Anmeldung nicht möglich

[AHT]

Erst mal Zwischenergebnis:

a) Der Winlogon Schlüssel sieht gut aus - es hätte sein können, das statt USERINIT.EXE ein Virus geladen wird, das ist nicht der Fall.

b) Der Image File Execution Options scheint ebenfalls OK zu sein. Der Schlüssel wird von mancher Malware benutzt, um USERINIT.EXE auf andere Programme umzuleiten. Hier besteht scheinbar keine Umleitung.

Starte nochmals den Scanner und führe folgendes Script aus:

Code:

 
SET_OPTIONS->-102
MD5->C:\WINDOWS\System32\USERINIT.exe
OPEN->%TEMP%\MD5.txt

Es öffnet sich dann eine Datei MD5.TXT.
Füge den Text der Datei hier ins Forum ein.

[AHT]

Danach einmal folgendes Script ausführen und versuchsweise rebooten:

Code:

 
REGISTRY_LOAD_HIVE->C:\Windows\SYSTEM32\config\SOFTWARE>LOADED_SW
REGISTRY_DELETE_KEY->HKEY_USERS\LOADED_SW\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
->userinit.exe
REGISTRY_UNLOAD_HIVE->LOADED_SW

Klappt das Einloggen danach?

[Only User]

Ich werde jetzt die MD5.TXT Datei generieren.

Frage: Wo soll ich denn das Skript

Zitat:

Code:

REGISTRY_LOAD_HIVE->C:\Windows\SYSTEM32\config\SOFTWARE>LOADED_SW
REGISTRY_DELETE_KEY->HKEY_USERS\LOADED_SW\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
->userinit.exe
REGISTRY_UNLOAD_HIVE->LOADED_SW

ausführen? auch im PPF Scanner?

Gruss
TH

[Only User]

Hier der Inhalt der MD5.txt Datei:

C:\WINDOWS\System32\userinit.exe
->788F95312E26389D596C0FA55834E106

[AHT]

Zitat:

Zitat von Only User

Ich werde jetzt die MD5.TXT Datei generieren.

Frage: Wo soll ich denn das Skript
ausführen? auch im PPF Scanner?

Gruss
TH

Ja, auch im Scanner. Userinit ist OK.

[Only User]

It works. Keine Anmeldeprobleme mehr. Der Rechner lässt sich wieder hochfahren.
Ich weiss nicht, wie Du das gemacht hast, aber vielen Dank.

Besten Gruss
TH

[AHT]

Wenn du Interesse am Scanner hast, bitte neue Version des Scanners herunterladen. Das Ding funktioniert nach einer ziemlich einmaligen Technik und wurde hier im Forum programmiert (Mopao, markusg und frabbing haben da mitgeholfen).
Mache bitte jetzt einen kompletten Virenscann mit deinem Virenscanner. Führe mit Avira (den verwendest du glaube ich) auch eine Suche nach RootKits durch.

In deiner Version des PPFscanners funktionierte das Scannen des Image File Execution Options Schlüssels in einer fremden Registry noch nicht korrekt, deswegen neu herunterladen.

[Only User]

Zitat:

Führe mit Avira (den verwendest du glaube ich) auch eine Suche nach RootKits durch.

Keine Treffer.

Bin gerade dabei einen vollständigen Systemscan durchzuführen.
Zwischenstand nach 25 %:
- Funde: 0
- verdächtige Dateien: 0
- Warnungen: 31
- versteckte Objekte: 1

[Only User]

nach 35 % ein Treffer:

Fund:



Pfad:


Soll ich Reparieren? D.h. die Datei wird in die Quarantäne verschoben, wenn ich die Aktion richtig verstehe.

Habe hierzu auch einen neuen Thread eröffnet: http://www.paules-pc-forum.de/forum/...gent-bevd.html


Gruss
TH

[rajo]

Zitat:

Zitat von Only User

It works. Keine Anmeldeprobleme mehr. Der Rechner lässt sich wieder hochfahren.
Ich weiss nicht, wie Du das gemacht hast, aber vielen Dank.

Besten Gruss
TH

Hi ich freu mich auch !

AAAber....sagt mal ist da Alkohol drin in der Reparaturanleitung ?
Ich fürchte ja - es muss 120 % Vodka sein - anders kann ich mir kaum vorstellen,
dass der entscheidene Hinweis - dass das System von diesen Virus -
weiterhin kompromitiert bleibt - schlicht vergessen wird -

Das Alles ist nur dazu dienlich Daten zu retten - danach ist zügig Neuaufzusetzen ..........................

Rajo (avira Forum)

[AHT]

Da ist kein Alkohol drin - aber du siehst doppelt .
Der Virus wurde vorher schon von AntiVir entfernt - das ist der eigentliche Grund, warum der Rechner sich hier nicht mehr starten ließ. Dem User wurde in einem anderen Thread noch weitergeholfen, nachdem er sich wieder einloggen konnte, um sicher zu gehen, das keine andere Malware noch auf seinem System aktiv ist.

Bitte demnächst nicht so viel am Alkohol anderer Leute schnüffeln, das bekommt einem auf Dauer nicht gut .

[rajo]

Hallo AHT
glaube mir - Ich kenne den IFEO (Image File Execution Options)Mechanismus
................ und habe schon einige Dissertationen vorm Nirvana gerettet
bei uns im Forum .

hast du mich wirklich begriffen ?

Gruss
Rajo - 2 wein bis jetzt .... ;.)

Also eine Lösung die funktioniert ist diese hier: Recovering userinit.exe for Windows XP - F-PROT Antivirus Support Windows

Da immer eine Version auf der CD ist die funktioniert ist es fast schon garantiert

Man sollte um inkompabilitäten zu vermeiden versuchen eine XP-CD mit der gleichen Service Pack Version zu nutzen wie man selber installiert hat. Dann kann man auch Schritt 6 und 7 weglassen (6 ist eh nur wegen Werbezwecken )

gruß

Unregistriert

Moin moin,

ich möchte mich für diesen Thread bedanken, weil auch ich dasselbe Problem hatte.

Bei mir war es letztendlich ein Virus/Spy, der eine Datei winc.exe (in irgendeinem temp Verzeichnis) injiziert hatte. Diese Datei hatte ich gelöscht. Danach konnte ich mich niicht mehr einloggen.

Diese Datei war in der registry anstatt der userinit.exe eingetragen. Nur das Zurückbiegen alleine hat allerdings nicht gereicht. Ich musste auch noch einen registry key "Userinit.exe" löschen (nicht mit Userinit ohne .exe verwechseln ). Erst dann konnte ich mich endlich wieder einloggen.

Die Original Registry des Systems kann man mit Bart PE übrigens sehr einfach ändern (ohne plugin etc.):


Moin moin,

ich möchte mich für diesen Thread bedanken, weilmauch ich dasselbe Problem hatte.

Bei mir war es letztendlich ein Virus/Spy, der eine Datei winc.exe (in irgendeinem temp Verzeichnis) injiziert hatte. Diese Datei hatte ich gelöscht. Danach konnte ich mich niicht mehr einloggen.

Diese Datei war in der registry anstatt der userinit.exe einegtragen. Nur das zurückbiegen hat allerdings nicht gereicht. Ich musste auch noch einen registry key "Userinit.exe" löschen. Erst dann konnte ich mich endlich wieder einloggen.