Antworten / Aufrufe | Themen mit dem Stichwort 0xc0000013 | |
---|---|---|
![]() |
1 Antworten 3844 Aufrufe |
Cant logon to WindowsXP, deleted some registry keys Begonnen von chloec42
13. September 2010, 19:38:10 ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() |
![]() |
4 Antworten 7078 Aufrufe |
Daten auf Speicherkarte sind weg Begonnen von sgfan
17. März 2009, 17:57:27 Hallo, ich habe ein GigaByte GSmart T600 mit einer 4GB SDHC-Speicherkarte und einen Medion MD8820. Gestern habe ich meine Speicherkarte in den PC geschoben, und ihn anschließend eingeschaltet. Beim Start kam auf einmal die Meldung, dass er den Datenträger untersucht. Da ich dies schon von anderen Wechseldatenträgern kannte, habe ich ihn machen lassen. Nach der Anmeldung an Windows war nur noch eine Datei mit Namen "BOOTEX.LOG". Außerdem noch ein Ordner mit dem Namen FOUND.000. Dieser wird hingegen nur am Pocket PC angezeigt. In diesem Ordner sind 1337 Datein mit Namen "FILE0000.CHK, FILE0001.CHK" usw. bis "FILE1337.CHK". Wenn ich am PC in die Explorer-Adressleiste hingegen "J:\FOUND.000" komme ich auch in den Ordner. In der Datei BOOTEX.LOG steht iimmer Wieder J:\[i]Ordnername[/i] konnte ncht gelesen werden.... (Ich werde den Inhalt unten posten.) Außerdem steht dort immer wieder, dass der Ordner entfernt wurde. Ich habe auf dem Pocket PC die Funktion " Inhalt auf Speicherkarte verschlüsseln" aktiviert. Desshalb konnte der PC nichts damit anfangen und hat sie als unlesbar eingestuft. Die Verschlüsselung war aber schon immer aktiviert und es gab noch keine Probleme. Da die Daten auf der Speicherkarte SEHR WICHTIG waren, würde ich sie SEHR gerne wieder zurück haben... Ich hoffe, dass ich hier Hilfe finde und bedanke mich schon jetzt dafür. Gruß sgfan Inhalt von BOOTEX.LOG: Dateisystem auf J: wird überprüft. Der Typ des Dateisystems ist FAT32. Einer der Datenträger muss auf Konsistenz überprüft werden. Sie können die Datenträgerüberprüfung abbrechen, aber es wird ausdrücklich empfohlen, den Vorgang fortzusetzen. Die Datenträgerüberprüfung wird jetzt ausgeführt. Volumeseriennummer : 3836-3865 Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x4eaa0000 für 0x8000 Bytes. Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x4eaa0000 für 0x8000 Bytes. Ordner \MSMETADATA ist vollkommen unlesbar. Ordnereintrag entfernt Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x408000 für 0x8000 Bytes. Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x408000 für 0x8000 Bytes. Ordner \Musik ist vollkommen unlesbar. Ordnereintrag entfernt Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x410000 für 0x8000 Bytes. Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x410000 für 0x8000 Bytes. Ordner \Videos ist vollkommen unlesbar. Ordnereintrag entfernt Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x418000 für 0x8000 Bytes. Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x418000 für 0x8000 Bytes. Ordner \Bilder ist vollkommen unlesbar. Ordnereintrag entfernt Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x420000 für 0x8000 Bytes. Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x420000 für 0x8000 Bytes. Ordner \Sonstiges ist vollkommen unlesbar. Ordnereintrag entfernt Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x4eb08000 für 0x8000 Bytes. Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x4eb08000 für 0x8000 Bytes. Ordner \WMDRM ist vollkommen unlesbar. Ordnereintrag entfernt Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x86f8000 für 0x8000 Bytes. Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x86f8000 für 0x8000 Bytes. Ordner \DCIM ist vollkommen unlesbar. Ordnereintrag entfernt Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x50620000 für 0x8000 Bytes. Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x50620000 für 0x8000 Bytes. Ordner \Verarschen & Andere ist vollkommen unlesbar. Ordnereintrag entfernt Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x7fc8000 für 0x8000 Bytes. Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x7fc8000 für 0x8000 Bytes. Ordner \Programme ist vollkommen unlesbar. Ordnereintrag entfernt Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x7b0000 für 0x8000 Bytes. Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x7b0000 für 0x8000 Bytes. Ordner \Spiele ist vollkommen unlesbar. Ordnereintrag entfernt Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x9198000 für 0x8000 Bytes. Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x9198000 für 0x8000 Bytes. Ordner \Backups ist vollkommen unlesbar. Ordnereintrag entfernt Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x8850000 für 0x8000 Bytes. Fehler beim Lesen mit Status 0xc0000013 bei Offset 0x8850000 für 0x8000 Bytes. Ordner \COMPUTERBILD-Zubehör ist vollkommen unlesbar. Ordnereintrag entfernt Verlorene Ketten in Dateien umwandeln (J/N)? Ja -1267204096 Bytes in 1338 wiederhergestellten Datei(en) Windows hat Probleme im Dateisystem behoben. 3956801536 Bytes Speicherplatz auf dem Datenträger insgesamt 65536 Bytes in 1 Ordner(n) 3027763200 Bytes in 1338 Datei(en) 393216 Bytes in beschädigten Sektoren 928546816 Bytes auf dem Datenträger verfügbar 32768 Bytes in jeder Zuordnungseinheit 120752 Zuordnungseinheiten auf dem Datenträger insgesamt 28337 Zuordnungseinheiten auf dem Datenträger verfügbar |
in about a year.
Yesterday i scanned after about a month and i saw 12 infections !
MBAM said it could not clean a few infections:
==============
Malwarebytes' Anti-Malware 1.44
Database version: 3510
Windows 5.1.2600 Service Pack 2
Internet Explorer Unknown
9/11/2010 11:19:49 PM
mbam-log-2010-09-11 (23-19-49).txt
Scan type: Quick Scan
Objects scanned: 94917
Time elapsed: 2 minute(s), 49 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 2
Registry Values Infected: 2
Registry Data Items Infected: 3
Folders Infected: 1
Files Infected: 4
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6}
(Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6}
(Backdoor.Bot) -> Quarantined and deleted successfully.
Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mp3_audio_codec (Spyware.Zbot) -> Quarantined and
deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and
deleted successfully.
Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:
\windows\system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data:
system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:
\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted
successfully.
Folders Infected:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.
Files Infected:
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> Delete on reboot.
=======================
So i thought of manually removing the infected Registry keys. (Something i've done many times before)
While I was at
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
I saw a key named 'Special Accounts', it looked fishy to my paranoid eyes. Had some 'strange' values in it, None
corresponding to my Username (Administrator) or Guest. 3 were somewhat random letters with a ~, and one was '
search assistant'. Looked like malware remains of some kind, so, i deleted them all.
After that i rebooted, the welcome screen showed up (usually straightaway shows me desktop since there is just one
user 'Administrator') with the only user 'Administrator'. When i click it, it shows 'loading your personal
settings' for a second. Then it reads 'saving your settings' and stays at the logon screen. Repeated it for 10
times. Restarted and repeated. Shut Down and repeated. Always same result.
Then i tried the 'Last Know good configuration' in statup options. Still same result.
Tried 'Safe Mode' starts loading then breaks at 'unable to load NTFS.dll'
'Safe mode with networking' same logon screen and same one second login and return to logon screen.
I dont know how to login. Can someone please help. Is there a way to remotely add the keys back to my registry. Or
some way to correct this problem?
Thanks and Regards
[u]guptavis [/u]