Windows XP meldet sich nach Anmeldung sofort wieder ab (Virus)

Mitglied: schmitzi

schmitzi (Level 2) - Jetzt verbinden

20.11.2013, aktualisiert 21.11.2013, 5474 Aufrufe, 6 Kommentare

Windows XP-Rechner in Domäne - wie immer gilt:
Kurzanleitung, nur für äusserst versierte Admins, keine Gewähr, vorher Backup/Image erstellen :o)
und: Eingriffe an der Registry können das System zerstöööören
(Ach ja, manche Menschen denken es ist besser, die Festplatte zu löschen und Windows
gleich neu zu installieren. Diese Anleitung ist also nur für Desperados oder solche, die einen Versuch starten möchten, ihre Windows-Installation zu erhalten und vorher schon alles andere versucht haben)

LÖSUNG:

als Domain-Administrator (welcher am PC lokaler Admin ist) AM DomainController-Server:
(WorkGroup: an einem anderen PC mit gleichem Administrator-User & gleichem Passwort)

REGEDIT.EXE öffnen, im Menü Datei -> mit Netzwerkregistrierung verbinden,
betroffenen PC-Namen oder dessen IP eingeben, dort im Registry-Ast des geöffneten PCs auf:

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Excecution Options\USERINIT.EXE
PRÜFEN: der Inhalt verweist fehlerhaft auf z.B "loginf.EXE"-Datei (der VIRUS! - Datei merken!)
(Hinweis: durch diesen Eintrag wird die UserInit über den Umweg „Debugger“ gestartet,
dabei aber halt eine andere, die sich abmeldende Virusdatei geladen (hier im Beispiel die LoginF.EXE)

Jetzt diesen Key löschen
(also LINKS den gelben Ordner "Userinit.exe", und damit rechts auch den beinhalteten Eintrag der .EXE)

Das wird evtl. nicht gehen, Meldung: "Berechtigungsfehler"
deshalb jetzt der Trick: „Wir blockieren den Eintrag für den Virus“:

wieder Rechtsklick auf den beinhaltenden gelben „Ordner“ Userinit.exe im linken Fenster
-> Berechtigungen, Erweitert, Haken raus bei „Berechtigung übergeordneter bla übernehmen“ -
->ÜBERNEHMEN ->OK
Dann die Gruppe der Domänenadmins als berechtigt hinzufügen,
Haken bei Vollzugriff -> ÜBERNEHMEN (wichtig wegen Selbstaussperre!!)

ALLE anderen Berechtigten (auch SYSTEM usw) rauslöschen -> ÜBERNEHMEN ->OK

Dann rechts im Fenster den Eintrag/Verweis auf zB C:\Windows\System32\loginf.exe ändern in zB ...\loginLMAA.exe ändern (also eine Datei die es nicht gibt)

dann den REG:SZ-Key „Debugger“ umbenennen nach „Debugger.bak“
(damit sich der Administrator wieder anmelden kann :O)

Menü Datei -> von Netzwerkregistrierung TRENNEN

FERTIG, den PC BOOTEN (nicht den Server an dem Du gerade sitzt :O)

Wieder vor Ort am PC anmelden und besser mal die gemerkte Datei löschen :O)
(also wie hier im <Beispiel> C:\Windows\System32\loginf.exe)

Dann natürlich zB mit TrendMicro HouseCall und eigenem Virenscanner/Tools
das System mehrfach auf weitere bzw. Restbeschädigungen überprüfen.

Viel Erfolg
Mitglied: schmitzi
21.11.2013 um 20:37 Uhr
hmmm, hatte das Problem die Tage mal wieder und es gab nirgends eine funktionierende
oder gar komplette Anleitung. Nur Lösungsansätze die hakten oder nach Neustart nicht griffen.
Mein Weg hier geht auch remote zB vom DC aus,
und der Kniff mit den Berechtigungen ist wichtig, wegen Behebung des Problems
und sogar anschliessendem "Ausschluss" des Virus vom entsprechenden REG-Key.

Gruss RS
Bitte warten ..
Mitglied: Lochkartenstanzer
22.11.2013 um 05:33 Uhr
Zitat von schmitzi:
manche Menschen denken es ist besser, die Festplatte zu löschen und Windows

Was auch richtig ist. Ein Infizierter PC hat nichts in einem Domänennetzwerk verloren, solange nicht einigermaßen sichergestelt ist, daß er wider sauber ist. Solange der das o.g. Verhalten "gleich abgemeldet nach Anmelden" zeigt, heißt das, daß da noch "Überreste" sind.

Von daher ist die "offline"-Variante, die Registry zurechtzubiegen, die sicherere, sofern man das Risiko, ein "repariertes" System weiterzubenutzen eingehen will oder muß.

lks
Bitte warten ..
Mitglied: kontext
22.11.2013, aktualisiert um 10:08 Uhr
Moin lks,

ach komm - nicht schon wieder
Willst du das hier nochmals, quasi Diskussion 2.0 oder hast du einen Fetisch ??

Alleine schon der Einleitungstext, dieser Anleitung bewegt mich als Admin nicht mehr weiterzulesen ...
... aber hey - wie hieß es schon im anderen Thread - ich bin ein Angsthase (weil ich ein sauberes Netz will )
... auch wenn der TO einen starken Drang zur Ironie / Sarkasmus hat - naja egal - ich reg mich schon zu wieder zu viel auf

Von dem her - schweigen und genießen (ähnlich wie don't feed the Troll) ...
... wenn was nicht passt bzw. wenn der TO gegen Forumsregeln verstößt, einfach melden
... dann kümmern sich die Moderatoren bzw. Frank um das Problem

Gruß
kontext
Bitte warten ..
Mitglied: TechnoX
25.11.2013 um 12:01 Uhr
Bei Virusbefall ist eine der besten Vorgehensweisen die ich mir angeeignet habe:
Netzwerk stecker ziehen, PC hart ausschalten. USB Sticks entfernen. Kaspersky Notfall Disk einlegen davon booten,
Festplatte gegenscannen, Daten in der Linux Umgebung per Drag & Drop auf externe Platte sichern.
Dann das System herunterfahren, Festplatte mit Hersteller Tools gänzlich löschen (lowlevel Format), Neu Formatieren,
Neu Installieren, Antivierenschutz drauf, gesicherte Daten auf der USB Platte erneut gegenscannen & zurück kopieren - Fertig.

Danach hat man 95% Aller Schädlinge erfolgreich in die Schranken verwiesen. Der Rest ist auch für erfahrene Leute schwer zu
beheben. Sämmtliche unprofessionellen Eingriffe in die Registry oder so können für NOTFÄLLE zwar genutzt werden. Stellen aber
immer ein unkalkulierbares Risiko dar. Da man nie weis was der Schädling wirklich alles mit sich brachte.
Darum empfielt es sich ein Image von der Basisinstallation zu sichern solange es Sauber und Virenfrei ist.
Dann kann man innerhalb von 1 Std. Das gesammte System wieder lauffähig bekommen OHNE neu zu installieren.

Man kann dann noch so weit gehen und den alten PCname aus der Domäne kicken, um gaaaanz sicher zu gehen.
Spätestens nach dem erkennen einer solchen Gefahr sollte aber ein Manueller Firmenweiter Scan angeworfen werden.
Und die Netzwerksicherheitstufe erhöht werden ehe man nicht sicher ist das keine weiteren Schädlinge oder Kindviren
im Netzwerk auf Freigaben abgelegt wurden.

Letztlich gibt es einige Mögliche Wege die man gehen kann - der meinige hat sich aber als gut und Sicher herausgestellt.
Bitte warten ..
Mitglied: 113436
25.11.2013 um 16:13 Uhr
Hallo,
ich würde auch eine saubere Instalation planen,
da Viren oft noch mehr zerstören, als man bemerkt.
Gruß Marco
Bitte warten ..
Heiß diskutierte Inhalte
Ubuntu
HAProxy-Wi: Installation des Pakets geht nicht - ich hätte keine enabled Repos
itnirvanaFrageUbuntu37 Kommentare

Hallo, von der Seite möchte ich gerne HAProxy-Wi installieren ich führe das hier aus Dann kommt -> There ar ...

Multimedia
Fernseher im Empfang GEMA-pflichtig?
CaptainDuskyFrageMultimedia27 Kommentare

Guten Tag, wenn ich in einer Firma einen Fernseher im Empfang betreibe, dort aber nur Nachrichten laufen lasse, ist ...

LAN, WAN, Wireless
Wlan Messgerät
gelöst fizlibuzliFrageLAN, WAN, Wireless23 Kommentare

Hallo, gibt es erschwingliche Messgeräte um vorhanden W-Lan ausleuchtungen in ihrer Signalstärke und Bandbreite zu messen. Es sollen einfache ...

Microsoft
Failover Cluster Network
samreinFrageMicrosoft21 Kommentare

Hallo zusammen, toller Freitag heute vielleicht kann mir jemand unter die Arme greifen. Ich habe einen Failover Cluster gebaut. ...

Windows Server
PowerShell Script für MailVersand mit Anhang
gelöst klausk94FrageWindows Server20 Kommentare

Hallo Zusammen, ich bin aktuell etwas am verzweifeln an einem PS Script für den Emailversand Das Script funktioniert, jedoch ...

Router & Routing
Kaufempfehlung WLAN Router mit VLAN Unterstützung
ccreccFrageRouter & Routing19 Kommentare

Hallo zusammen, ich wollte mal nach einer Kaufempfehlung für einen WLAN Access Point mit halbwegs vernünftiger VLAN Unterstützung fragen. ...

Ähnliche Inhalte
Windows 10

Windows 10 Mai 2020 Update ab sofort verfügbar

FrankInformationWindows 102 Kommentare

Microsoft hat das Windows 10 Mai 2020 Update mit integriertem Linux-Kernel und Cortana-Updates veröffentlicht. Auch Windows Server 10 Version ...

Viren und Trojaner

Neuer Virus lässt Windows im abgesicherten Modus starten

transoceanTippViren und Trojaner7 Kommentare

Moin, lest selbst. Grüße Uwe

Windows 10

Windows 10 Creators Update kann ab sofort heruntergeladen werden

FrankInformationWindows 108 Kommentare

Microsoft hat, wie versprochen, für interessierte User den Windows 10 Update-Assistent veröffentlicht. Damit kann man ab sofort auf die ...

Sicherheit

Anwälte sollen BeA sofort deinstallieren

BassFishFoxInformationSicherheit3 Kommentare

Falls einer von Euch Anwälte im Kundenkreis hat. Wer die Software für das Besondere elektronische Anwaltspostfach installiert hat, sollte ...

Windows 10

Windows 10: Erste Anmeldung Animation deaktivieren

alemanne21AnleitungWindows 103 Kommentare

Guten Abend, Ich habe heute eher durch Zufall einen Weg gefunden, der unter Windows 10 die Animation bei dem ...

Windows 10

Windows 10 Hello-Anmeldung per Foto ausgehebelt

kgbornInformationWindows 108 Kommentare

Windows Hello ist eine Funktion, um sich per Fingerabdruck-, Gesichts- oder Iriserkennung bei Windows 10-Geräten anzumelden (siehe), setzt aber ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT