Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows XP meldet sich nach Anmeldung sofort wieder ab (Virus)

Mitglied: schmitzi

schmitzi (Level 2) - Jetzt verbinden

20.11.2013, aktualisiert 21.11.2013, 5262 Aufrufe, 6 Kommentare

Windows XP-Rechner in Domäne - wie immer gilt:
Kurzanleitung, nur für äusserst versierte Admins, keine Gewähr, vorher Backup/Image erstellen :o)
und: Eingriffe an der Registry können das System zerstöööören
(Ach ja, manche Menschen denken es ist besser, die Festplatte zu löschen und Windows
gleich neu zu installieren. Diese Anleitung ist also nur für Desperados oder solche, die einen Versuch starten möchten, ihre Windows-Installation zu erhalten und vorher schon alles andere versucht haben)

LÖSUNG:

als Domain-Administrator (welcher am PC lokaler Admin ist) AM DomainController-Server:
(WorkGroup: an einem anderen PC mit gleichem Administrator-User & gleichem Passwort)

REGEDIT.EXE öffnen, im Menü Datei -> mit Netzwerkregistrierung verbinden,
betroffenen PC-Namen oder dessen IP eingeben, dort im Registry-Ast des geöffneten PCs auf:

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Excecution Options\USERINIT.EXE
PRÜFEN: der Inhalt verweist fehlerhaft auf z.B "loginf.EXE"-Datei (der VIRUS! - Datei merken!)
(Hinweis: durch diesen Eintrag wird die UserInit über den Umweg „Debugger“ gestartet,
dabei aber halt eine andere, die sich abmeldende Virusdatei geladen (hier im Beispiel die LoginF.EXE)

Jetzt diesen Key löschen
(also LINKS den gelben Ordner "Userinit.exe", und damit rechts auch den beinhalteten Eintrag der .EXE)

Das wird evtl. nicht gehen, Meldung: "Berechtigungsfehler"
deshalb jetzt der Trick: „Wir blockieren den Eintrag für den Virus“:

wieder Rechtsklick auf den beinhaltenden gelben „Ordner“ Userinit.exe im linken Fenster
-> Berechtigungen, Erweitert, Haken raus bei „Berechtigung übergeordneter bla übernehmen“ -
->ÜBERNEHMEN ->OK
Dann die Gruppe der Domänenadmins als berechtigt hinzufügen,
Haken bei Vollzugriff -> ÜBERNEHMEN (wichtig wegen Selbstaussperre!!)

ALLE anderen Berechtigten (auch SYSTEM usw) rauslöschen -> ÜBERNEHMEN ->OK

Dann rechts im Fenster den Eintrag/Verweis auf zB C:\Windows\System32\loginf.exe ändern in zB ...\loginLMAA.exe ändern (also eine Datei die es nicht gibt)

dann den REG:SZ-Key „Debugger“ umbenennen nach „Debugger.bak“
(damit sich der Administrator wieder anmelden kann :O)

Menü Datei -> von Netzwerkregistrierung TRENNEN

FERTIG, den PC BOOTEN (nicht den Server an dem Du gerade sitzt :O)

Wieder vor Ort am PC anmelden und besser mal die gemerkte Datei löschen :O)
(also wie hier im <Beispiel> C:\Windows\System32\loginf.exe)

Dann natürlich zB mit TrendMicro HouseCall und eigenem Virenscanner/Tools
das System mehrfach auf weitere bzw. Restbeschädigungen überprüfen.

Viel Erfolg
Mitglied: schmitzi
21.11.2013 um 20:37 Uhr
hmmm, hatte das Problem die Tage mal wieder und es gab nirgends eine funktionierende
oder gar komplette Anleitung. Nur Lösungsansätze die hakten oder nach Neustart nicht griffen.
Mein Weg hier geht auch remote zB vom DC aus,
und der Kniff mit den Berechtigungen ist wichtig, wegen Behebung des Problems
und sogar anschliessendem "Ausschluss" des Virus vom entsprechenden REG-Key.

Gruss RS
Bitte warten ..
Mitglied: Lochkartenstanzer
22.11.2013 um 05:33 Uhr
Zitat von schmitzi:
manche Menschen denken es ist besser, die Festplatte zu löschen und Windows

Was auch richtig ist. Ein Infizierter PC hat nichts in einem Domänennetzwerk verloren, solange nicht einigermaßen sichergestelt ist, daß er wider sauber ist. Solange der das o.g. Verhalten "gleich abgemeldet nach Anmelden" zeigt, heißt das, daß da noch "Überreste" sind.

Von daher ist die "offline"-Variante, die Registry zurechtzubiegen, die sicherere, sofern man das Risiko, ein "repariertes" System weiterzubenutzen eingehen will oder muß.

lks
Bitte warten ..
Mitglied: kontext
22.11.2013, aktualisiert um 10:08 Uhr
Moin lks,

ach komm - nicht schon wieder
Willst du das hier nochmals, quasi Diskussion 2.0 oder hast du einen Fetisch ??

Alleine schon der Einleitungstext, dieser Anleitung bewegt mich als Admin nicht mehr weiterzulesen ...
... aber hey - wie hieß es schon im anderen Thread - ich bin ein Angsthase (weil ich ein sauberes Netz will )
... auch wenn der TO einen starken Drang zur Ironie / Sarkasmus hat - naja egal - ich reg mich schon zu wieder zu viel auf

Von dem her - schweigen und genießen (ähnlich wie don't feed the Troll) ...
... wenn was nicht passt bzw. wenn der TO gegen Forumsregeln verstößt, einfach melden
... dann kümmern sich die Moderatoren bzw. Frank um das Problem

Gruß
kontext
Bitte warten ..
Mitglied: TechnoX
25.11.2013 um 12:01 Uhr
Bei Virusbefall ist eine der besten Vorgehensweisen die ich mir angeeignet habe:
Netzwerk stecker ziehen, PC hart ausschalten. USB Sticks entfernen. Kaspersky Notfall Disk einlegen davon booten,
Festplatte gegenscannen, Daten in der Linux Umgebung per Drag & Drop auf externe Platte sichern.
Dann das System herunterfahren, Festplatte mit Hersteller Tools gänzlich löschen (lowlevel Format), Neu Formatieren,
Neu Installieren, Antivierenschutz drauf, gesicherte Daten auf der USB Platte erneut gegenscannen & zurück kopieren - Fertig.

Danach hat man 95% Aller Schädlinge erfolgreich in die Schranken verwiesen. Der Rest ist auch für erfahrene Leute schwer zu
beheben. Sämmtliche unprofessionellen Eingriffe in die Registry oder so können für NOTFÄLLE zwar genutzt werden. Stellen aber
immer ein unkalkulierbares Risiko dar. Da man nie weis was der Schädling wirklich alles mit sich brachte.
Darum empfielt es sich ein Image von der Basisinstallation zu sichern solange es Sauber und Virenfrei ist.
Dann kann man innerhalb von 1 Std. Das gesammte System wieder lauffähig bekommen OHNE neu zu installieren.

Man kann dann noch so weit gehen und den alten PCname aus der Domäne kicken, um gaaaanz sicher zu gehen.
Spätestens nach dem erkennen einer solchen Gefahr sollte aber ein Manueller Firmenweiter Scan angeworfen werden.
Und die Netzwerksicherheitstufe erhöht werden ehe man nicht sicher ist das keine weiteren Schädlinge oder Kindviren
im Netzwerk auf Freigaben abgelegt wurden.

Letztlich gibt es einige Mögliche Wege die man gehen kann - der meinige hat sich aber als gut und Sicher herausgestellt.
Bitte warten ..
Mitglied: 113436
25.11.2013 um 16:13 Uhr
Hallo,
ich würde auch eine saubere Instalation planen,
da Viren oft noch mehr zerstören, als man bemerkt.
Gruß Marco
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner

Neuer Virus lässt Windows im abgesicherten Modus starten

Tipp von transoceanViren und Trojaner7 Kommentare

Moin, lest selbst. Grüße Uwe

Windows 10

Windows 10 Creators Update kann ab sofort heruntergeladen werden

Information von FrankWindows 108 Kommentare

Microsoft hat, wie versprochen, für interessierte User den Windows 10 Update-Assistent veröffentlicht. Damit kann man ab sofort auf die ...

Sicherheit

Anwälte sollen BeA sofort deinstallieren

Information von BassFishFoxSicherheit3 Kommentare

Falls einer von Euch Anwälte im Kundenkreis hat. Wer die Software für das Besondere elektronische Anwaltspostfach installiert hat, sollte ...

Windows 10

Microsoft bekämpft endlich Locky Virus

Information von 1Werner1Windows 1015 Kommentare

Moin, auf Chip kam diese Meldung: Windows Defender für Windows 10 mit Boot-Scanner Die bereits vor ein paar Tagen ...

Neue Wissensbeiträge
Sicherheit
0-day Schwachstelle im Internet Explorer
Information von kgborn vor 1 TagSicherheit

In Microsofts Internet Explorer gibt es eine 0-day Schwachstelle in der Scripting Engine, die faktisch alle Browser- und Windows-Versionen ...

Internet

Internet-Speedtest Automatisieren via Befehlszeile, cmd, Bash (Windows, Linux, FreeBSD, Mac)

Tipp von anteNope vor 2 TagenInternet3 Kommentare

Also das hier ist irgendwie an mir vorbeigegangen. Einfacher geht es schlicht nicht mehr. Speedtest.cmd Via Aufgabenplanung stündlich oder ...

Administrator.de Feedback

Entwicklertagebuch: Codeblöcke auf unseren Seiten

Information von admtech vor 2 TagenAdministrator.de Feedback8 Kommentare

Hallo Administrator User, Unsere Codeblöcke werden ab sofort anders dargestellt. Die Codeblöcke können nun direkt per Copy&Paste kopiert werden. ...

Humor (lol)
Internet - auch 2020 noch Neuland ?
Erfahrungsbericht von Henere vor 3 TagenHumor (lol)6 Kommentare

Heute eine Mail der Schule meiner Tochter bekommen. Blabla Umweltschutz bla bla siehe Anhang. Dumm nur: Da hab ich ...

Heiß diskutierte Inhalte
Webbrowser
Kann Firefox von Google Suche nicht befreien
Frage von RG2525Webbrowser17 Kommentare

Hallo, Das passiert jetzt in letzter Zeit auf mehreren Computern von mir, dass die Google Suche sich nicht ausschalten ...

Peripheriegeräte
Datenstrom Drucker
Frage von FragefuchsPeripheriegeräte9 Kommentare

Moin, kann mir jemand sagen, wie Computer Daten an einen Drucker weitergeben? Gibt es dafür ein Protokoll oder Format? ...

Windows Userverwaltung
Laptop WAKE ON LAN problem
Frage von WhatEver007Windows Userverwaltung9 Kommentare

Hallo, wie oben beschrieben geht es um wake on lan. Wenn ich auf meinen Netzwerkadapter gehe sehe ich keine ...

Sicherheits-Tools
Passwort Manager mit AD anbindung und dt. Oberfläche
gelöst Frage von sani007Sicherheits-Tools9 Kommentare

Hallo Ich suche kostengünstigen Passwort Manager mit AD-Anbindung mit weboberfläche. Am besten mit VM-Image zur schnellen Installation. Wenn es ...