Hi @ all,

vor einiger Zeit konnte ich einen Schädling (Trojaner)
weitesgehend eliminieren. Nun hat Dieser jedoch einige Einträge
verändert oder gelöscht, die für den Startvorgang des OS erforderlich waren.
Nun war das erstmal kein Problem, da ich mit Hilfe eines sauberen Vistas die Registrierungseinträge
vergleichen und wiederherstellen konnte (vor allem DcomLaunch und RpcSs).

Das Problem war/ist, dass mein OS in sämtlichen Modi immer noch nicht booten
kann: Während der Analyse wurde ich auf den fehlenden Unterschlüssel
"BCD00000", in HKLM, aufmerksam.

Nun ist meine Frage, ob ich Diesen mit dem MS-Booteditor (bcdedit.exe)
wiederherstellen kann oder ob das doch etwas Anderes ist.

Welcher Schädling, welche Einträge?
Oder ist das nicht genau bekannt?

Wenn dein Vista (immer noch) nicht bootet, wird man es auch sehr schwierig analysieren können. Es gibt da Mittel wie OTLPE, aber ob man damit die Ursache findet ist nicht gesagt.

Warum vermeidest du ein format c: plus Neuinstallation? Geht es um die Daten auf der Festplatte, die nicht gesichert sind?

Es war der Trojaner Crypt.ZPack.Gen.2:

http://www.trojaner-board.de/97126-v...vorhanden.html


Bei den Einträgen weiß ich nur, das es Fehler in HKLM\System und HKLM\Software
gegeben hat.
In diesem Hauptschlüssel fehlt nun der Unterschlüssel "BCD...".

Was ist mit meinen anderen Fragen?

Zitat:

Zitat von cosinus

Was ist mit meinen anderen Fragen?

Ich wüsste jetzt nicht, welche Fragen ich nicht beantwortet hätte.

Zitat:

Warum vermeidest du ein format c: plus Neuinstallation? Geht es um die Daten auf der Festplatte, die nicht gesichert sind?

na diese hier

Zitat:

Zitat von cosinus

Geht es um die Daten auf der Festplatte, die nicht gesichert sind?

Ja und Einiges wiederherzustellen wäre fast unlösbar.
Deswegen arbeite ich daran die Partition wieder flott zu bekommen

Wieso, ist die Partition im Eimer?
Wenn nicht kannst du die Daten per Live-CD sichern, folge mal dem 2. Link in meiner Signatur.

Wie gesagt, ich habe gesehen, das in der Registry der komplette BCD-Schlüssel fehlt
und der scheint nicht gerade unwichtig zu sein (vor allem Booten?).
Die Frage ist bloß, ob ich einfach sämtliche Werte aus der funktionierenden Registry
übernehmen soll (bspw. Lage von winload und winresume)?
Desweiteren bin ich mir nicht ganz sicher, ob die GUIDs immer identisch sind oder
ob Vista die nach jeder Installation, gemäß eines Algorithmus, neu anlegt.

Vielen Dank schonmal.

Zitat:

Wie gesagt, ich habe gesehen, das in der Registry der komplette BCD-Schlüssel fehlt

Was genau hat das mit der Lesbarbeit der Partition zu tun? Man könnte Daten immer noch über ein Livesystem sichern wenn die Partitionsstruktur und das Dateisystem okay sind!

Und wenn man alle relevanten Daten gesichert hat, wird das System plattgemacht und Windoows neu installiert!