Virenbefall - Nach Anmeldung direkt Abmeldung

- 19.07.2012
von Thomas Windscheif / Microlinc



Symptom: Nach Befall von Malware kann man sich an kein Benutzerkonto anmelden, bzw. kurz vor Erscheinen des Desktops wird man wieder abgemeldet und zur Anmeldemaske zurückgeführt.

Betrifft: Windows XP Home / Professional

Lösung:
Zuerst folgende Einträge in der Windows-Registrierung über eine bootbare OS-CD (z.B. BartPE) oder alternativ die Festplatte an einem funktionieren PC anschließen und die Registrierungsdatenbank von dort prüfen:

1. Unter dem Pfad "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" die Werte mit den nachfolgenden Werten vergleichen:

"Shell"="Explorer.exe"
"UIHost"="logonui.exe"
"Userinit="C:\Windows\system32\userinit.exe,"

ACHTUNG öffnen Sie die Werte sicherheitshalber jeweils durch einen Doppelklick, es gab eine Zeit da haben die "Cyberkriminellen" zwischen dem richtigen Wert und dessen Modifikation eine ellenlange Leerzeichenfolge gelegt, sodass auf dem ersten Blick alles richtig schien.

Korrigieren Sie die Werte sofern Sie verändert wurden.

2. Prüfen Sie die Werte unter dem Pfad "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options". Öffnen Sie einzeln die untergeordneten Schlüssel (vorallem jene die z.B. userinit.exe, winlogon.exe, explorer.exe, logonui.exe lauten) und prüfen Sie ob es einen Wert mit dem Namen "Debugger" gibt, falls ja löschen Sie den Wert.

3. Starten Sie anschließend den PC neu und versuchen Sie sich erneut anzumelden. Falls dies immer noch wie zu Beginn beschrieben fehlschlägt starten Sie den PC wiederum mittels der Boot-CD (BartPE) oder schließen Sie die Festplatte an einem anderen funktionierenden PC an. Kopieren Sie dann die Dateien "logonui.exe", "winlogon.exe", "userinit.exe" aus dem Verzeichnis "Windows\system32\dllcache" derselben Festplatte auf das übergeordnete Verzeichnis "Windows\system32". Bestätigen Sie die Warndialoge wegen des Vorhandenseins der Dateien mit "Ja".

4. Starten Sie anschließend den PC neu und melden Sie sich an. Sollte der Versuch erfolgreich sein starten Sie eine vollständige Systemuntersuchung mit Ihrem Virenscanner.
MICROL!NC - URL zum Artikel: http://microlinc.homeip.net/index.php?lev1=5%E2%89%A4v2=22&id=92 - Ausdruck vom 29.03.2024