BSOD iaStor.sys

[maxaga]

Przy ładowaniu OS po kliknięciu na użytkownika pojawia się na chwlę BOSD że problem stwarza plik isator.sys. Tryb awaryjny to samo. Z OTLPE OTL zawieszał się na: \users\uzytkownik\appdata\roaming\microsoft\windows\start menu, usunąłem skrót do impulsenow.exe oraz zmieniłem nazwę katalogu do którego odnosił się skrót i udało się wygenerować loga - w załączeniu. Boot z GDataAntywirus CD i skan nic nie znalazł. Proszę o info co można zrobić by naprawić.

Pozdrawiam

OTL.Txt

[picasso]

Czy na pewno isastor.sys a nie iaStor.sys?

 

Pytanie: czy przed wystąpieniem objawów uruchamiałeś jakiś plik (keygen / crack / inna "witamina") i bezpośrednim skutkiem uruchomienia był automatyczny restart? Objaw sugeruje infekcję rootkit TDL4 w MBR dysku twardego, tak jak to było w tym temacie: KLIK. W linkowanym wątku skanery uruchamiane z płyt startowych nic nie wykazały ("skanowałem go pięcioma różnymi antywirusami z Live CD i żaden nic nie znalazł"). Sam log z OTLPE jest bezużyteczny w takich sytuacjach, nie sprawdza takich aspektów. Jedyne co tu widać, to na świeżo modyfikację sterownika Intel:

 

[2011/01/26 08:35:29 | 000,408,600 | ---- | C] (Intel Corporation) -- D:\Windows\System32\drivers\iaStor.sys

Jeżeli to jest ten rodzaj infekcji w MBR, na oko mogłabym zadać przepisanie MBR z poziomu bootowalnej płyty WinRE. Problem: widzę tu słowa kluczowe "Acer", czyli zapewne jest firmowe MBR producenta i jego nadpis niestety będzie miał skutki uboczne w postaci braku dostępu do systemu Recovery zlokalizowanego na HDD.... W sytuacji zaprawienia MBR infekcją, w warunkach tu opisywanych, nie ma sposobu na ocalenie oryginału.

 

W pierwszej kolejności odpowiedz na pytanie co się działo przed pierwszym wystąpieniem BSOD, co uruchamiałeś / instalowałeś. Dorzuć też listę sumującą wystąpienia sterownika Intel. W OTLPE wszystkie opcje ustaw na Brak / Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej:

 

/md5start
iaStor.sys
/md5stop

 

Klik w Skanuj.

 

 

 

.

[maxaga]

Mój błąd pisałem z pamięci chodzi o iaStor.sys. Faktycznie był wgrywany keygen i po tym windows już się nie podniósł. iastor.sys próbowałem podmienić z innego win 7 na początku ale to nie przynosiło skutku więc wróciłem do tego oryginalnego, i dlatego jego data modyfikacji jest jaka jest. System oczywiście posiada partycję recovery i nie ma żadnych nośników z których na przyszłość można by odtworzyć, więc zrobię obraz dysku ghostem i poproszę o instrukcję naprawy MBR. TDSKiller po boot z OTLPE nie chce się uruchomić !

OTL.Txt

[picasso]

Skoro keygen był w obrotach, to wszystko wydaje się jasne. Aktualnie to jest podstawowa droga na złapanie tej paskudnej infekcji. Z daleka od keygenów, choćby nie wiem co obiecywały.

 

System oczywiście posiada partycję recovery i nie ma żadnych nośników z których na przyszłość można by odtworzyć, więc zrobię obraz dysku ghostem

 

Jeśli zostanie odcięty dostęp do Recovery, to jest ciągle możliwość skorzystania z tej funkcji, to znaczy: ustawienie partycji Recovery jako aktywnej i reset komputera, co powinno zainicjować interfejs odzyskiwania od producenta. Plus dodatkowa lektura: KLIK.

 

TDSKiller po boot z OTLPE nie chce się uruchomić !

 

To narzędzie nie może pracować w środowisku PE. Jedyna opcja, w sytuacji gdy Windows w ogóle nie startuje, to nadpis MBR przez narzędzia przystosowane do uruchomienia z płyt startowych, zaś narzędzie powinno być dostosowane do platformy i umieć wstawić sygnaturę zgodną z danym OS. Dopasowana do Windows 7 technologia to wykorzystanie środowiska WinRE.

 

1. Pobierz z tego tematu gotową płytę WinRE w wersji 64-bit (to ważne, wersja 32-bitowa się nie nadaje): KLIK

 

2. Zastartuj z tej płyty zgodnie z opisem, a w menu wybierz opcję Wiersz polecenia i wpisz komendę bootrec /fixmbr.

 

3. Restart.

 

PS. Poprawiam błędną nazwę pliku w tytule tematu.

 

.

[maxaga]

Teraz jest jeszcze gorzej, pojawia się na chwilkę BOSD ale nie jestem w stanie nic odczytać bo dosłownie tylko mrugnie, potem -kolejny boot odpala się automatyczne naprawianie z błędem jak poniżej:

nazwa zdarzenia problemu:

 

Po bootrec /fixmbr. pojawia się na moment BOSD ale za szybko znika bym mógł coś odczytać, kolejny boot odpala narzędzie automatycznej naprawy i ono napotyka na problem, log z podaję poniżej:

nazwa zdarzenia problemu: StartupRepairOffline

Podpis problemu 01: 6.1.7600.16385

Podpis problemu 02: 6.1.7600.16385

Podpis problemu 03: unknown

Podpis problemu 04: 21201077

Podpis problemu 05: ExternalMedia

Podpis problemu 01: 4

Podpis problemu 01: BadDriver

Wersja systemu opercyj.: 6.1.7600.2.0.0.256.1

Identyfikator ustawień regionalnych: 1045

[picasso]

BadDriver - to sugeruje ciągle problem z MBR i próbę załadowania przez rootkita swojego niezgodnego sterownika. Zastanawiam się czy narzędzie bootrec na pewno było skuteczne i czy nie należy ponowić przepisu MBR innym narzędziem.

 

Drive C: | 100.00 Mb Total Space | 75.83 Mb Free Space | 75.83% Space Free | Partition Type: NTFS
Drive D: | 233.27 Gb Total Space | 174.28 Gb Free Space | 74.71% Space Free | Partition Type: NTFS
Drive E: | 217.17 Gb Total Space | 118.08 Gb Free Space | 54.37% Space Free | Partition Type: NTFS

To wyciąg z nagłówka OTL, tylko tu nie ma rozróżnienia między dyskami fizycznymi a partycjami w obrębie danego dysku fizycznego, oraz nie ma listowania partycji ukrytych. Dane:

 

1. W WinRE wybierz opcję Wiersz polecenia i wpisz komendę diskpart, a następnie list disk.

 

2. Jeśli pokaże się tylko jeden dysk oznaczony numerem 0, podaj tę informację i nie przechodź do punktu 2.

 

3. Jeśli dysków jest więcej, rozpisz układ partycji, bym oceniła który dysk jest którym. Czyli wpisz: sel disk numer (w kolorowe miejsce wstaw oczywiście numer dysku) a następnie list partition. Dla każdego z dysków powtórz to z osobna. Przedstaw wyniki, jeśli masz czym, porób zdjęcia z ekranu.

 

 

 

.

[maxaga]

Jest tylko 1 dysk (disk 0)

podaje list partition wynik:

Partition 1 recovery 11 GB 1024 KB

Partition 2 OEM 3584 MB 11GB

Partition 3 Primary 100 MB 15 GB

Partition 0 EXtended 450 GB 15 GB

Partition 4 Logical 233 GB 15 GB

Partition 5 Logical 217 GB 248 GB

[picasso]

Skoro jest tylko jeden dysk, to wystarczająca informacja. Do operacji jest potrzebny bowiem numer dysku fizycznego.

 

1. Pobierz MbrFix. Ze środka interesuje Cię tylko wersja MbrFix64.exe. Plik ten musisz w jakiś sposób udostępnić systemowi, który nie startuje. Np. podpiąć stick USB z tym narzędziem.

 

2. Zastartuj do WinRE i za jego pomocą narzędzie przenieś w krótką łatwo dostępną ścieżkę, dla przykładu założę, że będzie to X:\.

 

3. W wierszu polecenia wpisz komendę zmiany ścieżki na dysk gdzie leży narzędzie:

 

X:

 

Następnie wpisz komendę naprawy MBR:

 

MbrFix /drive 0 fixmbr /win7 /yes

 

4. Zresetuj komputer.

 

.

[maxaga]

Niestety OTLPE zauważa że nie jest to prawidłowa aplikacja dla win32 i potem podaje access is denied

[picasso]

OTLPE to 32-bitowa płyta. Musisz użyć WinRE w wersji 64-bitowej i Wiersza polecenia. Komendy takie same.

[maxaga]

Wykonałem, ale objaw jest bez zmian, po restarcie w trakcie ładowania windows przed pytaniem o usera mignie niebieski ekran i wykonuje się restart.

[picasso]

Ile masz kont w systemie? W temacie konkurencyjnym w identycznej sytuacji użytkownik był w stanie wejść w Trybie awaryjnym na konto serwisowe "toshiba" (przy próbie wejścia na inne konta BSOD). Czy nie masz może jakiegoś dodatkowego konta widocznego na ekranie Trybu awaryjnego?

[maxaga]

Niestety nie ładuje się tryb awaryjny również, ostatni wpis przed BSOD to załądowano classpnp.sys

[picasso]

Zakładam, że Tryb awaryjny z wierszem polecenia także nie działa?

 

Kiepsko. Dostęp do systemu zablokowany, nie działają metody standardowego przepisania kodu w MBR, brak narzędzia do bezpośredniej detekcji tego rootkita z poziomu środowiska PE (żadne z dostępnych nie może się wyegzekwować w zewnętrznym środowisku, nie wspominając o tym, że to nie są kompilacje natywnie 64-bitowe). Spróbuj jeszcze:

 

1. Zastartować z płyty WinRE i:

 

• Z tego poziomu wybrać opcję "Narzędzie do naprawy systemu podczas uruchomienia" (upewnij się, że nie masz podpiętego żadnego dysku USB, by narzędzie omyłkowo nie zidentyfikowało tego jako partycję z plikami rozruchowymi). Z tego co rozumiem ta opcja dotychczas była startowana na zasadzie automatu po nieudanym starcie, czyli inicjuje się wprost z dysku twardego i podlega kontroli hooków rootkita.
  
• W Wierszu polecenia wdrożyć dwie komendy a nie jedną: bootrec /fixmbr i bootrec /fixboot
  

2. Przeskanować sektory rozruchowe z płyty startowej tego samego producenta Kaspersky Rescue Disk.

 

 

 

.

[maxaga]

Tak, tryb awaryjny z wierszem polecenia również nie działa.

Wykonałem punkty 1 i 2 i nadal to samo nie startuje w żadnym trybie.

Chyba pozostaje tylko reinstalacja z ukrytej partycji.

[maxaga]

Przywróciłem system z partycji recovery. Dziękuję serdecznie za pomoc.

Edytowane 1 Lutego 2011 przez picasso
Przykro mi, że nie powiodło się innymi metodami. Skoro użyłeś Recovery i nie ma złych objawów, temat uznaję za skończony. Jeszcze raz przestrzegam przed keygenami! //picasso