Trojaner-Board - Kein Booten nach Rootkit-Entfernung

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Kein Booten nach Rootkit-Entfernung (https://www.trojaner-board.de/125288-kein-booten-rootkit-entfernung.html)

Kein Booten nach Rootkit-Entfernung

Hallo zusammen,

ich bräuchte Hilfe bei der Entfernung eines Rootkits oder der Reparatur nach der versuchten Entfernung.

Mein Windows XP (32-Bit) hat sich seltsam verhalten, daraufhin habe ich den Virenscanner von Avast installiert, der ein Rootkit gefunden hat. Avast hat versucht, das Rootkit zu entfernen. Seit dem bootet der Rechner nicht mehr. Der Name des Rootkits ist mir leider nicht bekannt. Leider komme ich an das System nicht mehr ran und habe keine Daten zu dem Rootkit oder dem Zustand des Systems. Ich würde jetzt gerne zumindest meine Daten von der Festplatte retten.

Versucht habe ich seit dem folgendes:
-Booten mit einer Kaspersky Rescue Disc: Mounten der C-Partition (/dev/sda1) nicht möglich.
-Booten mit Knoppix: Kein Mounten möglich. NTFS inkonsistent. Fehler 0xc00000001, Es wird chkdsk /f vorgeschlagen.
-Booten mit Ubuntu 12.04: Kein Mounten möglich. Versuche mit "ntfsfix" und "lilo -M" scheinen ebenfalls nichts zu bewirken.
-Booten mit einer Windows-CD: chkdsk /r bricht ab und meldet ein nicht behebares Problem.

Mir gehen jetzt wirklich die Ideen aus. Habt ihr noch einen Rat? Kann ich noch Daten zur genaueren Analyse liefern? Welche?

Ich will eigentlich nur an meine Daten ran, dann alles neu formatieren und sauber installieren. Das letzte Backup ist schon etwas her.
Die kaputte Platte ist eine ASUS JM S41 SSD.

Danke!

Zitat:

Versuche mit "ntfsfix" und "lilo -M" scheinen ebenfalls nichts zu bewirken.

Was soll der alte LiLo denn auch auf einem Windows-only-PC ausrichten? :confused:
Zudem ist schon seit Jahren kein LiLo mehr bei Ubuntu in Verwendung, sondern GRUB bzw. GRUB2

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?

Abgesicherter Modus zur Bereinigung

Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

Hallo,

mit Lilo hatte ich gehofft, den MBR zu reparieren.

von Windows sehe ich kein Lebenszeichen mehr, auch keine Fehlermeldung. Nach dem BIOS ist Schluss, der Rechner startet neu, ich kann also auch keinen abgesicherten Modus auswählen.

Grüße, R.

Versuch mit BartPE bzw. OTLPE ein Live-Windows zu booten und damit Zugriff auf die Windows-Laufwerke zu bekommen. Geht das nicht, machst du ein Filesystemcheck mittel chkdsk /f /v in der Konsole

BartPE kriegt keinen Zugriff auf die Platte hin.

chkdsk /f /v erkennt immerhin NTFS und versucht bei jedem Aufruf den exakt gleichen Fehler zu beheben, bricht dann aber ohne Fehlermeldung ab:

Code:

Der Typ des Dateisystems ist NTFS. Die Volumenbezeichnung ist c.
 

CHKDSK überprüft Dateien (Phase 1 von 3)...

Beschädigter Attributeintrag (160, $I30) wird  vom Datensatzsegment 5 gelöscht.

Ein DIR ist aber auch danach nicht drin, es erkennt kein Dateisystem.

Weitere Ideen?

Dateisystem hinüber, vllt resultiert das sogar aus einer defekten Festplatte, muss aber nicht
Prüf mal mit dem Diagnosetools des Plattenherstellers deine Festplatte