Heute hatten wir das Problem, dass beim Bootvorgang eines XP-Rechners kurz eine Fehlermeldung auftauchte und sofort ein Reboot ausgeführt wurde.

Der Inhalt dieser Fehlermeldung lautete:
LSASS.EXE Systemfehler
Beim Versuch, ein Kennwort zu aktualisieren,
zeigt dieser Rückgabestatus an, dass der als
aktuelles Kennwort eingegebene Wert nícht richtig ist.
Eine kurze Recherche ergab, dass dies auf eine defekte SAM hindeutete.
Passiert ist das durch einen Trojanerbefall, welcher die Systempassworte änderte bzw. beschädgte. Dadurch konnte in diesem Fall die Reparatur mit der Boot-CD nicht ausgeführt werden, da in der Reparaturkonsole das Passwort der Windowsinstallation abgefragt wird beschädigt war.
Deshalb wurde die Festplatte extern an einen lauffähigen Rechner angesteckt.
In Folgenden wird davon ausgegangen, dass die Windowspartition der zu reparierenden Festplatte als Laufwerk M eingebunden wurde.
In einer Konsole folgende Befehle ausführen.
M:
cd \windows
md zztemp
copy m:\windows\system32\config\system m:\windows\zztemp\system.bak
copy m:\windows\system32\config\software m:\windows\zztemp\software.bak
copy m:\windows\system32\config\sam m:\windows\zztemp\sam.bak
copy m:\windows\system32\config\security m:\windows\zztemp\security.bak
copy m:\windows\system32\config\default m:\windows\zztemp\default.bak
delete m:\windows\system32\config\system
delete m:\windows\system32\config\software
delete m:\windows\system32\config\sam
delete m:\windows\system32\config\security
delete m:\windows\system32\config\default
copy m:\windows\repair\system m:\windows\system32\config\system
copy m:\windows\repair\software m:\windows\system32\config\software
copy m:\windows\repair\sam m:\windows\system32\config\sam
copy m:\windows\repair\security m:\windows\system32\config\security
copy m:\windows\repair\default m:\windows\system32\config\default
Danach war ein Booten wieder möglich.