Soweit so schön, würde denn jetzt alles wieder wie üblich funktionieren. Tat es natürlich nicht. Jedes Mal wenn man sich bei Windows angemeldet hat, wurde man prompt wieder abgemeldet.

Auf der Suche nach dem Schuldigen

Die erste Analyse des Problems ist schnell abgeschlossen. Etwas muss sich in den Anmeldeprozess eingebunden haben, und wird nun jedes Mal beim Anmeldeprozess mit ausgeführt bzw. fehlt dank unserer Reinigung und der Anmeldeprozess schlägt deswegen fehl.

Möglichkeit 1:

Der Schädling hat die userinit.exe manipuliert und wird darüber gestartet. Sollte bei neueren Windows Versionen nicht mehr möglich sein, aber man weiß nie.

Kopiert die userinit.exe eines sauberen PCs in euer Windows\System32 Verzeichnis und startet den PC.  Nach der hoffentlich erfolgreichen Anmeldung, solltet ihr die Kommandozeile als Administrator, und mit folgendem Befehl eine Überprüfung der Systemdateien starten.

sfc /SCANNOW

Sollten weitere Dateien verändert worden sein, so müssten sie hierdurch erkannt und durch die richtigen Versionen ersetzt werden.

Möglichkeit 2:

Ein Trick der schon unter Windows 9x sehr beliebt bei Virenautoren war, ist die Liste der  zu startenden Programme zu erweitern. Bei Windows 9x musste man die win.ini bzw. system.ini ändern, ab Windows 2000 läuft das ganze jedoch über die Registry. Sucht den folgenden Schlüssel und prüft den Inhalt von Userinit.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Der Wert sollte normalerweise wie folgt lauten, achtet auf das Komma am Ende.

C:\WINDOWS\system32\userinit.exe,

Möglichkeit 3:

Eine weitere Möglichkeit, welche in diesem Fall zutraf, ist das starten als Debugger. Sobald das eigentliche Programm ausgeführt wird, wird unser Schädling mitgestartet.

Sucht in der Registry den folgenden Schlüssel und löscht ihn inkl. aller enthaltenden Werte.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe

Wollt Ihr Wissen an welcher Stelle sich der Schädling befindet, so findet Ihr den kompletten Pfad in dem Eintrag Debugger unterhalb des vorher genannten Schlüssels.

Wie soll ich die Registry ändern, ich kann mich gar nicht anmelden?

Das ist natürlich ein Problem. Normalerweise bearbeitet man mit regedit die Registrierung. Das steht uns leider nicht zur Verfügung, da die Anmeldung  selbst im abgesicherten Modus fehlschlägt.

Abhilfe schaffen die Ultimate Boot CD und die Ultimate Boot CD for Windows. Beide liefern Registry Editoren mit, die ein Anmelden an Windows unnötig machen.

Man führe sich das vor Augen: Weil Firmen bislang scheuen auf den IE7, IE8, Firefox, Opera, Google Chrome oder Apple Safari zu wechseln, um Unternehmensanwendungen in ihrer Funktion nicht zu gefährden, müssen wir armen Webentwickler uns weiterhin mit diesem besch…eidenen Browser rumschlagen.

Dabei wäre doch genau jetzt die Gelegenheit den Umstieg zu beginnen. Dadurch das viele Firmen aufgrund von Kurzarbeit wie leer gefegt wirken, werden die Softwareentwickler nicht durch unnötige Support Anfragen genervt, die man mit ein wenig gesundem Menschenverstand selbst lösen könnte.

Alternativ sollte ich vielleicht von Webentwicklung auf reguläre Desktop Programme umsteigen … wobei, da darf man sich ja mit alten und neuen Betriebssystem auseinandersetzen … hat halt alles Vor- und Nachteile.