Wo ich gerade den Screenshot sehe, seh ich etwas, was mir vorher als wie mit CF im Gange waren nicht aufgefallen ist Und Zwar das \\??\ vor dem kompletten Pfad zur reg.exe (C:\Windows\system32\reg.exe) - gib mal bitte in der Konsole SET ein, führ es mit der Eingabetaste aus und poste die Ausgabe.

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\User>set
ALLUSERSPROFILE=C:\ProgramData
APPDATA=C:\Users\User\AppData\Roaming
CommonProgramFiles=C:\Program Files\Common Files
CommonProgramFiles(x86)=C:\Program Files (x86)\Common Files
CommonProgramW6432=C:\Program Files\Common Files
COMPUTERNAME=USER-PC
ComSpec=C:\Windows\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Users\User
LOCALAPPDATA=C:\Users\User\AppData\Local
LOGONSERVER=\\USER-PC
NUMBER_OF_PROCESSORS=4
OS=Windows_NT
Path=C:\Windows\system32;C:\Windows;C:\Windows\system32\wbem;C:\Windows\System32
\WindowsPowerShell\v1.0;C:\Program Files (x86)\Astaro\Astaro SSL VPN Client\bin;
C:\Program Files (x86)\Astaro\Sophos SSL VPN Client\bin
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
PROCESSOR_ARCHITECTURE=AMD64
PROCESSOR_IDENTIFIER=AMD64 Family 21 Model 1 Stepping 2, AuthenticAMD
PROCESSOR_LEVEL=21
PROCESSOR_REVISION=0102
ProgramData=C:\ProgramData
ProgramFiles=C:\Program Files
ProgramFiles(x86)=C:\Program Files (x86)
ProgramW6432=C:\Program Files
PROMPT=$P$G
PSModulePath=C:\Windows\system32\WindowsPowerShell\v1.0\Modules\
PUBLIC=C:\Users\Public
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\Windows
TEMP=C:\Users\User\AppData\Local\Temp
TMP=C:\Users\User\AppData\Local\Temp
USERDOMAIN=User-PC
USERNAME=User
USERPROFILE=C:\Users\User
windir=C:\Windows

C:\Users\User>
         

Ja genau

aber wo ist da ein \\??\ ??

Im Screesnhot. Aber darum geht es doch nicht, du sollst doch nur den Befehl SET absetzen und die Ausgabe posten

Hab ich doch ... Post #92

Hab nicht gesehen dass du editiert hast

Asche auf mein Haupt

Die Ausgabe sollte auch so passen
Vllt überseh ich da auch was. Hab hier im Moment kein Windows am Start...

und jetzt?

Vllt kommt mir morgen beim noch ne zündende Idee

Können nicht die zerstörten Treiber oder die manipulierten Service Einträge daran schuld sein

Bitte führe wieder FRST aus, setze die Haken bei Addition.txt - Dateien 3 Monate - Treiber MD5 und poste die beiden Logs

Ja, aber die Umgebungsvariablen nochmal genauer zu checken war schon nicht schlecht

Welchen Grund kann es denn noch geben, dass Windows eine 64-Bit-EXE für 16-bittig hält? Sind die Dateien wie sfc.exe, reg.exe usw. selbst beschädigt?

Beschädigt sind wichtige Kerneltreiber wie pacer.sys und rootmdm. sys, die sind leer. Siehe FRST kurz vor dem BamitalCheck. Da liegt der Hund wohl begraben.

Beschädigt oder die Rechte komplett weggesemmelt?