Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)
-   -   Welche Dateien benötigt Windows XP zum Start? (https://www.trojaner-board.de/85901-welche-dateien-benoetigt-windows-xp-start.html)

seekwest 09.05.2010 15:32
Welche Dateien benötigt Windows XP zum Start?
 
Hallöchen,
auf Grund eines Virusbefalls funktioniert mein Windows XP jetzt leider nicht mehr. Wenn ich den PC hochfahre und mich anmelde, fährt er den PC sofort wieder runter, das gleiche gilt für den abgesicherten Modus.

Nun möchte ich probieren von meiner Windows XP CD die Dateien, welche zum Starten von Windows XP benötigt werden manuell aus dem I386 Ordner kopieren und diese mit den (evtl defekten) Dateien auf meiner Festplatte ersetzen (Hab einen anderen PC, mit dem ich diesen Kopiervorgang erledigen kann).

Welche Dateien sollte ich kopieren?
NTFS.sys - hat nichts gebracht
winlogon.exe - danach ging gar nix mehr

Vielleicht könnt Ihr mit helfen?
Danke schonmal im Voraus!
Chris

Shadow 09.05.2010 17:07
Da Windows startet, kann es nicht an den benötigten Startdateien liegen.:D
Zitat:
Zitat von seekwest (Beitrag 524146)
auf Grund eines Virusbefalls funktioniert mein Windows XP jetzt leider nicht mehr. Wenn ich den PC hochfahre und mich anmelde, fährt er den PC sofort wieder runter, das gleiche gilt für den abgesicherten Modus.
Ich tippe auf falschen Pfad zu Userinit.exe
(Malware hat eine falsche Userinit.exe auf den PC mitgebracht und die Registry auf die falsche Userinit.exe umgeändert. AV-Programm hat die falsche Userinit.exe gelöscht aber die Registry nicht repariert.)
Wenn dies der Fall wäre, müsstest du "nur" die Registry reparieren, z.B. die Festplatte ausbauen und mit einem andere Windows-PC per Regedit die Registry bearbeiten. Google mag dir dabei helfen herauszubekommen, ob dies bei dir so gewesen sein könnte und hält auch Anleitungen parat.
Wenn du allerdings schon mit rumkopieren dein System ganz abgeschossen hast, dann wird es schwierig.
Reparatur-Installation oder Neuinstallation.
Ideal ist sowieso sauber neuaufsetzen. Anleitung: Neuaufsetzen des Systems + Absicherung

seekwest 10.05.2010 09:36
Hallo nochmal,
hab erstmal probiert die userinit.exe von der XP CD ins Windows Verzeichnis zu kopieren.. die Dateien waren zwar unterschiedlich groß, hat aber trotzdem keine besserung gebracht.

Wie öffne ich denn auf einer 2. Festplatte die Registry? Mit Regedit bekomm ich ja nur die aktuelle Registry des laufenden Betriebssystems oder?

Tschö
Chris

cosinus 10.05.2010 10:03
Probiers mal so:

1. PC mit BartPE Boot CD starten
2. "Go -> Run" auswählen und "regedit" eingeben
3. HKEY_LOCAL_MACHINE auswählen
4. Menü "Datei -> Struktur laden" selektieren
5. Datei C:\WINDOWS\system32\config\software öffnen
6. Darunter nach dem Schlüssel \Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe suchen
7. Diesen Schlüssel komplett löschen, da er (noch) auf den Trojaner verweist

Shadow 10.05.2010 16:54
Der Vorteil - aber auch in gewisser weise ein Nachteil - des Einbindens der Festplatte in eine anderes Windows-System ist die relativ einfache umfangreiche Virensuche von diesem System aus. Dies ist auch gleichzeitig der Nachteil, du musst dieses System deutlich gut abgesichert haben.

Ab Punkt 2 entspricht es cosinus' Vorgehen,
wobei er nur eine Variante beschrieben hat, nämlich den Fall eines vollkommen falschen userinit-Eintrags.
Die andere Variante ist ein verbogener (also nicht komplett falscher) Registry-Eintrag, den du wieder gerade biegen musst.

"HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\userinit.exe". => gesamten Schlüssel komplett löschen, siehe cosinus.
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Windows NT\CurrentVersion\Winlogon" (der legale, notwendige Eintrag) muss als Wert diesen Eintrag haben: "C:\WINDOWS\system32\userinit.exe," (ohne Anführungszeichen), wobei "c:\windows" der Pfad des Windows-System ist, wie er normal auf diesem System wäre, liegt das Windowsverzeichnis nicht auf c: oder nicht im Verzeichnis "Windows" musst du anpassen. Der Pfad bezieht sich auf dein boot-unwilliges System, so wie dieses System seine Festplattenpartitionen benannt hat.

Beide Varianten können auch gleichzeitig vorhanden sein, also beides kontrollieren!

zu 4. Struktur laden: Du musst da einen Namen angeben, der ist eigentlich beliebig, sollte aber (natürlich) eindeutig und einmalige in diesem Registry-System sein, einfach z.Bsp. Z hat sich eingebürgert.

Am Schluss (wenn via Festplattenumbau vor dem Schließen der Registry die Struktur wieder entladen (Struktur entfernen).

Vorteil der Methode via CD: Du kannst nicht versehentlich eine falsche Registry zerschießen (aber natürlich immer noch die des "kranken Windows") und auf die CD kann kein Virus überspringen. Nachteil, du musst eine CD erst einmal erstellen und im Idealfall auch eine mit ausführlichen und aktuellen Virenscannmöglichkeiten.


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:19 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129