Spyware, Trojaner und Passwort vergessen

Hi,

ich habe hier einen Problemfall:

Auf dem PC eines Bekannten ist dieser Trojaner drauf (gewesen?) der folgendes gemacht hat:

Blauer Desktophintergrund und die Meldung:
Spyware detected on your computer!
Install an antivirus or spyware remover to clean your computer!

Dieser wurde wohl irgendwie entfernt von einem dritten. Das hat wohl auch soweit funktioniert (mit einer BootCD und Search & Destroy und/oder Avast), sodass jetzt mit WinPXE und sämtlichen Tools kein Virus mehr gefunden wird.

Wenn ich jetzt boote und mich einloggen will, bekomme ich trotzdem immer noch diesen blauen Hintergrund. Leider aber nur kurz, schon während des Ladens der Benutzereinstellungen wird Windows zurück versetzt zur Benutzeranmeldung usw.
Das läuft dann in einer Schleife ab. :|

Dann wollte ich das System im abgesicherten Modus starten und nochmal als Admin einen Check durchführen. Leider weiß aber niemand mehr das Admin-Passwort. Dafür habe ich mir eine Linux Boot CD erstellt die angeblich das Win2K Passwort resetten kann, leider kann ich das NTFS System damit aber nur read only mounten.
Kann mir dabei jemand helfen? Wie gehe ich am besten vor?

(Ja, ich weiß formatieren - aber da sind eben (wie immer) jede Menge wichtige Daten und Einstellungen nicht gesichert usw.)

Danke schon mal.

[br][blue]*PCDpan_fee: Verschoben aus "Windows NT/2000"*[/blue]

hatten wir das nicht kürzlichst in einem anderen thread, fast identisch?

Dafür habe ich mir eine Linux Boot CD erstellt die angeblich das Win2K Passwort resetten kann,

Zum Vergrößern anklicken....

Welche??????????

Rest siehe Werner

http://www.wintotal-forum.de/index.php/topic,141761.0.html
Meint Ihr diesen Thread?

nee, Athene, den nicht, aber der bekannte und der bluescreen und der trojaner kommen mir so bekannt vor....
das ding lief auch länger aber ich finds jetzt nicht....

mit dem thread aus deinem link täte ich Chris8080 jetzt sicher unrecht...

auf jeden fall hat er sich ein fettes ding eingefangen. vielleicht schaut pan_fee mal rein.....

Ja, genau mit dem Offline NT PW & Reg Edit (http://home.eunet.no/~pnordahl/ntpasswd/)
Ich wollte bei Schritt 1 (http://www.wintotal.de/Artikel/adminpw/adminpw.php) die passende Partition wählen, die konnte ich dann als read only mounten.
Habe es mit 1 probiert (Boot Partition) und mit d (automatically load disc drivers). Als nächstes dann direkt die Warnung, dass ich es nur read only habe.

Einen passenden Thread habe ich nicht gefunden, bzw. gleich tausende aber die konnten alle ins System

was ist denn da für eine festplatte drin, bzw. wie ist die angeschlossen? hängt die an einem sata-controller, wie heisst der chipsatz, wie der sata-controller?

Samsung SATA SP2504C

Scheinen wohl schon mehrere mit Problemen gewesen zu sein:
http://www.google.de/search?num=100...504C+linux&btnG=Suche&meta=lr=lang_de

Gibt´s so ein PW Reset Tool auch mit einem neueren Kernel?
Oder kann ich evtl von einem 2. PC aus (XP oder Kubuntu) etwas machen?

also erstens ist das kein problem mit der festplatte, sondern mit dem fehlenden controller-treiber.

und zweitens und gleichzeitig viel wichtiger:
da war doch gar kein passwort eingerichtet. dieser trojaner, der vermeintlich entfernt wurde,verhindert jetzt den zugang.

ich würde neu installieren, bevor noch weitere überraschungen auftauchen....

du kannst wahrscheinlich das passwort zurücksetzen, wie du willst, kämst aber wohl trotzdem nicht ans system ran.

Klar, hätte auch schon längst ein neues System drauf wenn da nicht, wie gesagt, noch wichtige Daten, kein Backup usw.

Leider finde ich bie Samsung selbst noch nicht mal einen Treffer zu: http://www.samsung.de/common/search.aspx?usterms=2504C
Und im Internet auch nichts passendes zum Controller - es sei denn, er ist hier dabei: http://linux-ata.org/driver-status.html
Wie finde ich denn heraus welcher Controller in der Platte sitzt?

nicht in der platte - auf dem mainboard!
und welchen du brauchst, solltest du doch dem handbuch entnehmen können.

entweder benutzt du eine bart-cd, die die treiber für die gängigen sata-treiber integriert hat oder du versuchst die platte in einen anderen pc zu hängen, um die daten dann dort auszulesen und zu sichern.[br][br]Erstellt am: 30.07.08 um 23:12:30

---

[br]wenn du damit stress hast, schreib mal den typ vom board, vielleicht könnte ich da bis zum we was zusammenstricken....

Danke dir für deine Hilfe.

Habe jetzt mit einem anderen PC probiert, damit konnte ich die Platte im write modus mounten, aber der Passwort-Reset hat nicht funktioniert.
Von WinPXE leider auch nicht. Ich werde den PC jetzt zurück geben und das Projekt als gescheitert ansehen .
Der Besitzer wird jetzt die Platte per USB an einen anderen PC anschließen und die Daten manuell rüber kopieren.