Windows Login/sofort Abmeldung

[tobomator]

Hallo, ich beschreiben im folgenden mal das Problem:

Der Rechner fährt zum Anmeldebildschirm problemlos hoch.
Man kann einen Login eintragen und das PW dazu.
Er startet die Oberfläche.

Problem:

Er meldet sich sofort nach dem Starten der Oberfläche wieder ab.

Welche Einstellung in der Registry beschert dieses Verhalten ?

Und ja, der Rechner war befallen.
Ist gesäubert worden und nun zeigt er noch dieses Verhalten!
Für alle die das Log sehen wollen:

Code:

1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:
63:
64:
65:
66:
67:
68:
69:
70:
71:
72:
73:
74:
75:
76:
77:
78:
79:
80:
81:
82:
83:
D:\Dokumente und Einstellungen\ABC\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\70c078fa-4f770b85
[0] Archivtyp: ZIP
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.em.1
--> dev/s/Bavarian.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.em.1
--> dev/s/Saxonia.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.em.2
--> dev/s/Silezia.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.em.3
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temp\a.exe
    [FUND]      Ist das Trojanische Pferd TR/Drop.Agent.CJA
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temp\1.7\le.dll
    [FUND]      Ist das Trojanische Pferd TR/Virtl.Antiav.AY
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temp\1.72\le.dll
    [FUND]      Ist das Trojanische Pferd TR/Virtl.Antiav.BP.9
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0YQG88SY\hosttrack[1].exe
    [FUND]      Ist das Trojanische Pferd TR/PCK.Katusha.N.829
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0YQG88SY\ss4[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ARNLUQNS\microsoft64[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ARNLUQNS\productinfo[1].dll
    [FUND]      Enthält Erkennungsmuster des SPR/Tool.176128.56-Programmes
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ARNLUQNS\vvs4[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NYVI3LPN\avira64[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NYVI3LPN\hosttrack64[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NYVI3LPN\productinfo[1].dll
    [FUND]      Ist das Trojanische Pferd TR/DoubleD.176128
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\{D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2}\productinfo.dll
    [FUND]      Enthält Erkennungsmuster des SPR/Tool.176128.56-Programmes
Beginne mit der Suche in 'D:\MSOCache'
Beginne mit der Suche in 'D:\Program Files'
Beginne mit der Suche in 'D:\Programme'
Beginne mit der Suche in 'D:\WINDOWS'
D:\WINDOWS\system32\iebho03.dll
    [FUND]      Ist das Trojanische Pferd TR/PCK.Katusha.N.798

Beginne mit der Desinfektion:
D:\WINDOWS\system32\iebho03.dll
    [FUND]      Ist das Trojanische Pferd TR/PCK.Katusha.N.798
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fd8882d.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\{D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2}\productinfo.dll
    [FUND]      Enthält Erkennungsmuster des SPR/Tool.176128.56-Programmes
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5742a7f7.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NYVI3LPN\productinfo[1].dll
    [FUND]      Ist das Trojanische Pferd TR/DoubleD.176128
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '051dfd1f.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NYVI3LPN\hosttrack64[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6316b2de.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NYVI3LPN\avira64[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '26a49fe8.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ARNLUQNS\vvs4[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5989ad89.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ARNLUQNS\productinfo[1].dll
    [FUND]      Enthält Erkennungsmuster des SPR/Tool.176128.56-Programmes
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '150d81c7.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ARNLUQNS\microsoft64[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6919c1e0.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0YQG88SY\ss4[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44b0eedb.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0YQG88SY\hosttrack[1].exe
    [FUND]      Ist das Trojanische Pferd TR/PCK.Katusha.N.829
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5d1bd54d.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temp\1.72\le.dll
    [FUND]      Ist das Trojanische Pferd TR/Virtl.Antiav.BP.9
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '31baf903.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temp\1.7\le.dll
    [FUND]      Ist das Trojanische Pferd TR/Virtl.Antiav.AY
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4003c091.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Temp\a.exe
    [FUND]      Ist das Trojanische Pferd TR/Drop.Agent.CJA
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ed6f06f.qua' verschoben!
D:\Dokumente und Einstellungen\ABC\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\70c078fa-4f770b85
    [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.em.3
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0bfd892f.qua' verschoben!

Desweiteren würde ich den User ABC einfach löschen vom System, kann aber ohne Rechte als Admin auf dem Rechner ja nix machen, also nur Fernwartung, am externen Rechner mit befallener Platte.

Danke für Hinweise auch wenns nur Google Ergebnisse sind.
Ich steh meist auf dem Schlauch, nach den Suchbegriffen oder Schlagwörten für Probleme.

[Orothred]

Schonmal im abgesicherten Modus hochgefahren?

[tobomator]

kann man nicht, wird per menu nicht angeboten oder ist ausgeschalten worden.

Desweiteren kann ich nicht als Admin fungieren, da ich keine Daten kenne.

Ich kann also nur per Fernzugriff arbeiten

[Orothred]

Der abgesicherte Modus ist ausgeschalten? Hab ich ja noch nie gehört.....

Du weißt aber schon wie man den Modus starten würde, wenn er da wäre, oder?

[tobomator]

Beim Hochfahren F-Taste fürs Bootmenü und dann zum Abgesicherten Modus gehen und Enter.
Denke ja

Hilft mir aber nicht weiter. Oder Du liest nicht richtig.
ICH HABE KEINE ADMIN RECHTE UND WERDE AUCH KEINE HABEN
DA ICH KEINE ADMIN DATEN HABE!

[Orothred]

Ich kann dir schlecht das Admin-Kennwort für den Rechner nennen....oder was erwartest du jetzt von uns? ^^

[tobomator]

Ich habe doch nur gefragt:

Weiß jemand, wo man in der Registry einstellt, das ein automatisches Abmelden egal welcher User sich anmeldet, verhindert werden kann, mit einem gekippten Bit 0|1 oder anders herum oder welchen Eintrag ich löschen muss, oder hinzufügen muss plus Wert...

Sowas wäre hilfreich.

Das dümmste wäre, mach doch einfach platt.
Klar ist das einfachste.

[Orothred]

Na ja, wenns so einfach ist:

http://lmgtfy.com/?q=registry+automatisches+abmelden

[tobomator]

Danke, für die Googleschlagworte.
Ich werde morgen noch weiter lesen.

Vielen Dank!

[Orothred]

Nur noch als Tipp: Schon das erste Suchergebniss sollte dir weiterhelfen

[Tranceangel]

Schonmal versucht die ADMIN-Daten auszulesen?

[tobomator]

Das Thema ist gegessen.

Admin Daten auslesen ist totaler schwachsinn in diesem Fall!

[LasMiranda]

Zitat:

Zitat von tobomator

Das Thema ist gegessen...

Durch Neuformatierung? Und Auslesen gänge sowieso nicht so toll. Neu setzen wäre wesentlich einfacher.