Hallo!
Mein Antivir hat gestern eine Virus (TR/Agent.27377) gefunden. Angeboten wurden „Ignorieren“ und „Reparieren“. Ich habe „Reparieren“ ausgewählt. Antivir hat mich gefragt, ob ich zum Ausführen die Administratoren-Rechte habe > wurde von mir bestätigt. Danach kam die Meldung: Computer nach Reparatur sofort neu starten.
Beim Neustart habe ich folgendes Problem: Es erscheint kurz der „Willkomens-Bildschirm“. Danach kommt ein blauer Bildschirm mit > links „Willkommen“ und > rechts zwei Felder (1.: Admin und 2.: Administrator). Unten links kommt ein „Ausschalten“-Button und rechts die Meldung:
Nach der Anmeldung können Konten hinzugefügt oder geändert werden. Klicken Sie in der Systemsteuerung auf Benutzerkonten.
Wenn ich den Admin-Butten anklicke kommt: Benutzerdaten werden gelesen > Admin wird abgemeldet. Beim Adminsitrator-Button kommt nur: Benutzerdaten werden gelesen.
Weiter passiert gar nix
Ich habe versucht den Rechner im abgesicherten Modus zu starten > jedesmal das gleiche Ergebniss. Eine CD habe ich nicht - WindowsXP war schon vorinstalliert (Home-Edition).
Wie kann ich nun weiter verfahren? Und wie komme ich wieder an meine Daten??? Z. Zt. sitze ich vor einem anderen Rechner auf Arbeit…
Angeboten wurden „Ignorieren“ und „Reparieren“. Ich habe
„Reparieren“ ausgewählt.
Das klingt danach, dass du eine Systemdatei „repariert“ hast.
AntiVir hat die Datei irgendwie modifiziert, und jetzt startet dein System nicht mehr.
Wie kann ich nun weiter verfahren? Und wie komme ich wieder an
meine Daten??? Z. Zt. sitze ich vor einem anderen Rechner auf
Arbeit…
Ich würde sagen, die einzige Möglichkeit, die du hast, ist den Rechner mit einer CD zu starten und entweder die Systemwiederherstellung oder die Reparatur auszuführen.
Du wirst dir von irgendjemandem eine XP-CD besorgen müssen. Frag mal herum, irgendjemand hat sicher noch eine herumliegen. Da die CDs nicht persönlich sind, ist es kein Problem, wenn du dir eine von einem Freund oder Kollegen ausleihst.
Wenn du eine CD hast, startest du den Rechner mit der CD und versuchst, eine Systemwiederherstellung durchzuführen. Wenn das nicht klappt, versuch eine XP-Reparatur laufen zu lassen.
Und wenn alles fehlschlägt, kannst du mit der Ultimate Boot CD (http://www.ultimatebootcd.com) booten (die wirst du irgendwoanders brennen müssen) und deine Daten einfach absichern. Nur weil Windows nicht startet, heißt das nicht, dass deine Daten futsch sind - die lassen sich sogar fast sicher wiederherstellen.
Hallo!
Die Wiederherstellungskonsole installieren und verwenden wird hier erklärt:http://support.microsoft.com/kb/307654/de
Hast du die Möglichkeit,dich persönlich an den Händler zu wenden?
Falls ja,dann frag nach einer CD.Es ist wichtig beim Kauf darauf zu achten,das man immer eine CD mitbekommt.Wenn der Händler nein sagen würde,dann würde ich sagen,das ich meinen Rechner woanders kaufen gehe.Ohne CD keinen Rechner,immer darauf bestehen.Für die Zukunft weißt bescheid.
Grüße Frank
ich hatte fast dasselbe Problem und habe es gelöst. Hier meine Lösung, vielleicht hilft sie dir oder anderen.
Bei mir hat Antivir ebenfalls den Trojaner TR/Agent.27377 gefunden. Allerdings war „Reparieren“ nicht im Angebot und ich habe die erkannte Datei in Quarantäne verschoben. Das war, wie bei dir, ein folgenschwerer Fehler. Ab diesem Moment bin ich nach dem Einloggen in Windows jedesmal sofort rausgeflogen, und zwar mit jedem Benutzer und in jedem Windows Modus.
Lösung: Mit Knoppix die Logfiles von Antivir gelesen (in C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\LOGFILES). Hier steht wie die Trojaner-Datei ursprünglich hieß (bei mir mdvuhx.exe, ich gehe aber davon aus, dass das ein Zufallsname ist, der bei jedem Auftreten des Trojaners anders lauten kann). Die Datei mit Knoppix aus dem Quarantäneverzeichnis (C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\INFECTED) zurück nach C:\WINDOWS\system32 kopiert und wieder mit dem ursprünglichen Namen benannt. Sprich: ich habe den Virus zunächst wieder installiert! Danach geht das Einloggen wieder. Dann in der Registry mit regedit nach dem Namen der Virus-exe gesucht. Es gab einen Schlüssel, der den Trojaner als Debugger für das Systemprogram userinit.exe einsetzt. Diesen Eintrag löschen. Erst dann kann man unbeschadet auch den Trojaner löschen, denn userinit.exe wird danach beim Login wieder direkt ohne Debugger aufgerufen.
Noch ein Hinweis: Knoppix mountet die Laufwerke zur Sicherheit ohne Schreibrechte. Will man Dateien kopieren, muss man die Windows-Partition selbst neu mounten, z.B. mit folgenden Zeilen (auf anderen Systemen leicht abweichend):
sudo mkdir /media/c
sudo mount /dev/sda1 /media/c
Das Laufwerk C: ist dann unter /media/c gemountet und darf beschrieben werden.
Hoffentlich hilft’s jemand, viel Glück.
Viele Grüße
Dorforganist
PS: Mit Knoppix kommst du natürlich auch wieder an deine Daten. Einfach eine externe Festplatte oder einen USB Stick einstecken, der wird von Knoppix automatisch gemountet.
