6
Windows XP meldet sich nach Anmeldung sofort wieder ab (Virus)
Windows XP-Rechner in Domäne - wie immer gilt:
Kurzanleitung, nur für äusserst versierte Admins, keine Gewähr, vorher Backup/Image erstellen :o)
und: Eingriffe an der Registry können das System zerstöööören
(Ach ja, manche Menschen denken es ist besser, die Festplatte zu löschen und Windows
gleich neu zu installieren. Diese Anleitung ist also nur für Desperados oder solche, die einen Versuch starten möchten, ihre Windows-Installation zu erhalten und vorher schon alles andere versucht haben)
LÖSUNG:
als Domain-Administrator (welcher am PC lokaler Admin ist) AM DomainController-Server:
(WorkGroup: an einem anderen PC mit gleichem Administrator-User & gleichem Passwort)
REGEDIT.EXE öffnen, im Menü Datei -> mit Netzwerkregistrierung verbinden,
betroffenen PC-Namen oder dessen IP eingeben, dort im Registry-Ast des geöffneten PCs auf:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Excecution Options\USERINIT.EXE
PRÜFEN: der Inhalt verweist fehlerhaft auf z.B "loginf.EXE"-Datei (der VIRUS! - Datei merken!)
(Hinweis: durch diesen Eintrag wird die UserInit über den Umweg „Debugger“ gestartet,
dabei aber halt eine andere, die sich abmeldende Virusdatei geladen (hier im Beispiel die LoginF.EXE)
Jetzt diesen Key löschen
(also LINKS den gelben Ordner "Userinit.exe", und damit rechts auch den beinhalteten Eintrag der .EXE)
Das wird evtl. nicht gehen, Meldung: "Berechtigungsfehler"
deshalb jetzt der Trick: „Wir blockieren den Eintrag für den Virus“:
wieder Rechtsklick auf den beinhaltenden gelben „Ordner“ Userinit.exe im linken Fenster
-> Berechtigungen, Erweitert, Haken raus bei „Berechtigung übergeordneter bla übernehmen“ -
->ÜBERNEHMEN ->OK
Dann die Gruppe der Domänenadmins als berechtigt hinzufügen,
Haken bei Vollzugriff -> ÜBERNEHMEN (wichtig wegen Selbstaussperre!!)
ALLE anderen Berechtigten (auch SYSTEM usw) rauslöschen -> ÜBERNEHMEN ->OK
Dann rechts im Fenster den Eintrag/Verweis auf zB C:\Windows\System32\loginf.exe ändern in zB ...\loginLMAA.exe ändern (also eine Datei die es nicht gibt)
dann den REG:SZ-Key „Debugger“ umbenennen nach „Debugger.bak“
(damit sich der Administrator wieder anmelden kann :O)
Menü Datei -> von Netzwerkregistrierung TRENNEN
FERTIG, den PC BOOTEN (nicht den Server an dem Du gerade sitzt :O)
Wieder vor Ort am PC anmelden und besser mal die gemerkte Datei löschen :O)
(also wie hier im <Beispiel> C:\Windows\System32\loginf.exe)
Dann natürlich zB mit TrendMicro HouseCall und eigenem Virenscanner/Tools
das System mehrfach auf weitere bzw. Restbeschädigungen überprüfen.
Viel Erfolg
als Domain-Administrator (welcher am PC lokaler Admin ist) AM DomainController-Server:
(WorkGroup: an einem anderen PC mit gleichem Administrator-User & gleichem Passwort)
REGEDIT.EXE öffnen, im Menü Datei -> mit Netzwerkregistrierung verbinden,
betroffenen PC-Namen oder dessen IP eingeben, dort im Registry-Ast des geöffneten PCs auf:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Excecution Options\USERINIT.EXE
PRÜFEN: der Inhalt verweist fehlerhaft auf z.B "loginf.EXE"-Datei (der VIRUS! - Datei merken!)
(Hinweis: durch diesen Eintrag wird die UserInit über den Umweg „Debugger“ gestartet,
dabei aber halt eine andere, die sich abmeldende Virusdatei geladen (hier im Beispiel die LoginF.EXE)
Jetzt diesen Key löschen
(also LINKS den gelben Ordner "Userinit.exe", und damit rechts auch den beinhalteten Eintrag der .EXE)
Das wird evtl. nicht gehen, Meldung: "Berechtigungsfehler"
deshalb jetzt der Trick: „Wir blockieren den Eintrag für den Virus“:
wieder Rechtsklick auf den beinhaltenden gelben „Ordner“ Userinit.exe im linken Fenster
-> Berechtigungen, Erweitert, Haken raus bei „Berechtigung übergeordneter bla übernehmen“ -
->ÜBERNEHMEN ->OK
Dann die Gruppe der Domänenadmins als berechtigt hinzufügen,
Haken bei Vollzugriff -> ÜBERNEHMEN (wichtig wegen Selbstaussperre!!)
ALLE anderen Berechtigten (auch SYSTEM usw) rauslöschen -> ÜBERNEHMEN ->OK
Dann rechts im Fenster den Eintrag/Verweis auf zB C:\Windows\System32\loginf.exe ändern in zB ...\loginLMAA.exe ändern (also eine Datei die es nicht gibt)
dann den REG:SZ-Key „Debugger“ umbenennen nach „Debugger.bak“
(damit sich der Administrator wieder anmelden kann :O)
Menü Datei -> von Netzwerkregistrierung TRENNEN
FERTIG, den PC BOOTEN (nicht den Server an dem Du gerade sitzt :O)
Wieder vor Ort am PC anmelden und besser mal die gemerkte Datei löschen :O)
(also wie hier im <Beispiel> C:\Windows\System32\loginf.exe)
Dann natürlich zB mit TrendMicro HouseCall und eigenem Virenscanner/Tools
das System mehrfach auf weitere bzw. Restbeschädigungen überprüfen.
Viel Erfolg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 222518
Url: https://administrator.de/contentid/222518
Printed on: April 19, 2024 at 22:04 o'clock
6 Comments
Latest comment
Moin,
Du meintest eine Variante von Windows XP - Benutzer wird gleich nach Anmelden wieder abgemeldet. ?
lks
Du meintest eine Variante von Windows XP - Benutzer wird gleich nach Anmelden wieder abgemeldet. ?
lks
2
hmmm, hatte das Problem die Tage mal wieder und es gab nirgends eine funktionierende
oder gar komplette Anleitung. Nur Lösungsansätze die hakten oder nach Neustart nicht griffen.
Mein Weg hier geht auch remote zB vom DC aus,
und der Kniff mit den Berechtigungen ist wichtig, wegen Behebung des Problems
und sogar anschliessendem "Ausschluss" des Virus vom entsprechenden REG-Key.
Gruss RS
oder gar komplette Anleitung. Nur Lösungsansätze die hakten oder nach Neustart nicht griffen.
Mein Weg hier geht auch remote zB vom DC aus,
und der Kniff mit den Berechtigungen ist wichtig, wegen Behebung des Problems
und sogar anschliessendem "Ausschluss" des Virus vom entsprechenden REG-Key.
Gruss RS
3Was auch richtig ist. Ein Infizierter PC hat nichts in einem Domänennetzwerk verloren, solange nicht einigermaßen sichergestelt ist, daß er wider sauber ist. Solange der das o.g. Verhalten "gleich abgemeldet nach Anmelden" zeigt, heißt das, daß da noch "Überreste" sind.
Von daher ist die "offline"-Variante, die Registry zurechtzubiegen, die sicherere, sofern man das Risiko, ein "repariertes" System weiterzubenutzen eingehen will oder muß.
lks
2
Moin lks,
ach komm - nicht schon wieder
Willst du das hier nochmals, quasi Diskussion 2.0 oder hast du einen Fetisch ??
Alleine schon der Einleitungstext, dieser Anleitung bewegt mich als Admin nicht mehr weiterzulesen ...
... aber hey - wie hieß es schon im anderen Thread - ich bin ein Angsthase (weil ich ein sauberes Netz will
)
... auch wenn der TO einen starken Drang zur Ironie / Sarkasmus hat - naja egal - ich reg mich schon zu wieder zu viel auf
Von dem her - schweigen und genießen (ähnlich wie don't feed the Troll) ...
... wenn was nicht passt bzw. wenn der TO gegen Forumsregeln verstößt, einfach melden
... dann kümmern sich die Moderatoren bzw. @Frank um das Problem
Gruß
@kontext
ach komm - nicht schon wieder
Willst du das hier nochmals, quasi Diskussion 2.0 oder hast du einen Fetisch ??
Alleine schon der Einleitungstext, dieser Anleitung bewegt mich als Admin nicht mehr weiterzulesen ...
... aber hey - wie hieß es schon im anderen Thread - ich bin ein Angsthase (weil ich ein sauberes Netz will
)... auch wenn der TO einen starken Drang zur Ironie / Sarkasmus hat - naja egal - ich reg mich schon zu wieder zu viel auf
Von dem her - schweigen und genießen (ähnlich wie don't feed the Troll) ...
... wenn was nicht passt bzw. wenn der TO gegen Forumsregeln verstößt, einfach melden
... dann kümmern sich die Moderatoren bzw. @Frank um das Problem
Gruß
@kontext
1
Bei Virusbefall ist eine der besten Vorgehensweisen die ich mir angeeignet habe:
Netzwerk stecker ziehen, PC hart ausschalten. USB Sticks entfernen. Kaspersky Notfall Disk einlegen davon booten,
Festplatte gegenscannen, Daten in der Linux Umgebung per Drag & Drop auf externe Platte sichern.
Dann das System herunterfahren, Festplatte mit Hersteller Tools gänzlich löschen (lowlevel Format), Neu Formatieren,
Neu Installieren, Antivierenschutz drauf, gesicherte Daten auf der USB Platte erneut gegenscannen & zurück kopieren - Fertig.
Danach hat man 95% Aller Schädlinge erfolgreich in die Schranken verwiesen. Der Rest ist auch für erfahrene Leute schwer zu
beheben. Sämmtliche unprofessionellen Eingriffe in die Registry oder so können für NOTFÄLLE zwar genutzt werden. Stellen aber
immer ein unkalkulierbares Risiko dar. Da man nie weis was der Schädling wirklich alles mit sich brachte.
Darum empfielt es sich ein Image von der Basisinstallation zu sichern solange es Sauber und Virenfrei ist.
Dann kann man innerhalb von 1 Std. Das gesammte System wieder lauffähig bekommen OHNE neu zu installieren.
Man kann dann noch so weit gehen und den alten PCname aus der Domäne kicken, um gaaaanz sicher zu gehen.
Spätestens nach dem erkennen einer solchen Gefahr sollte aber ein Manueller Firmenweiter Scan angeworfen werden.
Und die Netzwerksicherheitstufe erhöht werden ehe man nicht sicher ist das keine weiteren Schädlinge oder Kindviren
im Netzwerk auf Freigaben abgelegt wurden.
Letztlich gibt es einige Mögliche Wege die man gehen kann - der meinige hat sich aber als gut und Sicher herausgestellt.
Netzwerk stecker ziehen, PC hart ausschalten. USB Sticks entfernen. Kaspersky Notfall Disk einlegen davon booten,
Festplatte gegenscannen, Daten in der Linux Umgebung per Drag & Drop auf externe Platte sichern.
Dann das System herunterfahren, Festplatte mit Hersteller Tools gänzlich löschen (lowlevel Format), Neu Formatieren,
Neu Installieren, Antivierenschutz drauf, gesicherte Daten auf der USB Platte erneut gegenscannen & zurück kopieren - Fertig.
Danach hat man 95% Aller Schädlinge erfolgreich in die Schranken verwiesen. Der Rest ist auch für erfahrene Leute schwer zu
beheben. Sämmtliche unprofessionellen Eingriffe in die Registry oder so können für NOTFÄLLE zwar genutzt werden. Stellen aber
immer ein unkalkulierbares Risiko dar. Da man nie weis was der Schädling wirklich alles mit sich brachte.
Darum empfielt es sich ein Image von der Basisinstallation zu sichern solange es Sauber und Virenfrei ist.
Dann kann man innerhalb von 1 Std. Das gesammte System wieder lauffähig bekommen OHNE neu zu installieren.
Man kann dann noch so weit gehen und den alten PCname aus der Domäne kicken, um gaaaanz sicher zu gehen.
Spätestens nach dem erkennen einer solchen Gefahr sollte aber ein Manueller Firmenweiter Scan angeworfen werden.
Und die Netzwerksicherheitstufe erhöht werden ehe man nicht sicher ist das keine weiteren Schädlinge oder Kindviren
im Netzwerk auf Freigaben abgelegt wurden.
Letztlich gibt es einige Mögliche Wege die man gehen kann - der meinige hat sich aber als gut und Sicher herausgestellt.
1
Hallo,
ich würde auch eine saubere Instalation planen,
da Viren oft noch mehr zerstören, als man bemerkt.
Gruß Marco
ich würde auch eine saubere Instalation planen,
da Viren oft noch mehr zerstören, als man bemerkt.
Gruß Marco
