defcon2k 10 Geschrieben 3. Januar 2005 Melden Geschrieben 3. Januar 2005 Hi@all, ich habe ein kleines Problemchen.... Habe hier einen Rechner, auf dem sich der Besitzer Ad-Ware gefangen hat, mit allem, was so dazu gehört ( Browsehijacking, immer wieder nachladen von Trojanern und anderem Müll). Habe mit Hijackthis, Spybot, Pest Patrol und RegCleaner das System soweit gesäubert. Als Firewall habe ich, da keine auf dem System vorhanden war, Sygate Personal Firewall 5.5 installiert. Nun zu meiner eigentlichen Frage: die Sygate zeigt mir, dass die rundll32.exe als auch die winlogon.exe eine Verbindung zu www_ad-w-a-r-e_com aufbauen wollen. Das habe ich geblockt und versucht, die beiden Dateien zu löschen. Ging auch, nur, sie waren nach ein paar Sekunden wieder da. Also muss doch noch irgendwo etwas hängen, was diese Dateien repliziert bzw. wiederherstellt?! Womit könnte ich dieses Erstellen denn mitloggen? Hat irgendjemand von Euch eine Idee? Irgend ein Tool, mit dem ich das gesamte System mitloggen könnte? MfG Def Zitieren
darthflo 10 Geschrieben 4. Januar 2005 Melden Geschrieben 4. Januar 2005 Wo sind denn die beiden Dateien? Es könnte sein, dass Windows sie als Systemdateien 'beschützt', dann kannst du sie gar nicht löschen, ohne dass sie sofort wiederhergestellt werden. Versuche am besten, die beiden betroffenen Dateien mithilfe der Wiederherstellungskonsole von der XP-CD in den Auslieferungszustand zurückzusetzen, mit einem Benutzer, der keinen Zugriff auf die Dateien hat einloggen, dann den Windows-Explorer als Administrator ausführen, und die Dateien schreibgeschützt zu machen. Die Dateizugriffe vom ganzen System überwachen finde ich persönlich etwas übertrieben, ich kenne auch kein Tool, dass dir genau sagen könnte, welches Programm welche Datei erstellt usw... Zitieren
defcon2k 10 Geschrieben 4. Januar 2005 Autor Melden Geschrieben 4. Januar 2005 Hi, liegen in c:\windows\system32. Meinte eigentlich auch nicht unbedingt eine Überwachung des gesamten Systems, sondern einzelner Datein und den Zugriff auf diese. Das mit der Wiederherstellungskonsole habe ich auch schon probiert, leider ohne Erfolg. Irgendwo hat sich da etwas eingenistet, und ich bekomme es einfach nicht raus... MfG Def Zitieren
garciam 10 Geschrieben 4. Januar 2005 Melden Geschrieben 4. Januar 2005 Ciao Wenn du die rundll32.exe und winlogon.exe löscht, dann hast du ein Problem. XP stellt solche Dateien automatisch wieder her wie darthflo schon sagte. Unter "Systemeigenschaften" im Register "Systemweiderherstellung" kannst du die Systemwiederherstellung deaktivieren, dann sollten die Dateien nicht wieder hergestellt werden. Gruss Zitieren
defcon2k 10 Geschrieben 4. Januar 2005 Autor Melden Geschrieben 4. Januar 2005 Hi, habe ich auch schon lange erledigt. Aber Ihr habt beide recht: Windows stellt sie von selbst wieder her. Trotzdem versuchen sie immer wieder auf die in meinem ersten Post genannte URL zuzugreifen. Dann werd ich mal weitersuchen.. Danke für Eure schnelle Antwort! MfG Def Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.