Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows 7 Rechner bleibt im Boot-Menü hängen, Fehlermeldung Windows failed to start, Status: 0xc000000f (https://www.trojaner-board.de/142441-windows-7-rechner-bleibt-boot-menue-haengen-fehlermeldung-windows-failed-to-start-status-0xc000000f.html)

bike-guenni 02.10.2013 18:24
Windows 7 Rechner bleibt im Boot-Menü hängen, Fehlermeldung Windows failed to start, Status: 0xc000000f
 
Hallo zusammen,

habe mir gestern einen Virus eingefangen, dann weisser Bildschirm mit Anweisung 100 € zu bezahlen. Dann mehrfach runter und wieder hoch gefahren, einmal auch im abgesicherten Modus, aber dann trotzdem wieder weisser Bildschirm.
Irgendwann ging gar nichts mehr. Habe dann Recovery gestartet aber zwischen drin beim Rechner den Strom abgeschaltet (=> vermutlich sehr, sehr, sehr großer Fehler, ich weiß kann es aber nicht mehr rückgängig machen).
Der Rechner bleibt dann immer mit folgender Meldung hängen:

Windows Boot Manager
Windows failed to start. A recent hardware or software change might be the
Cause. To fix the problem:
1. Insert your Windows Installation disc and restart your computer
2. Choose your language settings, and then click “Next”
3. Click “Repair your computer.”
If you do not have this disc, contact your system administrator or computer manufacturer for assistance.

Status: 0xc000000f
Info: The boot selection failed because a required device is inaccessible.

ENTER=Continue

Mit Kaspersky Rescue Disk kann ich starten aber auch mit windowsinstaller und weiteres ging nichts mehr.
Habe den Kaspersky-Virenscan aus dem Internet aktualisiert und einen Virenscan durchgeführt, er hat 4 Dateien entfernt und einige in Quarantäne.
Mit Windows-Wiederherstellungstool (Windows Reparatur Disk) kann ich starten aber alle Menüs wie Systemstartreparatur, Systemwiederherstellung (habe mit Kapersky nachgeschaut, es sind Versionen von 2011 da, aber alle gestern abend nochmal editiert), Systemabbild-Wiederherstellung oder Windows-Speicherdiagnose haben keine Verbesserung gebracht.
Habe dann gestern Nacht entnervt aufgegeben.

Habe mir dann heute euer FRST-Tool runter geladen und folgendes LOG-file erzeugt:

Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 03-10-2013
Ran by SYSTEM on MININT-56U7582 on 02-10-2013 18:45:25
Running from J:\
WIN_7 (X86) OS Language: English(US)
Boot Mode: Recovery
Attention: Could not load system hive.
Attention: System hive is missing.

==================== Registry (Whitelisted) ==================

Attention: Software hive is missing.

ATTENTION: Software hive is not loaded.


========================== Services (Whitelisted) =================


==================== Drivers (Whitelisted) ====================


========================== Drivers MD5 =======================


==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========


==================== One Month Modified Files and Folders =======


==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\winlogon.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\svchost.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\services.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\User32.dll IS MISSING <==== ATTENTION!.
C:\Windows\System32\userinit.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\Drivers\volsnap.sys IS MISSING <==== ATTENTION!.
C:\Windows\system32\codeintegrity\Bootcat.cache IS MISSING <==== ATTENTION!.
C:\Windows\System32\winsrv.dll IS MISSING <==== ATTENTION!.

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: <===== ATTENTION!
HKLM\...\exefile\DefaultIcon:  <===== ATTENTION!
HKLM\...\exefile\open\command:  <===== ATTENTION!

==================== Restore Points  =========================


==================== BCD ================================

Windows-Start-Manager
---------------------
Bezeichner              {bootmgr}
device                  partition=Y:
path                    \bootmgr
description            Windows Boot Manager
locale                  de-DE
inherit                {globalsettings}
default                {default}
resumeobject            {7765aac4-0a1f-11e1-97ab-d3939ddfa23d}
displayorder            {default}
toolsdisplayorder      {memdiag}
timeout                30

Windows-Startladeprogramm
-------------------------
Bezeichner              {default}
device                  partition=D:
path                    \Windows\system32\winload.exe
description            Windows 7
locale                  de-DE
inherit                {bootloadersettings}
recoverysequence        {7765aac6-0a1f-11e1-97ab-d3939ddfa23d}
recoveryenabled        Yes
osdevice                partition=D:
systemroot              \Windows
resumeobject            {7765aac4-0a1f-11e1-97ab-d3939ddfa23d}
nx                      OptIn

Windows-Startladeprogramm
-------------------------
Bezeichner              {7765aac6-0a1f-11e1-97ab-d3939ddfa23d}
device                  ramdisk=[D:]\Recovery\7765aac6-0a1f-11e1-97ab-d3939ddfa23d\Winre.wim,{7765aac7-0a1f-11e1-97ab-d3939ddfa23d}
path                    \windows\system32\winload.exe
description            Windows Recovery Environment
inherit                {bootloadersettings}
osdevice                ramdisk=[D:]\Recovery\7765aac6-0a1f-11e1-97ab-d3939ddfa23d\Winre.wim,{7765aac7-0a1f-11e1-97ab-d3939ddfa23d}
systemroot              \windows
nx                      OptIn
winpe                  Yes

Wiederaufnahme aus dem Ruhezustand
----------------------------------
Bezeichner              {7765aac4-0a1f-11e1-97ab-d3939ddfa23d}
device                  partition=D:
path                    \Windows\system32\winresume.exe
description            Windows Resume Application
locale                  de-DE
inherit                {resumeloadersettings}
filedevice              partition=D:
filepath                \hiberfil.sys
debugoptionenabled      No

Windows-Speichertestprogramm
----------------------------
Bezeichner              {memdiag}
device                  partition=Y:
path                    \boot\memtest.exe
description            Windows Memory Diagnostic
locale                  de-DE
inherit                {globalsettings}
badmemoryaccess        Yes

EMS-Einstellungen
-----------------
Bezeichner              {emssettings}
bootems                Yes

Debuggereinstellungen
---------------------
Bezeichner              {dbgsettings}
debugtype              Serial
debugport              1
baudrate                115200

RAM-Defekte
-----------
Bezeichner              {badmemory}

Globale Einstellungen
---------------------
Bezeichner              {globalsettings}
inherit                {dbgsettings}
                        {emssettings}
                        {badmemory}

Startladeprogramm-Einstellungen
-------------------------------
Bezeichner              {bootloadersettings}
inherit                {globalsettings}
                        {hypervisorsettings}

Hypervisoreinstellungen
-------------------
Bezeichner              {hypervisorsettings}
hypervisordebugtype    Serial
hypervisordebugport    1
hypervisorbaudrate      115200

Einstellungen zur Ladeprogrammfortsetzung
-----------------------------------------
Bezeichner              {resumeloadersettings}
inherit                {globalsettings}

Ger„teoptionen
--------------
Bezeichner              {7765aac7-0a1f-11e1-97ab-d3939ddfa23d}
description            Ramdisk Options
ramdisksdidevice        partition=D:
ramdisksdipath          \Recovery\7765aac6-0a1f-11e1-97ab-d3939ddfa23d\boot.sdi


==================== Memory info ===========================

Percentage of memory in use: 11%
Total physical RAM: 3576.13 MB
Available physical RAM: 3157.46 MB
Total Pagefile: 3574.41 MB
Available Pagefile: 3148.83 MB
Total Virtual: 2047.88 MB
Available Virtual: 1936.2 MB

==================== Drives ================================

Drive d: (Boot) (Fixed) (Total:880.41 GB) (Free:821.55 GB) NTFS
Drive e: (Recover) (Fixed) (Total:50 GB) (Free:28.11 GB) NTFS
Drive g: (Reparaturdatenträger Windows 7 3) (CDROM) (Total:0.15 GB) (Free:0 GB) UDF
Drive j: (USB DISK) (Removable) (Total:1.87 GB) (Free:1.86 GB) FAT
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: () (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 932 GB) (Disk ID: 2BD2C32A)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=880 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=50 GB) - (Type=07 NTFS)
Partition 4: (Not Active) - (Size=1 GB) - (Type=12)

========================================================
Disk: 4 (MBR Code: Windows XP) (Size: 2 GB) (Disk ID: C3072E18)
Partition 1: (Not Active) - (Size=2 GB) - (Type=06)

==================== End Of Log ============================
Könnt ihr damit was anfangen ??
Wenn ich das richtig interpretiere sind alle Windows-Dateien weg. Kann man diese wieder herstellen ??

Kann ich wenigstens meine persönlichen Dateien mit einem Programm von der Festplatte holen und dann den Rechner komplett platt machen ??
Meine letzte Datensicherung ist leider vom 05.01.13. => damit wären einige wichtige Dateien weg.

Benötigt ihr weitere Infos oder was soll ich tun ??

Herzlichen Dank im Voraus und viele Grüße.

Bike-Guenni

schrauber 02.10.2013 18:43
Hi,

versuch erstmal mit Linux irgendwie an die Daten zu kommen.

http://www.trojaner-board.de/51262-a...sicherung.html

Schritt 1.

bike-guenni 03.10.2013 08:12
Hallo Schrauber,

musste gestern erstmal meine externe Festplatte leer machen um überhaupt Daten sichern zu können.
Heute habe ich das Programm Part Magic runter geladen (für das Getparted hätte ich meine Kreditkarten-Nummer eingeben müssen das wollte ich nicht) und auf dem befallenen Rechner gestartet.

Folgende Laufwerke werden angezeigt:

sda1 => 100 M
folgende Verzeichnisse: Boot, System volume Information, Datei bootmgr

sda2 => 880 G
folgende Verzeichnisse: Kapersky Rescue Disk10.0, System volume Information, Users, Windows, Zusatzprogramme (da habe ich alle Programme mit exe-Dateien gespeichert, die sind alle da)

sda3 => 50 G
folgende Verzeichnisse: Drivers, Recover, $Recycle.BIN, System volume Information, Tools und 2 Dateien Pass.RPT und swconf.dat

sda4 => 1 G
folgende Verzeichnisse: boot, PE, folgende Dateien: BOOTCTG.BIN, BOOTIMG.BIN, bootmgr, PRC.sim

sdb (no media)

sdc (no media)

sdd (no media)

sr0 336M CDROM

Meine Daten finde ich allerdings nirgends.
Sind diese dann gelöscht :confused:

Soll ich ein anderes Programm runter laden oder wie geht's weiter ??

Viele Grüsse.

Bike-Guenni

schrauber 03.10.2013 08:14
Sollten im Ordner USers sein wenn Du sie nit explizit woanders platziert hast.

bike-guenni 03.10.2013 08:51
Hallo Schrauber,

es sind alle Windows-Daten zu meinen User-Daten da wie Cookies, Internet-Favoriten, die Links auf meinem Desktop aber meine privaten Daten wie Bilder, Word-Dateien, GPX-Dateien usw. finde ich nirgends.

Habe es gerade auch auch mit file-search probiert (nach *.gpx gesucht) aber nichts gefunden.
Diese findet das Programm nicht.

Viele Grüsse.

Bike-Guenni

schrauber 04.10.2013 01:31
Hm, boote nochmal in die Recovery, mach aber ne Startreparatur. Klappt das?

bike-guenni 04.10.2013 14:36
Hallo Schrauber,

danke für die bisherige Hilfe, aber ich habe aktuell keine Zeit mehr mich so detailliert mit dem Problem zu beschäftigen (bekomme Besuch und muß ab nächster Woche wieder regelmäßig auf Dienstreise).
Habe mich an einen Spezialisten in München gewendet, dem habe ich den Rechner vorbei gebracht.
Kann dann berichten was heraus gekommen ist.

Viele Grüße.

Bike-guenni

schrauber 05.10.2013 10:02
Mach mal :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:29 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131