Ein Fehler, der durch einen Virus verursacht werden kann, welcher die Datei userinit.exe im system32 Ordner manipuliert. Man sieht den Anmeldebildschirm, kann auch wie gewohnt seinen Benutzernamen anklicken, es scheint als würde man angemeldet werden, doch dann bricht der Anmeldevorgang ab und man wird sofort wieder abgemeldet und ist erneut beim Anmeldebildschirm. Selbst der Abgesicherte Modus kann uns hier nicht mehr weiterhelfen…

Kein Grund zur Panik, das Problem lässt sich relativ leicht folgendermaßen lösen:

Zunächst benötigt ihr beispielsweise eine Linux Live-CD, mit welcher ihr ohne Windows auf die Festplatte zugreifen könnt. Ihr könnt hierbei jede beliebige Live-CD verwenden, es muss nicht unbedingt eine von Linux sein, hauptsache ihr bekommt Zugriff auf die Festplatten. Mit einer Live-CD ist es möglich, ein Betriebssystem von CD zu starten, welches dann im Arbeitsspeicher des Computers ausgeführt wird. Das heist, man kann mit einem Betriebssystem arbeiten, ohne es installieren zu müssen.

Falls ihr keine Live CD besitzt, empfehle ich die Knoppix Live-CD. Danach die .iso-Datei mit beispielsweise Nero auf eine CD brennen, CD in den PC einlegen und neustarten. Beim Neustarten sollte der PC dann von der Live-CD booten und das Betriebssystem startet.

Der Virus hat einen Eintrag in der Registry (eine Konfigurierungsdatenbank des Betriebssystems) verändert und somit die Anmeldefunktion manipuliert. Im Normalfall habt ihr bei der letzten Benutzung des PC´s eine Meldung von eurem AntiVir Virenprogramm erhalten, in der ihr auf den Virus hingewiesen wurdet und habt ihn wahrscheinlich gelöscht. Der Virus hat einen Eintrag in die Registry geschrieben, welcher beim Starten von Windows den Virus laden möchte. Da der Virus aber gelöscht wurde, kann Windows diese Datei nicht finden und meldet den Benutzer sofort wieder ab.

Als Erstes müssen wir herausfinden, wie der Dateiname von dem Virus war. Hierzu wechselt ihr auf eurem Live-Betriebssystem in den Ordner C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\Avira Desktop\LOGFILES und öffnet die Logfile des Avira-Guard (Der Guard ist das Programm, welches zur Laufzeit den PC vor Viren schützt). Hier sind alle Meldungen archiviert und ihr wechselt zu dem aktuellstem Datum, an dem der PC noch funktioniert hat. Dort sollte nun eine .exe-Datei im C:\WINDOWS\system32 Order gefunden worden sein. Bei mir war es die dr-evil.exe. Diesen Dateinamen musst ihr euch notieren.

Nun wechseln wir in den Ordner C:\Windows\system32, erzeugen eine Kopie der Datei cmd.exe und benennen die Kopie von cmd.exe in den notierten Namen des Virus um. Also in dateiname.exe (in meinem Fall dr-evil.exe). Dies ist nötig, da Windows den Virus beim Anmelden starten will und eine Datei mit diesem Dateinamen benötigt wird. Es wird dann allerdings nicht der Virus ausgeführt, sondern eine harmlose Eingabeaufforderung (dies verbirgt sich hinter cmd.exe). Nun beendet ihr das Live-Betriebssystem und startet neu.

Der Anmeldevorgang sollte nun wieder funktionieren und ihr seht eine Eingabeaufforderung/Konsole vor euch. Dort tragt ihr den Befehl regedit ein und drückt ENTER. Nun startet die Registry und ihr müsst den Eintrag HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe suchen. Wenn unter userinit.exe im rechten Fenster ein Attribut namens Debugger eingetragen ist, haben wir das Problem gleich gelöst. Ihr müsst nun den kompletten userinit.exe-Eintrag löschen, in dem ihr mit der rechten Maustaste auf userinit.exe klickt und die Datei dann löscht.

Nun könnt ihr die Registry schließen und tragt in der Konsole shutdown -l (L wie Lisa) ein. Der PC meldet sich nun ab und nun sollte der Anmeldevorgang wie gewohnt funktionieren.

Social Networks