Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   Windows 7 Anmeldung hat sich einfach geändert (https://www.trojaner-board.de/140256-windows-7-anmeldung-hat-einfach-geaendert.html)

unknownname 22.08.2013 14:38
Windows 7 Anmeldung hat sich einfach geändert
 
Hallo zusammen,

ich habe Windows 7 64bit Professional und nun hat sich auf einmal die Anmeldung komplett geändert. Die Bilder dazu sind im Anhang zu finden:
Bild 1 erscheint nach dem Hochfahren. Bild 2 bei Klick auf den Button in Bild 1. Bild 3 und 4 erscheinen bei Klick auf den linken bzw. rechten Button von Bild 2. Bei Anmelden dann Bild 5. Und nach Abmelden Bild 6. Bei Klick auf Button in Bild 6 dann Bild 7. Und Bild 8 und 9 bei Klick auf den linken bzw. rechten Button in Bild 7.
Der Benutzer in Bild 6 und 8 ist immer der zuletzt angemeldete.

Alt-Strg-Entf habe ich auch schon mal eingeschaltet, aber da merkt man keine Unterschiede, außer dass man eben diese Tasten drücken muss. Ein Inplace-Upgrade hat auch nichts genützt.
Deshalb suche ich nun eine andere Lösung als die einfache Neuinstallation, da ich ziemlich viele Programme installiert habe. Vor der Veränderung sind nur automatische Windows Updates durchgeführt worden. Hat irgendjemand hierzu eine Idee?

Vielen Dank und schöne Grüße

unknownname

Warlord711 23.08.2013 14:12
Quatsch ist ja win7

Warlord711 23.08.2013 14:25
Das sieht nach einer geänderten Credential Provider aus.


Ich weiss nicht wie gut du dich mit Windows und der Registry auskennst, aber könntest du im Schlüssel

Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI
Nach dem Wert LastLoggedOnProvider schauen, welche Daten dort stehen ?

Es sollte dort {6F45DC1E-5384-457A-BC13-2CD81B0D28ED} stehen. Falls nicht, bitte nicht eigenständig ändern, sondern kurz mitteilen, was dort erscheint.

unknownname 23.08.2013 19:23
Dort steht genau das erwartete.

Aber nachdem er gerade beim Hochfahren noch ein paar Updates abgeschlossen hat, zeigt er nach dem Abmelden des aktuellen Benutzers wieder die übliche Ansicht mit allen Benutzer zum Anklicken an. Beim ersten Anmelden eines Benutzers nach dem Hochfahren, zeigt er jedoch immer noch die bisherige Anmeldung.

Warlord711 24.08.2013 19:24
Kannst du mit Regedit den Schlüssel

Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers
exportieren und den Inhalt der erzeugten .reg Datei hier in [CODE][/CODE] brackets posten ?

unknownname 26.08.2013 07:46
Bitte schön:

Code:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{25CBB996-92ED-457e-B28C-4774084BD562}]
@="GenericProvider"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{3dd6bec0-8193-4ffe-ae25-e08e39ea4063}]
@="NPProvider"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{503739d0-4c5e-4cfd-b3ba-d881334f0df2}]
@="VaultCredProvider"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{6f45dc1e-5384-457a-bc13-2cd81b0d28ed}]
@="PasswordProvider"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{6f45dc1e-5384-457a-bc13-2cd81b0d28ed}\LogonPasswordReset]
@="{8841d728-1a76-4682-bb6f-a9ea53b4b3ba}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{8bf9a910-a8ff-457f-999f-a5ca10b4a885}]
@="Smartcard Credential Provider"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{94596c7e-3744-41ce-893e-bbf09122f76a}]
@="Smartcard Pin Provider"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{AC3AC249-E820-4343-A65B-377AC634DC09}]
@="WinBio Credential Provider"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{e74e57b0-6c6d-44d5-9cda-fb2df5ed7435}]
@="CertCredProvider"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{F8A0B131-5F68-486c-8040-7E8FC3C85BB6}]
@="WLIDCredentialProvider"

Warlord711 26.08.2013 10:03
Kannst du bitte schauen, was in der Registry unter

Code:
HKEY_CLASSES_ROOT\CLSID\{6f45dc1e-5384-457a-bc13-2cd81b0d28ed}\InProcServer32
im (Standard) Wert an Daten steht ?
Dort sollte %SystemRoot%\system32\authui.dll stehen.

Lade bitte diese Datei bei Virustotal oder bei Hash'em all! Free online text and file hashing hoch, mich interessiert hier der SHA256 Wert.

Bei Win7 64 bit sollte die authui.dll den SHA256 Wert b90c66efacbcfec5cda218363408c27d4bd54e99f14e974b6b9ce9e2cea946e7 haben

unknownname 26.08.2013 10:51
Beide Werte entsprechen den erwarteten Werten.

Warlord711 26.08.2013 17:42
Könntest du im Subkey

Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{F8A0B131-5F68-486c-8040-7E8FC3C85BB6}
Ein DWORD erstellen mit namen "Disabled" (ohne "") und 1 als Wert ?
Und dann testen wie das Login aussieht ?

unknownname 27.08.2013 09:21
Leider alles wie zuvor.

Warlord711 27.08.2013 11:53
Kurze Rückfrage, das Bild 1 erscheint DIREKT nach dem Hochfahren oder nach STRG+ALT+ENTF ?

unknownname 27.08.2013 13:56
Soweit ich mich erinnere, erschien zuerst Strg-Alt-Entf.

Jedoch hat sich die Lage gerade entschieden geändert:

Ich hatte das letzte Mal Strg-Alt-Entf in der Registry mit HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon\DisableCAD aktiviert/deaktiviert. Nun wollte ich es mit netplwiz machen. Doch dort konnte ich das entsprechende Häkchen nicht setzen, da das Feld deaktiviert war. Dabei aber habe ich die Option gesehen, mit der man auswählt, ob Benutzer Namen und Kennwort eingeben müssen oder nicht. Da habe ich mir gedacht, probiere ich es doch einfach mal aus. Und siehe da: Das vorherige Problem ist gelöst.

Jedoch ist nun ein neues entstanden: Ich kann Strg-Alt-Entf weder mit der Registry noch mit netplwiz ein-/ausschalten und das Feld in netplwiz, mit dem entscheidet, ob Benutzer Namen und Kennwort angeben müssen oder nicht, hat auch keine Auswirkungen auf die Anmeldung. Sowohl wenn es aktiviert ist als auch wenn es nicht aktiviert ist, bekomme ich nun die mehreren Benutzer zum Anklicken angezeigt.

Der größte Witz dabei war, dass, als das vorherige Problem noch herrschte, dieser Haken nicht gesetzt war und als er gesetzt wurde, das Problem behoben war. Windows also eigentlich genau verkehrt herum gehandelt hat.

Warlord711 28.08.2013 08:05
Ich würde doch vorschlagen, du erstellst ein Thema unter Log-Analyse und Auswertung und postest dort die 3 Logs, wie in http://www.trojaner-board.de/69886-a...-beachten.html beschrieben.

Einfach nur, um eine etwaige Infektion auszuschliessen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131