3

Windows meldet sich sofort wieder ab

Vor ein paar Tagen berichtete ein Bekannter, das sein Rechner ihn ständig auffordert eine Bank TAN einzugeben. Klarer Fall, er hat sich was eingefangen. Nachdem Antivir sich nicht mehr aktualisieren wollte, hat er es mit der Rescue CD von F-Secure probiert, die auch auf Anhieb 24 Schädlinge gefunden und neutralisiert hat.

Soweit so schön, würde denn jetzt alles wieder wie üblich funktionieren. Tat es natürlich nicht. Jedes Mal wenn man sich bei Windows angemeldet hat, wurde man prompt wieder abgemeldet.

Auf der Suche nach dem Schuldigen

Die erste Analyse des Problems ist schnell abgeschlossen. Etwas muss sich in den Anmeldeprozess eingebunden haben, und wird nun jedes Mal beim Anmeldeprozess mit ausgeführt bzw. fehlt dank unserer Reinigung und der Anmeldeprozess schlägt deswegen fehl.

Möglichkeit 1:

Der Schädling hat die userinit.exe manipuliert und wird darüber gestartet. Sollte bei neueren Windows Versionen nicht mehr möglich sein, aber man weiß nie.

Kopiert die userinit.exe eines sauberen PCs in euer WindowsSystem32 Verzeichnis und startet den PC.  Nach der hoffentlich erfolgreichen Anmeldung, solltet ihr die Kommandozeile als Administrator, und mit folgendem Befehl eine Überprüfung der Systemdateien starten.

Sollten weitere Dateien verändert worden sein, so müssten sie hierdurch erkannt und durch die richtigen Versionen ersetzt werden.

Möglichkeit 2:

Ein Trick der schon unter Windows 9x sehr beliebt bei Virenautoren war, ist die Liste der  zu startenden Programme zu erweitern. Bei Windows 9x musste man die win.ini bzw. system.ini ändern, ab Windows 2000 läuft das ganze jedoch über die Registry. Sucht den folgenden Schlüssel und prüft den Inhalt von Userinit.

Der Wert sollte normalerweise wie folgt lauten, achtet auf das Komma am Ende.

Möglichkeit 3:

Eine weitere Möglichkeit, welche in diesem Fall zutraf, ist das starten als Debugger. Sobald das eigentliche Programm ausgeführt wird, wird unser Schädling mitgestartet.

Sucht in der Registry den folgenden Schlüssel und löscht ihn inkl. aller enthaltenden Werte.

Wollt Ihr Wissen an welcher Stelle sich der Schädling befindet, so findet Ihr den kompletten Pfad in dem Eintrag Debugger unterhalb des vorher genannten Schlüssels.

Wie soll ich die Registry ändern, ich kann mich gar nicht anmelden?

Das ist natürlich ein Problem. Normalerweise bearbeitet man mit regedit die Registrierung. Das steht uns leider nicht zur Verfügung, da die Anmeldung  selbst im abgesicherten Modus fehlschlägt.

Abhilfe schaffen die Ultimate Boot CD und die Ultimate Boot CD for Windows. Beide liefern Registry Editoren mit, die ein Anmelden an Windows unnötig machen.

Comments 3

  1. Ihr wollt den Rechner nicht ernsthaft weiter benutzen oder? Wer weiß ob da nicht noch eine Backdoof offen ist? Bei infizierten Rechnern IMMER komplette Neuinstallation, das ist das einzig sichere. Daten sichern vorher via irgendeiner Live-CD, und drauf achten möglichst keine ausführbaren Dateien, die noch infiziert sein könnten, mitzusichern.

    Der Tip, den Rechner irgendwie wieder ans Laufen zu bekommen nach solch einer Infektion, ist kein guter.

    1. Post
      Author

      Nicht unbedingt. Sofern das nicht ein Super Neue Malware ist, sollte jeder aktuell gehaltene Virenscanner diese erkennen und beseitigen können. Problem in diesem Fall war, das der Virenscanner eben nicht aktuell war und die Malware das natürlich ausgenutzt und diesen gleich deaktiviert hat.

      Darüber hinaus gibt es aber noch Situationen in dem eine Neuinstallation nicht ohne weiteres möglich ist, z.B. wenn ein PC betroffen ist, auf dem eine Software läuft, die dermaßen wichtig ist, das jede Minute Ausfall Geld kostet und die Reparatur schneller ist als die Neuinstallation.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.