Rex_Swissly 10 Geschrieben 17. August 2008 Melden Teilen Geschrieben 17. August 2008 Guten Tag Ich habe hier einen Notebook bei mir, bei dem fing der Benutzer via E-Mail einen Virus, bzw. einen Trojaner ein. Da bei handelte es sich um das Tool "XP AntiVirus 2008", dass sich installierte und behauptete, dass sich auf der HD einige Viren befänden und man müsse das Tool kaufen um diese zu entfernen. Ich hatte schon einige dieser Fälle und habe das Problem beheben können. Diesesmal war aber die Sache ein bisschen anderst. Ich konnte den Notebook soweit 'säubern' bis auf das Hintergrundbild, was auf die angeblichen Viren warnt. Ich habe dann unter c:\windows\system32 noch eine Datei gefunden (Endung scr), die den Dateinamen des Übeltäters aufwies. Der Name war eine komische Zusammenstellungen von Buchstaben, also nicht ein Name, den ich mir merken konnte (beginnend mit L). Diese Datei wollte ich dann löschen, was aber nicht funktionierte. Mit Unlocker habe ich dann definiert, dass die Datei beim nächsten Start gelöscht werden sollte. Das funktionierte auch. Wenn man sich jetzt einloggt, meldet das System den Benutzer gleich wieder ab. In der Zwischenzeit, weiss ich, dass in der Registry (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon) der Wert unter Userinit nicht stimmt. Ich vermute, dass hier statt 'userinit.exe' der Name des Trojaners steht. Und die Datei ist ja nicht mehr hier. Dass heisst, ich habe kann mich nicht mehr einloggen. Auch unter einem anderen User oder im abgesicherten Modus funktioniert es nicht mehr. Ich habe schon versucht, ein Tool zu finden, mit dem ich 'von Extern' auf die Registry zu greifen kann. Die HD hängt momentan an einem anderen Rechner als Zweitplatte dran. Aber irgendwie bringe ich das nicht fertig. Wie bringe ich den Wert 'userinit.exe' wieder beim entsprechenden Reg-Key rein? Danke für Eure Tipps. PS: Wenn jemand zufälligerweise weiss, um welche Datei (Name) es handelt, könnte ich allenfalls eine Kopie der bestehenden Datei (userinit.exe) erstellen und diese dann so unbenennen und auf die HD kopieren. Vielleicht würde das funktionieren, dass ich wieder normal booten und danach den Reg-Key manuell ändern kann. Gruss Rex_Swissly Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 17. August 2008 Melden Teilen Geschrieben 17. August 2008 Auf diesem Weg sollte es funktionieren: http://www.mcseboard.de/windows-forum-allgemein-28/anmeldung-kommt-gleich-abmeldung-98647.html#post604793 Wobei ich kein Freund von solchen manuellen Löschaktionen von Trojanern bin, eine saubere Neuinstallation ist IMHO der Basteilei vorzuziehen. Zitieren Link zu diesem Kommentar
Rex_Swissly 10 Geschrieben 17. August 2008 Autor Melden Teilen Geschrieben 17. August 2008 Hallo Vielen Dank für die schnelle Antwort. So hat es jetzt geklappt. Ich konnte den Registry Eintrag korrigieren. Aber der Benutzer wird immer noch direkt nach dem Anmelden wieder ausgeloggt. Anscheinend ist hier irgendwo noch etwas faul. Hast da jemand noch einen Tipp, woran das liegen könnte. Ein Neuaufsetzen des Notebooks steht leider momentan nicht zur Alternative. Gruss Rex_Swissly Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 17. August 2008 Melden Teilen Geschrieben 17. August 2008 Aber der Benutzer wird immer noch direkt nach dem Anmelden wieder ausgeloggt. Anscheinend ist hier irgendwo noch etwas faul. Fehlermeldungen im Eventlog? Kannst Du dich im abgesicherten Modus anmelden? Ein Neuaufsetzen des Notebooks steht leider momentan nicht zur Alternative. Naja, langsam aber sicher investierst Du ziemlich viel Zeit, da sollte man rechtzeitig über eine Neuinstallation nachdenken. Vor allem kannst Du nicht sicher sein, wirklich alles von dem Trojaner erwischt zu haben.Und in ein oder zwei Wochen kommt ein neues Problem auf dich zu, deshalb der Hinweis auf eine saubere Neuinstallation. Zitieren Link zu diesem Kommentar
Rex_Swissly 10 Geschrieben 17. August 2008 Autor Melden Teilen Geschrieben 17. August 2008 Hallo Im abgesicherten Modus geht es auch nicht. Leider. Es passierte, nach dem die komische Datei (wahrscheinlich blphc7nej0eafr.scr) gelöscht wurde. SCR ist ja eine Bildschirmschoner Datei, soviel ich weiss. Hät ich doch die nur nicht gelöscht. Gruss Rex_Swissly Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 17. August 2008 Melden Teilen Geschrieben 17. August 2008 Gibts denn auch die USERINIT.EXE an der richtigen Stelle im Filesystem? Und in der Registry hier: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon > Userinit REG_SZ: C:\WINDOWS\system32\userinit.exe, Zitieren Link zu diesem Kommentar
Rex_Swissly 10 Geschrieben 17. August 2008 Autor Melden Teilen Geschrieben 17. August 2008 Hallo Ja, die Datei existiert (c:\windows\system32) und den Registry Eintrag habe ich genau so angepasst. Gruss Rex_Swissly PS: Hab die Datei, die den Trojaner enthält auf der HD gefunden, auf einen USB Stick kopiert und teste den Trojaner jetzt in einer virtuellen Umgebung. So kann ich vielleicht etwas herausfinden, was da abläuft. Auf den Notebook habe ich die Datei natürlich gelöscht. Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 17. August 2008 Melden Teilen Geschrieben 17. August 2008 Ja, die Datei existiert (c:\windows\system32) und den Registry Eintrag habe ich genau so angepasst. Gleiches Problem? Schau doch mal ins Eventlog, mit der BartCD booten, dann solltest Du das Eventlog ansehen können. BTW: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\Eventlog\Application\Userinit > EventMessageFile > %SystemRoot%\System32\userinit.exe ControlSet001 etc. nicht zu vergessen. Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 17. August 2008 Melden Teilen Geschrieben 17. August 2008 Moin, ganz ehrlich: Wenn ein Rechner von irgendwas befallen ist, dann ist Neuaufsetzen die einzige sichere Methode. Gruß, Nils Zitieren Link zu diesem Kommentar
Rex_Swissly 10 Geschrieben 17. August 2008 Autor Melden Teilen Geschrieben 17. August 2008 Gleiches Problem? Schau doch mal ins Eventlog, mit der BartCD booten, dann solltest Du das Eventlog ansehen können. BTW: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\Eventlog\Application\Userinit > EventMessageFile > %SystemRoot%\System32\userinit.exe ControlSet001 etc. nicht zu vergessen. Hallo Den Schlüssel ....\System\ControlSet gibt es gar nicht. Nur die ControlSet001 etc., und die haben die richtigen Einträge. Ich schätze, ich sag dem Kunden, er soll bei HP anfragen, ob er für das Notebook die Recovery DVD's bekommt. Bei den aktuellen Modellen bekommt man ja leider diese nicht mehr mitgeliefert, sondern man muss sie selbst erstellen. Nur leider haben wir das 'vergessen'. Dann ging die Harddisk kaputt und sie wurde von HP ersetzt. Komischerweise wieder mit Windows XP drauf, aber ohne die Software drauf, einen Recorvery Satz herzustellen. Das störte uns nicht so sehr, aber jetzt natürlich, stellt dies wieder ein Problem dar. Danke für Eure Hilfe. Wenn aber doch noch einen Tipp parat haben sollte, nur her damit, probiere gerne alles aus um es doch noch zu retten. Gruss Rex_Swissly Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 17. August 2008 Melden Teilen Geschrieben 17. August 2008 Danke für Eure Hilfe. Wenn aber doch noch einen Tipp parat haben sollte, nur her damit, probiere gerne alles aus um es doch noch zu retten. Ich schrub das ja auch schon, Daten sichern und komplett neu installieren ist das einzig wahre. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.