Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Nach Anmeldung direkte Abmeldung XP

Frage Microsoft Windows XP

Mitglied: mcbobtail

mcbobtail (Level 1) - Jetzt verbinden

22.02.2010 um 09:32 Uhr, 11468 Aufrufe, 15 Kommentare

Hallo zusammen,

ich habe folgendes Problem. Ich habe ein Notebook, auf dem Antivir einen Trojaner gefunden hat. Antivir wollte diesen dann in Quarantäne versdchieben, bzw. nach dem Neustart löschen. Nach dem Neustart kommt die Anmeldung. Nach Eingabe des Passwortes erfolgt das Laden der Benutzereinstellungen und die sofortige Abmeldung, bis hin zum Anmeldebildschirm.

Ich habe im Internet viel über dieses Problem gelesen und wie man es beheben könnte, Stichwort userinit und registry. Jedoch habe ich das Problem, dass ich nicht in die registry komme. Ich habe die Festplatte in einen anderen PC eingebaut, dort mithilfe einer XP CD die Wiederherstellungskonsole gewählt und versucht die regedit zu öffnen. Ich bekomme leider nur die Meldung, dass es kein gültiger Befehl ist. Was kann das sein? Die userinit von einem anderen User habe ich auch bereits kopiert. Brachte aber keinen Erfolg.

Wie komme ich also in die registry des Notebooks?

Vielen Dank im Voraus.
Mitglied: Yggdrasul
22.02.2010 um 09:36 Uhr
Hast es schon im abgesichtertem modus mit anderen Usern versucht (zb mit administrator etc.). ? tritt das problem dort auch auf ?

Ich habe diesen fall schon 3 mal gehabt bei kunden (sowohl beim standard user als auch beim admin kein anmelden mehr möglich) und es bisher nicht geschafft dieses ding so zu entfernen das man sich wieder am pc anmelden konnte.
Bitte warten ..
Mitglied: mcbobtail
22.02.2010 um 09:39 Uhr
Ja, abgesicherter Modus mit Benutzerkonto und Admin funktionieren nicht. Ich wäre schon froh, in die Registry zu kommen, um den Schlüssel zu prüfen.
Bitte warten ..
Mitglied: TorstenK
22.02.2010 um 09:54 Uhr
Hi,

wenn AntiVir hier wieder wild gewütet hat, würde ich mal schätzen, der hat dir deine Winlogon.exe zerstört....

Probier mal ne Systemwiederherstellung oder stell die winlogon.exe über ne BootCD von nem anderen System (Updatestand berücksichtigen) wieder her

Gruß

Torsten
Bitte warten ..
Mitglied: mcbobtail
22.02.2010 um 10:00 Uhr
Wie mache ich denn eine Systemwiederherstellung, ohne mich anmelden zu können? Mein Problem ist, dass ich bei dem Dell keine Recovery CD dabei hatte. Alle anderen CDs die ich hier habe sind für Fujitsu Siemens PCs.
Ich wäre für einfache Anleitungen sehr dankbar, da ich zwar viel Ahnung habe, aber so etwas hatte ich noch nie.
Bitte warten ..
Mitglied: mrtux
22.02.2010 um 10:03 Uhr
Hi !

In Regedit kann man auch einen Teil der Registry einbinden, der nicht von vom gebooteten System stammt. Dazu musst Du nur über das Dateimenü den Menüpunkt "Struktur laden" verwenden. Und weiterhin würde ich mal die Systemdateien prüfen, ob da nicht eine oder mehrere durch den Trojaner (oder auch Antivir) ersetzt bzw. entfernt wurden. Sowas kannst Du auch mit einer Linux-Live CD (z.B. Knoppix) machen, falls es keinen zweiten PC gibt, an den man die Platte hinhängen könnte.

Edit: Einfacher ist es eine Systemreparatur auszuführen, dazu musst Du aber von einer echten Windows CD booten. Vorsichtig mit Recovery CDs, manche davon setzen das System zurück in den Neuzustand. (= alles was Du gemacht hast, ist dann weg. Word-Dokumente, Excel, alles!), also VORSICHT!

mrtux
Bitte warten ..
Mitglied: mcbobtail
22.02.2010 um 10:16 Uhr
Die Option mit Struktur laden funktioniert aber nicht, da das Notebook sich ja nicht anmelden kann und demzufolge nicht im Netzwerk registiert ist.

Ich habe leider keine XP CD. Müsste mir dann eine besorgen.

Mit den Dateien ist kein Problem. Das Notebook ist in einer SBS Umgebung und es wurde bis auf ein paar Dateien auf dem Desktop, alles nur auf dem Server gespeichert. Die anderen Dateien kann ich ja retten, indem ich die Festplatte an ein anderen PC anschließe.

Das einzige Problem ist die Installation der ganzen benötigten Programme. Deshalb suche ich erst nach einer Lösung ohne eine komplette Neuinstallation.
Bitte warten ..
Mitglied: mrtux
22.02.2010 um 11:59 Uhr
Hi !

Zitat von mcbobtail:
Die Option mit Struktur laden funktioniert aber nicht, da das Notebook sich ja nicht anmelden kann und demzufolge nicht im
Netzwerk registiert ist.

Hab ich was von Netzwerk geschrieben? Der Menüpunkt "Struktur laden" hat doch nix mim Netzwerk zu tun, sondern Du musst die jeweilige Registry Datei (z.B. system.dat, user.dat usw.) manuell öffnen. Du hängst die Platte an einen zweiten PC und dann startest Du dort "Regedit" und siehst die lokale Registry (also die vom funktionsfähigen PC) und dann wählst Du einen Registry-Zweig aus und lädst dann quasi den defekten Zweig "über" den Lokalen und kannst dann sehen was da drin steht. Du musst aber aufpassen, Du sieht eine Mischung aus lokaler und geladener Struktur, es sollte also zu keiner Verwechselung kommen. Wenn Du mit Regedit noch wenig Erfahrung hast, würde ich von der Methode eher abraten und eine Reparaturinstallation empfehlen, da der Fehler meist eh von zerstörten oder fehlenden Systemdateien herrührt und meist nicht durch die Registry verursacht wird, denn dann ist der Fehler nach der Reparaturinstallation immer noch vorhanden, da die Registry bei einer Reparaturinstallation normalerweise eh nur überprüft wird und keine Reparatur einzelner Keys stattfindet. Hilft eine Reparaturinstallation nichts, musst Du halt die Kröte schlucken und eine Neuinstallation oder ein Recovery durchführen.

Das einzige Problem ist die Installation der ganzen benötigten Programme. Deshalb suche ich erst nach einer Lösung ohne
eine komplette Neuinstallation.

Also besser doch eine Reparaturinstallation mit einer richtigen XP-CD und nicht mit einer Recovery CD! Und das ist in dem Fall auch die beste und sicherste Methode. Auf jeden Fall sicherer als von Hand in der Registry herumzuwerkeln.

mrtux
Bitte warten ..
Mitglied: mcbobtail
22.02.2010 um 13:18 Uhr
Dann habe ich dich falsch verstanden. Ich werde aber wenigstens den Schlüssel der Userinit prüfen.

Dann taucht das nächste Problem auf. Bei meinem Dell Lattidude war keine Recovery CD oder XP CD bei. Eine Recovery Partition gibt es auch nicht. Was mache ich denn da? Muss ich mir von jemandem anderes eine CD leihen? Wobei mittlerweile bei fast jedem PC nur noch eine Recovery oder Herstellergebundene CD bei liegt.
Bitte warten ..
Mitglied: ricardo
22.02.2010 um 18:33 Uhr
Ich hatte mal ein ähnliches Problem mit einer Windows 2000 Installation. Damals war zunächst der Grund ein Problem mit der Auslagerungsdatei, die nicht gefunden werden konnte (es kam da zunächst noch ein Hinweis, dass das System keine hätte, dann direkt die Abmeldung. Habe dann wie oben beschrieben die Datei SYSTEM in einem Zweitsystem eingelesen und den Pfad manuell editiert. Nach vielem Herumprobieren erschien später nicht mal mehr die Meldung, sondern man wurde direkt ohne wieder abgemeldet (also Problem nicht behoben).

Versuche doch mal, den Computer unter Verwendung einer Kopie der Datei SYSTEM zu starten. D.h. \windows\config\SYSTEM durch \windows\repair\config\SYSTEM (dieser Pfad ist so oder ähnlich, kann gerade nicht mehr genau nachsehen) ersetzen, vorher die ursprüngliche Datei natürlich sichern / umbenennen. Sollte das Anmelden dann funktionieren, musst du im Zweifelsfall alle systemrelevanten Einstellungen wiederholen bzw. nachträglich installierte Hardware neu installieren.
Bitte warten ..
Mitglied: mcbobtail
22.02.2010 um 18:42 Uhr
Ich habe jetzt mit Bart PE Boot CD die registry geprüft. Aber dort scheint alles in Ordnung zu sein.
Bitte warten ..
Mitglied: mcbobtail
22.02.2010 um 19:00 Uhr
So,es läuft wieder.

Das Problem lag darin, dass Antivir einen Eintrag in die Registry geschrieben hat, der diese Endlosschleife verursacht hat. Ich habe diesen Eintrag entfernt und schon lief wieder alles.
Bitte warten ..
Mitglied: thabluestar
22.02.2010 um 22:15 Uhr
Hi,

kannst Du mir den Registryeintrag nennen? Ich habe an einem Laptop genau das selbe Problem

Vielen Dank!
Bitte warten ..
Mitglied: mcbobtail
22.02.2010 um 22:33 Uhr
Ich verweise hier mal auf ein anderes Forum, wo dieses Thema ausführlich behandelt wird:

http://www.computerhilfen.de/hilfen-5-62499-0.html

Der Eintrag ist folgender:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe

Dort ist ein Debugger Eintrag wie z.B. vsdefbotu.exe oder bnsxs.exe vorhanden, der gelöscht werden kann. Die .exe kann in jedem Fall anders aussehen.
Ich hoffe ich konnte helfen.
Bitte warten ..
Mitglied: Zyonled
23.02.2010 um 08:00 Uhr
abgesicherter Modus ? .. -> sorry hat jemand schon geschrieben
Bitte warten ..
Mitglied: thabluestar
24.02.2010 um 21:12 Uhr
Vielen Dank für deinen Post!
Hab nun das Problem bei mir auch gelöst
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Userverwaltung
Erste Anmeldung und letzte Abmeldung pro Tag auflisten (4)

Frage von Codehunter zum Thema Windows Userverwaltung ...

Windows 10
gelöst Pin anmeldung unter w10 priorisieren (3)

Frage von tobias3355 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...