-
Junior Member
- Вес репутации
- 59
XP SP3 перезагружается на этапе загрузки без логов
XP SP3 при загрузке улетала на перезагрузку.
Бежали на черном экране строчки загружаемых драйверов, потом - щёлк - и перезагрузка. В любом режиме, в т.ч. и "поддержка комстроки".
Логирование не включалось ни через включение в меню по F8, ни через ключи boot.ini /bootlog, /sos.
chkdsk /r - всё чисто.
Проверка на вирусы (свежий cureit) дала на редкость отрицательный результат 
Обычно что-нибудь да присутствует. (На клиенте стоял AVP)
Всякие autorun.inf отсутствовали.
sfc по понятным причинам не запускалась
В ключах запуска подозрительные вещи отсутствовали, впрочем, для гарантии убил вообще всё.
Из консоли восстановления сделал fixboot, fixmbr - неуспешно, впрочем, это и так было ясно - загрузка ведь запускалась
Сделал контрольные снимки сигнатур system32 этой машинки и наиболее похожей на неё. Дело осложнялось тем, что у меня обновления намертво отключены, а клиент непрерывно обновлялся (пока не издох ). В результате оказалось слишком много несовпадений 
В конце концов оказался испорченным единственный файл: ntoskrnl.exe. Дата его соответствовала дате установки системы, длина, однако, была чуть меньше моей.
Задним числом теперь всё как бы понятно... Однако как бы такие вопросы решать побыстрее? (ищет AdInf...)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 47
Перегрузка у тебя выходит наверно из-за синего екрана и у тебя стоит автоматическая перегрузка вот ее надо отключить, по идее ессли ф8 нажать там будет такой вариант или ето делается из под загруженой винды.
-
Junior Member
- Вес репутации
- 59
Синие экраны предполагают неповрежденное ядро.
Читаем: ntoskrnl. Думаем.
-
Сообщение от
mkl
Думаем.
Sigverif
...причиняю добро и наношу непоправимую пользу...
-
-
Сообщение от
mkl
Синие экраны предполагают неповрежденное ядро.
Читаем: ntoskrnl. Думаем.
Позвольте представиться: Не Марк НеРуссинович, но подискутировать таки интересно.
0) Могу ошибаться, но загрузка копии atapi.sys создается где-то паралльлельно со стартом ос, что позволяет впоследствии диагностировать проблемы и ядра тоже.
Только вот выковыривать дамп должна рабочая система, это да. А синьку показать - дело нехитрое.
1) Допустим, что повреждена только часть указанного файла (ядра).
2) Допустим, что ядро - какой-нить ntkrnlpa.exe, а не то, что Вы думали. (загруженные модули ж никто не показал, так?)
3) Если fixmbr и спасает от (теперь уже некоторых) буткитов, то остается неотработанным фолюмный загрузчик. Это такой модный щтюк.
Да тут ещё пахать и пахать...
У меня будет свой Internet, без MMORPG и порно-див!
-
-
Junior Member
- Вес репутации
- 59
Во-первых(в нулевых) рад приветствовать!
0) Могу ошибаться, но загрузка копии atapi.sys создается где-то паралльлельно со стартом ос, что позволяет впоследствии диагностировать проблемы и ядра тоже.
Только вот выковыривать дамп должна рабочая система, это да. А синьку показать - дело нехитрое.
1) Допустим, что повреждена только часть указанного файла (ядра).
2) Допустим, что ядро - какой-нить ntkrnlpa.exe, а не то, что Вы думали. (загруженные модули ж никто не показал, так?)
3) Если fixmbr и спасает от (теперь уже некоторых) буткитов, то остается неотработанным фолюмный загрузчик. Это такой модный щтюк.
Да тут ещё пахать и пахать...
В порядке соображений:
- atapi.sys не дала ошибки МД5, т.е. соответствовала образцовой
- скомпрометированное ядро компрометирует все синьки и прочие ntkrnlpa.exe. (Синьки, кстати, так и не удалось включить.) Разве нет?
- с "модным щтюком" незнаком, но вообще-то cureit гонялся без подключения к системе, с лайва. (и после оживления - отдельно). Буду признателен за подробности.
А я и не строю из себя умного Попался необычный случай - поделился. Машинка - рабочая, не домашняя. Клиент строго проинструктирован по крайней мере сообщить о неисправностях/необычностях. Пока молчит. Обслуживающая их организация... Ну... в конце концов возился я, а не они.
-
antanta,
mkl
Доброго времени суток вам. Не будете против, если я присоединюсь к вашей беседе со своим вопросом про это
остается неотработанным фолюмный загрузчик. Это такой модный щтюк
Я тож не знаю сего зверя, и знакомится как-то не особо и хочу... с точки зрения "а, ну её, эту гадость". Но, готов по необходимости... Два случая за неделю: в первом ось переставил (ну, там так надо было), а вот со вторым пойду разбираться после выходных.
Если ссылкой на описание работы "щтюка" поделитесь, буду благодарен очень. Как-то не хочется, чтоб эти "модности" в моём случае попались...
-
Сообщение от
Val_Ery
antanta,
mkl Если ссылкой на описание работы "щтюка" поделитесь, буду благодарен очень. Как-то не хочется, чтоб эти "модности" в моём случае попались...
Аналогично, был бы благодарен. Уж очень похожая ситуация на ноутбуке у дочери, но проблема в том, что дочь в Уфе, а я в Краснодаре. Добраться до машины нет возможности как вы понимаете.
Ответить с цитированием
