PCTreffpunkt.de

[bertl]

Einige Viren finden es offensichtlich total genial die Windows-Startumgebung so zu verändern dass Windows XP nach einer erfolgreichen Anmledung den Benutzer gleich wieder abmeldet.

Da hilft dann auch die spezielle Startoption "letzte funktionierende Konfiguration ..." (erreicht man wenn man vor dem Windows-Start auf F8 drückt) nicht, denn diese merkt sich nur falls Windows sich nicht erfolgreich anmelden konnte. Aber das ist ja nicht der Fall.

Wir stellen fest, dass die Viren hier immer wieder neue Methoden anwenden. Alles was wir dazu finden werden wir regelmäßig hier posten:

1. Der Klassiker : Userinit.exe infiziert

Im einfachsten Fall hat der Virus nur die Datei C:\WINDOWS\SYSTEM32\USERINIT.EXE angefallen/gelöscht/modifiziert .
Dann muss diese Datei von einem funktionierenden System besorgt werden und auf den Rechner kopiert werden. Dazu baut man entweder die betroffene Festplatte in einen funktionierenden Rechner ein oder startet auf dem defekten System ein "Windows Live System" wie z.B. "BartPE".

2. Registry-Eintrag für Userinit wurde verändert

In der Registry wird oft der Verweis für die Datei Userinit.exe verändert

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Windows NT\CurrentVersion\Winlogon\Userinit

hier sollte normalerweise ein Verweis auf "C:\WINDOWS\system32\userinit.exe" stehen.

An die Registry des nicht mehr startenden PC's kommt man z.B. mit Hilfe einer "Ultimate Boot CD" und mit dem Registry Editor der auf dieser CD enthalten ist. Das ist aber schon etwas für fortgeschrittene PC-User.

3. Spezialfall "wsaupdater.exe"

Manche Viren lassen die Datei C:\WINDOWS\SYSTEM32\USERINIT.EXE unverändert, erzeugen jedoch eine infizierte Datei mit dem Namen C:\WINDOWS\SYSTEM32\WSAUPDATER.EXE. In der Registry verändern Sie dann den Verweis für Userinit (siehe Punkt 2) so, dass stattdessen WSAUPDATER.EXE geladen wird. Ein Virenscanner löscht die infizierte Datei WSAUPDATER.EXE und schon kann Windows nicht mehr starten.

In diesem leichten Fall reicht es, mit einer Windows-CD die Reparaturkonsole zu starten. Dann einfach die noch korrekte Datei C:\WINDOWS\SYSTEM32\USERINIT.EXE auf die Datei C:\WINDOWS\SYSTEM32\WSAUPDATER.EXE kopieren und diese damit überschreiben. Danach startet Windows wieder.
Sobald Windows wieder läuft die Registry wieder korrigieren siehe Punkt 2.

4. Speziallfall "Debugger" in der Registry auf die USERINIT.EXE gesetzt

Ein Beispiel wie einfallsreich die Virenbastler sind. Die Systemdateien bleiben alle erhalten und auch der Verweis auf die USERINIT.EXE bleibt korrekt erhalten. Aber folgender Eintrag führt, dazu dass Windows bei der Anmeldung den Virus automatisch lädt:

HKEY_LOCAL_MACHINE\Microsoft\Windows NT\CurrentVersion\Image File Execution Optons\userinit.exe Debugger=xxxyyyzzz.exe

Anstatt xxxyyyzzz.exe steht hier irgend eine infizierte Datei. Eigentlich vollkommen unwichtig was hier steht. Der komplette Eintrag kann ersatzlos gelöscht werden. Vorher sollte man sich den Namen der Datei notieren damit man später gezielt danach suchen kann. Bei der Gelegenheit auch die anderen "Image File Execution Optons" nach verdächtigen Debugger-Einträgen überprüfen.