300 Benutzer online
10. Juli 2025, 16:38:23

Windows Community



 Antworten / AufrufeThemen mit dem Stichwort 0xc0000013
1
Antworten
3844
Aufrufe
Cant logon to WindowsXP, deleted some registry keys
Begonnen von chloec42
13. September 2010, 19:38:10
I use Malwarebytes Antimalware regularly http://www.malwarebytes.org/mbam.php and havent had an infection found

in about a year.
Yesterday i scanned after about a month and i saw 12 infections !

MBAM said it could not clean a few infections:

==============
Malwarebytes' Anti-Malware 1.44
Database version: 3510
Windows 5.1.2600 Service Pack 2
Internet Explorer Unknown

9/11/2010 11:19:49 PM
mbam-log-2010-09-11 (23-19-49).txt

Scan type: Quick Scan
Objects scanned: 94917
Time elapsed: 2 minute(s), 49 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 2
Registry Values Infected: 2
Registry Data Items Infected: 3
Folders Infected: 1
Files Infected: 4

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6}

(Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6}

(Backdoor.Bot) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mp3_audio_codec (Spyware.Zbot) -> Quarantined and

deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and

deleted successfully.

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:

\windows\system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data:

system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:

\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted

successfully.

Folders Infected:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.

Files Infected:
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> Delete on reboot.
=======================

So i thought of manually removing the infected Registry keys. (Something i've done many times before)

While I was at
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
I saw a key named 'Special Accounts', it looked fishy to my paranoid eyes. Had some 'strange' values in it, None

corresponding to my Username (Administrator) or Guest. 3 were somewhat random letters with a ~, and one was '

search assistant'. Looked like malware remains of some kind, so, i deleted them all.

After that i rebooted, the welcome screen showed up (usually straightaway shows me desktop since there is just one

user 'Administrator') with the only user 'Administrator'. When i click it, it shows 'loading your personal

settings' for a second. Then it reads 'saving your settings' and stays at the logon screen. Repeated it for 10

times. Restarted and repeated. Shut Down and repeated. Always same result.

Then i tried the 'Last Know good configuration' in statup options. Still same result.
Tried 'Safe Mode' starts loading then breaks at 'unable to load NTFS.dll'
'Safe mode with networking' same logon screen and same one second login and return to logon screen.

I dont know how to login. Can someone please help. Is there a way to remotely add the keys back to my registry. Or

some way to correct this problem?

Thanks and Regards

[u]guptavis [/u]

win7win7 windowswindows bytebyte filesfiles 8597051985970519 useruser cantcant wegweg vistvist speicherspeicher reparierenreparieren pocketpocket rettenretten sdhcsdhc bootexbootex chk-dateienchk-dateien kann man auf windows98 windows vista draufspeichernkann man auf windows98 windows vista draufspeichern win7 erzeugt chk dateien speicherkartewin7 erzeugt chk dateien speicherkarte 4276864442768644 d24d24 daemondaemon registerregister downloaddownload winwin kartekarte startstart fuerfuer speicherkartespeicherkarte orderorder
4
Antworten
7078
Aufrufe
Daten auf Speicherkarte sind weg
Begonnen von sgfan
17. März 2009, 17:57:27
Hallo,

ich habe ein GigaByte GSmart T600 mit einer 4GB SDHC-Speicherkarte und einen Medion MD8820. Gestern habe ich meine Speicherkarte in den PC geschoben, und ihn anschließend eingeschaltet. Beim Start kam auf einmal die Meldung, dass er den Datenträger untersucht. Da ich dies schon von anderen Wechseldatenträgern kannte, habe ich ihn machen lassen. Nach der Anmeldung an Windows war nur noch eine Datei mit Namen "BOOTEX.LOG". Außerdem noch ein Ordner mit dem Namen FOUND.000. Dieser wird hingegen nur am Pocket PC angezeigt. In diesem Ordner sind 1337 Datein mit Namen "FILE0000.CHK, FILE0001.CHK" usw. bis "FILE1337.CHK". Wenn ich am PC in die Explorer-Adressleiste hingegen "J:\FOUND.000" komme ich auch in den Ordner. In der Datei BOOTEX.LOG steht iimmer Wieder J:\[i]Ordnername[/i] konnte ncht gelesen werden.... (Ich werde den Inhalt unten posten.) Außerdem steht dort immer wieder, dass der Ordner entfernt wurde. Ich habe auf dem Pocket PC die Funktion " Inhalt auf Speicherkarte verschlüsseln" aktiviert. Desshalb konnte der PC nichts damit anfangen und hat sie als unlesbar eingestuft. Die Verschlüsselung war aber schon immer aktiviert und es gab noch keine Probleme.

Da die Daten auf der Speicherkarte SEHR WICHTIG waren, würde ich sie SEHR gerne wieder zurück haben...
Ich hoffe, dass ich hier Hilfe finde und bedanke mich schon jetzt dafür.

Gruß
sgfan


Inhalt von BOOTEX.LOG:



Dateisystem auf J: wird überprüft.
Der Typ des Dateisystems ist FAT32.


Einer der Datenträger muss auf Konsistenz überprüft werden.
Sie können die Datenträgerüberprüfung abbrechen, aber es
wird ausdrücklich empfohlen, den Vorgang fortzusetzen.
Die Datenträgerüberprüfung wird jetzt ausgeführt.                                       
Volumeseriennummer : 3836-3865
Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x4eaa0000 für 0x8000 Bytes.
Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x4eaa0000 für 0x8000 Bytes.
Ordner \MSMETADATA ist vollkommen unlesbar.
Ordnereintrag entfernt
Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x408000 für 0x8000 Bytes.
Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x408000 für 0x8000 Bytes.
Ordner \Musik ist vollkommen unlesbar.
Ordnereintrag entfernt
Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x410000 für 0x8000 Bytes.
Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x410000 für 0x8000 Bytes.
Ordner \Videos ist vollkommen unlesbar.
Ordnereintrag entfernt
Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x418000 für 0x8000 Bytes.
Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x418000 für 0x8000 Bytes.
Ordner \Bilder ist vollkommen unlesbar.
Ordnereintrag entfernt
Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x420000 für 0x8000 Bytes.
Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x420000 für 0x8000 Bytes.
Ordner \Sonstiges ist vollkommen unlesbar.
Ordnereintrag entfernt
Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x4eb08000 für 0x8000 Bytes.
Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x4eb08000 für 0x8000 Bytes.
Ordner \WMDRM ist vollkommen unlesbar.
Ordnereintrag entfernt
Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x86f8000 für 0x8000 Bytes.
Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x86f8000 für 0x8000 Bytes.
Ordner \DCIM ist vollkommen unlesbar.
Ordnereintrag entfernt
Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x50620000 für 0x8000 Bytes.
Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x50620000 für 0x8000 Bytes.
Ordner \Verarschen & Andere ist vollkommen unlesbar.
Ordnereintrag entfernt
Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x7fc8000 für 0x8000 Bytes.
Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x7fc8000 für 0x8000 Bytes.
Ordner \Programme ist vollkommen unlesbar.
Ordnereintrag entfernt
Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x7b0000 für 0x8000 Bytes.
Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x7b0000 für 0x8000 Bytes.
Ordner \Spiele ist vollkommen unlesbar.
Ordnereintrag entfernt
Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x9198000 für 0x8000 Bytes.
Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x9198000 für 0x8000 Bytes.
Ordner \Backups ist vollkommen unlesbar.
Ordnereintrag entfernt
Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x8850000 für 0x8000 Bytes.
Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x8850000 für 0x8000 Bytes.
Ordner \COMPUTERBILD-Zubehör ist vollkommen unlesbar.
Ordnereintrag entfernt
Verlorene Ketten in Dateien umwandeln (J/N)? Ja
-1267204096 Bytes in 1338 wiederhergestellten Datei(en)
Windows hat Probleme im Dateisystem behoben.

  3956801536 Bytes Speicherplatz auf dem Datenträger insgesamt
        65536 Bytes in 1 Ordner(n)
  3027763200 Bytes in 1338 Datei(en)
      393216 Bytes in beschädigten Sektoren
    928546816 Bytes auf dem Datenträger verfügbar

        32768 Bytes in jeder Zuordnungseinheit
      120752 Zuordnungseinheiten auf dem Datenträger insgesamt
        28337 Zuordnungseinheiten auf dem Datenträger verfügbar