Chick'n'Duck
Pechvogel
Ich versuche das Geschehen der Reihe nach zu schildern. Dabei könnten einige Ereignisse vertauscht sein, dass sollte auf das Endergebnis aber keinen Einfluss haben..
Doch zunächst einmal der Aufbau meiner Klapperkiste ("Kosename"):
Es ist ein Desktop-PC mit einer in 4 Partitionen aufgeteilten Festplatte (C-F). Auf C befindet sich Windows Vista Buisiness, D ist mit Windows XP Professional (SP3) ausgestatt (wurde vor Vista installiert), E & F werden für Daten verwendet. Zusätzlich ist Ubuntu auf 3 kleinere Partitionen installiert, welche unter Windows aber nicht sichtbar sind.
Beim Bootvorgang wählt man zuerst zwischen Ubuntu/Windows, dann im zweiten Schritt zwischen Vista/XP.
Nun zu den Ereignissen:
Ich wollte gestern einige Rootkitscanner austesten und miteinander vergleichen. Der erste war der Rootkit Revealer (nachträglich mit RR abgekürzt). Nach dem Scan wollte ich die Ergebnisliste als .txt abspeichern (über das Programm selbst). Nach einger Zeit, als es mir zu lange dauerte, hatte ich die Befürchtung, dass das Programm eingefroren war. Ich wollte sehen, ob es noch reagiert und versuchte das Fenster über den Desktop zu ziehen bzw. es zu minimieren. Es tat sich nichts und die Meldung "keine Rückmeldung" erschien.
Im Taskmanager fand ich einen Prozess vor, der mit einer hohen Auslastung mir sofort ins Auge stach (damit mein ich nicht "Leerlauf"). Ich brachte diesen mit dem RR in Verbindung und beendete ihn daraufhin. Das Fenster des RR verschwand sofort. Ich beendete noch den eigentlichen Prozess (rootkitrevealer.exe) des Programms und machte mir keine weitere Gedanken darüber. Den Namen des ersten Prozesses, weiß ich leider nicht mehr. PID war im 2000er Bereich.
Der zweite Rootkitscanner (Panda Anti-Rootkit bzw. Pavark) scannt erst nach einem Neustart des Rechners. Ich beendete alle anderen Programme und klickte auf 'Neustarten' im GUI des Programms. Während Windows XP gestartet wurde erschien dann ein Bluescreen (in der Meldung kam "Bad Pool Caller" vor).
Ich startete ihn nochmal neu mit demselben Ergebnis.
Ich hatte den Panda sofort in Verdacht und bin im abgesicherten Modus rein, um ihn aus der Startroutine zu entfernen (mir war im nachinein klar, dass es nicht die Lösung sein konnte, denn zum Anmelden komm ich ja nicht einmal).
Ich nahm die Windows XP CD zur Hand, bootete von ihr und versuchte eine Reparaturinstallation. Ich brach das aber nachdem er neugestartet ist und die Einführung zu XP erschien, ab, weil es wie eine Neuinstallation auf mich wirkte und ich das vermeiden möchte. Als Ergebnis schaffte ich es nichtmal mehr in XP rein. Gleich nach der Auswahl erschien die Meldung, dass "hal.dll" fehlen würde. Diese fehlte tatsächlich und ich kopierte sie rüber (mittels Wiederherstellungskonsole).
Eine neue Meldung tauchte auf. Diesmal mangelte es an der "ntoskrnl.exe".
Ich vermutete, dass eventuell noch weitere Systemdateien fehlen würden und um sie nicht alle einzeln per Hand rüberzukopieren führte ich "chkdsk D: /P" aus. Leider erbrachte das keine Änderungen.
Ich kopierte sie dann doch noch einzeln rüber, auf dieselbe Weise wie die hal.dll.
Eine neue Meldung kam: "Windows konnte wegen eines Softwarefehlers nicht gestartet werden. Bitte melden Sie dieses Problem als: Ladeprogramm benötigt DLLs für Kernel. Bitte wenden Sie sich an Ihren Supportansprechpartner, um dieses Problem zu melden."
Ich führte "chkdsk /r" und nochmal "chkdsk D: /P" aus, was ebenfalls erfolglos war. Das hätte ich mir jedoch denken sollen, denn die Fehlermeldung kam noch bevor man zwischen XP und Vista wählen konnte, womit das Problem also an der C: Partition liegen müsste.
Ich nahm die Windows Vista DVD zur Hand, bootete von ihr und lies nach Fehlern suchen. Danach kam ich zumindest wieder zum Auswahlbereich, doch leider nicht weiter.
"Windows could not start because of an error in the software. Please report this problem as : load needed DLLs for kernel. Please contact your support person to report this problem." heißt es nun, was der obigen Meldung entspricht.
Was ich danach gemacht habe:
Abgesicherter Modus und "Letzte als funktionierend bekannte Konfiguration": Selbe Fehlermeldung
Memtest86+: "Pass complete, no errors"
Das hier (bis auf FIXMBR): Keine Änderungen
Ich werde später noch ein paar Sachen ausprobieren, bin aber für alle Vorschläge dankbar.
Ich vermute, dass es zwei Probleme sind: Das mit dem Bluescreen, ausgelöst durch den Panda und das jetztige, ausgelöst durch die abgebrochene Reparatur.
An einer Stelle kam gar keine Meldung, sondern nur ein Reboot während er XP starten wollte, quasi eine Endloschleife. Ich weiß aber nicht mehr, nach welchem Schritt das passierte, daher hab ich es oben weggelassen.
Legende:
Bedeutet, dass ich mir nicht sicher bin
Doch zunächst einmal der Aufbau meiner Klapperkiste ("Kosename"):
Es ist ein Desktop-PC mit einer in 4 Partitionen aufgeteilten Festplatte (C-F). Auf C befindet sich Windows Vista Buisiness, D ist mit Windows XP Professional (SP3) ausgestatt (wurde vor Vista installiert), E & F werden für Daten verwendet. Zusätzlich ist Ubuntu auf 3 kleinere Partitionen installiert, welche unter Windows aber nicht sichtbar sind.
Beim Bootvorgang wählt man zuerst zwischen Ubuntu/Windows, dann im zweiten Schritt zwischen Vista/XP.
Nun zu den Ereignissen:
Ich wollte gestern einige Rootkitscanner austesten und miteinander vergleichen. Der erste war der Rootkit Revealer (nachträglich mit RR abgekürzt). Nach dem Scan wollte ich die Ergebnisliste als .txt abspeichern (über das Programm selbst). Nach einger Zeit, als es mir zu lange dauerte, hatte ich die Befürchtung, dass das Programm eingefroren war. Ich wollte sehen, ob es noch reagiert und versuchte das Fenster über den Desktop zu ziehen bzw. es zu minimieren. Es tat sich nichts und die Meldung "keine Rückmeldung" erschien.
Im Taskmanager fand ich einen Prozess vor, der mit einer hohen Auslastung mir sofort ins Auge stach (damit mein ich nicht "Leerlauf"). Ich brachte diesen mit dem RR in Verbindung und beendete ihn daraufhin. Das Fenster des RR verschwand sofort. Ich beendete noch den eigentlichen Prozess (rootkitrevealer.exe) des Programms und machte mir keine weitere Gedanken darüber. Den Namen des ersten Prozesses, weiß ich leider nicht mehr. PID war im 2000er Bereich.
Der zweite Rootkitscanner (Panda Anti-Rootkit bzw. Pavark) scannt erst nach einem Neustart des Rechners. Ich beendete alle anderen Programme und klickte auf 'Neustarten' im GUI des Programms. Während Windows XP gestartet wurde erschien dann ein Bluescreen (in der Meldung kam "Bad Pool Caller" vor).
Ich startete ihn nochmal neu mit demselben Ergebnis.
Ich hatte den Panda sofort in Verdacht und bin im abgesicherten Modus rein, um ihn aus der Startroutine zu entfernen (mir war im nachinein klar, dass es nicht die Lösung sein konnte, denn zum Anmelden komm ich ja nicht einmal).
Ich nahm die Windows XP CD zur Hand, bootete von ihr und versuchte eine Reparaturinstallation. Ich brach das aber nachdem er neugestartet ist und die Einführung zu XP erschien, ab, weil es wie eine Neuinstallation auf mich wirkte und ich das vermeiden möchte. Als Ergebnis schaffte ich es nichtmal mehr in XP rein. Gleich nach der Auswahl erschien die Meldung, dass "hal.dll" fehlen würde. Diese fehlte tatsächlich und ich kopierte sie rüber (mittels Wiederherstellungskonsole).
Eine neue Meldung tauchte auf. Diesmal mangelte es an der "ntoskrnl.exe".
Ich vermutete, dass eventuell noch weitere Systemdateien fehlen würden und um sie nicht alle einzeln per Hand rüberzukopieren führte ich "chkdsk D: /P" aus. Leider erbrachte das keine Änderungen.
Ich kopierte sie dann doch noch einzeln rüber, auf dieselbe Weise wie die hal.dll.
Eine neue Meldung kam: "Windows konnte wegen eines Softwarefehlers nicht gestartet werden. Bitte melden Sie dieses Problem als: Ladeprogramm benötigt DLLs für Kernel. Bitte wenden Sie sich an Ihren Supportansprechpartner, um dieses Problem zu melden."
Ich führte "chkdsk /r" und nochmal "chkdsk D: /P" aus, was ebenfalls erfolglos war. Das hätte ich mir jedoch denken sollen, denn die Fehlermeldung kam noch bevor man zwischen XP und Vista wählen konnte, womit das Problem also an der C: Partition liegen müsste.
Ich nahm die Windows Vista DVD zur Hand, bootete von ihr und lies nach Fehlern suchen. Danach kam ich zumindest wieder zum Auswahlbereich, doch leider nicht weiter.
"Windows could not start because of an error in the software. Please report this problem as : load needed DLLs for kernel. Please contact your support person to report this problem." heißt es nun, was der obigen Meldung entspricht.
Was ich danach gemacht habe:
Abgesicherter Modus und "Letzte als funktionierend bekannte Konfiguration": Selbe Fehlermeldung
Memtest86+: "Pass complete, no errors"
Das hier (bis auf FIXMBR): Keine Änderungen
Ich werde später noch ein paar Sachen ausprobieren, bin aber für alle Vorschläge dankbar.
Ich vermute, dass es zwei Probleme sind: Das mit dem Bluescreen, ausgelöst durch den Panda und das jetztige, ausgelöst durch die abgebrochene Reparatur.
An einer Stelle kam gar keine Meldung, sondern nur ein Reboot während er XP starten wollte, quasi eine Endloschleife. Ich weiß aber nicht mehr, nach welchem Schritt das passierte, daher hab ich es oben weggelassen.
Legende:
Bedeutet, dass ich mir nicht sicher bin
