"Sie dürfen sich aufgrund einer Kontenbeschränkung nicht anmelden"

Dieses Thema "Sie dürfen sich aufgrund einer Kontenbeschränkung nicht anmelden" im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Necr0manzer, 3. Sep. 2008.

Thema: "Sie dürfen sich aufgrund einer Kontenbeschränkung nicht anmelden" Hallo, ich habe seit einigen Tagen den Trojaner Vundo auf meinem Rechner und hab ich nicht losbekommen, zumal Avira...

  1. Hallo,
    ich habe seit einigen Tagen den Trojaner Vundo auf meinem Rechner und hab ich nicht losbekommen, zumal Avira die permanent upgedateten Dateien nicht erkennt. (Erste Infektion war am 30.08, heute habe ich DLLs entdeckt, die erst seit heute Morgen bei wenigen Antivirenherstellern bekannt sind... Auch Vundofix fand keine infizierten Dateien - dass es sich überhaupt um Vundo handelt weiß ich nur dank Virustotal.)
    Deshalb habe ich versucht die Dateien per Hand mittels KillBox zu entfernen (Delete on Reboot und Unregister DLL aktiviert, da sich einige Dateien normal nicht löschen ließen.), aber das hat nie ganz funktioniert. Nach wenigen Stunden hatte ich den Trojaner wieder drauf.
    Deshalb bin ich in den abgesicherten Modus gegangen, habe mir die Namen der DLLs notiert, sämtliche Hinweise auf diese in der Registry gelöscht und neuen DLLs versucht mittels KillBox zu löschen.
    Das Programm fragte mich, ob ich jetzt neustarten wolle (da die Dateien beim Reboot zu löschen sind), was ich mit JA beantwortete. Kurz vor dem Reboot kam dann von Killbox folgende Fehlermeldung: pending file rename operations registry data has been removed by external process.
    Mittels Unlocker 1.8.3 stellte ich fest, dass 2 der DLLs von lsass.exe und explorer.exe verwendet werden und habe versucht diese Programme bzw die DLL zu unlocken.

    Daraufhin kam eine schöne Fehlermeldung von Windows, dass lsass.exe abgestürzt sei und der Rechner in 60 Sekunden neugestartet werden müsse; explorer.exe war zu dem Zeitpunkt auch abgestürzt und in Unlocker war nun das Programm rundll32.exe anstatt der beiden anderen zu sehen. (In der Registry waren die DLLs immer mittels rundll32.exe im Autostart drin!)

    Naja, Moral der Geschichte: Wenn ich mich jetzt versuche im Abgesicherten Modus anzumelden (ohne Remotedingens!) gehts nicht - weder als Admin, noch mit normalem Konto... Und im Standardmodus geht das auch nicht. Ich habe kein Passwort gesetzt, dennoch verlangt er von mir eine Eingabe.

    [br][blue]*PCDpan_fee: Verschoben aus "Windows XP"*[/blue]
     
  2. http://forum.hijackthis.de/showthread.php?t=18415

    oder schrauber weiss was besseres... ;)

    ich würde als allererstes mein image zurückschreiben und oder oder/und die registrierung des vortages und ruhe wär.
    aber system-images sind in aller regel offensichtlich luxus....
     
  3. Wiegesagt - Vundofix hat nichts gefunden. Infiziert ist mein Rechner aber definitiv mit Vundo, sonst würden sich ja nicht permanent neue DLLs dieses Trojaners im system32 Ordner und den HKLM/../run Registryeinträgen tummeln.
    Außerdem nützt mir eine solche Anleitung (Welche übrigens total veraltet ist! Der Trojaner hatte bei mir ein anderes Verhalten bzgl Registryeinträge.) nichts, wenn ich mich nicht anmelden kann.

    :-\
     
  4. Letzte funktionierende Konfiguration funktioniert schonmal nicht - immernoch der selbe Fehler.

    Dann werd ichs wohl nochmal mit diesem mir-ach-so-gut-bekannten KB Artikel versuchen - hat bei einem anderen Problem schon mal nicht funktioniert aber ewig lang gedauert =/
     
  5. du musst eben wissen, wann der angriff stattfand. ich kann dir leider nichts anderes schreiben. du hast offenbar keinen systemwiederherstllungspunkt und kommst auch nicht ans windows, also musst du diesen steinigen weg wohl gehen.

    ich erledige sowas in wenigen minuten mit bartxpe mit integriertem total commander oder mit dem zurückschreiben einer funktionierenden registrierung mit erunt oder zurückschreiben eines system-images. aber was rede ich...

    du bist ja nicht allein, das forum ist voller solcher anfragen und es wird erst über eine sicherheitsstrategie nachgedacht (wenn überhaupt), wenn das kind bereits in den brunnen gefallen ist.

    meistens macht nicht mal schaden klug....
     
  6. Der wird nur wahrscheinlich nicht funktionieren. Denn bekanntlich muss man sich auch an der Wiederherstellungskonsole als Administrator anmelden. Und wenn das unter Windows nicht geht, geht das sicher auch in der Wiederherstellungskonsole nicht. :) Ich würde also schon mal über eine Neuinstallation nachdenken.
     
  7. In der Wiederherstellungskonsole habe ich keine Probleme mich anzumelden - da akzeptiert er, dass ich kein Passwort habe Oo
    Soweit so gut, den Rechner habe ich glücklicherweise (?) erst vor 4 Monaten neu installiert... ::)
     
  8. dann nimm die 2. möglichkeit aus meinem wintotal-link (der untere).
     
  9. Bin gerade dabei, allerdings liegt der früheste snapshot Ordner am Tag der Infektion ... Hatte Ad-Aware installiert, weil mein Antivir ja nichts brauchbares angezeigt hatte.
    Trotzdem seltsam, ich habe die Systemwiederherstellung nämlich AFAIK nie deaktiviert.
     
Die Seite wird geladen...

"Sie dürfen sich aufgrund einer Kontenbeschränkung nicht anmelden" - Ähnliche Themen

Forum Datum
Wegen einer Kontenbeschränkung dürfen Sie sich... Windows XP Forum 8. März 2005
Wie hoch dürfen bestimmte Hardwaretemperaturen sein ? Hardware 17. Mai 2008
User dürfen Hintergrundbild nicht ändern - Wie komplett verhindern? Windows XP Forum 19. Okt. 2007
Welche Bilder wenn überhaupt dürfen als Avatar verwendet werden ? Windows XP Forum 15. Juni 2007
Rechner soll ins Netzwerk, aber nicht ins Internet dürfen Windows XP Forum 14. Juni 2007