Win7 PRO 64 odmítají startovat modrá obr.

[MiliNess]

ntkrnlmp.exe nenajdete. Je přejmenován na ntoskrnl.exe. ntkrnlmp.exe je jeho interní jméno.
Jestli vydržíte do pátku, tak si zkusím infikovat systém, s tím že budu monitorovat akce toho dropperu.
Ten dropper by měl podle všeho instalovat ten TDL4 rootkit (Alureon 0.02), nějak se mi to ale nezdá.
Byl by zničen už tím přepsáním MBR kódu.

[TomasKosta]

Určitě vydržím:-). Díky moc.

[motji]

Zkuste znovu spustit ten OTL PE ale bez skriptu, zaškrtněte volbu pro 64b systém.
Pokud pc pujde znovu do bsod, prosím Najděte minidump a vložte ho zde.
Odpoledne Vám sem dám soubory a zkusíte nimi ručně nahradit ty v pc. Bohužel když Vám nejde OTL PE, musíme zkoušet ručně.
Ten rescue disk Kašperský máte vypálený?

[MiliNess]

Ještě zkuste v HBCD přepsat soubory atapi.sys a ataport.sys ve složce Windows\System32\Drivers těmito

[TomasKosta]

Takže, po dlouhých hodinách scanování mám výsledky:
OTL PE vůbec nenaběhne, takže ani nemůžu nic zaškrtnout. Po cca 10 minutách nabíhání hodí modrou obrazovku a napíše: A problem has been detected and windows has been shut down to prevent damage to your computer - pokračuje to radami jak očekovat disk atd. Končí to řádkem:
Stop: 0xF78DA528, 0xC0000034, 0x00000000, 0x00000000).

Soubory z letecké pošty jsem překopíroval - výsledkem je opět modrá obrazovka.

Kaspersky nejde nastartovat v grafickém módu - vždy skončí černou obrazovkou. V textovém módu chroustal celou noc nakonec napsal:detected 31, susp. 4, treats 31, exacts 27, disinf. 28, deleted 3,

Po projetí Kasperskeho naskočí modrá obrazovka ještě o něco dřív, než předtím.

Logy v minidumpu žádné nové nejsou - windows asi spadnou dřív, než se stačí vytvořit či uložit.

Abych vyloučil hardwarovou chybu, nainstaloval jsem na jeden starý disk Windows 7 - 64 bit z original systémového CD od HP. Bez problémů se nainstalovala a fungují.

Tak nevím? Dá se s tím ještě něco dělat, nebo formát?

Díky moc

Tomáš

[MiliNess]

Ještě vydržte. Jedná se určitě o TDL4 rootkit a právě jsem doinstaloval virtuální Windows 7 64 bit, tak se na to jdu mrknout.
Jelikož mi to bude chvilku trvat a není jisté, že na něco přijdu, zkusíme ještě poslední věc:
Ještě jednou nabootujte HBCD a překopírujte soubory ze složky Windows\System32\config\RegBack do složky Windows\System32\config. (soubory ze složky config si raději zazálohujte do nějaké složky)

[TomasKosta]

opět je výsledkem krásná modrá 2 vteřiny po zahájení startu systému:-(((

[MiliNess]

Takže bych udělal nějaký závěr:
Pokusil jsem se spustit dropper ve virtuálních Windows 7 64bit. Rootkit se nainstalovat nepodařilo, dropper zůstal běžet v nekonečné smyčce při vytváření svého virtuálního souborového systému.
Tak mi došla trpělivost a spustil jsem ho ve svých normálních Windows 7 64bit. Průběh byl stejný jako u vás. Rootkit se úspěšně nainstaloval a svou aktivaci si vynutil tak, že shodil systém do BSOD s chybou 0xC0000F21 (unknown hard error), kdy mi nezbylo nic jiného, než restartovat systém a nechat rootkit se aktivovat.
Při přihlašování do účtu stejně jako u vás došlo k dalšímu BSOD (IRQL_NOT_LESS_OR_EQUAL) s pravděpodobným původcem iastor.sys. (Intel opět překvapil, tentokrát svou imunitou )
Po dalším restartu jsem bootnul z recovery disku W7 a pomocí bootrec /fixmbr přepsal zavaděč v MBR sektoru.
Pak už jsem normálně zavedl systém a po rootkitu není ani památky.
Ta chyba u vás tedy už s rootkitem nesouvisí. Ten odešel do kytek po fixnutí kódu v MBR sektoru.
Ten rootkit nemodifikuje ani jeden soubor na disku. Modifikuje pouze kdcom.dll a to pouze v paměti (nahrazuje ho vlastním zavaděčem),
takže po zničení kódu v MBR po něm zbydou pouze jeho zašifrované komponenty v sektorech na konci disku.
Bude to tedy třeba poškozená struktura souborového systému po nějakém tom restartu.
Zkoušel jste spustit z příkazového řádku toho instalačního DVD chkdsk? (zkuste chkdsk /r)

[TomasKosta]

Tak jsem to zkusil, nabootoval z instalačního CD a po pokusu o obnovu systému, který jsem se neodvážil stornovat jsem přešel na příkazový řádek a zadal chkdsk /r.
Výsledek je:
Systém windows zkontroloval systém souborů a nezjistil žádné potíže.
92471138 kB místa na disku celkem
48311284 kB v 178824 souborech
131152 kB v 25233 rejstrících
0 kB v chybných sektorech
309350 kB používáno systémem
65536 kB zabírá soubor s protokolem
43719352 kB na disku volných

4096 kB v každé alokační jednotce
23117784 alokačních jednotek na disku celkem
10929838 volných alokačních jednotek.

Nepodarilo se prenést protokolované zprávy do protokolu událostí,
stav: 50.

Díky a zdravím

Tomáš

[motji]

A pořád háže hned BSOD?

[TomasKosta]

Pořád! Neřád!

Myslím, že je to na vyvěšení bílé vlajky:-(. Jdu spát a zítra asi budu formátovat. Asi to bude chtít smazat partitiony, co, aby se vymazaly i ty zbytky rootkitu?

Každopádně díky moc.

Dobrou

Tomáš

[MiliNess]

Není třeba. Stačí rychlé formátování.