Windows meldet sich sofort wieder ab

Asliv

Ensign
Registriert
Dez. 2010
Beiträge
131
Hey Leute,

folgendes Problem...

Wenn ich mich bei WinXp anmdelde seh ich kurz den desktop ohne symbole.
Danach meldet sich Windows automatisch ab.

Nun hab ich n bisschen gegooglet und n paar lösungen gefunden.

Unteranderem soll ich den Registryeintrag löschen
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\userinit.exe

Kann mir einer sagen wie ich den diesen Eintrag rankomme OHNE das ich Windows starten muss,
weil der sich ja immer automatisch abmeldet.

Außerdem hab ich mehrer userinit.exe Dateien gefunden.
So weit ich das weiß müsste doch eigentlich nur eine vorhanden sein im system32 Ordner.
Die anderen beiden habe ich ausgeschnitten und auf ne andere Platte gelegt, wenn das falsch war bitte sagen.^^

mfg Asliv
 
Das dürfte mit allergrößter wahrscheinlichkeit ein Trojaner sein.
Dieses Phänomen hatte ich auch schon auf 2 Rechnern.

Gleich nach der Anmeldung hat sich Windows wieder abgemeldet.
Das ist aber nur passiert als ich mit eingeschränkten Rechten gestartet habe.
Wenn man sich mit Adminrechten angemeldet hat, ist nichts passiert.

Hab ihn durch Löschen der userinit.exe und dem Löschen des Loaders im Benutzerprofil unter "Anwendungsdaten" entfernen können. War aber ganz schön hartnäckig.
 
normaler user -> geht nich
admin -> geht nich
abgesicherter modus -> geht nich

Ja das is auch n Trojaner, ich hab die Platte in meinen richtigen Rechner eingebaut und Gdata drüber lauf lassen hat ca. drölf Viren gefunden und entfernt.

Weiß denn nu jemand wie ich in die registry reinkommen kann? *verzweifel*^^
 
Daten sichern und neu aufsetzen. Wenn du dich schon nicht mehr anmelden konntest, wird das blosse Löschen aller infizierten Daten den Rechner auch nicht sicherer machen.
 
Danke kisser aber ich steig da nich durch.
Mein Englisch ist so gut das ich das versteh aber ich check nich wo ich reg.exe eingeben soll.

Ich hab jetzt mal versucht von ner Windows Xp zu starten, weil das damit auch gehn soll.
Leider kann ich damit nur reparieren und das hilft nicht.
Gibt es ne möglichkeit das Windows Xp komplett von der Cd bootet ohne das man in diesen blauen Bildschirm reinkommt wo man normalerweise installiert?
 
Knoppix mit Hilfe des anderen Rechners runterladen,
http://de.wikipedia.org/wiki/Knoppix
auf CD brunzeln,
und mit im Problemm PC starten.

nun kannst du in die Dateistruktur von WinXP ohne XP starten zu muessen.
aber ich wuerde dennoch zur Neuinstallation von Win XP raten.
 
Zuletzt bearbeitet: (Link hinzugefuegt)
Was ist denn pet?

Aber in die Dateistruktur komm ich doch auch rein wenn ich die platte in mein anderes system einhänge oder nich?

Oder kann ich über die knoppix cd auch auf hkey local machine und son kram zugreifen?

Ok ich musste erstmal durchsteigen ^^


Jetzt konnte ich auch auf die reg dateien zugreifen leider gibt es den Eintrag nicht den ich gesucht hab.

Danke für eure Hilfe

Falls einer noch ne andere Lösung kennt für mein Problem (außer neu installieren)
immer her damit.
 
Zuletzt bearbeitet:
Bist du dir sicher, alle Schlüßel gefunden zu haben? Die Registry verteilt sich auf folgende Ordner:
C:\windows\system32\config\system
C:\windows\system32\config\software
C:\windows\system32\config\sam
C:\windows\system32\config\security
C:\windows\system32\config\default
C:\Dokumente und Einstellungen\*USER*\NTUSER.DAT
C:\Dokumente und Einstellungen\*USER*\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\usrClass.dat
 
Welche schlüssel meinst du jetzt?

Die userinit?

Ich hab komplett c durchsucht mit der Windowssuche, da sollten eigentlich alle gefunden werden^^
 
Du brauchst nicht in den RegistryKey gehen wenn du die Userinit.exe löschst.
Der Trojaner hakt sich bloß über diesen Registrykey ins System ein. Wenn du aber die userinit.exe löschst, dann kann da im Key stehen was will. Er findet die Datei einfach nicht mehr.

Wenn der Trojaner runtergeschmissen ist, kannste mit CCleaner von Piriform die Registry saubermachen. Da muss man dann nichts händisch machen.

Also Userinit.exe per Taskmanager abschießen, Datei löschen und dann die Launcher des Trojaners rauswefen. Ich weiß jetzt nicht mehr genau wie diese Launcher heißen. Die haben auch so ähnliche Namen wie Standardprozesse von Windows. Ich glaub bei mir wars "conhost.exe".
 
Ja wie ich die userinit rausbekomme weiß ich auch ^^
Ich kann das System mitlerweile auch starten.
Hab einfach in den regkey statt userinit.exe ->cmd.exe eingetragen
Dann startet der Rechner und bleibt auch so stehen ohne sich abzumelden den Explorer starte ich einfach über taskmngr.
Ich hab nochmal mein Virenscanner drüber laufen lassen und er hat auch noch n paar Sachen gefunden.
Ma schaun obs jetzt läuft.
Sonst muss ich mir n neues xp aufsetzten und die userinit exe damit ersetzen das soll auch gehen.
 
Bei mir haben Avira und MS Security Essentials nichts gefunden. Kann aber sein dass sie mittlerweile was anzeigen.
Mir hat es geholfen in allen Userpfaden unter "Anwendungsdaten" und "Lokale Einstellungen\Anwendungsdaten" nach verdächtigen EXE-Dateien zu suchen und diese dann zu löschen.

conhost.exe und csrss.exe waren die Kandidaten.

Die richtig Userinit.exe wurde bei mir nicht überschrieben, so dass ich die gefakte einfach löschen konnte.
Aber auch wenn man die richtige userinit.exe löscht dürfte es kein Problem sein, da sie aus dem Systemdateicache automatisch wiederhergestellt werden sollte. Das habe ich aber nicht getestet.
 
Edit:_Bei mir geht es um Windows 8_

Verflixt .... Ich habe genau das selbe Problem...
Ich hatte das mit der PW Eingabe ausgeschaltet! "Netplwiz"

Doch Heute fragte er mich nach dem Kennwort....! Das war mir schon suspekt! Und plötzlich nach der Eingabe des PW meldet sich Windows Sofort ab!.... Erst dauerte die Abmeldung 2-3 Sekunden - grade so genug Zeit für die Eingabe von Msconfig und auf den klick von "Nur Diagnose Start" -
Nun ist die Zeit von An und Abmelde aber geschrumpft auf wenige Millisekunden... ;) d.h. also ich kann NICHTS machen! Ich komm ja nichtmal mehr in den Abgesicherten Modus dank Windows 8! Denn dazu muss man ja auf PC-Einstellungen und die bootoptionen ändern etc. Pp .......

Verdammt! ... Ich weiss mir grade wirklich nicht zu helfen! :/

Edit: Lade mir grade eine Ubuntu CD Runter... werde Versuchen mit dieser mein Windows nach Trojaner, Viren etc. zu Untersuchen! habe nämlich gestern einen Film über eine *hust* seite geguckt und da ging währenddessen Spybot Search and Destroy auf aber nur um irgendwelche Browser Cookies zu löschen und den IE zu schützen!
ansonsten joah... weiss auch nich! wie komme ich in Windows 8 in den Abgesicherten Modus ohne Windows 8 CD und ohne in den PC-Einstellungen die Bootoptionen zu ändern?!? Warum hat Microsoft nicht nachgedacht? wie kann man nur?


Keiner da für Hilfe?? Muss ich extra einen Neuen Thread erstellen? =(
 
Zuletzt bearbeitet:
dachte niemals dass man sich so schnell etwas einfangen kann!
aber das denkt man ja auch immer über die Grippe oder eine Erkältung, nicht wahr? =)

ich hoffe nur dass ich Unrecht behalte und es tatsächlich NICHT von dieser Seite kommt! ich habe schon desöfteren über solch eine Platform Filme geguckt und surfe auch auf anderen ich nenn sie mal "unsichere" Seiten rum und bis dato ist mir wirklich nochnie etwas passiert!

aber ich DANKE dir vielmals für den Tipp bzw. die Seite!
(CB sollte wie andere Foren evtl. auchmal über ein "Danke" Button nachdenken)
Ergänzung ()

desmond. schrieb:



Erstmal nochmal danke für die Seite

... Meine Vermutung hat mir Recht gegeben... es war nicht der Grund dieser "*hust*" Seite!
Problem war ein USB Problem... immer wenn ich mein PW eingegeben habe kam auch dieser Windows Standard-Ton (USB-Gerät Plugged)!

als ich nun 3x den Windows boot abgebrochen habe und Windows "wiederherstellen" geklickt habe bootete das System wie gehabt! ohne PW eingabe aufforderung und ohne Abmeldung!

Gestern habe ich Zusätzlich nämlich mein GNexus auf AOKP Milestone 2 Geflashed und da wurde unendlich viel Installiert (SBK/ADB/Fastboot-treiber) usw.
ich denke also dass es daran gelegen hat! das wiederherstellen hat 20 Sekunden gebraucht! also gehe ich nicht von einem Trojaner oder ähnlichem aus! irgendetwas mit dem USB-Treiber / USB-Port hatte damit etwas zutun!
naja... sei es drum!
 
Zurück
Oben