#26 1. Dezember 2005 jetzt wird es interesant, daswegen auch mein vorschlag die rundll32 im urzustand zu setzen und zu beobachten wer die datei verendern will, es gibt unzaehlige programme und selbst windows ueberwacht den dllchace ordner und laest da nichts ueberschreiben, das heist wenn das programm das schaft ohne das windows die datei beim naechsten start wieder im urzusatnd setzt das er alle rechte auf dem system hat. das wurde mich aber wundern ich glaube eher daran das die enderung vom nutzer waerend eine internet sitzung unbewust gebiligt wurde. glaube nicht winpatrol sondern pestpatrol hat eine eingebaute ueberwachung alle systemdateien und bei jedem versuch im system was zu aendern wird ein fenster mit frage ob die aenderung erlaubt ist eingeblendet, allerdings mus das program vor der infizierung instaliert sein, nachtraeglich geht es auch man mus mit dem progi auf einem anderem rechner erst ein wenig erfahrung sammeln, ver.4.2.0.50 corporate in english ist vorhanden cca.7Mb
#27 1. Dezember 2005 hmm hab ich da etwas nicht mitbekommen? ich nutze nun schon seit einiger zeit pest patrol version 5.0.1.6 (nen richtig guter spyware scanner, der aber auch oftmals nen fehlalarm liefert), aber eine überwachung der systemdateien hab ich da nicht ... komisch wurde das herausgenommen in version 5 , oder gibt es das nur in der corp. edition... seit wann gibt es ne corp edition von pp...
#28 2. Dezember 2005 hi spotting, wetten wurde ich darauf auf anhieb nicht, habe es seit cca 2 jahren nicht mehr benutzt, wenn mich die errinerung nicht teuscht war das so, davor habe ich adaware nie benutzt sondern pestpatrol, dann habe ich eine lizenz fuer antiwir (norton) bekommen fuer das ganze netzwerk samt server und wegen unvertraeglickeit muste pestpatrol weichen, irgendwann kamm dan adaware 6 pro dazu und pest geriet in vergessenheit, mangels updates wechselte ich dann auf adaware SE, mit der version bin aber nicht so zufrieden wie mit 6 pro pest habe ich in der ver.4.2.053 hochgeladen rar pass : 4rr pest.rar falls du zeit hast schaue es dir an, ich werde es morgen bei mir instalieren dann melde ich mich wieder EDIT/ habe es installiert, jetzt kommt die errinerung langsam wieder, die aeltere wersion habe ich immer behalten weil die neuen nicht mehr sauber auf NT4 laufen, du hast recht eine direkte ueberwachung ist nicht drinn aber wenn die PPC kofiguriert ist (es wird eine ueberwachung der clients vom serwer durchgefuert) in dem moment wo ein angriff errkant wird wird das system angehalten und es poppt auf mit der meldung das ein wersuch gestartet worde eine z.b. dll datei zu veraendern ( es mus in der option eingestellt sein ) zu dem "virus" habe ich aber etwas gefunden :
#29 2. Dezember 2005 hab die beiträge gelesen.... ist ein virus......und bevor du so ein aufriß mit all diesen programmen machst, mache einfach folgendes.... du kannst die datei getrost löschen... denn die echte rundll wird von system neu erstellt. solltest du die datei nicht löschen können, probiere es mit pstools. (wichtig du musst, falls die datei aktiv ist erst killn). kommste dennoch nicht weiter...poste nochmal
#30 5. Dezember 2005 ich hab jetzt mal den vx2finder drüber laufen lassen, aber der findet auch nicht wirklich was... ich hätte da noch eine frage und zwar: die Windows NT-Anmeldung oder auch winlogon.exe is die normal?? das is mir füher nie aufgefallen und jetzt will er immer du irgendeiner IP connecten..mhm.
#31 5. Dezember 2005 winlogon.exe ist der eigentliche anmelde dienst beim starten von windows, es wird gestartet noch vor windows desktop und vergleicht die eingabe (benutzer, kennwort) mit dem im system gespeicherten, erst nach uebereinstimmung wird das windows geladen mit dem benutzer profil der sich anmeldet, soweit benutzerkonten eingerichtet sind ist es notwendig und mus gestartet werden. da der vx2 finder nichts gefunden hat werde ich wieder suchen wo ich das her habe, da war ein programm erwaent der als einziger faehig war es zu entdecken (irgend was mit spy...... ) mus aber erst suchen den ich habe es mir nicht gespeichert warum gibt es keine reaktion von dir auf den vorschlag alle rundll32 dateien zu loeschen und vom sp2 cd zu ersetzen ?
#32 6. Dezember 2005 leute das ist kein richtiger virus, es ist so eine art pop-up, hatte ich auch mal! hab wochen lang dran gesessen, doch die einzige möglichkeit "für mich" war es zu formatieren...!
#33 6. Dezember 2005 also endgueltig es ist der spysweeper der look2me herausfiltern und enfernen kann ! bitte selbst lesen : behebung look2me noch eine bitte, loesche deine geposteten HJT logs aus dem thema, ich denke das es daran ligt das nicht alle posts im brett ansicht nicht angezeigt werden weil fuer die datenbank das thema zu gross geworden ist ?
#34 6. Dezember 2005 ich hab schon die rundll gelöscht, aber sie wird ja immer wieder erstellt, aber nicht von windows.weil es is immer wieder die falsche...?? ich werds jetzt mal mit spysweeper probieren.. @Smoky Smoke mit popups hat das eig nichts zu tun..
#35 6. Dezember 2005 Ich hatte fast das selbe prob!! Bei mir kam die datei aber von windows selber. Wenn du noch immer probs hast dann versuch es mal damit,vielleicht hilft es!! drück mal