#1 5. März 2006 Wie einige schon wissen ahbe ich ein Problem mit einem Wurm. Mittlerweile weiss ich das es Winlogon Notify ist der den größten Schaden macht. Ich habe versucht mit Killbox die Datei ir4ql5h51.dll zu löschen aber bei jedem Neustart ändert sich der Name. Ausserdem weiss ich das mein Taskmanger vom andern Programm Blockiert wird. Der Befehl gpedit.msc wird nicht gefunden vieleicht wurde der gelöscht. Und wenn ich cmd oder regedit ausführen will kommt die Meldung keine zulässige Win32 Anwendung. Wenn ich aber Adaware durchlaufen lasse funktioniert der Befehl wieder. Doch beim nächsten Neustart ist es wieder eine unzulässige Win32 Anwendung. Durch Killbox kann ich sehen das die Winlogon.exe ausgeführt wird. Aber ich kann es nicht beenden. Mit dem Befehl msconfig habe ich beim Systemstart Winlogon ausgestellt. Doch es wird trotzdem immer ausgeführt. An die Mods: Habe die such Funktion benutzt aber nix gefunden. Und bei googel habe ich nur das rausgefunden was ich oben beschrieben habe. + Multi-Zitat Zitieren
#2 5. März 2006 Mh ich glaube da haste dir noch n schönes "rootkit" gefangen, oder n Wurm der ähnliches zeigt. Die Datei die dich "ansteckt" bleibt immer im Hintergrund, deswegen ist der Wurm nach dem entfernen auch wieder da. Hilft meiner Meinung nach nur Festplatte und OS aus, System mit Live CD booten und säubern oder Daten retten und format! Infos zum Vorgehen gegen Malware findet man hier und bei Google ohne Probleme, wir haben zum Beispiel einen Sticky im H&S Bereich "Update: Allgemeine Infos zu Spyware, Firewalls und SecuritySuites!" der da auch schon helfen könnte! + Multi-Zitat Zitieren
#3 5. März 2006 Ich empfehle dir folgendes, wenn du dein System unbedingt retten willst: 1. Abgesicherter Modus hochfahren (F8) 2. Hijackthis --> log hier posten 3. Process Explorer --> den Process killen 4. Autorun --> winlogon damit löschen 5. escann durchlaufen lassen 6. wenn der wurm weg is 7. von win cd booten und system reparieren Die Programm findest du: Hijack this Process Explorer und Autorun escan hoffe es hilft was... ansonsten hilft vieleicht noch nen boot von na Knoppix Live-Cd und dann gewisse sicherheits tools durchführen.... Im Linux forum findest du dazu Support mfg + Multi-Zitat Zitieren
#4 5. März 2006 Hab das Problem mal in einem andern Security Board diskutiert. Dabei kam folgendes raus: deine fehlerbeschreibung entspricht dem selben problem mit dem ich gestern zu tun hatte. es handelt sich wohl um die neueste version der spyware Look2Me und wird anscheinend von einem RBot nachgeladen. das ding ist nervig. es ist keine garantie, aber versuchs mal hiermit: zuerst den wurm selbst entfernen und alles andere was er nachgeladen hat. nachdem das _alles_ weg ist, geh in den abgesicherten modus, starte regedit und such nach: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\URL] es sollte sowas hier drin stehen: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\URL] "Asynchronous"=dword:00000000 "DllName"="C:\\WINDOWS\\system32\\irnql5551.dll" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" wobei statt irnql5551.dll auch ir4ol5h31.dll , lv8m09l1e.dll oder sonstwas dranstehen könnte. lösch den ganzen eintrag \URL und starte neu. + Multi-Zitat Zitieren
#5 5. März 2006 Winlogon Notify ist ein hacktool...das löschen der dll bringt garnix...versuch folgende schritte ---- hier mal 4 mögliche lösungen ----- 1.) => lad die knlps13 von holy_father => kill die aktive winlogon.exe => lösche die dll der des hacktools => danach den PC NICHT normal herunterfahren, drücke einfach reset 2.) net stop drct16 versuchen 3.) lad dir ein minilinux (DSL - Damn Small Linux) brenne es auf cd => start es => mounte deine system hdd => lösch die alte winlogon.exe => und stell die alte von der orginal CD wieder her (falls du ntfs nutzt entfällt dieser schritt) 4.) versuch mal ne ordentliche AV wie z.b. KAV (Kasersky Antvir [gibts hier im board ]) mfg moep + Multi-Zitat Zitieren