mcbobtail
Goto Top

Nach Anmeldung direkte Abmeldung XP

Hallo zusammen,

ich habe folgendes Problem. Ich habe ein Notebook, auf dem Antivir einen Trojaner gefunden hat. Antivir wollte diesen dann in Quarantäne versdchieben, bzw. nach dem Neustart löschen. Nach dem Neustart kommt die Anmeldung. Nach Eingabe des Passwortes erfolgt das Laden der Benutzereinstellungen und die sofortige Abmeldung, bis hin zum Anmeldebildschirm.

Ich habe im Internet viel über dieses Problem gelesen und wie man es beheben könnte, Stichwort userinit und registry. Jedoch habe ich das Problem, dass ich nicht in die registry komme. Ich habe die Festplatte in einen anderen PC eingebaut, dort mithilfe einer XP CD die Wiederherstellungskonsole gewählt und versucht die regedit zu öffnen. Ich bekomme leider nur die Meldung, dass es kein gültiger Befehl ist. Was kann das sein? Die userinit von einem anderen User habe ich auch bereits kopiert. Brachte aber keinen Erfolg.

Wie komme ich also in die registry des Notebooks?

Vielen Dank im Voraus.

Content-ID: 136534

Url: https://administrator.de/forum/nach-anmeldung-direkte-abmeldung-xp-136534.html

Ausgedruckt am: 23.12.2024 um 17:12 Uhr

Yggdrasul
Yggdrasul 22.02.2010 um 09:36:54 Uhr
Goto Top
Hast es schon im abgesichtertem modus mit anderen Usern versucht (zb mit administrator etc.). ? tritt das problem dort auch auf ?

Ich habe diesen fall schon 3 mal gehabt bei kunden (sowohl beim standard user als auch beim admin kein anmelden mehr möglich) und es bisher nicht geschafft dieses ding so zu entfernen das man sich wieder am pc anmelden konnte.
mcbobtail
mcbobtail 22.02.2010 um 09:39:01 Uhr
Goto Top
Ja, abgesicherter Modus mit Benutzerkonto und Admin funktionieren nicht. Ich wäre schon froh, in die Registry zu kommen, um den Schlüssel zu prüfen.
TorstenK
TorstenK 22.02.2010 um 09:54:07 Uhr
Goto Top
Hi,

wenn AntiVir hier wieder wild gewütet hat, würde ich mal schätzen, der hat dir deine Winlogon.exe zerstört....

Probier mal ne Systemwiederherstellung oder stell die winlogon.exe über ne BootCD von nem anderen System (Updatestand berücksichtigen) wieder her

Gruß

Torsten
mcbobtail
mcbobtail 22.02.2010 um 10:00:00 Uhr
Goto Top
Wie mache ich denn eine Systemwiederherstellung, ohne mich anmelden zu können? Mein Problem ist, dass ich bei dem Dell keine Recovery CD dabei hatte. Alle anderen CDs die ich hier habe sind für Fujitsu Siemens PCs.
Ich wäre für einfache Anleitungen sehr dankbar, da ich zwar viel Ahnung habe, aber so etwas hatte ich noch nie.
mrtux
mrtux 22.02.2010 um 10:03:06 Uhr
Goto Top
Hi !

In Regedit kann man auch einen Teil der Registry einbinden, der nicht von vom gebooteten System stammt. Dazu musst Du nur über das Dateimenü den Menüpunkt "Struktur laden" verwenden. Und weiterhin würde ich mal die Systemdateien prüfen, ob da nicht eine oder mehrere durch den Trojaner (oder auch Antivir) ersetzt bzw. entfernt wurden. Sowas kannst Du auch mit einer Linux-Live CD (z.B. Knoppix) machen, falls es keinen zweiten PC gibt, an den man die Platte hinhängen könnte.

Edit: Einfacher ist es eine Systemreparatur auszuführen, dazu musst Du aber von einer echten Windows CD booten. Vorsichtig mit Recovery CDs, manche davon setzen das System zurück in den Neuzustand. (= alles was Du gemacht hast, ist dann weg. Word-Dokumente, Excel, alles!), also VORSICHT!

mrtux
mcbobtail
mcbobtail 22.02.2010 um 10:16:23 Uhr
Goto Top
Die Option mit Struktur laden funktioniert aber nicht, da das Notebook sich ja nicht anmelden kann und demzufolge nicht im Netzwerk registiert ist.

Ich habe leider keine XP CD. Müsste mir dann eine besorgen.

Mit den Dateien ist kein Problem. Das Notebook ist in einer SBS Umgebung und es wurde bis auf ein paar Dateien auf dem Desktop, alles nur auf dem Server gespeichert. Die anderen Dateien kann ich ja retten, indem ich die Festplatte an ein anderen PC anschließe.

Das einzige Problem ist die Installation der ganzen benötigten Programme. Deshalb suche ich erst nach einer Lösung ohne eine komplette Neuinstallation.
mrtux
mrtux 22.02.2010 um 11:59:54 Uhr
Goto Top
Hi !

Zitat von @mcbobtail:
Die Option mit Struktur laden funktioniert aber nicht, da das Notebook sich ja nicht anmelden kann und demzufolge nicht im
Netzwerk registiert ist.

Hab ich was von Netzwerk geschrieben? Der Menüpunkt "Struktur laden" hat doch nix mim Netzwerk zu tun, sondern Du musst die jeweilige Registry Datei (z.B. system.dat, user.dat usw.) manuell öffnen. Du hängst die Platte an einen zweiten PC und dann startest Du dort "Regedit" und siehst die lokale Registry (also die vom funktionsfähigen PC) und dann wählst Du einen Registry-Zweig aus und lädst dann quasi den defekten Zweig "über" den Lokalen und kannst dann sehen was da drin steht. Du musst aber aufpassen, Du sieht eine Mischung aus lokaler und geladener Struktur, es sollte also zu keiner Verwechselung kommen. Wenn Du mit Regedit noch wenig Erfahrung hast, würde ich von der Methode eher abraten und eine Reparaturinstallation empfehlen, da der Fehler meist eh von zerstörten oder fehlenden Systemdateien herrührt und meist nicht durch die Registry verursacht wird, denn dann ist der Fehler nach der Reparaturinstallation immer noch vorhanden, da die Registry bei einer Reparaturinstallation normalerweise eh nur überprüft wird und keine Reparatur einzelner Keys stattfindet. Hilft eine Reparaturinstallation nichts, musst Du halt die Kröte schlucken und eine Neuinstallation oder ein Recovery durchführen.

Das einzige Problem ist die Installation der ganzen benötigten Programme. Deshalb suche ich erst nach einer Lösung ohne
eine komplette Neuinstallation.

Also besser doch eine Reparaturinstallation mit einer richtigen XP-CD und nicht mit einer Recovery CD! Und das ist in dem Fall auch die beste und sicherste Methode. Auf jeden Fall sicherer als von Hand in der Registry herumzuwerkeln.

mrtux
mcbobtail
mcbobtail 22.02.2010 um 13:18:05 Uhr
Goto Top
Dann habe ich dich falsch verstanden. Ich werde aber wenigstens den Schlüssel der Userinit prüfen.

Dann taucht das nächste Problem auf. Bei meinem Dell Lattidude war keine Recovery CD oder XP CD bei. Eine Recovery Partition gibt es auch nicht. Was mache ich denn da? Muss ich mir von jemandem anderes eine CD leihen? Wobei mittlerweile bei fast jedem PC nur noch eine Recovery oder Herstellergebundene CD bei liegt.
ricardo
ricardo 22.02.2010 um 18:33:56 Uhr
Goto Top
Ich hatte mal ein ähnliches Problem mit einer Windows 2000 Installation. Damals war zunächst der Grund ein Problem mit der Auslagerungsdatei, die nicht gefunden werden konnte (es kam da zunächst noch ein Hinweis, dass das System keine hätte, dann direkt die Abmeldung. Habe dann wie oben beschrieben die Datei SYSTEM in einem Zweitsystem eingelesen und den Pfad manuell editiert. Nach vielem Herumprobieren erschien später nicht mal mehr die Meldung, sondern man wurde direkt ohne wieder abgemeldet (also Problem nicht behoben).

Versuche doch mal, den Computer unter Verwendung einer Kopie der Datei SYSTEM zu starten. D.h. \windows\config\SYSTEM durch \windows\repair\config\SYSTEM (dieser Pfad ist so oder ähnlich, kann gerade nicht mehr genau nachsehen) ersetzen, vorher die ursprüngliche Datei natürlich sichern / umbenennen. Sollte das Anmelden dann funktionieren, musst du im Zweifelsfall alle systemrelevanten Einstellungen wiederholen bzw. nachträglich installierte Hardware neu installieren.
mcbobtail
mcbobtail 22.02.2010 um 18:42:02 Uhr
Goto Top
Ich habe jetzt mit Bart PE Boot CD die registry geprüft. Aber dort scheint alles in Ordnung zu sein.
mcbobtail
mcbobtail 22.02.2010 um 19:00:16 Uhr
Goto Top
So,es läuft wieder.

Das Problem lag darin, dass Antivir einen Eintrag in die Registry geschrieben hat, der diese Endlosschleife verursacht hat. Ich habe diesen Eintrag entfernt und schon lief wieder alles.
thabluestar
thabluestar 22.02.2010 um 22:15:35 Uhr
Goto Top
Hi,

kannst Du mir den Registryeintrag nennen? Ich habe an einem Laptop genau das selbe Problem face-sad

Vielen Dank!
mcbobtail
mcbobtail 22.02.2010 um 22:33:22 Uhr
Goto Top
Ich verweise hier mal auf ein anderes Forum, wo dieses Thema ausführlich behandelt wird:

http://www.computerhilfen.de/hilfen-5-62499-0.html

Der Eintrag ist folgender:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe

Dort ist ein Debugger Eintrag wie z.B. vsdefbotu.exe oder bnsxs.exe vorhanden, der gelöscht werden kann. Die .exe kann in jedem Fall anders aussehen.
Ich hoffe ich konnte helfen.
Zyonled
Zyonled 23.02.2010 um 08:00:58 Uhr
Goto Top
abgesicherter Modus ? .. -> sorry hat jemand schon geschrieben
thabluestar
thabluestar 24.02.2010 um 21:12:27 Uhr
Goto Top
Vielen Dank für deinen Post!
Hab nun das Problem bei mir auch gelöst face-smile