Bootprobleme nach Änderung der ntoskrnl und logonui

[manusan]

Guten Tag,
ich habe, wie ich jetzt im nachhinein erst feststellen konnte, wohl einen schwerwiegenden Fehler begangen. Ich habe mir eigentlich nichts weiter dabei gedacht, als ich mir einen Bootscreen und einen Loginbildschirm aus dem Netz lud.

Ressourcen des betreffenden Systems:
- Athlon 1800+
- Festplatte (300 GB) in drei Partitionen geteilt
- Windows XP

Ich startete den Rechner im abgesicherten Modus, dass die Änderungen der ntoskrnl.exe und logonui.exe auch bestehen bleibe. Zuvor erstellte ich von den besagten Dateien jeweils ein Backup, indem ich sie in ntoskrnl.exe.bak und logonui.exe.bak umbenannte.
Ich startete den Rechner normal neu und der neue Bootscreen funktioniert einwandfrei, als er fertig hochgefahren war und die Übergangsphase vom Bootscreen zum Loginbildschirm beendet war, erschien statt des gewünschten Loginbildschirm ein Bluescreen, dessen Inhalt wie folgt aussieht:

STOP: c000021a {schwerer Systemfehler}
Der Systemprozess Session Manager Initialization wurde unerwartet beendet. Status 0xc0000263 (0x00000000 0x00000000).
Das System wurde heruntergefahren.

und der Rechner stürzte ab. Nun gut, ich dachte mir, mit der Reparaturkonsole der Windows – CD, kann ich die beiden Dateien löschen und die erstellten Backup – Dateien wieder in die originalen umbenennen, das jedoch nicht möglich war, da ich keinen Zugriff auf die Dateien bzw. die Festplatte hatte. Bei dem Versuch mir die Dateien per „dir“ auflisten zu lassen, kommt nur die Meldung: „Fehler beim Auflisten des Verzeichnisses“...
So informierte ich misch über meinen Zweitrechner, mit dem ich jetzt auch diesen Forumseintrag schreibe über die Mögliche Ursache des Problems und hatte nach kurzer Zeit den Verdacht, dass die Partitionstabelle beschädigt ist. Ich schaute mit der Windows – CD nach den vorhandenen Partitionen und stellte fest, dass anstatt der drei Partitionen nur eine große unbekannte und unpartitionierte Festplatte stand!
Nach weiterer Suche im Netz traf ich auf das Programm Testdisk, erstellte mir eine MS-DOS-Startdiskette und bootete den Rechner mit dieser, startete die Dos-Version von Testdisk und das Programm zeigte mir sofort die drei vermissten Partitonen und mittels „List“ auch alle Dateien, ich erstellte eine neuen Partitionstabelleneintrag.
Jetzt versuchte ich erneut die Reparaturkonsole zu benutzen, jedoch hatte ich immer noch keine Zugriff auf die Dateien oder irgend eine Partition...

Und deshalb rufe ich um Hilfe, da ich die fast 200 GB Daten nicht verlieren will und ja eigentlich weiß, dass die Partitionen und Dateien noch alle vorhanden sind. Aus diesem Grund wäre mir eine andere Lösung als formatieren ganz recht.

Also:
Wie kann ich meine verloren gegangenen Partitionen wiederherstellen um wieder Zugriff auf die Festplatte bzw. die Dateien zu haben um letztendlich die ntoskrnl und logonui Dateien mit dem Backup ersetzen zu können?


Ich bedanke mich für die Geduld der Leser und Helfenden im Voraus und hoffe auf ein paar gute Ideen!

- Manusan -

 

[Fiona]

Wenn du die neueste Version von Testdisk 6.5 beta genommen hattest, dann befindet sich im Ordner von Testdisk eine Datei die testdisk.log heißt.
Benenne die mal in testdisk.txt um und lade die hier hoch.

Zum anderen Problem wenn es mit Dateisystem usw. erledigt ist!
Ansonsten solltest du die zwei backup-Dateien in windows/system32 Ordner kopieren.
Die Datei logonui.exe befindet sich auch im dllcache.
Daher solltest du entweder die vorhandene Datei im dllcache löschen oder via copy in de Ordner;
Beispiel;
C:\WINDOWS\system32\dllcache auch kopieren.
Beim kopieren bitte überschreiben bestätigen.
Wenn die sich ansonsten weiterhin im Cache befindet, kann die zwecks Systemwiederherstellung deine in den Ordner system32 wieder überschreiben und Probleme verursachen.
Ich weiß nicht genau ob dadurch noch weitere Schäden verursacht wurden.
Wäre somit nur zum testen.
Sinnvoll wäre es unter Umständen wenn es mit einer Bart's PE Builder-CD überprüft werden würde.

Teile es aber erstmal mit.

Viele Grüße

Fiona

 

[manusan]

Ich habe die Version 6.4 benutzt und was die Dateien angeht, besteht ja weiterhin das Problem, dass ich überhaupt keine Zugriff auf die Dateien bzw. Fesplatte (über dos oder der Reperaturkonsole) habe. Eine Datei namens Backup.log gibt es aber, und darin steht folgendes:

#1161122670 Disk 80 - 300 GB / 279 GiB - CHS 36482 255 63
1 : start= 63, size= 70316442, Id=07, *
2 : start= 70316505, size=209712510, Id=07, P
3 : start=280029015, size=306038250, Id=07, P

 

[Fiona]

Das sind nur deine Infos die bei Backup nach Analyse gespeichert wurden.

Mache mir daher mal eine Diagnose mit Testdisk.

Versuche mal eine Diagnose mit der Dos-Version von Testdisk.

Ich hoffe das du ein Diskettenlaufwerk hast.
Ansonsten ist Testdisk normal auch auf der Knoppix-CD oder auf der Ultimate Boot CD oder gibt auch eine aktuelle Version hier als Boot-CD in dem Link unten.
Braucht einfach nur die CD erstellt werden
Da kannst du mir aber keine Log erstellen da CD's nicht beschrieben werden können.
Schreibe dann die Infos auf was bei Disk angezeigt wird, die Partitionsdaten nach Analyse, Proceed und der tieferen Suche Search.
Wenn die Partition markiert ist teile mir auch mit was am Screen ganz unten in der letzten Zeile steht.
Sind Bootsektorinfos.
Teile auch mit wenn die Partition markiert ist und du p drückst ob deine Daten angezeigt werden.

Bei Testdisk 6.5 beta brauchst du nicht testdisk /log /debug einzugeben sondern nur bei Create Log bestätigen.

Erstelle dir eine Bootdiskette.
Ansonsten kann auch www.bootdisk.com helfen (amerikanische Tastatur).
Lade dir sonst mal die Testdisk-Version 6.5 beta für Dos/Win9x.
https://www.computerbase.de/downloads/systemtools/festplatten/testdisk/

Kopiere den Ordner dos auf eine Diskette (kann man auch nach dem booten wechseln).
Die Datei Photorec im dos-Ordner wird nicht benötigt und kann im Fall auch gelöscht werden
Wechsle an der Eingabeaufforderung in das dos-Verzeichnis.
Führe dort aus;
testdisk /log /debug
Damit wird jeder Schritt protokolliert.
Hinterher findest du im Ordner "dos" eine Datei die testdisk.log heißt.
Benenne die in testdisk.txt um.
Die kannst du dann hier unter Anhänge Verwalten hochladen.

Boote mit der Bootdiskette.
Wechsel bei Bedarf zur Testdiskdiskette
Führe folgendes aus;
testdisk /log /debug

Wähle deine Festplatte und bestätige mit Enter.
Bestätige auch bei Partition Table Typ Intel mit Enter.

Gehe dann mit dem Pfeil auf Analyse bestätige mit Enter.
Bestätige bei Proceed.
Wenn im Fall keine Partition erkannt wird kann eine Suche kommen. Lasse die im Fall laufen.
Bestätige dann weiter mit Enter bis du zum Menü kommst wo unten steht [Quit] [Search] [Write] und gehe mit dem Pfeil auf [Search] (tiefere Suche) und lasse es laufen.
Wenn die Partition gefunden wird, kannst du die auch mal markieren und p (List Files) drücken.
Schaue dann mal ob die Daten angezeigt werden.
Zurück kommst du einfach mit p drücken.
Bestätige hinterher mit Enter.
Jetzt bist du wieder am Screen wo unten sich [Quit] [Search] [Write] befindet.
Bestätige bitte jeweils bei Quit bis Testdisk beendet ist.

Benenne die Datei testdisk.log in testdisk.txt um und lade die für Analyse hier hoch.
Geht unterhalb wenn du einen Post erstellst unter Anhänge verwalten.

Teile es mal mit.

Viele Grüße

Fiona

 

[manusan]

Da ich nicht in windows reinkomme und auch kein Zweitsystem habe, ich schreibe diesen Forumseintrag über einen Zweitcomputer, habe ich all das was du hier schreibst bereits tun müssen. Ich habe mit einer MS-Dos-Diskette gebootet und die Partitionen sowie die Dateien sind alle einwandfrei sichtbar aber eben nicht zugänglich, da Testdisk ja nicht zu Dateiverwaltung da ist und sobald ich testdisk verlasse sind wieder keine Partitionen vorhanden. Alles dies schrieb ich bereits im ersten Artikel. Eigentlich habe ich ziemlich exakt meine Situation im ersten Artikel wiedergegeben.
Morgen versuche ich es noch einmal mit der neusten version von Testdisk (der Zweitrechner hat kein Brennlaufwerk und somit ist nur ein Transfer über Disketten von dem Zweitrechner zum Problemrechner gestattet)
Ich danke für die bisherigen hilfeversuche und schicke morgen direkt das Logfile von Testdisk .5 beta.

- Manusan -

 

[Fiona]

Ich bekomme dadurch genaue Infos über die Partitionstabelle, Geometrie und den Bootsektor.
Somit finde ich auch Infos über das Dateisystem.

Liest sich viel ist aber regulär ein einfaches durchbestätigen durch Testdisk bei dem jeder Schritt von Testdisk mit den Ergebnissen geloggt wird.

Dadurch weißt du dann mehr und ich kann vielleicht gezielter Infos geben.

Viele Grüße

Fiona

 

[manusan]

Ok, ich habe die Log:



Wed Oct 18 11:41:31 2006
Command line: TestDisk

TestDisk 6.5-WIP, Data Recovery Utility, October 2006
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org
Dos version (ext2fs lib: 1.39, ntfs lib: 9:0:0, reiserfs lib: 0.3.1-rc8)
Using locale 'C'.
Disk 80 - 8422 MB / 8032 MiB - CHS 1024 255 63
Disk 80 Enhanced BIOS 2.1 / EDD-1.1 - R/W/I - Identify
Computes CHS from number of sectors
LBA 586072368, computed 586067265 (CHS=36480,254,63)
hd_identify_enh_bios
Disk 80 - 300 GB / 279 GiB - CHS 36481 255 63
LBA size=586072368
Disk 81 - 8422 MB / 8032 MiB - CHS 1024 255 63
Disk 81 Enhanced BIOS 2.1 / EDD-1.1 - R/W/I - Identify
Computes CHS from number of sectors
LBA 160086528, computed 160071660 (CHS=9963,254,63)
hd_identify_enh_bios
Disk 81 - 81 GB / 76 GiB - CHS 9964 255 63
LBA size=160086528
Hard disk list
Disk 80 - 300 GB / 279 GiB - CHS 36481 255 63, sector size=512
Disk 81 - 81 GB / 76 GiB - CHS 9964 255 63, sector size=512

Disk 80 - 300 GB / 279 GiB
Partition table type: Intel

Analyse Disk 80 - 300 GB / 279 GiB - CHS 36481 255 63
Geometry from i386 MBR: head=86 sector=15
check_FAT: Bad jump in FAT partition


test_FAT()
1 * FAT16 <32M 0 0 1 16709 85 15 268435455
sector_size 64543
cluster_size 190
reserved 31771
fats 191
dir_entries 1563
sectors 22352
media B9
fat_length 485
secs_track 42227
heads 48587
hidden 78710718
total_sect 2080403000
check_part_i386 failed for partition type 04
get_geometry_from_list_part_aux head=255 nbr=1
get_geometry_from_list_part_aux head=8 nbr=1
get_geometry_from_list_part_aux head=16 nbr=1
get_geometry_from_list_part_aux head=32 nbr=1
get_geometry_from_list_part_aux head=64 nbr=1
get_geometry_from_list_part_aux head=128 nbr=1
get_geometry_from_list_part_aux head=240 nbr=1
get_geometry_from_list_part_aux head=255 nbr=1
Current partition structure:
check_FAT: Bad jump in FAT partition
1 * FAT16 <32M 0 0 1 16709 85 15 268435455
1 * FAT16 <32M 0 0 1 16709 85 15 268435455

search_part()
Disk 80 - 300 GB / 279 GiB - CHS 36481 255 63
NTFS at 0/1/1
filesystem size 70316442
sectors_per_cluster 8
mft_lcn 4
mftmirr_lcn 4394777
clusters_per_mft_record -10
clusters_per_index_record 1
D HPFS - NTFS 0 1 1 4376 254 63 70316442 [System]
NTFS, 36 GB / 33 GiB
NTFS at 4377/0/1
filesystem size 209712510
sectors_per_cluster 8
mft_lcn 786432
mftmirr_lcn 13107031
clusters_per_mft_record -10
clusters_per_index_record 1
D HPFS - NTFS 4377 0 1 17430 254 63 209712510 [Spiele]
NTFS, 107 GB / 99 GiB
NTFS at 17431/0/1
filesystem size 306038250
sectors_per_cluster 8
mft_lcn 786432
mftmirr_lcn 19127390
clusters_per_mft_record -10
clusters_per_index_record 1
D HPFS - NTFS 17431 0 1 36480 254 63 306038250 [Daten]
NTFS, 156 GB / 145 GiB
get_geometry_from_list_part_aux head=255 nbr=6
get_geometry_from_list_part_aux head=8 nbr=2
get_geometry_from_list_part_aux head=16 nbr=1
get_geometry_from_list_part_aux head=32 nbr=1
get_geometry_from_list_part_aux head=64 nbr=1
get_geometry_from_list_part_aux head=128 nbr=1
get_geometry_from_list_part_aux head=240 nbr=1
get_geometry_from_list_part_aux head=255 nbr=6

Results
* HPFS - NTFS 0 1 1 4376 254 63 70316442 [System]
NTFS, 36 GB / 33 GiB
P HPFS - NTFS 4377 0 1 17430 254 63 209712510 [Spiele]
NTFS, 107 GB / 99 GiB
P HPFS - NTFS 17431 0 1 36480 254 63 306038250 [Daten]
NTFS, 156 GB / 145 GiB

interface_write()
1 * HPFS - NTFS 0 1 1 4376 254 63 70316442 [System]
2 P HPFS - NTFS 4377 0 1 17430 254 63 209712510 [Spiele]
3 P HPFS - NTFS 17431 0 1 36480 254 63 306038250 [Daten]

search_part()
Disk 80 - 300 GB / 279 GiB - CHS 36481 255 63
NTFS at 0/1/1
filesystem size 70316442
sectors_per_cluster 8
mft_lcn 4
mftmirr_lcn 4394777
clusters_per_mft_record -10
clusters_per_index_record 1
D HPFS - NTFS 0 1 1 4376 254 63 70316442 [System]
NTFS, 36 GB / 33 GiB
NTFS at 4376/254/63
filesystem size 70316442
sectors_per_cluster 8
mft_lcn 4
mftmirr_lcn 4394777
clusters_per_mft_record -10
clusters_per_index_record 1
D HPFS - NTFS 0 1 1 4376 254 63 70316442 [System]
NTFS found using backup sector!, 36 GB / 33 GiB
NTFS at 4377/0/1
filesystem size 209712510
sectors_per_cluster 8
mft_lcn 786432
mftmirr_lcn 13107031
clusters_per_mft_record -10
clusters_per_index_record 1
D HPFS - NTFS 4377 0 1 17430 254 63 209712510 [Spiele]
NTFS, 107 GB / 99 GiB
NTFS at 17430/254/63
filesystem size 209712510
sectors_per_cluster 8
mft_lcn 786432
mftmirr_lcn 13107031
clusters_per_mft_record -10
clusters_per_index_record 1
D HPFS - NTFS 4377 0 1 17430 254 63 209712510 [Spiele]
NTFS found using backup sector!, 107 GB / 99 GiB
NTFS at 17431/0/1
filesystem size 306038250
sectors_per_cluster 8
mft_lcn 786432
mftmirr_lcn 19127390
clusters_per_mft_record -10
clusters_per_index_record 1
D HPFS - NTFS 17431 0 1 36480 254 63 306038250 [Daten]
NTFS, 156 GB / 145 GiB
NTFS at 36480/254/63
filesystem size 306038250
sectors_per_cluster 8
mft_lcn 786432
mftmirr_lcn 19127390
clusters_per_mft_record -10
clusters_per_index_record 1
D HPFS - NTFS 17431 0 1 36480 254 63 306038250 [Daten]
NTFS found using backup sector!, 156 GB / 145 GiB
get_geometry_from_list_part_aux head=255 nbr=6
get_geometry_from_list_part_aux head=8 nbr=2
get_geometry_from_list_part_aux head=16 nbr=1
get_geometry_from_list_part_aux head=32 nbr=1
get_geometry_from_list_part_aux head=64 nbr=1
get_geometry_from_list_part_aux head=128 nbr=1
get_geometry_from_list_part_aux head=240 nbr=1
get_geometry_from_list_part_aux head=255 nbr=6

Results
* HPFS - NTFS 0 1 1 4376 254 63 70316442 [System]
NTFS, 36 GB / 33 GiB
P HPFS - NTFS 4377 0 1 17430 254 63 209712510 [Spiele]
NTFS, 107 GB / 99 GiB
P HPFS - NTFS 17431 0 1 36480 254 63 306038250 [Daten]
NTFS, 156 GB / 145 GiB

interface_write()
1 * HPFS - NTFS 0 1 1 4376 254 63 70316442 [System]
2 P HPFS - NTFS 4377 0 1 17430 254 63 209712510 [Spiele]
3 P HPFS - NTFS 17431 0 1 36480 254 63 306038250 [Daten]
write!

write_mbr_i386: starting...
write_all_log_i386: starting...
No extended partition
You will have to reboot for the change to take effect.

Interface Advanced
Geometry from i386 MBR: head=255 sector=63
NTFS at 0/1/1
NTFS at 4377/0/1
NTFS at 17431/0/1
get_geometry_from_list_part_aux head=255 nbr=6
get_geometry_from_list_part_aux head=8 nbr=2
get_geometry_from_list_part_aux head=16 nbr=1
get_geometry_from_list_part_aux head=32 nbr=1
get_geometry_from_list_part_aux head=64 nbr=1
get_geometry_from_list_part_aux head=128 nbr=1
get_geometry_from_list_part_aux head=240 nbr=1
get_geometry_from_list_part_aux head=255 nbr=6
1 * HPFS - NTFS 0 1 1 4376 254 63 70316442 [System]
NTFS, 36 GB / 33 GiB
2 P HPFS - NTFS 4377 0 1 17430 254 63 209712510 [Spiele]
NTFS, 107 GB / 99 GiB
3 P HPFS - NTFS 17431 0 1 36480 254 63 306038250 [Daten]
NTFS, 156 GB / 145 GiB

TestDisk exited normally.

 

[Fiona]

Bei dir ist ein Fehler in der Partitionstabelle.
Es wird dort nur eine Dos-Partition Fat16 größer als 32 MB angezeigt.

Current partition structure:
check_FAT: Bad jump in FAT partition
1 * FAT16 <32M 0 0 1 16709 85 15 268435455
1 * FAT16 <32M 0 0 1 16709 85 15 268435455

Die wird deshalb doppelt angezeigt, da die kein Bootsektor hat!
Eine Dos Partition ist Standard 2 GB groß.
Die fehlerhafte Fat16-Partition ist 137 GB groß!
Somit sind im Moment alle drei Partitionen nicht zugreifbar.
Testdisk erkennt und repariert es automatisch nach Proceed!

Results
* HPFS - NTFS 0 1 1 4376 254 63 70316442 [System]
P HPFS - NTFS 4377 0 1 17430 254 63 209712510 [Spiele]
P HPFS - NTFS 17431 0 1 36480 254 63 306038250 [Daten]

Hier werden die Partitionen grün angezeigt.
Markiere die einfach mal und drücke p ob deine Daten angezigt werden!
Wenn irgendwo eine Fehllermeldung kommen sollte teile es mit.
Zurück kommst du jeweils mit q für quit drücken.
Ansonsten wenn du deine Daten gesehen hast und du am Screen bist bei denen deine Partitionen wieder grün angezeigt werden;

Bestätige dann mit Enter
Gehe auf [Write].
Bestätige dort mit Enter, y und Ok.

Beende Testdisk und starte den Computer neu.

Wenn chkdsk bei Systemstart kommen will, beende chkdsk erstmal.
Geht innerhalb von 10 Sekunden durch beliebigen Tastendruck.

Überprüfe das Ergebnis und teile es mit.

Trotzdem besteht bei dir die Möglichkeit, das du wegen der ntoskrnl.exe und logonui.exe nicht in Windows starten kannst.
Infos habe ich dir gesetzt.
Ansonsten überlege dir eine Reparaturinstallation mit deiner WinXP-CD indem du bei Setup R drückst um eine Neuinstallation zu vermeiden.
Drücke aber wenn du eine Reparaturinstalltion machst nicht bei R für die Wiederherstellungskonsole sondern R für welche Installtion repariert werden soll.
Dann behältst du alle Einstellungen, Programme usw. bei.
Achte aber darauf das du nicht eine Neuinstalltion machst, da du sonst sämtliche Einstellungen verlieren würdest.

Viele Grüße

Fiona

 

[manusan]

Ach, wenn das nur gehen würde aber ich habe bereits auf Write gedrückt und die dateien werden auch alle angezeigt, nach neustart ist aber wieder alles beim alten und reperaturinstallation geht auch nicht, da es keine partitionen anzeigt, also auch keine vorhandene windowsinstallation!

Es ist zum verzweifeln, da ich mit testdisk sehen kann, dass alle daten noch vorhanden sind, aber nicht auf diese zugreifen kann.

 

[Fiona]

Ich weiß nicht ob du Adminrechte hast oder Hinergrundprozesse wie Virenscanner etc. das schreiben im MBR verhindern.
Villeicht mal über Start / Ausführen / msconfig bei Systemstart alles abschalten und im abgesicherten Modus starten.
Erneut probieren.
Auch kannst du dir mal die Dosversion von Testdisk anschauen.
Sollte auch gehen.

Wenn eine anderer Fehler im MBR (Bootloader, Signatur oder Error in der Partitionstabelle) wäre könnte auch der MBR komplett gelöscht werden.
Der wird dann neu geschrieben.
Lasse aber davon erstmal die Finger, da nicht ungefährlich und zumeist nie benötigt wird.

Reparaturinstallation wäre nur nach erfolgreichen schreiben im MBR wenn die Partitionen wieder da sind, weil Setup dann die Installation finden würde.

Auch kann Testdisk in der Windows-Version Laufwerke oder Daten kopieren.
Würde wenn der Computer nicht startet mit Bart's PE Builder gehen!

Viele Grüße

Fiona

 

[manusan]

Nur um das noch einmal klarzustellen, ich komme nicht in Windows und benutze deshalb die ganze zeit die dos-version von testdisk. Ich habe keine zweitinstallation von windows und muss daher, weil er nach dem booten, bevor der logonscreen kommt mit bluescreen abstürzt, mit einer ms-dos-startdiskette booten. Ich habe keinen Zugriff auf irgendeine date egal ob im dos modus oder mit der reparaturkonsole, außerdem stehe ich nach jedem systemstart wieder vor dem selben problem, deshalb nützt das reperieren mit testdisk auch nichts...
Da der Zweitrechner über kein Brennlaufwerk verfügt, muss ich eine Freund bitten mir die CD Bart's PE zu brennen.
Ich hoffe damit habe ich Erfolg und danke dir für die Zeit, die ich in Anspruch genommen habe.

Vielen Dank (bisher)
- Manusan -