Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Windows nach anmelden sofort wieder abmelden (https://www.trojaner-board.de/171733-windows-anmelden-sofort-abmelden.html)

lnino 02.10.2015 10:39
Windows nach anmelden sofort wieder abmelden
 
Hallo an alle,

ich habe bei einem Laptop(Windows 7) mit Malwarebytes einen Scan durchgeführt und dabei 671 infizierte Dateien gefunden. Der User hat bemängelt, dass ein Virus drauf sei welcher Benutzeraccounts angelegt hat.

Ich habe dann nach dem Scan alle 671 Funde eliminiert und den Rechner neu gestartet.
Danach wollte ich mich anmelden. Nach der Kennworteingabe und der Bestätigung kam sofort wieder die Meldung, dass ich mich anmelden soll.

Dieses Problem habe ich schon bei diversen anderen Rechner gehabt und dachte, dass ich es auch hier leicht lösen kann. Aber leider nicht.

Ich habe die Festplatte bei dem Laptop ausgebaut und mit externen Rahmen an einen anderen Rechner angeschlossen. Dann habe ich die Dateien LogonUI.exe, userinit.exe und winlogon.exe im Ordner C:\windows\system32\ durch die Dateien von einem anderen Windows 7 Rechner ersetzt.

Zudem habe ich die Registry von der ausgebauten Festplatte mittels "Struktur laden" eingebunden und folgende Einträge überprüft:
HKEY_LOCAL_MACHINE\Software\Microsoft\Winodws NT\CurrentVersion\Winlogon

Hier die Einträge aus der Registry, welche meiner Meinung nach in Ordnung sind.

AutoRestartShell = 1
Shell = explorer.exe
Userinit = C:\Windows\system32\userinit.exe,

Nachdem ich die Festplatte wieder eingebaut habe, ist leider immer noch das gleiche Problem. Ich kann mich nicht anmelden.

Da der Laptop ein defektes Display hat und ich mit einem externen Monitor arbeiten muss, kann ich auch leider keine Reparaturinstallation mit der Windows CD machen. Es erscheint vom Booten, etc. kein Bild am externen Monitor, erst wenn Windows anfängt zu booten.

Auch in den abgesicherten Modus komme ich nicht, da ich mit dem externen Bildschirm kein Bild bekomme.

Hat noch jemand eine Idee?

schrauber 02.10.2015 11:45
hi,

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)
Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
  • Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST Download FRST 32-Bit | FRST 64-Bit
  • Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
  • Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:
Über den Boot Manager:
  • Starte den Rechner neu.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Mit Windows CD/DVD (auch bei Windows 8 möglich):
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu und starte von der CD.
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Wähle in den Reparaturoptionen: Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe bzw. e:\frst64.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Ja und klicke Untersuchen
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).


lnino 02.10.2015 11:54
Danke für die Rückmeldung.

Leider kann ich wie schon oben erwähnt den Boot Bildschirm nicht am externen Monitor sehen. Das Bild kommt erst wenn der Windows Sound zur Anmeldung ertönt.

Das heisst ich kann auch kein F1 fürs BIOS sehen, oder F8 für das Boot Menu.

Auch ein Scan mit einer anderen Software ist für mich nicht möglich, da ich mich nicht anmelden kann um diese zu installieren.

Vielleicht noch andere Ideen?

schrauber 03.10.2015 11:27
Du hast nur 2 Optionen:

Irgendwie nen Bootscreen sehen und direkt am Rechner arbeiten
Ausbauen, extern anhängen und alles von Hand durch gehen.

Also bleibt hier nur, wie schon angefangen, von Hand.

Sämtliche Run Einträge und Shell Einträge überprüfen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:09 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27