Übler Trojaner bzw. Rootkit unter XP stört Anmeldung

Ein Trojaner bzw. Rootkit hatte in der Registry auf einem Windows XP Rechner einen Debugger-Eintrag für die Datei userinit.exe eingefügt (das geht leider über den Registry Eintrag Debugger im Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftWindows NT\CurrentVersion\Image File Execution Options\userinit.exe). Vor der userinit.exe versuchte Windows beim Anmelden immer eine Datei fxsabjruf.exe (das ist wahrscheinlich ein zufällig generiert Name) auszuführen, was fehlschlug, da diese „böse“ Datei inzwischen zu Recht von einem Anti-Virus Tool (Sophos Troj/TDSSMem-C) entfernt wurde. Windows meldete dann aber jeden Benutzer direkt nach dem Anmelden wieder ab – sehr ärgerlich… Die Google-Suche nach der Ursache hatte mich einige Zeit beschäftigt: Der gefundene Eintrag in einem Forum beschreibt zum Glück das Problem und gibt Lösungshinweise – meinen Dank dorthin. Mit dem Registry-Editor konnte ich den Eintrag in der Registry über Netz von einem anderen Computer aus leicht entfernen (über eine Windows-PE Bootdiskette kann man alternativ auch gut die Registry eines befallen Rechners ändern). Danach konnte man sich wieder normal anmelden. Sicher sein, dass sich nicht noch andere ungewollte Progrämmchen auf dem befallenen Rechner breit gemacht haben, kann man natürlich nicht.

Werbeanzeigen

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s