Windows Vista und ein vermurkstes Benutzerprofil

Heute sprach mich eine Kollegin ganz verzagt von der Seite an und brachte mir mit verzweifelter Mine ihr aktuelles PC-Problem näher. Welches folgende Symptomatik aufwies:

Ihr Sony Vaio Notebook - bestückt mit Windows Vista Home Premium - bootete zwar brav bis zum Anmeldebildschirm, jedoch erschien nach der Eingabe des Passwortes an ihrem Standard-Account:

Die Anmeldung des Dienstes "Benutzerprofildienst" ist fehlgeschlagen. 
Das Benutzerprofil kann nicht geladen werden.

Mysteriös, dachte ich mir und nahm mich der Sache an. Zuerst ging ich mal nach Standardverfahren vor; Windows im Abgesicherten Modus starten → Anmeldung klappt. Ein Balloontip ploppt auf und teilt mir mit, dass das Benutzerprofil nicht ordnungsgemäß geladen wurde und ich nun mit einer Kopie des Default-Profiles angemeldet bin. Als nächstes habe ich mir die Rechte des Profil-Verzeichnisses angeschaut; der Besitzer ist SYSTEM, das wird doch gleich mal geändert! Nix da, die Tools, die die Registerkarte „Sicherheit“ zur Verfügung stellt, maulen alle → keine Berechtigung. Software lässt sich nicht deinstallieren (es waren McAfee und Norton installiert, schlimmer geht es ja kaum noch!), die Ereignisanzeige teilt mir mit, dass das Benutzerprofil nicht geladen werden konnte (langsam wurde ich sauer, ein alter Hut, die Meldung und ohne wertvollen Inhalt) und stürzte beim Aufklappen der XML-Detailansicht prompt ab. So viele Exceptions werfen nicht mal meine Programme :-D Gut, mit der Oberfläche ging es also nicht voran, das Administrator-Konto muss her! Ach, Moment… Vista. Standardmäßig deaktiviert. Und die Verwaltungs-Snap-Ins funktionieren alle nicht. Dreck. Moment. Was klimpert denn da am Schlüsselbund? Ha! Mein magischer USB-Stick, bestückt mit einem Image der SystemRescueCD wartet nur noch auf seinen Einsatz. Schnell in eine Mini-Distro mit dem Helferlein ntpasswd gebootet und los ging der Spaß: Administrator-Konto freigeschaltet und Passwort sicherheitshalber entfernt. Neustart → das Admin-Konto lächelt mich an =) Also angemeldet, den unnötigen Krempel gleich mal deinstalliert inklusive der maroden Anti-Viren-Lösungen → WLAN angeworfen; Internetzugang! Google bemüht und Lösung1) für das Hauptproblem gefunden:

Registry

  1. regedit angeworfen.
  2. Zum Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList navigiert.
  3. Hier finden sich die Basiseinstellungen aller Benutzerkonten, der Eintrag des eigenen Kontos sollte in etwa so aussehen: S-1-5-21-2039965847-2787210737-2020049469-1000. Bei ihr jedoch hatte scheinbar irgendein (Schad-)Programm diesen Eintrag kopiert und ihm die Endung .bak verpasst und im Original den Schlüssel ProfileImagePath verstümmelt, sodass natürlich kein gültiges Konto mehr gefunden werden konnte. Fies, das.
  4. Schließlich habe ich den Eintrag wieder so umbenannt wie er lauten sollte.
  5. Der Reboot zeigte, dass ich richtig lag; das Konto wurde ohne Zicken geladen. Fast jedenfalls :-)

Dateisystem

Nun wurde ich mit Fehlermeldungen überhäuft: Zugriff auf dies und das verweigert. Klar, die NTFS-Berechtigungen waren ebenfalls verstellt (was da wohl am Werk war…), also Neustart (schon wieder) in den Abgesicherten Modus mit allen Rechten und dem Profilordner erst mal eine neue Besitzerin aufgezwungen und die alten Einträge gleich alle mit vererbt und überschrieben. Lief ohne Fehler durch, perfekt!

Administrator

Nun schnell noch das Admin-Konto wieder verstecken, am einfachsten mit dem Kommandozeilenbefehl:

net user Administrator /active:no

Danach abgemeldet und am eben reparierten Konto angemeldet. Schwups, die nächste Fehlermeldung: rundll32 mault rum, es habe keine Zugriffsrechte (argh) auf eine DLL mit sonderbarem Namen. Da wuchs das Misstrauen…

Anti-Virus

Nun wird es aber Zeit die Massenvernichtungswaffe zu starten: AVG Antivirus drauf geschmissen, updaten lassen und scannen. Siehe da, die DLL ist gar nicht so unschuldig wie sie aussieht, irgendein Trojanisches Pferd. Eines von vielen, wie der Scan offenbarte. War die Dame scheinbar ohne ausreichenden Schutz auf diversen „ominösen“ Websites, mit dem Internet Explorer versteht sich ;-) Der ganze Dreck wurde nun auch noch weggefegt, das System läuft wieder.

Rêsumê

Das bestätigt mich mal wieder; ohne Stick mit SystemRescueCD gehe ich nicht mehr aus dem Haus :-D Und man konnte wieder einmal einem verzweifelten Nutzer helfen. Ich hoffe das besagte Fläschchen kommt bald an, hihi ^_^

Kommentare