[WIN 2000] Uszkadza sie plik rejestru po normalnym wyłaczeniu kompa

[yokash]

Witam

 

prosze o porade bo nigdzie sie nie spotkałem z takowym problemem aby po normalnym wylaczeniu kompa uszkadzal sie plik rejestru.

Mam Win2000 wszystko chodzilo stabilnie, ostatnie 3 kopie rejestru robily sie automatyczne na wszelki wypadek przy pomocy ERUNT.

Problem pojawil sie gdy moja mala cora zrobila reseta kompa podczas gdy dzialal system.

Przy ponownej probie uruchomienia pojawil sie komunikat:

 

nie mozna znalezc pliku

\windows\system32\config\system jest uszkodzony

 

nic prostszego pomyslalem sobie, odtworze kopie rejestru z backupu.

Kopia sie nadpisala, uruchamiam, wszystko OK. System normalnie sie uruchomil, Wszystko cacy... dopoki nie wylaczylem kompa i ponownie go uruchomilem. Komunikat znowy sie pojawil i tak w kolko, moge podmieniac plik rejestru - "system" na stary z backupu, system sie uruchomi po ponowym uruchomieniu klops.

 

zauwazylem ze ten nowy plik system ktory jest chyba tworzony podczac wylaczania lub uruchamiania ma inny rozmiar od tego co znajdowal sie w kopii, reszta plikow ma identyczny rozmiar,

 

system skanowalem Dr. Web, Malwarebytes, poszedl tez combofix ktory znalazl pare infekcji,

nie mam pomyslu jak to ugryzc bez reinstalacji systemu

 

jakies pomysly ? prosze o porade

pozdrawiam

[deFco247]

poszedl tez combofix ktory znalazl pare infekcji

Jak już go użyłeś i w dodatku coś usuwano, to powstały wówczas log również do zaprezentowania. Jeden z Moderatorów działu pomocy doraźnej powinien go przejrzeć.

No i ważna przestroga na przyszłość: http://www.fixitpc.p...dezynfekcji/#c4

 

Tak poza tym radziłbym jeszcze przeskanować dysk na okoliczność błędów -> http://www.fixitpc.p...topic/141-mhdd/

[yokash]

przeklejam log moze cos pomoze

 

http://wklej.org/id/348917/txt/

[picasso]

yokash

 

1. Działy inne niż malware = logów nie wkleja się w poście. I nie stosujcie tagu CODE - to nie jest tag działający tak samo jak w starej wersji IPB, nakłada matrycę kolorów, tag służy do prezentacji tego co w nazwie = kodu. Do logów nie. Przerzucam na wklej.org.

 

2. Na pewno był tu rootkit MBR, ponieważ są ślady w sektorach i ta usługa:

 

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\{DEF85C80-216A-43ab-AF70-1665EDBE2780}]

"ImagePath"="\??\c:\winnt\TEMP\5A.tmp"

 

Wygląda on na usuniętego. Jeśli rzecz o tym:

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0xFAFD51F8]

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf6422ac3

\Driver\ACPI -> ACPI.sys @ 0xbfeca554

\Driver\atapi -> 0xfaf771f8

IoDeviceObjectType ->\Device\Harddisk0\DR0 ->Warning: possible MBR rootkit infection !

user & kernel MBR OK

malicious code @ sector 0x2542e000 size 0x1b5 !

copy of MBR has been found in sector 62 !

 

Spodnie wyniki w zestawieniu z "user & kernel MBR OK " = to nie wymaga interwencji z obszarem MBR. "detected MBR rootkit hooks" = to może być wynik działania emulacji, widzę SPTD, aczkolwiek ma stan zatrzymany. Upewnij się, że emulacja jest wyłączona (KLIK) + restart kompa, a następnie podaj nowy wyciąg z MBR.EXE + GMER.

 

3. Taki błąd z uszkodzeniem rejestru o charakterze niejednorazowym i nagminnie się powtarzający jest typowy dla błędnego zamykania systemu, problemów z dyskiem lub innym obszarem hardware (np. skoki zasilania). Sugeruję przejść do tego co nakreślił deFco247 i zaprezentować tu wyniki z weryfikacji HDD.

 

 

 

.

Edytowane 16 Lutego 2011 przez picasso
16.02.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso