[HELP] Win XP Abmeldung sofort nach Anmeldung

Print Page

suamikim 26.02.2007 - 16:19 1320 12

Posts

suamikim Little Overclocker Registered: Jan 2007 Location: Linz / Austria Posts: 62	26.02.2007 - 16:19 Hallo zusammen, habe ein ziemlich großes Problem mit einem PC von einem Bekannten. Hier also die ganze "Vorgeschichte": Der Bekannte hat mich um Hilfe gebeten, weil sein PC seit einiger Zeit nur noch sehr langsam reagiert (anmeldung, Programmausführung, ...), also bin ich mal zu ihm gekommen und bekam gleich mal einen kleinen Schreck, weil offensichtlich ein Haufen Spyware und sonstige Schadsoftware installiert war (zB. kam immer wieder irgend ein XXX-Seite-Registrierungs-Popup usw.). Er meinte das mal Norton Antivirus installiert war, allerdings konnte ich davon nichts finden. PC also komplett ohne Antivieren-Programm... Nun hab ich gleich mal AVG-Free, Spy-Bot-Search & Destroy und Ad-aware heruntergeladen und installiert. Wollte eigentlich mal AVG-Free und Spy-Bot gleichzeitig drüberlaufen lassen, weshalb ich zuerst mal Spy-Bot gestartet habe. Nachdem dieser nun lief konnte ich AVG und so ziemlich alle anderen System-Anwendungen nicht mehr starten (weiß leider nicht mehr, wie die Fehlermeldung genau ausgesehen hat). Spy-Bot lief dann auf jeden Fall fast 12 Stunden lang und konnte auch einiges an Mal-/Spyware finden. Nach beendigung des Scans lies ich natürlich sofort alles entfernen, wobei einige Einträge nicht beseitigt werden konnten (im Speicher resistent), also hab ich auch den PC gleich wieder gestartet. Seit dem kann ich mich am PC aber nicht mehr anmelden (egal welcher Benutzer). Nachdem die Benutzereinstellungen geladen werden kommt gleich wieder die Abmelden-Nachricht und ich lande wieder im Anmelde-Fenster von Windows. Zu diesem Zeitpunkt konnte ich mich im abgesicherten Modus noch anmelden, allerdings war dieser komplett abgespeckt (nur schwarzer Bildschirm mit "Abgesicherter Modus"-Schriftzügen, jedoch komplett ohne Taskbar und Desktop-Icons). In einigen Foren konnte ich lesen, dass das "Anmelden-Abmelden-Problem" möglicherweise an einem falschen Registry-Eintrag bzw. einer korrupten userinit.exe liegen kann. Also im abgesicherten Modus über den Task-Manager regedit gestartet und Eintrag "Userinit" in "HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/Current Version/Winlogon" geprüft. Der Eintrag stand korrekt auf "C:\WINDOWS\system32\userinit.exe,", deshalb hier keine Änderung. Als nächstes hab ich versucht die userinit.exe auszutauschen (vorhandene Datei durch jene von Orignial Windows-CD ersetzen). Kein Erfolg. Nächster Versuch: fixmbr, fixboot und chkdsk in Wiederherstellungskonsole. Keine Änderung. Nun hab ich die Festplatte in ein externes Gehäuse von mir eingebaut, auf Slave gestellt und an meinen Heim-PC angeschlossen. Sofort AVG-Free drüberlaufen lassen, welcher auch über 700 Threats gefunden hat, welche laut AVG alle bereinigt werden konnten. Der Großteil der infizierten Dateien war von Virus W32/Virut.A befallen... Festplatte wieder auf Master und zurück in PC. Keine Änderung außer dass ich mich jetzt auch im abgesicherten Modus nicht mehr anmelden kann (soforige Abmeldung nach Anmeldung) Als letzte Rettung hab ich mir nun die Ultimate Boot CD for Windows heruntergeladen und damit gestartet. Dort hab ich dann AntiVir gestartet und mal drüberlaufen lassen. Auch AntiVir findet nun wieder einen Haufen infizierter Dateien (unter anderem auch wieder W32/Virut.A). Leider wird der Scan immer wieder abgebrochen ("Could not write Log-File" oder so ähnlich). Nun muss ich jedes mal neu starten, was zur Folge hat, dass der Scan immer später abgebrochen wird (zuerst bei ca. 6%, dann bei 23%, zuletzt bei ca. 40%). Hoffe nun, dass der Scan bis zum Ende durchgelaufen ist, wenn ich heute Abend nach Hause komme... Ok, genug erzählt, jetzt die Frage(n): Woran kann das noch liegen, dass ich mich nicht anmelden kann und wie könnte ich das beheben? Wie kann ich die Festplatte wirklich von allem Viren befreien, damit mein Bekannter danach wieder Problemlos mit dem Rechner arbeiten kann? Ich befürchte fast, dass eine Neuinstallation nicht ausbleiben wird (hätte ich bei meinem PC schon längst gemacht), allerdings will ich das soweit wie möglich vermeiden, weil ein Haufen Software/Spiele installiert sind und ich nicht sicher bin, ob er noch alle Original-CD's usw. zuhause hat. Es schwer werden könnte alle benötigten Treiber aufzutreiben (Momentan funktioniert mein Internet zu Hause nicht). Ich davon ausgehe, dass einige Dateien, welche ich über eine externe Festplatte retten möchte, befallen sind und ich den/die Virus/Viren gleich wieder aufs frische System schleppe Erschwerend kommt noch hinzu, dass mein Internet zuhause Momentan streikt und ich somit weder aktuelle Viren-Software, Treiber oder etwaige Service-Packs usw. herunterladen kann. Einzige Möglichkeit ist zur Zeit alles in der Arbeit herunterzuladen und über die USB-Festplatte nach Hause zu transportieren (sehr sehr mühsam, da bestimmt immer weider was vergessen wird...). Genug der langen Rede, ich hoffe, dass sich jemand meinem Beitrag bis zum Ende durchliest und mir wenn möglich auch noch helfen kann (bin mit meinem Latein wirklich so ziemlich am Ende)... Danke schonmal im vorhinein, mfg mik
Chrissicom Rise of the Ryzen Registered: Jul 2006 Location: Falkensee Posts: 1942	26.02.2007 - 16:32 Du traust dir was die Platte in dein System zu hängen Also ich fürchte fast um formatieren (nicht nur neu installieren) geht da kein Weg vorbei. Du solltest versuchen sehr, sehr vorsichtig die wichtigen Daten zu sichern (evtl. mit einem Linux PC oder Vista 64-bit PC als Gast User ohne Internet Zugang, weil dann die meisten Viren recht harmlos sein sollten). Ich würde auf gar keinen Fall einfach nur neu installieren, dann hast 10 Minuten später wieder ein komplett vermülltes System insbesondere weil eine Neu Installation für gewöhnlich nicht gepatched ist. Das an- und abmelde Problem hatte ich auch mal bei einer PC Reperatur (war ein Rootkit) der sich nur durch ein Low Level Format entfernen lies. Ist zwar ein Extremfall, aber bei einem Rechner mit dem von dir beschriebenen Symptomen kann alles sein, eine Rettung des aktuellen Systems schließe ich jedenfalls 100%ig aus. P.S. Die gesicherten Daten würde ich zudem mit mehr als nur einem aktuellen Virenscanner prüfen, z.B. NOD32, F-Prot und AntiVir Bearbeitet von Chrissicom am 26.02.2007, 16:36
FrankEdwinWrigh stuck on the outside Registered: Nov 2002 Location: im 21. Jhdt. Posts: 2507	26.02.2007 - 16:35 das nenn ich jetzt mal eine ausführliche problembeschreibung ob du den pc jemals wieder virenfrei bekommst, kann ich dir nicht sagen, dass neu aufsetzen klüger wäre hast du ja eh schon selbst festgestellt, also versuch ich dich garnicht weiter zu überreden. das einzige was dir noch helfen könnte ist eine reparaturinstallation. Mit der Windows CD starten, bei der ersten abfrage "drücken sie enter um windows zu installieren" ENTER drücken, dann wird nacch vorhandenen Betriebssystemen gescannt und eine Reparaturoption geboten, welche du mit R auswählst. Wichtig, erst ENTER beim ersten Dialog, dort gibt es auch schon eine Reparaturoption, die du NICHT wählst dabei wird dein windows hergerichtet ohne dass deine userdaten angegriffen werden, das sollte den rechner erstmal wieder startbar machen. um die viren bestmöglich zu entfernen, bleibt dir dann nur einen virenscanner nach dem anderen drüber laufen zu lassen. die meisten hersteller bieten auf ihrer website onlinescanner. Trendmicro, Bitdefender, Kaspersky fallen mir mal ein die fix einen haben. Sophos eventuell auch. und dann .. toitoitoi Mfg fEw
crusher Legend dur ned blern Registered: Jan 2005 Location: ::1 Posts: 4072	26.02.2007 - 16:42 ha, habs mir alles durchgelesen stolzbin, na scherz beiseite, ich denke das es ein guter ansatz ist wie FrankEdwinWrigh geschrieben hat, eine reperatur zu starten, diese sollte auch helfen ins windows zu kommen, dort alles schauen was installiert ist, und nachschauen ob er noch alles hat, das du nach einer neuinstallation wieder alles einspielen kannst. ich denke das es das sinnvollste ist eine neuinstallation zu machen, unmittelbar dadrauf einen virenscanner (kaspersky) und dann erst ins netz hängen um treiber zu holen, oder wie in deinem fall, in der arbeit treiber zu laden, und auch neueste version vom kaspersky. im gegensatz zu norton hilft kaspersky auch
suamikim Little Overclocker Registered: Jan 2007 Location: Linz / Austria Posts: 62	26.02.2007 - 16:50 Zitat von Chrissicom Du traust dir was die Platte in dein System zu hängen Hab eh lange gezögert, ob ichs wirklich versuchen soll, nachdem ich aber nicht weitergekommen bin hab ich mich einfach mal "drübergetraut" Zitat von Chrissicom Zitat von Chrissicom Du traust dir was die Platte in dein System zu hängen Schon klar, dass ich vor der Neuinstallation formatiere. Werde dann wohl versuchen die Daten über eine Ubuntu-Standalone-Cd oder ähnliches zu retten (reiner Linux- bzw. Vista-64-PC ist leider nicht verfügbar). Zitat von Chrissicom Zitat von Chrissicom Zitat von Chrissicom Du traust dir was die Platte in dein System zu hängen Werde ich auf jeden Fall machen... Zitat FrankEdwinWrigh das nenn ich jetzt mal eine ausführliche problembeschreibung Hab versucht so genau wie möglich zu beschreiben, was ich bereits versucht/unternommen habe... Das birgt halt immer die Gefahr, dass das geschrieben zu lang wird und es einige Forums-User nicht mehr lesen (wollen)... Zitat FrankEdwinWrigh das einzige was dir noch helfen könnte ist eine reparaturinstallation. Mit der Windows CD starten, bei der ersten abfrage "drücken sie enter um windows zu installieren" ENTER drücken, dann wird nacch vorhandenen Betriebssystemen gescannt und eine Reparaturoption geboten, welche du mit R auswählst. Wichtig, erst ENTER beim ersten Dialog, dort gibt es auch schon eine Reparaturoption, die du NICHT wählst Die wollte ich eigentlich auch schon versuchen, wusste dann aber nicht mehr, dass die Reperaturinstallation nach "drücken sie enter um windows zu installieren" kommt und hab es deshalb nicht mehr gefunden Naja dann kann ich nur hoffen das inode die Probleme mit meiner Internet-Verbindung schnell wieder hinbekommt und ich dann alles neu aufsetzen kann ohne den Virus mitzuschleppen... Danke auf jeden Fall fürs erste. Für weitere Vorschläge bin ich natürlich weiterhin offen! mfg, mik
Chrissicom Rise of the Ryzen Registered: Jul 2006 Location: Falkensee Posts: 1942	26.02.2007 - 16:53 Du solltest wenn der Rechner wieder eingerichtet ist auch erstmal wenn möglich einen Virenscanner von CD installieren und den Rechner nicht mit dem Internet verbinden solang kein Virenscanner läuft und ein Scan unternommen wurde. Es gibt genug Malware, Viren etc. die sich gut verstecken und erst aktiv werden wenn eine Internetverbindung besteht und das is leider auch eine der Art von Malware die nicht von jedem Scanner erkannt wird. Mir ist es selber schonmal passiert, das ich ein XP (ohne SPs oder Hotfixes) unattended installiert hab und als ich nach 2 Stunden wieder an den Rechner kam war er so vermüllt das nur noch formatieren geholfen hat ...das Problem da war wahrscheinlich auch das der Rechner direkt am Internet hing und nicht über einen Router.
suamikim Little Overclocker Registered: Jan 2007 Location: Linz / Austria Posts: 62	26.02.2007 - 17:05 Jep schon klar. Von Vorteil ist, dass ich zuhause hinter einer Hardware-Firewall (Router) hänge durch welche solche Angriffe in der Regel geblockt werden (hatte zumindest noch nie auf einem meiner PC's einen gröberen Virus...). Deshalb gehe ich natürlich trotzdem auf Nummer sicher und installiere zuerst mal die Antiviren-Software und möglicherweise eine SW-Firewall ohne LAN-/Internet-Anbindung". Passt zwar nicht zum Thema, aber eine Frage bezüglich SW-Firewall hätte ich noch (hier fehlt mir die Erfahrung, weil ich selbst eben hinter einer HW-Firewall sitze): Ist es zu empfehlen zb. ZoneAlarm auf einem Rechner zu installieren, wenn der Benutzer sogut wie überhaupt keine Ahnung von IT im allgemeinen hat? Einrichten würde die natürlich ich, allerdings frage ich mich, ob die den Benutzer dann nicht mit Fragen usw. überfordert, wenn irgendwo eine Bedrohung ankommt?
FrankEdwinWrigh stuck on the outside Registered: Nov 2002 Location: im 21. Jhdt. Posts: 2507	26.02.2007 - 19:23 deine firewall nützt überhauptgarnix gegen viren Mfg fEW
suamikim Little Overclocker Registered: Jan 2007 Location: Linz / Austria Posts: 62	27.02.2007 - 09:15 Schon möglich das sie nichts gegen Viren hilft, sehr wohl aber gegen Würmer und dergleichen (helfen im Sinne von Prävention, da diese einfach schwerer auf mein System kommen). 2 Beispiele: Ich hatte noch nie einen Sasser, der ja so ziemlich jeden befallen hat, der ohne Firewall im Internet unterwegs war (zumindest in meinem Bekanntenkreis). Befallene Rechner von Freunden usw. neu aufgesetzt -> Windows update ohne Firewall -> Sasser wieder da Rechner neu aufgesetzt -> Windows update hinter Firewall -> Kein Problem! Das selbe Spiel hatte ich mal bei einem bekannten mit einem anderen Wurm/Virus. Dieser schoss jede Anwendung ab, die nur im entferntesten etwas mit Antivirus zu tun hatte (zB. schoss er Word, Internet-Explorer oder Firefox sofort ab, wenn man das Wort Virus eingetippt hat, bzw. lies er kein Antivirusprogramm starten oder installieren). 1-mal ohne Firewall neu aufgesetzt -> Gleiches Problem nach ein paar Minuten wieder vorhanden Danach nach aufsetzen sofort SW-Firewall installiert (noch vor LAN-Anschluss) -> Der Rechner rennt bis heute ohne Probleme... So meine Erfahrungen...
Crash Override BOfH Registered: Jun 2005 Location: Germany Posts: 2951	27.02.2007 - 13:08 Die SP2 Firewall ist für einen unbedarften user die bessere Wahl. Einfach "keine Ausnahmen zulassen" anhaken.
Chrissicom Rise of the Ryzen Registered: Jul 2006 Location: Falkensee Posts: 1942	27.02.2007 - 20:57 Mit keine Ausnahmen zulassen wird man aber nicht mehr viel im Internet machen können ...abgesehen davon meine ich aber auch das eine aktive SP2 Firewall reicht wenn ein Virenscanner installiert ist. Ein User der sich nicht auskennt kann eine Firewall sowieso nicht konfigurieren da bringen ständigen Fragen erlaube dies, erlaube das sowieso nix.
suamikim Little Overclocker Registered: Jan 2007 Location: Linz / Austria Posts: 62	28.02.2007 - 08:38 Mhm, dachte ich mir schon, dass eine SW-Firewall da eher fehl am Platz ist... Nachdem ich mittlerweile auch zuhause wieder ins Internet kann werde ich wohl neu aufsetzen (nachdem ich noch die Systemreparatur probiere, die aber wohl eh nichts ändert). Dabei ist mir noch eine Frage eingefallen, bevor ich anfange: Wie kann ich (vorausgesetzt ich bekomme die Anmeldung nicht mehr hin) etwaige E-Mails und Konten sichern? Sein benutztes E-Mail-Programm ist IncrediMail. Hat damit vielleicht jemand Erfahrung und weiß, ob die E-Mails und Kontoinformationen in einem bestimmten Ordner abgelegt werden und ob man den nach Neuinstallation einfach importieren kann? Falls ja, wie sieht das dann bei mehreren Benutzern aus? Denke mal nicht, dass er sonderlich wichtige E-Mails gespeichert hat, aber gerade bei den Konto-Informationen bin ich mir nicht sicher, ob er die nötigen Daten irgendwo aufgeschrieben hat... Danke, mfg
suamikim Little Overclocker Registered: Jan 2007 Location: Linz / Austria Posts: 62	05.03.2007 - 09:27 Für den Fall das irgendjemand diesen Thread wieder mal ausgräbt, weil er ähnliche Probleme hat, hier ein kleiner "Abschlussbericht": Nachdem ich die Reparatur-Funktion nicht mehr finden konnte (weder nach Start mit Windows XP Pro, noch mit Home) hab ich den PC nun neu aufgesetzt. Ich bin mir sicher, dass ich diese Reparatur-Funktion auch schonmal verwendet habe. Nach dem drücken der Enter-Taste (Windows installieren) und der Suche nach vorhandenen Betriebssystemen kam allerdings keine entsprechende Option. Vorhandene Optionen waren Sinngemäß soweit ich mich erinnern kann: - Partition löschen - Windows im unpartitionierten Bereich erstellen - gewählte Partition für die Installation verwenden) Tut hier aber nichts mehr zur Sache. Alle relevanten Daten habe ich mittels "Windows Ultimate Boot CD 4 Windows" auf eine leere externe Festplatte geschaufelt, welche ich danach von einigen Online-Scannern (Bit-Defender, Kaspersky, Trend-Micro, F-Prot) und meinem System-Scanner (AVG Free) scannen lies. Nachdem keiner einen Virus gefunden hat, bin ich guter Dinge, den Virus nicht mitgeschleppt zu haben. Bei irgendeinem Online-Scan wurde lediglich eine Spy-/Malware-Datei oder ähnliches gefunden, welche ich dann einfach gelöscht habe (jedenfalls kein Virut oder etwas ähnlich bedrohliches). Die IncrediMail-Daten konnte ich auch soweit retten (außer den Konto-Einstellungen). Sollte hier mal jemand vor dem selben Problem stehen, einfach per PN melden oder im mailhilfe.de-Forum nachschauen (auch hier hab ich als suamikim gepostet). Mein Fazit ist jedenfalls das ich mir viel arbeit erspart hätte, wenn ich gleich den Weg über die Neuinstallation gegangen wäre und nicht erst großartig probiert hätte den PC irgendwie nochmal "gesund" zu bekommen. Wäre es mein eigener gewesen hätte ich das auch gemacht, so wollte ich halt doch alles so wie es war über die runden bringen. Jetzt müssen die Kinder ihre Spiele und Programme halt wieder neu installieren, aber eine gewisse "Strafe" kann schon sein, wenn man so offensichtlich Sorglos Dateien aus dem Internet ausführt... Danke jedenfalls für die umfangreiche Hilfe hier! mfg, mik