Guten Abend,

ich bin gerade erst auf dieses Forum gestoßen. Und in meiner Verzweiflung bin ich über jedes Quäntchen Hilfe sehr dankbar.

Ich habe folgendes Problem:
Seit gestern habe ich keine Möglichkeit in mein Windows hineinzukommen, da mein PC, sobald der Windows-Desktop erscheint neustartet. Ich nutze Win2000. Auch im abgesicherten Modus verhält sich das System gleich. Die Windowsreparatur blieb erfolglos.
Nun ist es so, dass sozusagen mein Herz an dieser Partition hängt und ich diese ungern formatieren würde, da ich suboptimaler Weise keine Backups von wichtigen Daten gezogen habe. So weit so schlecht.
Da ich die Daten wenigstens wieder einsehen wollte, habe ich eine zweite Windows Installation auf der gleichen Partition ausgeführt.
Ich schildere nun stichpunktartig mein weiteres Vorgehen (chronologisch geordnet):

- Mit Ad-aware gescant
- 3 Funde bereinigt
- Mit Lavasoft Antivir XP gescant
- 2 Backdoorprogramme gefunden und diese entfernt
- hier im Forum schlau gemacht
- Spybot Search & Destroy ausgeführt
- Fund zweier Probleme: "Alexa Related" ("related.htm"? und ein verfolgender Cookie)
- Hijackthis laufen lassen, dass ja (wenn ich das richtig verstanden habe) nur das aktuell laufende System überprüft. Allerdingsmöchte ich ja die alte Windowsinstallation reparieren
- Mit eScan Scan begonnen. Dieser läuft immernoch. Hat schon 25 Funde.

Meine eigentliche Fragen: Gibt es tatsächlich keine Möglichkeit, meine alte Windows Installation zu "recovern"? Wie gehe ich am weiter vor?

Ich habe leider nicht die Möglichkeit meine Daten noch nachträglich auf CD/DVD der sichern, da ich hier über keinen Brenner verfüge. Ich überlege mir nun ernsthaft eine externe Festplatte anzuschaffen und die Daten rüberzuziehen, bevor ich alles lösche, falls ich das überhaupt muss.

Fakt ist, ich habe eigentlich keine Ahnung von dem was ich hier tue, weil ich mich mit der Materie Virenbefall leider noch nie so richtig befasst habe.

Ich hoffe mein Problem verständlich geschildert zu haben und bedanke mich für etwaige Antworten.

Gruß,
anta

Irgendwo im %SYSTEM%-Verzeichnis sollten sich Log-Files finden lassen. Ich kann hierbei keine wirkliche Unterstützung geben, da ich Windows 2000 nur bei der Arbeit einsetze. Einfach mal die Partition nach *.log absuchen und schauen, ob sich ein Eventlog finden lässt. Inhalt hier posten.

Sollte die Installation wider Erwartung doch mal starten, gibt es hier Links mit denen sich uU das Problem eingrenzen lässt (bei Unwissenheit am besten mal jemanden fragen der sich damit auskennt -- also nicht mich):

http://support.microsoft.com/default...B;en-us;315396
http://support.microsoft.com/?scid=k...5410&x=12&y=15
http://support.microsoft.com/?scid=k...2542&x=13&y=11
http://www.microsoft.com/technet/sup..._advanced.aspx

Anderer Vorschlag:

Unter der Annahme, dass noch mindestens eine weitere Partition (die Partition der zweiten Installation) existiert:

Mit Knoppix booten, NTFS-Volumes mounten (risikobehaftet) und die wertvollen Dateien auf die 2. Partition sichern. 1. Partition plätten, Windows neu installieren und Daten wieder zurückspielen.

kl. Anmerkung nebenbei: nach Mitternacht bestehen meine Beiträge meistens nur noch aus Edits...

Also ich habe jetzt nach einem eventlog gesucht, leider aber nichts gefunden.
Es ist vielleicht noch erwähnenswert, dass beim ersten Eintreten des Bugs kurz eine Fehlermeldung aufpoppte (ca. 5 Sekunden) die besagt, dass die Datei "winlogon.exe" einen Fehler verursacht hat.

Nun ja, ich habe eine "winlogon.log" im Ordner "C:\WINNT\security\logs" gefunden. Ich poste nun den letzten Eintrag (also das letzte Mal bei dem das System ordnungsgemäß gebootet hat).
Vielleicht ist hier heraus etwas ersichtlich:

12/09/2005 11:23:09
Verzögerungsfilter für den Registrierungswert aufrufen
Analyse von machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\securitylevel.
Analyse von machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\setcommand.
Analyse von machine\software\microsoft\windows nt\currentversion\winlogon\allocatecdroms.
Analyse von machine\software\microsoft\windows nt\currentversion\winlogon\allocatedasd.
Analyse von machine\software\microsoft\windows nt\currentversion\winlogon\allocatefloppies.
Analyse von machine\software\microsoft\windows nt\currentversion\winlogon\cachedlogonscount.
Analyse von machine\software\microsoft\windows nt\currentversion\winlogon\passwordexpirywarning.
Analyse von machine\software\microsoft\windows nt\currentversion\winlogon\scremoveoption.
Analyse von machine\software\microsoft\windows\currentversion\policies\system\dontdisplaylastusername.
Analyse von machine\software\microsoft\windows\currentversion\policies\system\legalnoticecaption.
Analyse von machine\software\microsoft\windows\currentversion\policies\system\legalnoticetext.
Analyse von machine\software\microsoft\windows\currentversion\policies\system\shutdownwithoutlogon.
Analyse von machine\system\currentcontrolset\control\lsa\auditbaseobjects.
Analyse von machine\system\currentcontrolset\control\lsa\crashonauditfail.
Analyse von machine\system\currentcontrolset\control\lsa\fullprivilegeauditing.
Analyse von machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel.
Analyse von machine\system\currentcontrolset\control\lsa\restrictanonymous.
Analyse von machine\system\currentcontrolset\control\print\providers\lanman print services\servers\addprinterdrivers.
Analyse von machine\system\currentcontrolset\control\session manager\memory management\clearpagefileatshutdown.
Analyse von machine\system\currentcontrolset\control\session manager\protectionmode.
Analyse von machine\system\currentcontrolset\services\lanmanserver\parameters\autodisconnect.
Analyse von machine\system\currentcontrolset\services\lanmanserver\parameters\enableforcedlogoff.
Analyse von machine\system\currentcontrolset\services\lanmanserver\parameters\enablesecuritysignature.
Analyse von machine\system\currentcontrolset\services\lanmanserver\parameters\requiresecuritysignature.
Analyse von machine\system\currentcontrolset\services\lanmanworkstation\parameters\enableplaintextpassword.
Analyse von machine\system\currentcontrolset\services\lanmanworkstation\parameters\enablesecuritysignature.
Analyse von machine\system\currentcontrolset\services\lanmanworkstation\parameters\requiresecuritysignature.
Analyse von machine\system\currentcontrolset\services\netlogon\parameters\disablepasswordchange.
Analyse von machine\system\currentcontrolset\services\netlogon\parameters\requiresignorseal.
Analyse von machine\system\currentcontrolset\services\netlogon\parameters\requirestrongkey.
Analyse von machine\system\currentcontrolset\services\netlogon\parameters\sealsecurechannel.
Analyse von machine\system\currentcontrolset\services\netlogon\parameters\signsecurechannel.
Analyse von MACHINE\System\CurrentControlSet\Control\Lsa\SubmitControl.
Analyse von MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD.
Analyse von MACHINE\Software\Microsoft\Non-Driver Signing\Policy.
Analyse von MACHINE\Software\Microsoft\Driver Signing\Policy.
Lokale Richtlinie kopieren.
----Konfigurationsmodul wurde erfolgreich initialisiert.----

----Konfigurationsvorlageninformationen werden gelesen...


----Benutzerrechte werden konfiguriert...
Konfigurieren von S-1-5-32-544.
Konfigurieren von S-1-5-32-551.
Konfigurieren von S-1-5-21-854245398-448539723-839522115-1000.
Konfigurieren von S-1-5-21-854245398-448539723-839522115-500.
Konfigurieren von S-1-5-32-547.
Konfigurieren von S-1-5-32-545.
Konfigurieren von S-1-1-0.
Konfigurieren von S-1-5-6.
Konfigurieren von S-1-5-21-854245398-448539723-839522115-501.

Konfiguration der Benutzerrechte wurde erfolgreich abgeschlossen.


----Sicherheitsrichtlinien werden konfiguriert...
Konfigurieren der Kennwortinformationen.

Konfiguration des Systemzugriffs wurde erfolgreich abgeschlossen.
Konfigurieren der Ereignisüberwachungseinstellungen.

Konfiguration des Überwachungsprotokolls wurde erfolgreich abgeschlossen.
Konfigurieren von machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\securitylevel.
Konfigurieren von machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\setcommand.
Konfigurieren von machine\software\microsoft\windows nt\currentversion\winlogon\allocatecdroms.
Konfigurieren von machine\software\microsoft\windows nt\currentversion\winlogon\allocatedasd.
Konfigurieren von machine\software\microsoft\windows nt\currentversion\winlogon\allocatefloppies.
Konfigurieren von machine\software\microsoft\windows nt\currentversion\winlogon\cachedlogonscount.
Konfigurieren von machine\software\microsoft\windows nt\currentversion\winlogon\passwordexpirywarning.
Konfigurieren von machine\software\microsoft\windows nt\currentversion\winlogon\scremoveoption.
Konfigurieren von machine\software\microsoft\windows\currentversion\policies\system\dontdisplaylastusername.
Konfigurieren von machine\software\microsoft\windows\currentversion\policies\system\legalnoticecaption.
Konfigurieren von machine\software\microsoft\windows\currentversion\policies\system\legalnoticetext.
Konfigurieren von machine\software\microsoft\windows\currentversion\policies\system\shutdownwithoutlogon.
Konfigurieren von machine\system\currentcontrolset\control\lsa\auditbaseobjects.
Konfigurieren von machine\system\currentcontrolset\control\lsa\crashonauditfail.
Konfigurieren von machine\system\currentcontrolset\control\lsa\fullprivilegeauditing.
Konfigurieren von machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel.
Konfigurieren von machine\system\currentcontrolset\control\lsa\restrictanonymous.
Konfigurieren von machine\system\currentcontrolset\control\print\providers\lanman print services\servers\addprinterdrivers.
Konfigurieren von machine\system\currentcontrolset\control\session manager\memory management\clearpagefileatshutdown.
Konfigurieren von machine\system\currentcontrolset\control\session manager\protectionmode.
Konfigurieren von machine\system\currentcontrolset\services\lanmanserver\parameters\autodisconnect.
Konfigurieren von machine\system\currentcontrolset\services\lanmanserver\parameters\enableforcedlogoff.
Konfigurieren von machine\system\currentcontrolset\services\lanmanserver\parameters\enablesecuritysignature.
Konfigurieren von machine\system\currentcontrolset\services\lanmanserver\parameters\requiresecuritysignature.
Konfigurieren von machine\system\currentcontrolset\services\lanmanworkstation\parameters\enableplaintextpassword.
Konfigurieren von machine\system\currentcontrolset\services\lanmanworkstation\parameters\enablesecuritysignature.
Konfigurieren von machine\system\currentcontrolset\services\lanmanworkstation\parameters\requiresecuritysignature.
Konfigurieren von machine\system\currentcontrolset\services\netlogon\parameters\disablepasswordchange.
Konfigurieren von machine\system\currentcontrolset\services\netlogon\parameters\requiresignorseal.
Konfigurieren von machine\system\currentcontrolset\services\netlogon\parameters\requirestrongkey.
Konfigurieren von machine\system\currentcontrolset\services\netlogon\parameters\sealsecurechannel.
Konfigurieren von machine\system\currentcontrolset\services\netlogon\parameters\signsecurechannel.

Die Konfiguration der Registrierungswerte wurde erfolgreich abgeschlossen.


----Verfügbare Anlagenmodule werden konfiguriert...

Konfiguration der Anlagenmodule wurde erfolgreich abgeschlossen.


----Konfigurationsmodul wird deinitialisiert...

Hmmm...ein Log von nem missglückten Versuch wäre aufschlussreicher. Wenn es möglich ist, versuche bei der Orginalinstallation "restart on error" oder wie auch immer das bei 2000 heissen mag abzuschalten (unter XP geht das über System -> Erweitert -> Starten und Wiederherstellen). Das sollte dafür sorgen, dass in den Logs Einträge zu finden sind (im schlimmsten Fall verursacht durch Folgefehler). Mehr fällt mir dazu auch grad nicht ein, da ich von Windows 2000 absolut und garantiert keine Ahnung habe.

Ok, danke.
Ich werde es mal versuchen.

Gruß,
anta

Nun, gut.

Weiß denn sonst niemend einen Rat, wie ich wieder an mein System ran komme?
Die Krux ist ja schließlich, dass ich den Neustart nicht durch Einstelungen im Windows verhindern kann, weil ich nicht bis dahin kommen. Der PC startet nach dem Hochfahren sofort neu.


anta