Anmeldung nicht mehr möglich

Hallo Zusammen

Mein Kollege, hat mich gestern wegen seinem Computer um Hilfe gebeten.
Doch ich konnte ihm auch nicht helfen. Nun setzen wir die Hoffnung in euch. Das ganze läuft auf Windows XP Home.
So nun beginne ich mal.

Als er an einem Abend im Internet surfen ging, hängte sich der PC plötzlich auf. Er musste ihn „abwürgen“.

Danach Neustart, Anmelden(Benutzer), Hintergrundbild tauchte auf, mehr nicht. Man konnte gerade mal die maus bewegen, Tastatur funktionierte nicht.

Nochmals Neustart, anderer Acc (Admin) anmelden, unterbrechung mit Meldung: “warning spyware is detected on your computer install an antivirus or spyware remover to clean your computer.” Diesmal ging sogar keine Maus mehr.

Neuer Versuch: abgesicherter Modus, Administrator anmelden, auf Viren durchsuchen, alle gefundenen löschen, neustarten. Noch nichts lief besser. Dann entschieden wir noch ein anderes Programm drüber laufen zu lassen. Doch nun geht auch der Administrator acc im abgesicherten Modus nicht mehr.


Momentaner Stand: Man kann nicht Anmelden, internes CD Laufwerk ist kaputt, ab USB Booten kann man bei diesem Bios nicht einstellen. D.h. Externes funktioniert auch nicht.


Meine Frage: kann man da noch viel machen? Seht ihr noch eine Möglichkeit?

Neues Laufwerk einbauen, oder braucht das Treiber? Gibt’s da Plug and Play?
HD ausbauen, bei neuem Rechner einbauen und dann nochmals durchsuchen?

Was könnte das sein? Bootviren?



Danke für eure Hilfe

gruss Leichi

 

Moin, hast Du ein Diskettenlaufwerk?

Wenn nicht, beim Starten mal F8 drücken und unter den Optionen auswählen, das die zuletzt bekannte gute Konfiguration geladen werden soll.

Oder im abgesicherten Modus versuchen (schon probiert?). Und dann u.U. einen Account erstellen und mit diesem starten.
Kaspersky drüber laufen lassen (oder auch ein anderes) bzw. AdAware und Spybot ausführen.

Probiers mal. Hoffnunglos ist es nicht.
Ist nur blöd, wenn Einstellungen in der Registry geändert wurden und Start des Accountes durch die Spyware verhindert werden. Deshalb der andere Account zum Test.

 

Ich fürchte schon, dass das Hoffnungslos ist…

Wer wenn nicht eine bereits existente Schutzsoftware wäre könnte diese Meldung denn herausgeben??

Vielleicht kann ein Scan-von-außen (etwa per UltimatBootCD) noch was retten, aber hier klingeln bei mir alle Glocken dass jemand [etwas] den Rechner gekidnappt hat und zur Tarnung dreist einen Virenschild verlangt den er dann selbst planmäßig lahmlegt (während selbiger den User obendrein ein sauberes System nebst erfolgreicher Schädlingsbekämpfung vorspielt).

 

Hi Danke für eure Antworten

"Moin, hast Du ein Diskettenlaufwerk?" Nur extern, das dann ja auch nicht.

"Wenn nicht, beim Starten mal F8 drücken und unter den Optionen auswählen, das die zuletzt bekannte gute Konfiguration geladen werden soll." Schon versucht, es ändert gar nichts. Bootet normal weiter.

"Oder im abgesicherten Modus versuchen (schon probiert?). Und dann u.U. einen Account erstellen und mit diesem starten." Ja jeden acc. schon versucht, komme ja nicht mehr in den Admin acc rein. Kann also keine neuen acc. mehr erstellen.

"Wer wenn nicht eine bereits existente Schutzsoftware wäre könnte diese Meldung denn herausgeben??" Er hat seit neuem AntiVir von Avast, früher Kaspersky. Mehr weiss ich momentan nicht.


"Vielleicht kann ein Scan-von-außen (etwa per UltimatBootCD) noch was retten" wie willst du ein Laufwerk anschliessen? USB geht ja auch nicht.

Ich hab den PC zur Sicherheit mal vom Netz geholt. Könnte man die HD bei einem anderen PC einbauen, damit man die Daten sichern kann?


Gruss bounty

 

Da bin ich auch Deiner Meinung. Deshalb der Versuch von anderer Seite etwas durch Scans zu retten.
Ist immer so eine Notlösung, aber ich habe letztlich immer neu installiert. Wer weiß, was da auf meinem Computer seine Hände im Spiel hat. Auf diese Unsicherheit habe ich dann keine Lust.

 

Off Topic:

Da kann ich nicht mitreden, ist mir in dem Sinne noch nie passiert
Außerdem habe ich Images für solche Un-Fälle.

 

"Deshalb der Versuch von anderer Seite etwas durch Scans zu retten."

Das hab ich nicht ganz verstanden. Wie soll das gehen? Ins Internet komme ich nicht. Oder hast du das anders gemeint?

Gruss bounty

 

Das haben wir in der Tat grundsätzlich anders gemeint:
Von einem anderen Betriebssystem aus muss der Scan erfolgen.

Ob das auf erwähnter UltimateBootCD beruht, ein Live-Linux ist (mit dem man sogar online scannen könnte) oder ob man die Platte in/an einen anderen Rechner hängt wäre egal. Entscheidend ist, dass das korrumpierte Betriebssystem selbst nicht in Gang genommen wird noch Files dort aufgerufen/geöffnet werden [außer durch den Scanner].

 

Danke. Genau so meinte ich es.

Und von wegen Neuinstallieren: Jeder fängt mal an Erfahrungen zu sammeln. Und gefeit gegen Unerwünschtes ist man nie. Auch mit "brain.exe" nicht.

Das letzte Mal, wo ich wegen solcher Unvorsichtigkeit neu installieren musste, war im Jahr 2001. nur so nebenbei

 

Musste ich noch nie.
Selbst total verbugte Kisten habe ich zu aller Überraschung wider auf die Füße bekommen.

 

Ok dann werde ich ihm wohl oder übel mal diese Mitteilung überbringen.
Obwohle er lieber die ganze Kiste zum Fenster rauswirft, als sie frisch zu vormatieren
Ist aber seine Sache, was er macht, obwohl ich das vormatieren bevorzugen würde.

Danke für eure Hilfe

Gruss Leichi

 

Viel Glück und lasse Dich nicht unterkriegen ...

 

Soo...
Ich komme wider in den Admin acc ca. bei jedem 2ten versuch.
Trojaner habe ich einige entdeckt. Doch da steht bei einigen, dass er sich im Arbeitsspeicher festgesetzt hat, und man ihn nur durch einen Neustart löschen kann. Bei einem Neustart, geht leider gar nichts mehr. Kann man den Arbeitsspeicher irgendwie lehren?

Wenigstens kann er nun die Daten sichern.

Danke
Gruss Leichi

 

Nimmst Du RAM-Defrag. Findest Du hier.

Ansonsten den Tuneup-Mem-Optimizer. Ein Teilprogramm der System-Suite.

Weitere Programme sind auch hier zu finden.

 

Und was soll denn das bringen? Den Pfui-Kandidaten auch noch besser postieren im RAM? Nein, den muss man erst mal finden und eliminieren (wenn man ins System kommen würde). Hier könnte ein HJT helfen.
Anleitung -> http://www.pcwelt.de/forum/sicherheit-viren-w-rmer-trojaner-rootkits/134046-posten-hijackthis-logs.html
und nur das *.log hier hochladen.

bonsay

 

Kann ja sein, das ich ein Denkfehler habe.
Kann der Schädling dadurch nicht aus den Speicher verbannt werden?

Sicher. Endlösung ist es auf keinen Fall. Der "Pfui"-Kandidat ist ja noch am Laufen. Aber wenn er aus dem Speicher ist, dann ist in diesem Moment kein Zugriff und der Schädling kann, sobald er gefunden wurde (Adaware etc) gelöscht werden. Das war mein Gedanke.

 

Diese RAM-Booster oder RAM-Optimizer sind und waren Schund als sie für W95 [!] damals auf den Markt kamen!!
Sie leisten nichts, bewirken nichts - und wie erwähnt wurde garantiert nichts gegen Schädlinge. (Minimierte Progs kämen maximal in die Auslagerung, ausgeführt bleiben garantiert präsent im RAM… Sonst ändert sich nix.)

@Leichi
»Orte der auto-gestarteten Programme«
- System.Ini: [Boot]; Eintrag Shell=
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Unterschlüssel in Run, RunServices usw.
- AutoRun.Inf in der Root von (Standard!) Nicht-Wechseldatenträgern
- Autostartordner im Startmenü
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon / Userinit (mit Komma sortiert)
(Außerdem: Sämtliche Treiber die die Registry direkt aktiviert)

Vielelicht kommst du zu Fuß über RegEdit ans Ziel..?

 

Ok. Wenn Du es so sagst ... Mit einem Schädling hatte ich es noch nicht auf diese Weise probiert. Ging dann nur, wenn ich den Prozess direkt abschieße, sofern er auffindbar ist.
Mit TuneUp selber bin ich aber bisher sehr zufrieden. Auch mit dem Mem-Optimizer, wenn ich nur 512 MB Ram und viel am Laufen habe. Ansonsten ist er auch bei mir ausgeschaltet. Da hast du REcht, das es dann keinen Sinn mehr macht.

Jupp. Gute Sache.

 

Häh, warum nicht? War auch mal verzweifelt weil bei meinem Laptop das interne Laufwerk kaputt war.
Im Bios gibt's die Option:"Boot from externel Drive"!
Müsste eigentlich jedes Bios haben, weil ja in Firmen Admin's auch per Netzwerk installieren.

Gruß kingjon

 

Hallo,ich klinke mich hier einmal ein weil ich nicht weiß wie ich das sonst machen kann.Ich habe XP-Pro drauf und kam auf die Idee auf einer anderen Partition 2000 drauf zu spielen,das klappte auchnur da war XP weg.Ich sehe aber das es noch da ist,nur wie komme ich da wieder dran.Ich bin schon 73 Jahre,ich hoffe ich verstehe was Ihr meint.Bitte helft mir ich möchte <x<p nicht unbedingt neu auflegen.
Gruß Opa