Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows XP meldet sich nach Anmeldung sofort wieder ab (Virus)

Mitglied: schmitzi

schmitzi (Level 2) - Jetzt verbinden

20.11.2013, aktualisiert 21.11.2013, 5165 Aufrufe, 6 Kommentare

Windows XP-Rechner in Domäne - wie immer gilt:
Kurzanleitung, nur für äusserst versierte Admins, keine Gewähr, vorher Backup/Image erstellen :o)
und: Eingriffe an der Registry können das System zerstöööören
(Ach ja, manche Menschen denken es ist besser, die Festplatte zu löschen und Windows
gleich neu zu installieren. Diese Anleitung ist also nur für Desperados oder solche, die einen Versuch starten möchten, ihre Windows-Installation zu erhalten und vorher schon alles andere versucht haben)

LÖSUNG:

als Domain-Administrator (welcher am PC lokaler Admin ist) AM DomainController-Server:
(WorkGroup: an einem anderen PC mit gleichem Administrator-User & gleichem Passwort)

REGEDIT.EXE öffnen, im Menü Datei -> mit Netzwerkregistrierung verbinden,
betroffenen PC-Namen oder dessen IP eingeben, dort im Registry-Ast des geöffneten PCs auf:

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Excecution Options\USERINIT.EXE
PRÜFEN: der Inhalt verweist fehlerhaft auf z.B "loginf.EXE"-Datei (der VIRUS! - Datei merken!)
(Hinweis: durch diesen Eintrag wird die UserInit über den Umweg „Debugger“ gestartet,
dabei aber halt eine andere, die sich abmeldende Virusdatei geladen (hier im Beispiel die LoginF.EXE)

Jetzt diesen Key löschen
(also LINKS den gelben Ordner "Userinit.exe", und damit rechts auch den beinhalteten Eintrag der .EXE)

Das wird evtl. nicht gehen, Meldung: "Berechtigungsfehler"
deshalb jetzt der Trick: „Wir blockieren den Eintrag für den Virus“:

wieder Rechtsklick auf den beinhaltenden gelben „Ordner“ Userinit.exe im linken Fenster
-> Berechtigungen, Erweitert, Haken raus bei „Berechtigung übergeordneter bla übernehmen“ -
->ÜBERNEHMEN ->OK
Dann die Gruppe der Domänenadmins als berechtigt hinzufügen,
Haken bei Vollzugriff -> ÜBERNEHMEN (wichtig wegen Selbstaussperre!!)

ALLE anderen Berechtigten (auch SYSTEM usw) rauslöschen -> ÜBERNEHMEN ->OK

Dann rechts im Fenster den Eintrag/Verweis auf zB C:\Windows\System32\loginf.exe ändern in zB ...\loginLMAA.exe ändern (also eine Datei die es nicht gibt)

dann den REG:SZ-Key „Debugger“ umbenennen nach „Debugger.bak“
(damit sich der Administrator wieder anmelden kann :O)

Menü Datei -> von Netzwerkregistrierung TRENNEN

FERTIG, den PC BOOTEN (nicht den Server an dem Du gerade sitzt :O)

Wieder vor Ort am PC anmelden und besser mal die gemerkte Datei löschen :O)
(also wie hier im <Beispiel> C:\Windows\System32\loginf.exe)

Dann natürlich zB mit TrendMicro HouseCall und eigenem Virenscanner/Tools
das System mehrfach auf weitere bzw. Restbeschädigungen überprüfen.

Viel Erfolg
Mitglied: schmitzi
21.11.2013 um 20:37 Uhr
hmmm, hatte das Problem die Tage mal wieder und es gab nirgends eine funktionierende
oder gar komplette Anleitung. Nur Lösungsansätze die hakten oder nach Neustart nicht griffen.
Mein Weg hier geht auch remote zB vom DC aus,
und der Kniff mit den Berechtigungen ist wichtig, wegen Behebung des Problems
und sogar anschliessendem "Ausschluss" des Virus vom entsprechenden REG-Key.

Gruss RS
Bitte warten ..
Mitglied: Lochkartenstanzer
22.11.2013 um 05:33 Uhr
Zitat von schmitzi:
manche Menschen denken es ist besser, die Festplatte zu löschen und Windows

Was auch richtig ist. Ein Infizierter PC hat nichts in einem Domänennetzwerk verloren, solange nicht einigermaßen sichergestelt ist, daß er wider sauber ist. Solange der das o.g. Verhalten "gleich abgemeldet nach Anmelden" zeigt, heißt das, daß da noch "Überreste" sind.

Von daher ist die "offline"-Variante, die Registry zurechtzubiegen, die sicherere, sofern man das Risiko, ein "repariertes" System weiterzubenutzen eingehen will oder muß.

lks
Bitte warten ..
Mitglied: kontext
22.11.2013, aktualisiert um 10:08 Uhr
Moin lks,

ach komm - nicht schon wieder
Willst du das hier nochmals, quasi Diskussion 2.0 oder hast du einen Fetisch ??

Alleine schon der Einleitungstext, dieser Anleitung bewegt mich als Admin nicht mehr weiterzulesen ...
... aber hey - wie hieß es schon im anderen Thread - ich bin ein Angsthase (weil ich ein sauberes Netz will )
... auch wenn der TO einen starken Drang zur Ironie / Sarkasmus hat - naja egal - ich reg mich schon zu wieder zu viel auf

Von dem her - schweigen und genießen (ähnlich wie don't feed the Troll) ...
... wenn was nicht passt bzw. wenn der TO gegen Forumsregeln verstößt, einfach melden
... dann kümmern sich die Moderatoren bzw. Frank um das Problem

Gruß
kontext
Bitte warten ..
Mitglied: TechnoX
25.11.2013 um 12:01 Uhr
Bei Virusbefall ist eine der besten Vorgehensweisen die ich mir angeeignet habe:
Netzwerk stecker ziehen, PC hart ausschalten. USB Sticks entfernen. Kaspersky Notfall Disk einlegen davon booten,
Festplatte gegenscannen, Daten in der Linux Umgebung per Drag & Drop auf externe Platte sichern.
Dann das System herunterfahren, Festplatte mit Hersteller Tools gänzlich löschen (lowlevel Format), Neu Formatieren,
Neu Installieren, Antivierenschutz drauf, gesicherte Daten auf der USB Platte erneut gegenscannen & zurück kopieren - Fertig.

Danach hat man 95% Aller Schädlinge erfolgreich in die Schranken verwiesen. Der Rest ist auch für erfahrene Leute schwer zu
beheben. Sämmtliche unprofessionellen Eingriffe in die Registry oder so können für NOTFÄLLE zwar genutzt werden. Stellen aber
immer ein unkalkulierbares Risiko dar. Da man nie weis was der Schädling wirklich alles mit sich brachte.
Darum empfielt es sich ein Image von der Basisinstallation zu sichern solange es Sauber und Virenfrei ist.
Dann kann man innerhalb von 1 Std. Das gesammte System wieder lauffähig bekommen OHNE neu zu installieren.

Man kann dann noch so weit gehen und den alten PCname aus der Domäne kicken, um gaaaanz sicher zu gehen.
Spätestens nach dem erkennen einer solchen Gefahr sollte aber ein Manueller Firmenweiter Scan angeworfen werden.
Und die Netzwerksicherheitstufe erhöht werden ehe man nicht sicher ist das keine weiteren Schädlinge oder Kindviren
im Netzwerk auf Freigaben abgelegt wurden.

Letztlich gibt es einige Mögliche Wege die man gehen kann - der meinige hat sich aber als gut und Sicher herausgestellt.
Bitte warten ..
Mitglied: 113436
25.11.2013 um 16:13 Uhr
Hallo,
ich würde auch eine saubere Instalation planen,
da Viren oft noch mehr zerstören, als man bemerkt.
Gruß Marco
Bitte warten ..
Ähnliche Inhalte
Windows 10
Windows 10 ist ab sofort verfügbar
Information von FrankWindows 1047 Kommentare

Windows 10 ist ab heute zum Download verfügbar. Bei den Usern, die Windows 10 bereits reserviert haben, hat der ...

Windows 10

Windows 10 Creators Update kann ab sofort heruntergeladen werden

Information von FrankWindows 108 Kommentare

Microsoft hat, wie versprochen, für interessierte User den Windows 10 Update-Assistent veröffentlicht. Damit kann man ab sofort auf die ...

Sicherheit

Anwälte sollen BeA sofort deinstallieren

Information von BassFishFoxSicherheit3 Kommentare

Falls einer von Euch Anwälte im Kundenkreis hat. Wer die Software für das Besondere elektronische Anwaltspostfach installiert hat, sollte ...

Windows 10

Windows 10: Erste Anmeldung Animation deaktivieren

Anleitung von alemanne21Windows 103 Kommentare

Guten Abend, Ich habe heute eher durch Zufall einen Weg gefunden, der unter Windows 10 die Animation bei dem ...

Neue Wissensbeiträge
Windows 10

Windows 10 - Programme laufen schneller, wenn Sie mit Administratorrechten ausgeführt werden

Erfahrungsbericht von 1Werner1 vor 17 StundenWindows 106 Kommentare

Moin, das wollte ich erst nicht glauben, aber es ist so. Wenn Ihr ein Programm mit Administratorrechten unter Windows ...

Sicherheits-Tools
Putty hat heftige Bugs korrigiert!
Information von Lochkartenstanzer vor 1 TagSicherheits-Tools5 Kommentare

Moin, Wie man aus herauslesen kann, sind in den Versionen vor 0.71 gravierende Bugs, die es angeraten erscheinen lassen, ...

Off Topic
Sachen die die Welt nicht braucht - Platz 1
Tipp von brammer vor 4 TagenOff Topic21 Kommentare

Hallo, ich habs als Tipp angelegt als Erfahrungsbericht nein Danke brammer

Humor (lol)
Spirit of Health-Kongress in Berlin
Information von AnkhMorpork vor 4 TagenHumor (lol)6 Kommentare

tgif! Beim dritten Spirit of Health-Kongress trafen sich am Wochenende Alternativmediziner und Naturheilkundler im Maritim Hotel Berlin, um sich ...

Heiß diskutierte Inhalte
Hardware
Telefonanlagen - Welche gibt es
Frage von Xaero1982Hardware21 Kommentare

Nabend Zusammen, ich suche eine neue TK Anlage und mein Auftraggeber will jetzt was völlig neues - State of ...

Windows Server
Eingeschränkte Gruppen - Spezielle Benutzergruppe hinzufügen
Frage von killtecWindows Server17 Kommentare

Hallo, ich möchte gerne folgendes Realisieren: Ich habe bei mir Eingeschränkte Gruppen via GPO aktiv und möchte nun der ...

LAN, WAN, Wireless
Intel(R) PRO Wireless 3945ABG
gelöst Frage von Leon509LAN, WAN, Wireless15 Kommentare

Hallo, habe ein Laptop Fujitsu (Intel, 4GB, 2GHz, Windos10, Intel(R) PRO/Wireless 3945ABG ) ein O2 DSL Anschluss Home50. Leider ...

Microsoft Office
Videodateien auf Windows Server 2008 R2 öffnen schlägt fehl
Frage von SchroediMicrosoft Office14 Kommentare

Hallo zusammen, wir haben das Problem das embedded Videos in PowerPoint (O365) auf unserer Citrix Farm (6.5) nicht abgespielt ...