Liebes Trojaner-Board,
(Beschreibung)
ich habe vor ca. 2 Tagen bemerkt, das mein Rechner sehr langsam geworden ist. Und dann fingen die Probleme an.

Ich konnte am nächsten Tag nicht mehr Firefox,Internet Explorer und Google Chrome starten. Aber z.B. Skype und Onlinespiele funktionierten weiterhin.

Avira fand dann eine Fremddatei die ich ,wie sonst auch, gelöscht habe.


Einen Tag drauf, wollte der PC am Anfang gar nicht anspringen, was dann aber nach einigen Versuchen doch klappte.
Nach dem Neustart am selben Tag zeigte Avira mir dann den o. genannten "Backdoor Trojaner" (?) an, der aber irg. wie nicht zu löschen war.

Heute:
Ich kann nicht mehr in mein Konto (Benutzerprofil) von Windows XP.
Nachdem das Passwort eingegeben und Enter gedrückt ist, werden die "Einstellungen geladen", es "blitzt" kurz auf und dann werde ich wieder abgemeldet.

Ich kann also nicht mehr auf meine Daten/ auf meinen rechner zugreifen !


Dazu muss ich sagen, das ich mich mit BIOS und co. nicht im geringsten auskenne und bitte um detaillierte Anleitungen !

Bitte um schnelle Hilfe !

Hallo,
ich habe ebenfalls dieses Problem. Hatte Fraudpack auf meinem Rechner, sowie noch 2 oder 3 Trojaner, die ich nun leider nicht mehr nennen kann. Antivir hat diese gelöscht und nach dem Neustart soll ich mich nun mit meinem Benutzerkonto anmelden (was ich sonst nicht musste). Kurz nach dem Anmelden meldet sich Windows auch schon wieder selbstständig ab und ich kann mich wieder anmelden etc.

Sorry, dass ich nicht helfen kann. Ich dachte mir, dass ich aber viellecht die Dringlichkeit einer Hilfe durch meinen Beitrag steigern kann.

Ach ja, der abgesicherte Modus lässt sich auch nicht starten. Auch da wird Windows blitzartig wieder runtergefahren.

Ich habe gerade hier etwas gefunden. Dort hatte ein User das selbe Problem.
Kannst dich ja mal durcharbeiten.

http://www.computerhilfen.de/hilfen-5-278116-0.html

Und noch eine Seite mit einer Problemlösung.
ICh muss mir das aber alles noch sleber mal durchlesen. Ist also eher wie das obige Post noch keine garantierte Lösung, sondern nur ein Hoffnungsschimmer.
Ich bitte immer noch um Hilfe für uns.

http://www.administrator.de/Windows_XP_meldet_sich_sofort_nach_der_Anmeldung_wieder_ab.html

Hallo,

ich habe auf einem WinXP-Laptop das gleiche Problem.

Nach einer Windows-Anmeldung hat Avira direkt TR/FraudPack.alpr gefunden. Ich habe natürlich sofort auf löschen geklickt.

Folgender Protokolleintrag ist entstanden:

20.02.2010,20:44:12 [WARNUNG] Ist das Trojanische Pferd TR/FraudPack.alpr!
C:\WINDOWS\system32\cqzoptmus.exe
[INFO] Die Datei wird gelöscht!

Danach habe ich sofort Avira aktualisiert und das komplette System gescannt mit der Vorgabe, dass Funde zu löschen und vorher in Quarantäne zu kopieren sind. Danach entstand folgendes Protokoll (Auszug):

Beginne mit der Suche in 'C:\' <Boot>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KGTEI48G\72b39[1].exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.dcvw
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4be244ba.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RTRUWIVR\download[1].php
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Drop.Skintrim
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bf74526.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{E0A50BA9-8F77-4464-9CD8-542B540AA208}\RP147\A0029494.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.dcvw
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bb04721.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{E0A50BA9-8F77-4464-9CD8-542B540AA208}\RP147\A0029506.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Papras.SW
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a310afa.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{E0A50BA9-8F77-4464-9CD8-542B540AA208}\RP148\A0029558.exe
[FUND] Ist das Trojanische Pferd TR/FraudPack.alpr
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bb04724.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2OP6QQZ8\asd777[1].exe
[FUND] Ist das Trojanische Pferd TR/FraudPack.alpr
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4be44a38.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2OP6QQZ8\r-cr[1].exe
[FUND] Ist das Trojanische Pferd TR/PSW.Papras.SW
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4be349f2.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.

(Den Benutzernamen habe ich durch "..." ersetzt. Muss ja nicht jeder sehen ;o) )


Dann wollte ich neustarten, um zu gucken, ob er weg ist. Ggf. müsste ich ja die Systemwiederherstellung, den virtuellen Arbeitsspeicher, Ruhezustand usw. deaktivieren, im abgesicherten Modus starten und dann nochmal scannen.

Nach dem Neustart jedoch, erfolgte die Anmeldung, wie bei Dir beschrieben. Nach Eingabe des Kennwortes stand da anmelden und kurz später wieder abmelden. Start im abgesicherten Modus funktionierte auch nicht, gleiches Problem.

Ich hoffe, es weiß jemand eine Lösung und kann uns helfen, ohne die Festplatte komplett zu löschen.

@PreyMantis: Als erstes würde ich mal die Daten sichern. Ich habe zwar keine Ahnung von Linux, aber wollte mich da vor ein paar Wochen mal einarbeiten. Dabei habe ich auf: http://www2.mandriva.com/downloads/?p=linux-one eine image-Datei gefunden, die man auf eine normale CD brennen kann. Diese ist dann eine Start-CD, die ein komplettes Betriebssystem mit den meisten wichtigen Treibern von CD starte. Damit habe ich jetzt auch den Laptop gestartet und die persönlichen Daten auf eine externe Festplatte kopiert. Mit Kenntwort-Schutz von Windows XP hat man da auch keine Probleme ;o) Aber für einen sicheren Tipp oder gar eine bessere Linux-CD können hier bestimmt andere bessere Empfehlungen geben.

Gruß

Huch, sieht so aus als hääte ich es geschafft. Hoffentlich bleibt es auch so..
Das wäre das erste Mal, dass ich hier Tips geben kann.

Ich habe mir die Ultimate Boot CD besorgt. Die bekommt Ihr hier:
http://download.winboard.org/details.php?file=89

Runterladen und und Datei starten, dann die Anweisungen befolgen (Eure Windows XP CD wird auch benötigt. Ich habe meine Recovery benutzt. Ging auch). Ihr stellt damit ein Image her welches Ihr dann brennen könnt, und schon habt Ihr Eure Boot-CD.

DIese dann in den "kaputten" Computer rein und die CD starten. Dann kommt Ihr in Windows rein. Sieht dann alles recht abgespeckt aus, aber so lassen sich auch Datien nach D: verschieben und retten, falls alles nicht klappen sollte und Ihr XP neu installieren müsst.

Dann müsst Ihr den Registry Editor starten (glaube der hieß remote registry. Zweiter von oben)

Dann müst Ihr Euch durch die Ordner graben und zwar hier hin:
HKEY_LOCAL_MACHINE\....\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe

Bei mir waren da zwei Dateien einmal "standart" und einmal ein "Debugger" der bxrozijpli.exe hieß. Diesen Debugger habe ich einfach gelöscht.

Danach den Computer runterfahren und ohne Boot CD neu starten. Dann sollte es klappen. Ich sehe zumindest mein Desktop wieder. Muss elber noch alle Funktionen checken.

Gruß
Gradesbrett

Auch wenn einigermaßen verspätet.. aber danke habe des selbe Prob und es funzt..
Noch als Info - Weiterhin gibt es gibt es einen Eintrag unter "HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit" dort ebenfalls schauen ob andere Einträge als "C:\Windows\System32\userinit.exe," voranden sind! Diese evtl. löschen.

Noch etwas zum zugriff auf die Registry...
Wenn ihr einen 2ten Rechner und ein passendes ext. Gehäuse für die HDD des beschädigten Systems habt, könnt Ihr auch die HDD ausbauen und via ext.Gehäuse an den anderen PC anschließen.. als erstes einen KOMPLETTEN Virenscann ALLER Datein auf der ext. HDD durchführen. Und jetzt mit den REgEdit des funktionsfähigen PC auf die Reg-Daten des beschädigen Systems zugreifen!
Dies geschieht wie folgt.. Am funktionierenden PC via regedit den RegistryEditor öffnene. Jetzt auf den Schlüssel "HKEY_Local_Machine" (HKLM)klicken damit dieser markiert ist.
Dann üner den Menüpunkt "DATEI" auf "STRUKTUR LADEN" klicken. Jetzt öffnet sich ein Fenster in dem die Struktur des defekten systems ausgesucht werden kann.... diese Daten befinden sich unter "Systemroot\system32\config" ! In diesem Ordner sind diverse Dateien... alle zusammen bilden die Systemregistry.. Von besonderem Interesse sollten hier meist die Dateien "software", "System" und "Sam" seien. In obeigem Fall wählen Sie bitte Software auf und bestätigen mit "offnen"!Jetzt kommt DAS WICHTIGSTE !! Es offnet ein Fenster, in diesem ist ein Schlüsselname anzugeben, diesen bitte EINDEUTIG benennen z.B. "Software-Meier" Unter diesem Name wird dann im Regeditor in IHRER vorhandenen Registry ein Schlüssel mit den Namen "Software-Meier" eingetragen, in dem sind ALLE Eintragungen des defekten Systems aus dem Schlüssel "HKLM/Software"
dort kann jetzt ohne Probleme ALLES bearbeitet werden. Zum Abschluss muss die Datei natürlich zurückgeschrieben werden.
Dies passiert indem die zuvor geladene Struktur (Software-Meier) markiert wird und unter dem Menüpunkt "Datei" auf "STRUKTUR ENTFERNEN" geklickt wird! Abfrage bestätigen - fertig! Sie sollten jetzt nur noch ihre eigenen Registryeinträge sehen!
Das ganze hört sich hier sehr umfangreich und komplex an... ist aber relativ einfach.. bitte unbedingt auf eine saubere Benennung achten um versehentliche verwechslungen der Schlüssel zu vermeiden. Dies würde unter Umständen zu Fehlern oder Beschädigung des aktuellen Systems führen. Hoffe es Hilf noch dem Einen oder Anderen.
Viele Grüße und gutes Gelingen !