Vor ein paar Tagen berichtete ein Bekannter, das sein Rechner ihn ständig auffordert eine Bank TAN einzugeben. Klarer Fall, er hat sich was eingefangen. Nachdem Antivir sich nicht mehr aktualisieren wollte, hat er es mit der Rescue CD von F-Secure probiert, die auch auf Anhieb 24 Schädlinge gefunden und neutralisiert hat.
Soweit so schön, würde denn jetzt alles wieder wie üblich funktionieren. Tat es natürlich nicht. Jedes Mal wenn man sich bei Windows angemeldet hat, wurde man prompt wieder abgemeldet.
Die erste Analyse des Problems ist schnell abgeschlossen. Etwas muss sich in den Anmeldeprozess eingebunden haben, und wird nun jedes Mal beim Anmeldeprozess mit ausgeführt bzw. fehlt dank unserer Reinigung und der Anmeldeprozess schlägt deswegen fehl.
Der Schädling hat die userinit.exe manipuliert und wird darüber gestartet. Sollte bei neueren Windows Versionen nicht mehr möglich sein, aber man weiß nie.
Kopiert die userinit.exe eines sauberen PCs in euer WindowsSystem32 Verzeichnis und startet den PC. Nach der hoffentlich erfolgreichen Anmeldung, solltet ihr die Kommandozeile als Administrator, und mit folgendem Befehl eine Überprüfung der Systemdateien starten.
sfc /SCANNOW
Sollten weitere Dateien verändert worden sein, so müssten sie hierdurch erkannt und durch die richtigen Versionen ersetzt werden.
Ein Trick der schon unter Windows 9x sehr beliebt bei Virenautoren war, ist die Liste der zu startenden Programme zu erweitern. Bei Windows 9x musste man die win.ini bzw. system.ini ändern, ab Windows 2000 läuft das ganze jedoch über die Registry. Sucht den folgenden Schlüssel und prüft den Inhalt von Userinit
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Der Wert sollte normalerweise wie folgt lauten, achtet auf das Komma am Ende.
C:\WINDOWS\system32\userinit.exe,
Eine weitere Möglichkeit, welche in diesem Fall zutraf, ist das starten als Debugger. Sobald das eigentliche Programm ausgeführt wird, wird unser Schädling mitgestartet.
Sucht in der Registry den folgenden Schlüssel und löscht ihn inkl. aller enthaltenden Werte.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe
Wollt Ihr Wissen an welcher Stelle sich der Schädling befindet, so findet Ihr den kompletten Pfad in dem Eintrag Debugger
unterhalb des vorher genannten Schlüssels.
Das ist natürlich ein Problem. Normalerweise bearbeitet man mit regedit die Registrierung. Das steht uns leider nicht zur Verfügung, da die Anmeldung selbst im abgesicherten Modus fehlschlägt.
Abhilfe schaffen die Ultimate Boot CD und die Ultimate Boot CD for Windows. Beide liefern Registry Editoren mit, die ein Anmelden an Windows unnötig machen.