Hallo,

ich habe hier einen Rechner mit einem sehr nervigen Virus.

Der Kunde hat Kaspersky auf dem System, welches einen Trojaner

gemeldet hat und diesen entfernen wollte. Nach dem entfernen wollte

das System einen Neustart haben.

Nun kommt man bis zum Anmeldebildschirm von Windows.

Gibt man die Anmeldedaten ein, sieht man ganz kurz den nackten

Desktophintergrund und es erfolgt eine sofortige Abmeldung, so dass

man wieder auf dem Anmeldebildschirm landet.

Der abgesicherte Modus bringt einen auch nicht weiter - das selbe

Problem dort, auch mit dem Administratorkonto.

Mit der Bart Pe CD komme ich nicht ins System, Bluescreen, finde jedoch

in diesem Bios nicht den Punkt, um auf IDE Modus umzustellen.

Momentaner Stand: BitDefender Security Boot-CD scannt das System

und hatte auch schon einige Funde, die entfernt wurden - Das Problem

besteht jedoch weiterhin.

Ich tippe auf einen Eintrag in der Registry, komme jedoch zur Zeit

nicht an jene ran...hat da wer Tipps?

Oder allgemein Tipps zu dieser Art Virus?

Welcher Virus/Trojaner vom Kunden gefunden und entfernt wurde: Keine Ahnung,

der Kunde wusste dies auch nicht.

MfG

Joe

Platt machen, neuinstallieren, Backup einspielen. Danach alle eingesetzte Software auf den aktuellen Stand bringen.

Danke für die Info soweit.

Neuinstallation war eigentlich die letzte Lösung.

Kann man die Registry irgendwie extern auslesen?

Würde mir gerne dort unter Winlogon die Userinit-Einstellungen

anschauen.

MfG Joe

Neuinstallation war eigentlich die letzte Lösung.

Ist aber leider die einzige Möglichkeit sicher zu gehen das du wieder ein sauberes System hast.

Help: I Got Hacked. Now What Do I Do?

Ten Immutable Laws Of Security (Version 2.0)

Das ist mir schon bewusst.

Aber abgesehen davon ist dieses Thema hier nun gelöst:

Habe nun ein Tutorial erstellt, wie man dennoch sein System wieder zum Laufen bringen kann.

Wenn man Windows XP startet und sich anmeldet,

sich das System aber sofort wieder abmeldet und

man die Anmeldemaske sieht, muss man folgendes machen:

Unter HKEY_LOCAL_MASCHINE\\SOFTWARE\\Mircosoft\\Windows NT\\CurrentVersion\\Winlogon muss der Schlüssel \"Userinit\" den Wert

\"C:\\WINDOWS\\system32\\userinit.exe,\" haben.

Unter HKEY_LOCAL_MASCHINE\\SOFTWARE\\Mircosoft\\Windows NT\\CurrentVersion\\IMAGE File Execution muss der Schlüssel userinit.exe

gelöscht werden.

Wichtig ist das Löschen des Schlüssels der Userinit.exe unter Image File Execution.

Bearbeiten kann man die Registry entweder über ein Netzwerk und Remotezugriff

oder aber mit einer Boot-CD, wie z.B. Bart Pe oder Ultimate Boot CD.

Dort drauf achten, mit dem Remote Registry Editor die Registry zu bearbeiten,

sonst bearbeitet man nur die temporäre Registry der Boot-CD.

Habe die Infos nun teils aus diversen Foren und teils habe ich es mir selbst zurecht gelegt.

Hoffe, es hilft noch irgendwem mal

MfG

Joe

Kunde - kompromitiertes System - Trojaner/Virus entfernt - (ohne Plan) an der Registry gebastelt.

Gibts da noch eine Steigerung, was man nicht machen sollte?

Gibts da noch eine Steigerung, was man nicht machen sollte?

Fachinformatiker fragen, ob diese helfen wollen.

Das ist mir schon bewusst.

Aber abgesehen davon ist dieses Thema hier nun gelöst:

Habe nun ein Tutorial erstellt, wie man dennoch sein System wieder zum Laufen bringen kann.

Habe die Infos nun teils aus diversen Foren und teils habe ich es mir selbst zurecht gelegt.

Hoffe, es hilft noch irgendwem mal

MfG

Joe

anschließend Daten sichern und neuinstallieren nicht vergessen.

anschließend Daten sichern und neuinstallieren nicht vergessen.

So solls sein.

Fachinformatiker fragen, ob diese helfen wollen.

Erklärung?

Ich hoffe der Kunde zahlt nix für so einen "Service". :cool: