuštění nějakého keygenu mi zmodrala obrazovka a od té doby odmítá nastartovat. Zkusil jsem opravu z instalačního CD a nepovedlo se. Totéž bod obnovení (asi vůbec nebylo zapnuto).
Teď při startu (jak v normálním, tak v nouzovém režimu) vše probíhá normálně až po přihlášení, po zadání hsla začně jakoby startovat ale pak se objeví modrá obrazovka a napíše, že v počítač byl detekován problém a systém bude ukončen.
pak System service Exception

někdy se tam objeví nějaká hláška o Iastor.sys - Address ale dál to nestíhám přečíst
ale strašně rychle to zmizí, takže to nestíhám přečíst celé, ani pauzou to nejde zastavit.
Jednou to dokonce naběhlo včetně ikon, ale pak to spadlo stejným způsobem.
Prosím o pomoc.
Děkuji
Tomáš K.

Koukl jsem se na to přes Hirens boot, Blue screen View:
Většinou problémy způsobuje iaStor.sys, Intel Matrix storage manager driver, Bug check string: DRIVER_IRQL_NOT_LESS_OR EQUAL nebo jednou SYSTEM_THREAD_EXCEPTION_NOT_HANDLED

v méně případech (2x) ntoskrnl.exe (bug: KMODE_EXCEPTION_NOT_HANDLED)
nebo (1x)
ntfs.sys (SYSTEM_SERVICE_EXCEPTION)

[motji]

Dobré ranko
Poprosím Vás, zkuste přes Hirents vytáhnout složku Minidump C:\windows\minidump.
Oprava systému se nezdařila, nebo se po ní nic nezlepšilo?

Přes Hirents si udělejte zálohu Vašich osobních dat.
Pak zkuste spustit combofix, je tam někde pod záložkou antiviry.
Kdyby to nešlo, napište .

[TomasKosta]

Dobrý den,
omlouvám se, že jsem nereagoval hned, ale byl jsem v práci.
Combofix nespustím, protože vůbec nespustím systém (win7). Když chci combofix spustit v Hirens, tak mi napíše, že jde spustit jen v instalovaných windows, a ne v mini XP.
log z minidumpu stáhnout můžu, jen nevím, který a v jaké podobě připojit. je tam celkem 10 logů, naprostá většina odkazuje na iaStor.sys, (Bug check string: DRIVER_IRQL_NOT_LESS_OR EQUAL nebo jednou SYSTEM_THREAD_EXCEPTION_NOT_HANDLED), 2x se objevil problém s ntoskrnl.exe (bug: KMODE_EXCEPTION_NOT_HANDLED) a jednou s ntfs.sys (SYSTEM_SERVICE_EXCEPTION).
Zkusil jsem disk projet Avirou, dokonce jsem ho vytáhl z notebooku a na jiném PC projel AVG ale nic tam není.

[motji]

Spouštěl jste combofix co je v hirents? kterou verzi Hirents máte?
Celou složku C:\windows\minidump vytahněte, dejte do raru a upněte zde do přílohy.

Jak je to s tou opravou systému?

V Hirents boot cd by měl být i Dr web cureit, zkuste ho spustit

[TomasKosta]

Nevím, kterou verzi Hirens mám, ale stahoval jsem ji asi před dvěmi či třemi měsíci. Spouštím v něm prostředí MiniWin XP a když spustím combofix (z Hirens), tak mi to napíše, že nejde spustit z miniWin XP, že ho musím spustit z nainstalovaného systému.
Opravu systému jsem zkoušel 2x, přesněji řečeno, jednou se spustila automaticky a podruhé jsem ji spustil z instalačního CD WIN7, ale v obou případech skončila tím, že se systém nepodařilo opravit.
Bohužel teď nemůžu vložit logy z minidump, protože jsem napřed spustil ten Dr.Web CureIt a ten už jede asi hodinu a půl a zatím neukázal žádný výsledek. Tak nevím, jestli ho mám přerušit.
Díky moc za pomoc.
Tomáš k.

[motji]

Zatím ho nechte běžet.

[TomasKosta]

OK. Nechám ho chroustat do rána. Díky.

[motji]

Zatím není zač.
Potřebovala bych ty minidumpy, ať se je od čeho odrazit . Mám podezdření na tdl4 rootkita. Po webcureitu zkuste aspon nouzový režim, jestli pojede

[TomasKosta]

Tak ani cela noc nepomohla. Dr.webCurelt byl zrejme tuhy. Zkousim jeste stahnout posledni verzi Hirens.
Zatim prikladam ty dumpy. A dam vedet, az spustim to nove CD. (Mimochodem, z Hirens mi nejde spustit Linux / nevim, jestli je to dulezita informace).
Zatim moc diky.
Tomas

Minidump.zip

(242.32 KiB) Staženo 60 x

[motji]

Kolega mrkne na ty dumpy a pak snad budeme vědět víc.
Já tu bohužel budu až večer tak po 9.hodině.

[TomasKosta]

Díky. Když kolega nic nenajde tak počkám na Vás.
Zdravím a pěknou neděli.

[MiliNess]

Dobrý den, podle výpisů paměti bych řekl, že máte počítač napaden rootkitem.
Vypadá to na oblíbený TDL 4.
Při offline kontrole disku nic nenajdete, jelikož všechny části rootkitu jsou uloženy v jeho vlastním zašifrovaném souborovém systému na konci disku.
Jestli nemáte instalační DVD, stáhněte Recovery Disk, nabootujte z něho, spusťte příkazový řádek (Command Prompt), napište příkaz bootrec /fixmbr a odentrujte.
Pokud máte instalačku, babootujte z ní, spusťte Opravu počítače, v nástrojích pro opravu spouštění opět příkazový řádek a bootrec.
Jestli to byl rootkit, mělo by to pak být v pořádku.

PS: Podle informací o kdcom.dll je to TDL 4
fffff800`00bc1000 fffff800`00bc4000 kdcom (deferred)
Image path: \SystemRoot\system32\kdcom.dll
Image name: kdcom.dll
Timestamp: Thu Feb 17 12:33:32 2011 (4D5D078C)
CheckSum: 00009363
ImageSize: 00003000
Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4

[TomasKosta]

Zdravím a děkuji. Asi teď budu vypadat jako idiot, ale nerad bych něco podělal. Když jsem spustil bootrec, vypsal mi nabídku s parametry
/FixMbr
/FixBoot
/ScanOs
/Rebuildbcd

Mám některý z těchto parametrů použít? Nebo stačilo, že jsem napsal bootrec a odentroval?

Díky za odpověď

Tomáš

[motji]

Použijte
bootrec /fixmbr



Pokud kolegův návod zabere, poprosila bych Vás pak o další logy, pravděpodobně tam budou ještě nějaké pozůstatky


Stáhněte TDSSKiller http://support.kaspersky.com/downloads/ ... killer.exe
- a uložte ho na plochu.
- 2x klikněte na ikonu programu a spusťte
- dejte volbu Spustit kontrolu - pak potvrdte start sken
- pokud program najde infikovaný soubor, ukáže se Vám předvolená akce Cure, v tom případě potvrdte tlačítko Continue
- pokud bude chtít program restartovat počítač, klikněte na tlačítko Reboot Now
- pokud si restart nevyžádá, klikněte na tlačítko Report. Měl vy na Vás vyskočit log, obsah logu zkopírujte do svého topicu.
- pokud se log nezobrazí, je uložený ve Vašem kořenovém adresáři.




Poprosím o log ze Rsitu, viz můj podpis.

[TomasKosta]

Tak teď to hodilo modrou obrazovku hned po odentrování volby spustit systém běžným způsobema spustila se oprava windows, která byla zase neúspěšná ((