Hallo zusammen,

habe mir gestern einen Virus eingefangen, dann weisser Bildschirm mit Anweisung 100 € zu bezahlen. Dann mehrfach runter und wieder hoch gefahren, einmal auch im abgesicherten Modus, aber dann trotzdem wieder weisser Bildschirm.
Irgendwann ging gar nichts mehr. Habe dann Recovery gestartet aber zwischen drin beim Rechner den Strom abgeschaltet (=> vermutlich sehr, sehr, sehr großer Fehler, ich weiß kann es aber nicht mehr rückgängig machen).
Der Rechner bleibt dann immer mit folgender Meldung hängen:

Windows Boot Manager
Windows failed to start. A recent hardware or software change might be the
Cause. To fix the problem:
1. Insert your Windows Installation disc and restart your computer
2. Choose your language settings, and then click “Next”
3. Click “Repair your computer.”
If you do not have this disc, contact your system administrator or computer manufacturer for assistance.

Status: 0xc000000f
Info: The boot selection failed because a required device is inaccessible.

ENTER=Continue

Mit Kaspersky Rescue Disk kann ich starten aber auch mit windowsinstaller und weiteres ging nichts mehr.
Habe den Kaspersky-Virenscan aus dem Internet aktualisiert und einen Virenscan durchgeführt, er hat 4 Dateien entfernt und einige in Quarantäne.
Mit Windows-Wiederherstellungstool (Windows Reparatur Disk) kann ich starten aber alle Menüs wie Systemstartreparatur, Systemwiederherstellung (habe mit Kapersky nachgeschaut, es sind Versionen von 2011 da, aber alle gestern abend nochmal editiert), Systemabbild-Wiederherstellung oder Windows-Speicherdiagnose haben keine Verbesserung gebracht.
Habe dann gestern Nacht entnervt aufgegeben.

Habe mir dann heute euer FRST-Tool runter geladen und folgendes LOG-file erzeugt:

Code: Alles auswählenAufklappen

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 03-10-2013
Ran by SYSTEM on MININT-56U7582 on 02-10-2013 18:45:25
Running from J:\
WIN_7 (X86) OS Language: English(US)
Boot Mode: Recovery
Attention: Could not load system hive.
Attention: System hive is missing.

==================== Registry (Whitelisted) ==================

Attention: Software hive is missing.

ATTENTION: Software hive is not loaded.


========================== Services (Whitelisted) =================


==================== Drivers (Whitelisted) ====================


========================== Drivers MD5 =======================


==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========


==================== One Month Modified Files and Folders =======


==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\winlogon.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\svchost.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\services.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\User32.dll IS MISSING <==== ATTENTION!.
C:\Windows\System32\userinit.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\Drivers\volsnap.sys IS MISSING <==== ATTENTION!.
C:\Windows\system32\codeintegrity\Bootcat.cache IS MISSING <==== ATTENTION!.
C:\Windows\System32\winsrv.dll IS MISSING <==== ATTENTION!.

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: <===== ATTENTION!
HKLM\...\exefile\DefaultIcon:  <===== ATTENTION!
HKLM\...\exefile\open\command:  <===== ATTENTION!

==================== Restore Points  =========================


==================== BCD ================================

Windows-Start-Manager
---------------------
Bezeichner              {bootmgr}
device                  partition=Y:
path                    \bootmgr
description             Windows Boot Manager
locale                  de-DE
inherit                 {globalsettings}
default                 {default}
resumeobject            {7765aac4-0a1f-11e1-97ab-d3939ddfa23d}
displayorder            {default}
toolsdisplayorder       {memdiag}
timeout                 30

Windows-Startladeprogramm
-------------------------
Bezeichner              {default}
device                  partition=D:
path                    \Windows\system32\winload.exe
description             Windows 7
locale                  de-DE
inherit                 {bootloadersettings}
recoverysequence        {7765aac6-0a1f-11e1-97ab-d3939ddfa23d}
recoveryenabled         Yes
osdevice                partition=D:
systemroot              \Windows
resumeobject            {7765aac4-0a1f-11e1-97ab-d3939ddfa23d}
nx                      OptIn

Windows-Startladeprogramm
-------------------------
Bezeichner              {7765aac6-0a1f-11e1-97ab-d3939ddfa23d}
device                  ramdisk=[D:]\Recovery\7765aac6-0a1f-11e1-97ab-d3939ddfa23d\Winre.wim,{7765aac7-0a1f-11e1-97ab-d3939ddfa23d}
path                    \windows\system32\winload.exe
description             Windows Recovery Environment
inherit                 {bootloadersettings}
osdevice                ramdisk=[D:]\Recovery\7765aac6-0a1f-11e1-97ab-d3939ddfa23d\Winre.wim,{7765aac7-0a1f-11e1-97ab-d3939ddfa23d}
systemroot              \windows
nx                      OptIn
winpe                   Yes

Wiederaufnahme aus dem Ruhezustand
----------------------------------
Bezeichner              {7765aac4-0a1f-11e1-97ab-d3939ddfa23d}
device                  partition=D:
path                    \Windows\system32\winresume.exe
description             Windows Resume Application
locale                  de-DE
inherit                 {resumeloadersettings}
filedevice              partition=D:
filepath                \hiberfil.sys
debugoptionenabled      No

Windows-Speichertestprogramm
----------------------------
Bezeichner              {memdiag}
device                  partition=Y:
path                    \boot\memtest.exe
description             Windows Memory Diagnostic
locale                  de-DE
inherit                 {globalsettings}
badmemoryaccess         Yes

EMS-Einstellungen
-----------------
Bezeichner              {emssettings}
bootems                 Yes

Debuggereinstellungen
---------------------
Bezeichner              {dbgsettings}
debugtype               Serial
debugport               1
baudrate                115200

RAM-Defekte
-----------
Bezeichner              {badmemory}

Globale Einstellungen
---------------------
Bezeichner              {globalsettings}
inherit                 {dbgsettings}
                        {emssettings}
                        {badmemory}

Startladeprogramm-Einstellungen
-------------------------------
Bezeichner              {bootloadersettings}
inherit                 {globalsettings}
                        {hypervisorsettings}

Hypervisoreinstellungen
-------------------
Bezeichner              {hypervisorsettings}
hypervisordebugtype     Serial
hypervisordebugport     1
hypervisorbaudrate      115200

Einstellungen zur Ladeprogrammfortsetzung
-----------------------------------------
Bezeichner              {resumeloadersettings}
inherit                 {globalsettings}

Ger„teoptionen
--------------
Bezeichner              {7765aac7-0a1f-11e1-97ab-d3939ddfa23d}
description             Ramdisk Options
ramdisksdidevice        partition=D:
ramdisksdipath          \Recovery\7765aac6-0a1f-11e1-97ab-d3939ddfa23d\boot.sdi


==================== Memory info =========================== 

Percentage of memory in use: 11%
Total physical RAM: 3576.13 MB
Available physical RAM: 3157.46 MB
Total Pagefile: 3574.41 MB
Available Pagefile: 3148.83 MB
Total Virtual: 2047.88 MB
Available Virtual: 1936.2 MB

==================== Drives ================================

Drive d: (Boot) (Fixed) (Total:880.41 GB) (Free:821.55 GB) NTFS
Drive e: (Recover) (Fixed) (Total:50 GB) (Free:28.11 GB) NTFS
Drive g: (Reparaturdatenträger Windows 7 3) (CDROM) (Total:0.15 GB) (Free:0 GB) UDF
Drive j: (USB DISK) (Removable) (Total:1.87 GB) (Free:1.86 GB) FAT
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: () (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 932 GB) (Disk ID: 2BD2C32A)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=880 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=50 GB) - (Type=07 NTFS)
Partition 4: (Not Active) - (Size=1 GB) - (Type=12)

========================================================
Disk: 4 (MBR Code: Windows XP) (Size: 2 GB) (Disk ID: C3072E18)
Partition 1: (Not Active) - (Size=2 GB) - (Type=06)

==================== End Of Log ============================
         

Könnt ihr damit was anfangen ??
Wenn ich das richtig interpretiere sind alle Windows-Dateien weg. Kann man diese wieder herstellen ??

Kann ich wenigstens meine persönlichen Dateien mit einem Programm von der Festplatte holen und dann den Rechner komplett platt machen ??
Meine letzte Datensicherung ist leider vom 05.01.13. => damit wären einige wichtige Dateien weg.

Benötigt ihr weitere Infos oder was soll ich tun ??

Herzlichen Dank im Voraus und viele Grüße.

Bike-Guenni

Hi,

versuch erstmal mit Linux irgendwie an die Daten zu kommen.

http://www.trojaner-board.de/51262-a...sicherung.html

Schritt 1.

Hallo Schrauber,

musste gestern erstmal meine externe Festplatte leer machen um überhaupt Daten sichern zu können.
Heute habe ich das Programm Part Magic runter geladen (für das Getparted hätte ich meine Kreditkarten-Nummer eingeben müssen das wollte ich nicht) und auf dem befallenen Rechner gestartet.

Folgende Laufwerke werden angezeigt:

sda1 => 100 M
folgende Verzeichnisse: Boot, System volume Information, Datei bootmgr

sda2 => 880 G
folgende Verzeichnisse: Kapersky Rescue Disk10.0, System volume Information, Users, Windows, Zusatzprogramme (da habe ich alle Programme mit exe-Dateien gespeichert, die sind alle da)

sda3 => 50 G
folgende Verzeichnisse: Drivers, Recover, $Recycle.BIN, System volume Information, Tools und 2 Dateien Pass.RPT und swconf.dat

sda4 => 1 G
folgende Verzeichnisse: boot, PE, folgende Dateien: BOOTCTG.BIN, BOOTIMG.BIN, bootmgr, PRC.sim

sdb (no media)

sdc (no media)

sdd (no media)

sr0 336M CDROM

Meine Daten finde ich allerdings nirgends.
Sind diese dann gelöscht

Soll ich ein anderes Programm runter laden oder wie geht's weiter ??

Viele Grüsse.

Bike-Guenni

Sollten im Ordner USers sein wenn Du sie nit explizit woanders platziert hast.

Hallo Schrauber,

es sind alle Windows-Daten zu meinen User-Daten da wie Cookies, Internet-Favoriten, die Links auf meinem Desktop aber meine privaten Daten wie Bilder, Word-Dateien, GPX-Dateien usw. finde ich nirgends.

Habe es gerade auch auch mit file-search probiert (nach *.gpx gesucht) aber nichts gefunden.
Diese findet das Programm nicht.

Viele Grüsse.

Bike-Guenni

Hm, boote nochmal in die Recovery, mach aber ne Startreparatur. Klappt das?

Hallo Schrauber,

danke für die bisherige Hilfe, aber ich habe aktuell keine Zeit mehr mich so detailliert mit dem Problem zu beschäftigen (bekomme Besuch und muß ab nächster Woche wieder regelmäßig auf Dienstreise).
Habe mich an einen Spezialisten in München gewendet, dem habe ich den Rechner vorbei gebracht.
Kann dann berichten was heraus gekommen ist.

Viele Grüße.

Bike-guenni

Mach mal