Supportnet Computer
Planet of Tech

Supportnet / Forum / WindowsXP

Safeboot ...und ausgetrickst!





Frage

Hallo, ich habe mir einen Trojaner eingefangen, trotz Norton-Antivirus. Vielleicht, weil ich immer noch nicht SP2 installiert habe? Jedenfalls rät mir Symantec u.a. Disable System Restore und restart in Safe mode. Füher ging das mit F8 heute muss man ja in der BOOT.ini safeboot anklicken. Will man es ausschalten, muss man das Häckchen wieder entfernen und hier liegt das Problem: Nach meinem Neustart wird das Passwort verlangt, welches ich eingebe aber leider nicht erkannt wird. Auch das Administratorenkennwort geht nicht.. Jetzt starre ich auf den Anmeldeschirm und komme mir reichlich verar...t vor. Wie komme ich denn jetzt aus der Nummer wieder raus..? Danke schon mal, Piero

Antwort 1 von Corleone12

Hi,

generell würde ich empfehlen, dringends SP2 zu installieren, und zudem die Updates zwecks Schließung der Sicherheitslöcher.

Kommen wir nun zu dem Problem mit dem Trojaner.
Das Antivirenprogramm von Symantec wird Dir da evtl. nicht mehr viel helfen.

Lade Dir folgende Tools herunter:

Escan ( Anleitung findest Du unter www.trojaner-info.de/hijacker/escan.shtml )

Spybot Search and destroy

Adaware

Hijack this


Installiere die Tools.

Falls Du über einen Router ins Internet gehst, so
unterbreche die Internetverbindung.

Starte dann im abgesicherten Modus und prüfe Dein System und alle Laufwerke auf Viren mit Escan, Spybot und Adaware.

Prüfe nach Erfolgreichem Abschluss dein Autostartverzeichnis auf Programme, die Dir spanisch vorkommen, und entferne die. Gebe in das Ausführen Feld den Befehl msconfig ein und entferne die Haken bei den Anwendungen, die da nicht sein sollten.
( Start / Ausführen)

Prüfe mit dem Programm Hijackthis, ob "böse" Einträge im Browser vorhanden sind. Anleitungen dazu werden auch im Internet zu ergoogeln sein.

Vorsicht: Dein System könnte nach diesen Schritten nicht mehr laufen, daher vorsicht.

Wenn Dein System stark virenverseucht ist, würde evtl. eine Neuinstallation mehr bringen.

In Zukunft dann mit anderen Browsern und E-Mail Programmen arbeiten, wie z.B. Firefox und Thunderbird.

Zudem dann mit einem eingeschränkten Benutzerkonto surfen.

Wichtig: Firewall verwenden!!!

Viel Glück.

Antwort 2 von Piero

Danke für Deine ausführliche Hilfe. Die würde mir sehr nützen, wenn.....
ich REINKOMMEN würde ;) Komme ich aber leider nicht.

Gruß,
Piero

Antwort 3 von Pausenfueller

Hallo,

bei XP-Home ist für gewöhnliche kein Passwort für den 'Administrator' angelegt. Bestätige einfach ohne Eingabe.
Dieser 'Administrator' ist ein anderer, als ein Benutzer mit Administratorrechten, selbst wenn der auch diesen Namen hat.

Gruß
Pausenfüller

Antwort 4 von Corleone12

Hi,

wenn Du F8 gedrückt hälst beim Booten..was passiert dann?

Funktioniert das nicht?

Dort gibts u.a. die Option "Letzte funktionierende oder so ähnlich Konfiguration starten".

Antwort 5 von tomsan

Zitat:
Füher ging das mit F8 heute muss man ja in der BOOT.ini safeboot anklicken.

Nö. Du kommst noch immer beim Hochfahren mit F8 in den Abgesicherten Modus von Windows.

Oder welchen "Safe Mode" meinst Du genau.


Gruss
Tomsan

Antwort 6 von Piero

Danke für eure Antworten.

Also wenn ich F8 drücke, erscheint das Festplatten-Auswahlmenü. Kannte ich
vorher auch noch nicht.

Mit Safemode meine ich den ganz normal abgesicherten Modus ;) und da es bei
mir mit F8 nicht funktionierte, habe ich mich an Symantecs Lösung gehalten und
mir dadurch schön ins Knie gef..schossen.

Antwort 7 von SevenOffNein

Piero,
Zitat:
Also wenn ich F8 drücke, erscheint das Festplatten-Auswahlmenü. Kannte ich
vorher auch noch nicht.

Du meinst das Menü zum Auswählen des Bootlaufwerkes? Dann musst du nur abwarten, bis der neumodische Kram wieder weg ist und dann F8 drücken.

Kommst du denn nun rein ins System mit des Pausenfüllers Tipp?


tomsan,

es gibt doch die Möglichkeit, über
msconfig -4
safeboot zu erzwingen. Für alle, die öfter safe booten wollen...


Gruß
Seven

Antwort 8 von Gonozal

Hi auch,
Symantec ist auch nicht mehr das was es mal war, außer dass das Programm irrsinnig Ressourcen verbraucht taugt es nicht wirklich weil die Updates zu spärlich und zu spät kommen.
Den einzigen Rat den man dir geben kann ist die Platte als Zweitplatte in ein anderes System zu hängen und dort den Virenscan durchzuführen, das hat den Vorteil dass keine Dateien gelocked sind und die Viren sicherer entfernt werden können.
Danach wird wohl eine Reparaturinstallation nötig sein (kann man in den FAQ lesen wie das geht).
Die Taste F8 funktioniert nach wie vor, du musst aber warten bis die Laufwerkserkennung durch ist, einige Boardhersteller haben unsinnigerweise auf die selbe Taste das Bootmenü des Boards gelegt :(

Gruß Gonozal

Antwort 9 von Piero

Ja, vielen Dank. Tatsächlich, wenn man nach der Bootlaufwerksauswahl
nochmal F8 drückt komme ich rein.. toll, warum gibt Symantec so einen blöden
Tip?

Leider komme ich aber trotzdem nicht weiter als bis zum Anmeldeschirm und
jedes oder auch kein Passwort ist falsch.

Dann bleibt mir wohl nur eine Reparaturinstallation.

Gruß,
Piero

Antwort 10 von Corleone12

Hi,

Ich fürchte ja, dass wenn Du jetzt schon Dich nicht mehr anmelden kannst, weil Dir das Anmeldepasswort von Windows fehlt,
wird Dir die Reperaturinstallation wohl auch wenig bringen, da Du dann danach noch immer nicht an Deine Daten heran kommst.

Oder werden etwa die Benutzerkonten hierdurch überschrieben?

Das wäre ja ein Sicherheitsloch ohne gleichen.

Neuinstallation hört sich besser an.

Vorher Daten sichern.

Antwort 11 von Piero

Gibt es denn keinen Passwortrausfinder auf Diskette?
Also sowas Blödes ist mir noch nie passiert.

Man soll einfach nicht auf jemanden hören, von dem man glaubt, dass er
Ahnung hat (Symantec). Mist.

Das Ganze ist ein Firmenrechner, ca. 3 Jahre alt, WinXP vorinstalliert und keiner
kennt das lokale Passwort.

Antwort 12 von AntiMs

Es gibt schon eine Möglichkeit um die Passwörter zu finden, ABER in der öffentlicher Form (wie hier im Forum) sollte es nicht gestellt werden.

Antwort 13 von Corleone12

Richtig..die gibt es, aber es ist schon merkwürdig, dass man plötzlich ein passwort eingeben muss, obwohl es vorher angeblich nicht der fall war. ;-)

Antwort 14 von robert.r

hallo erstmal,
also wenn ich bei meinem PC die F8 Taste beim booten drücke, kommt auch das Festplatten Auswahl Menü.

Probiere mal die F5 Taste beim booten gedrückt zu halten, ich komme nur über die F5 Taste in den Abgesicherten Modus.

Vielleicht funktioniert es ja auch so bei deinem PC.

mfg
robert

Antwort 15 von Piero

Mooooment, das ist hier ein offiziell gekaufter Firmenrechner. Ich habe auch
schon unseren EDV-Mann informiert. Der hat sich die Sache angeschaut und
dann mich und gesagt: Pech gehabt.
Ich habe mit der Firma telefoniert, die den Rechner gebaut hat und die
wiederum vergeben keine Passwörter. Also wenn einer ein Passwort vergeben
hat, dann ist es derjenige, der den Rechner ins Firmennetzwerk integriert hat.
Der gehört jetzt aber zu einer anderen Firma, das kostet Geld,wenn er kommt,
außerdem erinnert er sich auch nicht an ein Passwort, usw.

Ich hoffe, das war einigermaßen überzeugend. Ich suche schon mal die XP-
CD... oder ich google mal illegale Methoden zur Passwortwiederausgabe. Aber
was ist illegal daran, wenn ich z.B. mein eigenes Auto aufbreche..

Antwort 16 von corleone12

Hi,

war jetzt auch nicht als Verurteilung gedacht, aber da könnte im Prinzip jeder kommen.

Wenn das ein alter Firmenrechner ist, wäre eh
plattmachen und neu installieren vermutlich die beste Alternative. ;-)

Sonst eben paralell zweites Betriebssystem installieren und dann Daten sichern, oder mit ner Boot CD wie z.B. Knoppix die Daten retten, dann Platte neu formatieren usw.

Dann läuft die Kiste wieder.

Antwort 17 von corleone12

Achja: Es gibt natürlich Tools dafür..aber die zu besorgen, ist nicht so einfach, oder mit Kosten verbunden, und eine Neuinstallation ist nach ner Stunde oder 2 spätestens erledigt! ;-)

Antwort 18 von möpheim

nur mal so zwischendurch, wenn du im auswahlmenü bist wo du den abgesicherten modos anwählen kannst gibt es ja auch die möglichkeit "windows normal starten"....

das schon mal ausprobiert ob du dann wieder wie vorher auch auf den rechner zugreifen kannst ?

gruß, möp

Antwort 19 von Piero

"windows normal starten" geht leider auch nicht.

Eigentlich müsste ich doch nur an die Boot.ini kommen über die DOS-Ebene, geht das nicht?

Gruß,
Piero

Antwort 20 von Piero

Ich weiß, WINXP hat keine DOS-Ebene, aber gibt es eine Möglichkeit die cmd.exe per diskette zu starten..

Antwort 21 von möpheim

hm, du kannst dir evtl. bei nem bekannten am pc ne startdiskette erstellen und dann im dos-modus auf deinen pc zugreifen, aber das funktioniert nur wenn die festplatte (also laufwerk c:\) im format FAT oder FAT32 formatiert sind, ist deine festplatte im NTFS format kannst du die startdiskette vergessen weil die das net unterstützt.....

Antwort 22 von Pausenfueller

Hallo,

in der Wiederherstellungskonsole kannst du mit bootcfg die Boot.ini bearbeiten.

Gruß
Pausenfüller

Antwort 23 von Massaraksch

Mit der guten alten Nordahl-Bootdisk bzw. Boot-CD kannst du das Kennwort des Administrators entfernen.

@Pausenfüller
Für die Recovery-Console wird er ein PW brauchen... Woher nehmen, wenn nicht stehlen? ;o)

Massaraksch

Antwort 24 von Pausenfueller

Hi Massaraksch,

hast natürlich recht und eigentlich hätte ich auch selber daran denken sollen.

Aber so oft schrotte ich mein System nicht, und falls doch, dann so gründlich, dass die Wiederherstellungskonsole kein aktives System mehr erkennt und mich somit auch nicht nach einem Kennwort fragt. ;-) Von der CD gestartet arbeitet sie dann aber trotzdem.

Gruß
Pausenfüller

Antwort 25 von Pausenfueller

Hallo Piero,

dann frage doch mal den EDV-Mann der Firma, ob er eventuell irgendwo eine Live-CD mit Knoppix oder BartsPE rumkullern hat. Mit dieser könntest du dann den Rechner booten und die Boot.ini editieren. Wobei ich jetzt einfach mal davon ausgehe, dass dort der Ladeoptionsschalter /safeboot zu finden und durch /fastdetect ersetzt werden kann.

Zu dem Kennwortproblem habe ich eine mögliche Erklärung in der MS-KB308402 gefunden.
Zitat:
Dieses Problem kann auftreten, wenn Windows XP ursprünglich von einem Systemvorbereitungsabbild erstellt wurde oder Sysprep 2.0 auf dem Computer ausgeführt wurde. "Sysprep.exe" ändert die Art der Speicherung von Kennwortschlüsseln in der Registrierung, und diese Änderungen sind mit der Anmelderoutine der Wiederherstellungskonsole nicht kompatibel.
Beachten Sie, dass der Hersteller des Computers möglicherweise Sysprep verwendet hat, um Windows XP auf Ihrem Computer zu installieren.


Gruß
Pausenfüller

Antwort 26 von corleone12

Hi,

warum möchtest Du eigentlich an die Boot ini ran.

Die wird Dir bei Deinem Problem wohl nicht helfen.

Und bis heute immer noch nicht weitergekommen?

XP installieren und fertig..hätte eine Stunde gedauert.

Antwort 27 von SevenOffNein

@corleone
Zitat:
warum möchtest Du eigentlich an die Boot ini ran.

Die wird Dir bei Deinem Problem wohl nicht helfen.

Durch das Entfernen des Eintrags "safeboot" aus der boot.ini würde der PC wieder normal starten. Ist außerdem die Benutzeranmeldung ohne Kennworteingabe eingestellt, wovon man hier wohl ausgehen kann, müsste Piero wieder Zugriff auf das System erhalten.

Bart's PE könnte also durchaus helfen.

Gruß
Seven

Antwort 28 von corleone12

Ok..hab ich mal wieder was dazu gelernt!

Danke @Seven für die Info.

Antwort 29 von SevenOffNein

Mir ist gerade ein "kleiner Haken" bei der Sache aufgefallen.

Die schnelle Benutzeranmeldung (ohne Kennworteingabe) gilt, einmal eingestellt, für sämtliche Windows-Modi. Wird im normalen Modus kein Kennwort verlangt, dann ist das im abgesicherten Modus ebenso und umgekehrt. Das Bearbeiten der boot.ini "von außen" dürfte demzufolge hier gar nichts bringen.

Sorry, corleone, doch nix dazu gelernt. ;-)

Antwort 30 von corleone12

Heul!
Und ich dachte, mein Gehirn hat sich erweitert.

Also doch:

Rechner platt machen, neu installieren. :-)

Antwort 31 von Piero

Erstmal Danke für die vielen Tips! Ich experimentiere gerade mit der Nordal-CD - Danke Massaraksch und bin nur noch wenige Klicks vom Ergebnis entfernt. Danke auch an Pausenfüller, so war das wohl. Und zu guter Letzt Danke ich meiner Mutter für...

Sicher eine Neuinstallation wäre schneller gegangen, aber diesen Triumph gönne ich unserem EDV-Mann nicht! Ich komm da auch so rein und entziehe ihm seine Daseinsberechtigung ;O

Gruß,
Piero

Antwort 32 von Pausenfueller

Viel Glück und berichte dann mal.

Gruß
Pausenfüller

Antwort 33 von corleone12

Ok: Resumee

Gelernt, wie man Passwörter zurücksetzen kann

Gelernt, dass Norton nichts taugt

Virus ist noch nicht entfernt

Good night!

Antwort 34 von Piero

JAAAAAAAAAAAA!!!! ICH-BIN-WIEDER-DRIN!!!
Danke Massaraksch und In-Your-Face-EDV-Mann!!

Toll!

Aber es stimmt Corleone12, da war doch noch was.. der Sch..Trojaner, der mir diese Suppe überhaupt eingebrockt hat.

Zum Glück - ist das alles Arbeitszeit ;)

Schönes Wochenende,
Piero

Ich möchte kostenlos eine Frage an die Mitglieder stellen:


Ähnliche Themen:


Suche in allen vorhandenen Beiträgen: