# XP meldet sich automatisch sofort ab!!



## crooper (2. Juni 2009)

Hallo PCGHX-Gemeinde,

folgendes Problem tritt bei meinem Freund auf seinem Laptop [HP Pavilion dv5204ea] auf und ich hoffe ihr könnt mir weiter helfen.

Der Laptop startet ganz normal bis zu den Benutzerkonten, die man auswählen kann. Nachdem man nun sein Passwort erfolgreich eingegeben hat, steht dort "Benutzer wird angemeldet", dann kann man noch kurz den Desktop Hintergrund sehen bevor wieder "Benutzer wird abgemeldet" erscheint und man wieder vor der Benutzerkonto auswahl steht.

Im abgesicherten Modus und mit dem Admin Konto geschieht das selbe. Die Optionen die man unter F8 erreicht hab ich schon alle ausprobiert. Ohne Erfolg.

Dieses Phänomen tritt auf, seit dem der Viren-Scaner einen Fund im Windows-Verzeichnis hatte und diese Datei gelöcht hat. Ich nehme mal an das es eine wichtige Datei ist, allerdings habe ich Vista und auf dem Laptop ist XP home SP2 drauf, so dass ich nichts vergleichen kann.

Oder liegt es vielleicht an etwas anderem?

Ich hoffe ihr könnt mir und meinem Freund weiter helfen! 

Gruß crooper



[PS: Eine neuinstallation ziehe wir nur als Nothan in Betracht]

============================

Lösung: Seite 3


----------



## affenhirn (2. Juni 2009)

Du kannst ja mal mit der Windows CD eine Reperatur versuchen


----------



## Bioschnitzel (2. Juni 2009)

Verursacht durch einen Wurm. Hatten das Spielchen auch schon. Reparaturlauf hat nix gebracht. 

Um das wieder hinzubekommen, musst du die Registry editieren. Das geht nur wenn du dir ne CD wie "ERD Commander" oder "Windows PE" besorgst, da du von der booten kannst und dich dann an die installation anmelden kannst, um dann die Registry zu bearbeiten. Dort musst du diesen Eintrag löschen: 


HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\userinit.exe

Wenn das noch nicht hilft musst du noch eine originale userinit.exe auf die Platte kopieren. 


Das ganze ist nicht einfach. Wenn du dir also die PE-CD besorgt hast (kann  man downloaden) und das getan hast was ich geschrieben hab, dann musst du beim nächsten Start erstmal deine Platten sauber von Viren befreien. 

Avira Antivir brauchst du nicht probieren, der findet den nicht (Avira findet generell keine ). 

Ich empfehle dir folgende Software: 

1. SDfix  
2. Sysclean
3. Spybot 
4. Adaware 
5. Avast 


Die Programme sind alle kostenlos. Die ganze Geschichte ist leider ziemlich aufwendig. Ich würde an deiner stelle die Daten bei Knoppix-CD sichern und die Platte komplett formatieren und wieder Windows aufspielen


----------



## crooper (3. Juni 2009)

Vielen Dank für eure Antworten.

@ Fr3@k
Ich werd das ganze mal heute ausprobieren.


----------



## Bioschnitzel (3. Juni 2009)

crooper schrieb:


> Vielen Dank für eure Antworten.
> 
> @ Fr3@k
> Ich werd das ganze mal heute ausprobieren.



Ich sag das das war kein Spaß auf Arbeit. Man denkt es ist ne einfache Sache. 

Wir haben den ganzen Tag probiert und probiert, bis wir diesen Eintrag gefunden haben, der da nicht hin soll. 

Pass auf das du genau diesen Pfad nimmst, der Eintrag USERINIT.exe gibts nämlich noch an einer anderen Stelle, und die ist richtig ^^ 

Nur unter diesem Pfad hat die nix zu suchen  

Am besten besorgst du dir die Tools und führst sie in dieser reihenfolge aus. 


Was du allerdings vorher auch noch machen solltest: 

- mit der Windows PE booten
- dort den Ordner "C:\System Volume Information" löschen. Dort liegen die Systemwiederherstellungspunkte, wo sich säntliche Viren einnisten. 

Gruß


----------



## crooper (3. Juni 2009)

Ich habe mir jetzt mit dem PE-Builder ein Boot-fähigen USB stick mit Windows PE eingerichtet. Allerdings will kein PC damit starten. 

Naja, werd es mal auf einer CD brennen und dann nochmal probieren.

Muss eigentlich die Windows CD exakt die selbe sein wie auf dem Notebook installiert ist?


----------



## Bioschnitzel (3. Juni 2009)

crooper schrieb:


> Ich habe mir jetzt mit dem PE-Builder ein Boot-fähigen USB stick mit Windows PE eingerichtet. Allerdings will kein PC damit starten.
> 
> Naja, werd es mal auf einer CD brennen und dann nochmal probieren.
> 
> Muss eigentlich die Windows CD exakt die selbe sein wie auf dem Notebook installiert ist?



Wie Windows CD? 

Wenn du die Userinit.exe physisch auf der Platte überschreiben möchtest, dann musst die die exe von der richtigen CD expandieren. 

Aber das wird nicht das Problem sein, sondern wie gesagt der REG-eintrag. 

Ich kann nicht sagen wie es mit der PE CD funktioniert, ich erzähl es wie es mit dem ERD-Commander geht. 

1. Von der CD booten. 
2. beim start erkennt er die Installationen, dort wählt man dann sein Installiertes WIndows aus.
3. nun kann man die Registry ganz normal bearbeiten 


Mit der PE-CD müsste es auch gehen, einfach mal bissel googeln wie man es mit der PE-CD macht. 

Gruß


----------



## The_Final (4. Juni 2009)

Eine andere Lösung, die auch schon zum Erfolg geführt hat: Mit normaler Windows-CD booten, Wiederherstellungskonsole öffnen und nachsehe, ob sich die Datei "userinit.exe" in C:/WINDOWS/system32 befindet; wenn nicht, die Datei userinit.exe von C:/WINDOWS/system32/dllcache nach C:/WINDOWS/system32 kopieren. Vorteil: Man braucht keine PE-CD und muss auch nichts in der Registry umstellen.


----------



## Bioschnitzel (4. Juni 2009)

The_Final schrieb:


> Eine andere Lösung, die auch schon zum Erfolg geführt hat: Mit normaler Windows-CD booten, Wiederherstellungskonsole öffnen und nachsehe, ob sich die Datei "userinit.exe" in C:/WINDOWS/system32 befindet; wenn nicht, die Datei userinit.exe von C:/WINDOWS/system32/dllcache nach C:/WINDOWS/system32 kopieren. Vorteil: Man braucht keine PE-CD und muss auch nichts in der Registry umstellen.



Nö das klappt nicht da ja EBEN der Regpfad nicht stimmt. 
Die Datei ist zwar da aber windows sucht sie in einem anderen Pfad. 

Ich habe doch geschrieben das es keine einfache Sache ist. Die dateien einfach von der CD zu expandieren war mit das erste was wir probiert haben.


----------



## The_Final (4. Juni 2009)

Woher willst du wissen, dass es bei ihm genau dasselbe ist wie bei dir? Hab ich etwas überlesen?  Ich selbst habe schon einige Male dasselbe Problem gesehen, und bisher reichte eigentlich immer das Kopieren von userinit.exe. Das kann man doch zumindest versuchen, bevor man in der Registry rumspielt.


----------



## Bioschnitzel (4. Juni 2009)

Ja nur das ich das schon geschrieben habe was du sagtest  



> Wenn das noch nicht hilft musst du noch eine originale userinit.exe auf die Platte kopieren.





> Wenn du die Userinit.exe physisch auf der Platte überschreiben möchtest, dann musst die die exe von der richtigen CD expandieren.




Zumal dieser Satz nicht stimmt


> Eine andere Lösung, die auch schon zum Erfolg geführt hat




Da ich diesen Weg auch schon genannt habe, er jedoch sehr wahrscheinlich nicht klappen wird. 

Gruß


----------



## The_Final (4. Juni 2009)

Wenn ich nichts übersehe, muss man bei deiner Lösung zuerst die Registry bearbeiten, was bei meiner nicht nötig wäre; da es bei allen mir bekannten Fällen so geklappt hat, lass ich mir nicht erzählen, dass es falsch ist. Vermutlich handelt es sich jedoch um 2 verschiedene Probleme, und wenn sein Problem dasselbe ist wie deines, wird meine Lösung wohl nicht klappen, aufgrund des in meinen Augen geringeren Aufwands würde ich sie jedoch zuerst versuchen. Er muss ja nur nachsehen, ob userinit.exe sich dort befindet, wo sie hingehört; wenn ja, führt mein Weg nicht zum Ziel.


----------



## Bioschnitzel (4. Juni 2009)

Klar probieren kann er es. Schaden tuts auf keinen fall. 

Eine Reparaturinstallation müsste dann aber auch gehen. Wenn die nicht klappt liegts definitiv an der Registry, bzw der Vire die den Pfad dorthinschreibt. 

Gruß


----------



## The_Final (4. Juni 2009)

Eben nicht; die Reparaturinstallation hat noch in keinem der mir bekannten Fälle etwas gebracht, was zwar verwunderlich ist, aber dennoch ein Faktum.


----------



## Bioschnitzel (4. Juni 2009)

The_Final schrieb:


> Eben nicht; die Reparaturinstallation hat noch in keinem der mir bekannten Fälle etwas gebracht, was zwar verwunderlich ist, aber dennoch ein Faktum.



Ehrlich nicht? Bei uns auf Arbeit hilft der oft. Gerade wenn man Windows auf ein fremdes System klont


----------



## crooper (4. Juni 2009)

Also die userinit.exe habe ich bereits mit linux live überschrieben und das Problem besteht weiterhin 

Hat jemand einen Link für den ERD Commander um den runterzuladen [kostenlos!]? Ich finde über google nämlich nichts gescheites! 

Mit dem PE Builder bin ich mir nämlich nicht sicher ob das klappen wird ...


----------



## Bioschnitzel (4. Juni 2009)

ERD Commander ist leider nicht kostenlos. 

Das Problem ist das das nicht so einfach mit irgendeiner Boot-CD geht die man so findet, da man die Registrierung laden und bearbeiten muss. 

Ich suche mal kurz. 

Gruß


Edit: 

Schau mal hier: 

http://www.computerhilfen.de/hilfen-5-62499-45.html

Du brauchst BartPE, ich hoffe das ist kostenlos ^^

Edit2 : ah http://www.pcwelt.de/downloads/tools_utilities/system-utilities/108595/bart_pe/ 

Dort kannst du es laden  

Wichtig ist, das du im BartPE den richtigen RegEditor nimmst, weil du sonst die Registry von BartPE bearbeitest. 

Das hier mein ich: 



> Also nochmals. X:\ im BartPE Registrierungseditor ist der falsche Editor. Damit machst du in der Registry vom BartPE rum xD
> 
> Du musst den RegEditor (REMOTE) nutzen.
> 
> ...


----------



## The_Final (4. Juni 2009)

Fr3@k schrieb:


> Ehrlich nicht? Bei uns auf Arbeit hilft der oft. Gerade wenn man Windows auf ein fremdes System klont


Ich bezog mich jetzt nur auf das genannte Problem. Aber da in gegebenem Fall deine Lösung die richtige zu sein scheint, ist das nicht weiter von Belang.


----------



## crooper (4. Juni 2009)

Bart PE hab ich bereits gestern runtergeladen sogar unter der gleiche Quelle. Vom USB Stick wollte der aber wie gesagt nicht starten. Jetzt hab ich die das Image auf CD gebrannt und es läuft. Das heist, ich kann von der CD aus rein ins "Bart PE" starten. Immerhin schon ein kleines Erfolgserlebnis, da es an meinem funktionierendem Laptop ein Bluescreen kamm 

Meine Frage:

Wie komme ich jetzt genau an die Registrierungsdatenbank vom Laptop über Bart PE ran? Die Reg-db vom Bart PE hab ich schon entdeckt [x:..].


----------



## Bioschnitzel (4. Juni 2009)

Du musst dieses Remote-Regedit finden wie in dem Link den ich dir geschrieben habe. 

Notfalls googlen. 

Gruß


----------



## crooper (4. Juni 2009)

Gegoogelt hab ich auch. Aber den Remote-RegEdit find ich nicht...

Ich probier gerade einen anderen (von mir ausgedachter Weg) um den Eintrag in der Registry zu löschen.

Meld mich später noch mal mit den Ergebnissen...

EDIT:

So hat es jetzt bei mir funktioniert:

Benötigte Materialien:
- Linux Live
- funktionierender PC mit instal. Windows XP (Pro oder home ist egal)
- USB Stick


1. Mit Linux Live (von PCGH-CD  ) booten
2. Den Ordner Config aus "C:Windows\System32\" auf den USB-Stick kopieren
3. USB-Stick am funktionierenden PC anschließen
4. Hier die original Quelle:Registry mit BartPE reparieren - TweakPC Hardware Forum
Von mir hier überarbeitet/angepasst:





> 1.)Klicke auf Start -> Ausführen und gib "regedit" ein. Du siehst nun den Reigistry-Editor, allerdings mit den Strukturen von deinem System (Wir wollen aber die Strukturen vom defekten Windows)
> 2.) Du markierst nun den Schlüssel      "Hkey_lokal_machine", dann klickst du auf "Datei" und      dort auf "Struktur laden"
> 3.) Wähle den Ordner      auf dem USB-Stick​_Nun musst du die einzelnen Schlüssel auswählen (Welcher das ist musst du allerdings selber wissen, je nachdem, was du geändert hast, das zur Windows-Fehlfunktion geführt hat)_
> 
> ...


(Von mir angepasst, original siehe Link oben )

Zum Schluss noch die neue "Software"-Datei zurück auf dem "defekten" PC unter Linux an der selben stelle (C:Windows\System32\Config\...) überschreiben.

Neustart. Fertig! 


Vielen Dank Fr3@k!! Super arbeit 


=============
Jetzt erstmal Viren suchen


----------



## Bioschnitzel (4. Juni 2009)

Den weg kannte ich auch noch nicht, aber da ich ja den ERD-Commander hab auch unnötig  

Klar kein Prob, freut mich das ich dir helfen konnte. 

Bei dem Tool "sysclean" musst du die einzelnen Pattern selber zusammensuchen auf der Homepage. Und dann alles in einen Ordner. 

Mal so nebenbei, lass AVAST gleich auf dem PC drauf. Dann sollte sowas in Zukunft nicht mehr passieren. Antivir ist der letzte Müll, zu uns kommen ständig verseuchte PC wie dieser hier zu uns wo ein aktuelles Antivir oben ist. Die erkennungsrate ist sehr schlecht, und wenns wirklich mal was erkennt, dann kann es komischer weise die Vire nicht löschen. Mal von den ganzen Werbe und Popupfenster abgesehen die einfach nur nerven


----------



## crooper (6. Juni 2009)

Fr3@k schrieb:


> Bei dem Tool "sysclean" musst du die einzelnen Pattern selber zusammensuchen auf der Homepage. Und dann alles in einen Ordner.


Danke für den Tip! 


Fr3@k schrieb:


> Mal so nebenbei, lass AVAST gleich auf dem PC drauf. Dann sollte sowas in Zukunft nicht mehr passieren. Antivir ist der letzte Müll, zu uns kommen ständig verseuchte PC wie dieser hier zu uns wo ein aktuelles Antivir oben ist. Die erkennungsrate ist sehr schlecht, und wenns wirklich mal was erkennt, dann kann es komischer weise die Vire nicht löschen. Mal von den ganzen Werbe und Popupfenster abgesehen die einfach nur nerven



Avast kommt gleich zum Schluss noch drauf. Sprichst du im Bezug auf Antivir aus eigener Erfahrung?

Ich habe auf dem Laptop mal Antivir installiert, da kein (!) Virenscanner installiert war. (Außer ein angeblicher Virenscanner, der eigentlich ein Trojaner mit im Peto hatte).

Anschließend nach dem ich Antivir zweimal durch gelaufen lassen hab, hat er insgesamt > 3.300 Viren, Würme und Trojaner gefunden! 

Danach hab ich die Programme, die du auf der ersten Seite angegeben hast nacheinander installiert und durch laufen gelassen.(Manche auch zweimal) Und jedes mal kammen neue Funde zwischen 20 und 100 dazu!

Das ist der Hammer der PC. Ich wundere mich schon, warum der jetzt immer noch startet, da ein Teil der verseuchten Dateien, System-Datein sind, die jetzt gelöcht sind. 

ich gehe mal davon aus, das keine "wichtigen" System Dateien befallen waren. Die meisten hatten sowieso eine komische Bezeichnung.


----------



## Bioschnitzel (6. Juni 2009)

Jop ich spreche aus Erfahrung. Damals haben wir unseren Kunden auch Antivir installiert. Mittlerweile deinstallieren wir es und machen Avast rauf. Bis jetzt für uns der beste Scanner. 

Es gibt sogar Viren die Antivir einfach deinstallieren xD


----------



## crooper (8. Juni 2009)

Das angeschlagene Notebook läuft jetzt wieder einwandfrei! Und das ohne eine Neuinstallation!  

Auf meinem Laptop hab ich Antivir gegen Avast antretten lassen. Zu erst hab ich den Avira Antivir die Platte komplett durch suchen lassen. Keine Funde! Danach den Avast (beide natürlich aktualliesiert und nicht parallel installiert, sondern nach einander) und siehe da, ein Trojaner. Ich werd jetzt auch bei Avast bleiben, da ich jetzt auch selber nochmal die Erfahrung gemacht habe.

Danke nochmal Fr3@k für deine Hilfe!


----------



## Bioschnitzel (8. Juni 2009)

Kein Problem  

Freut mich geholfen zu haben


----------

