[Win 7] Vreemd login-scherm na telefoontje 'microsoft'

Een kennis van me werd gebeld door 'Microsoft' en liet de 'medewerker' fijn zijn gang gaan op zijn PC.
Na ongeveer anderhalf uur was de mederwerker klaar.
Daarna werd gevraagd om een bepaald bedrag over te maken om de 'problemen' verder op te lossen.
Toen kreeg hij agrwaan en hing op.
Al met al, geen handige actie van de goede man

Sindsdien heeft hij een Windows '98-Style login scherm, voordat het 'normale' Windows 7 aanmeldscherm in beeld komt.




Eerst heb ik de pc laten scannen door ComboFix, MBAM en Norton Antivirus.
Die vinden nu allemaal niks meer, dus ga ik er van uit dat de pc nu virusvrij is.
Ik heb eigenlijk wel zo'n beetje alles nagelopen waar iets van rommel kon zitten.
Temp mappen leeg gemaakt, bij C:\Programdata gekeken, ook niets meer
Start menu --> opstarten, ook leeg
(Beide natuurlijk bekeken met verborgen + systeembestanden zichtbaar)

Ik heb bij de netwerkprotocollen gekeken, misschien stond daar wat raars tussen, maar helaas, gewoon de standaard dingen die altijd bij Windows 7 staan.
Ook in de softwarelijst staat niets opvallends.

Het lijkt op een of ander login script ofzo, maar omdat het de Home Premium versie is, is gpedit enz niet aanwezig waardoor ik niet weet waar ik het nu moet gaan zoeken

NoFearCreations schreef op maandag 04 februari 2013 @ 11:27:
Ik zou toch een reinstall overwegen, grote kans dat de PC nu aan een botnet hangt.

Daar was ik al bang voor... Neemt natuurlijk meer werk met zich mee dat het login schermpje er uit poetsen. De vraag is inderdaad of je die PC nog wel wil gebruiken.

Verwijderd schreef op maandag 04 februari 2013 @ 11:27:
Bij het booten op F8 drukken en dan Systeemherstel uitvoeren naar een moment voordat iemand aan de gang ging op die pc?
En daarna een herinstall.

Ik was vergeten te vermelden dat we gewoon kunnen inloggen met dat schermpje.
Met hetzelfde wachtwoord als het wachtwoord wat we gebruiken om in Windows te komen.
Dus zal wel uitdraaien op herinstallatie. Thnx voor de snelle reacties!

wat ook vreemd is, is dat als ik drie keer verkeerd inlog in dat 'vreemde' scherm, dan reboot de pc en wil die systeemherstel gaan uitvoeren.
Ik vraag me af welke mappen/registersleutels gestart worden voordat Windows zijn eigen login scherm begint te laden. Aan de hand daarvan zou ik wel nog kunnen zien waar het zit of hoe het heet.
Altijd goed om te leren van dit soort dingen.
De herinstallatie zal hoe dan ook uitgevoerd moeten worden

Hero Of Time schreef op maandag 04 februari 2013 @ 11:54:
Trek ook gelijk de PC van 't netwerk af. Zonder netwerk geen internet, geen internet, geen toegang voor vreemde zaken uitvoeren.

already done, great minds think alike
Ik heb zojuist ook nog even gekeken in de taakplanner, maar ook daar was niet echt wat terug te vinden

driedees schreef op maandag 04 februari 2013 @ 11:59:
DaaNium wil het volgens mij uit nieuwsgierigheid uitzoeken, puur om ervan te leren.

Precies dat!

Thralas schreef op maandag 04 februari 2013 @ 14:10:
Het is me niet geheel duidelijk hoe je het scherm nu hebt gebypassed. Safe mode?

Waarschijnlijk is er of een registerentry aangemaakt, of er is een Windowscomponent vervangen...

Zie ook: http://www.silentrunners.org/sr_launchpoints.html (het vbs-script ziet er handig uit)

Ah yes, dit soort overzicht zocht ik.
Ik ga weer eens stoeien.
Voor toekomstige zoekresultaten zal ik mijn bevindingen hier posten, zoals eerder gezegd gaat de PC netjes opnieuw geinstalleerd worden

Eagle Creek schreef op maandag 04 februari 2013 @ 14:39:
Het wachtwoordscherm dat daar getoond wordt heeft te maken met de beveiliging van de accountdatabase. Dit is een ingebouwde functie van Windows (en dus geen malware of rare registeraanpassing of script) die al zeker sinds NT4.0 aanwezig is.

Je kunt het instellen door het programma "syskey.exe" uit te voeren.

An sich kan de versleuteling geen kwaad. De versleuteling is na inschakeling niet meer uit te schakelen maar het wachtwoord is wel aan te passen. Uit je bericht begrijp ik dat het wachtwoord ook bekend is.

Als dit de enige wijziging is die gemaakt is op de pc, dan is het leeglaten van het wachtwoord wellicht voldoende om van het scherm af te komen. Zolang er geen andere wijzigingen zijn gemaakt (met name: programma's zijn geïnstalleerd) is het systeem volkomen veilig te gebruiken.

Kijk dit is waarom ik de vraag hier op Tweakers stel
Dit is precies wat ik zocht, en wat het scherm veroorzaakt.
Blijkbaar kun je het niet meer uitzetten als het eenmaal aangezet is, maar je kunt het wel zonder tussenkomst van de gebruiker laten inloggen.
Super bedankt voor het verlossende (ant)woord

Eagle Creek schreef op maandag 04 februari 2013 @ 14:39:
Het wachtwoordscherm dat daar getoond wordt heeft te maken met de beveiliging van de accountdatabase. Dit is een ingebouwde functie van Windows (en dus geen malware of rare registeraanpassing of script) die al zeker sinds NT4.0 aanwezig is.

Je kunt het instellen door het programma "syskey.exe" uit te voeren.

An sich kan de versleuteling geen kwaad. De versleuteling is na inschakeling niet meer uit te schakelen maar het wachtwoord is wel aan te passen. Uit je bericht begrijp ik dat het wachtwoord ook bekend is.

Als dit de enige wijziging is die gemaakt is op de pc, dan is het leeglaten van het wachtwoord wellicht voldoende om van het scherm af te komen. Zolang er geen andere wijzigingen zijn gemaakt (met name: programma's zijn geïnstalleerd) is het systeem volkomen veilig te gebruiken.

Het is dus op zich niets nieuws, maar via "syskey.exe" zetten ze dit wachtwoord er op.
Via Systeem herstel kun je weer terug, werkt prima.
Systeem herstel in Windows 8 kan echter wat omslachtig zijn.
Je zou het als volgt aan kunnen pakken;
- Computer aan zetten, en als het Windows logo op het scherm komt, je aan/uit-knop ingedrukt houden tot je computer uit gaat.
- Doe dit drie keer, en Windows zal 'automatisch herstel' gaan uitvoeren
- Daar kun je kiezen voor systeem herstel