Hallo, ich beschreiben im folgenden mal das Problem:
Der Rechner fährt zum Anmeldebildschirm problemlos hoch.
Man kann einen Login eintragen und das PW dazu.
Er startet die Oberfläche.
Problem:
Er meldet sich sofort nach dem Starten der Oberfläche wieder ab.
Welche Einstellung in der Registry beschert dieses Verhalten ?
Und ja, der Rechner war befallen.
Ist gesäubert worden und nun zeigt er noch dieses Verhalten!
Für alle die das Log sehen wollen:
Desweiteren würde ich den User ABC einfach löschen vom System, kann aber ohne Rechte als Admin auf dem Rechner ja nix machen, also nur Fernwartung, am externen Rechner mit befallener Platte.
Danke für Hinweise auch wenns nur Google Ergebnisse sind.
Ich steh meist auf dem Schlauch, nach den Suchbegriffen oder Schlagwörten für Probleme.
Der Rechner fährt zum Anmeldebildschirm problemlos hoch.
Man kann einen Login eintragen und das PW dazu.
Er startet die Oberfläche.
Problem:
Er meldet sich sofort nach dem Starten der Oberfläche wieder ab.
Welche Einstellung in der Registry beschert dieses Verhalten ?
Und ja, der Rechner war befallen.
Ist gesäubert worden und nun zeigt er noch dieses Verhalten!
Für alle die das Log sehen wollen:
Code:
D:\Dokumente und Einstellungen\ABC\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\70c078fa-4f770b85
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.em.1
--> dev/s/Bavarian.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.em.1
--> dev/s/Saxonia.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.em.2
--> dev/s/Silezia.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.em.3
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temp\a.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.CJA
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temp\1.7\le.dll
[FUND] Ist das Trojanische Pferd TR/Virtl.Antiav.AY
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temp\1.72\le.dll
[FUND] Ist das Trojanische Pferd TR/Virtl.Antiav.BP.9
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0YQG88SY\hosttrack[1].exe
[FUND] Ist das Trojanische Pferd TR/PCK.Katusha.N.829
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0YQG88SY\ss4[1].exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ARNLUQNS\microsoft64[1].exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ARNLUQNS\productinfo[1].dll
[FUND] Enthält Erkennungsmuster des SPR/Tool.176128.56-Programmes
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ARNLUQNS\vvs4[1].exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NYVI3LPN\avira64[1].exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NYVI3LPN\hosttrack64[1].exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NYVI3LPN\productinfo[1].dll
[FUND] Ist das Trojanische Pferd TR/DoubleD.176128
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\{D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2}\productinfo.dll
[FUND] Enthält Erkennungsmuster des SPR/Tool.176128.56-Programmes
Beginne mit der Suche in 'D:\MSOCache'
Beginne mit der Suche in 'D:\Program Files'
Beginne mit der Suche in 'D:\Programme'
Beginne mit der Suche in 'D:\WINDOWS'
D:\WINDOWS\system32\iebho03.dll
[FUND] Ist das Trojanische Pferd TR/PCK.Katusha.N.798
Beginne mit der Desinfektion:
D:\WINDOWS\system32\iebho03.dll
[FUND] Ist das Trojanische Pferd TR/PCK.Katusha.N.798
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fd8882d.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\{D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2}\productinfo.dll
[FUND] Enthält Erkennungsmuster des SPR/Tool.176128.56-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5742a7f7.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NYVI3LPN\productinfo[1].dll
[FUND] Ist das Trojanische Pferd TR/DoubleD.176128
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '051dfd1f.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NYVI3LPN\hosttrack64[1].exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6316b2de.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NYVI3LPN\avira64[1].exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '26a49fe8.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ARNLUQNS\vvs4[1].exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5989ad89.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ARNLUQNS\productinfo[1].dll
[FUND] Enthält Erkennungsmuster des SPR/Tool.176128.56-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '150d81c7.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ARNLUQNS\microsoft64[1].exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6919c1e0.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0YQG88SY\ss4[1].exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44b0eedb.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0YQG88SY\hosttrack[1].exe
[FUND] Ist das Trojanische Pferd TR/PCK.Katusha.N.829
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5d1bd54d.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temp\1.72\le.dll
[FUND] Ist das Trojanische Pferd TR/Virtl.Antiav.BP.9
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '31baf903.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temp\1.7\le.dll
[FUND] Ist das Trojanische Pferd TR/Virtl.Antiav.AY
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4003c091.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temp\a.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.CJA
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ed6f06f.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\70c078fa-4f770b85
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.em.3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0bfd892f.qua' verschoben!
Desweiteren würde ich den User ABC einfach löschen vom System, kann aber ohne Rechte als Admin auf dem Rechner ja nix machen, also nur Fernwartung, am externen Rechner mit befallener Platte.
Danke für Hinweise auch wenns nur Google Ergebnisse sind.
Ich steh meist auf dem Schlauch, nach den Suchbegriffen oder Schlagwörten für Probleme.