Winlogon.exe und gebyx.dll

chmul

Moderator
Teammitglied
Ich plage mich schon geraume Zeit mit dem Rechner meiner Mutter rum. Er war komplett verseucht. Mit allem was man sich einfangen kann. Jetzt ist er fast wieder sauber, aber ein Problem konnte ich nicht knacken.

Mit hijackthis kann ich ein BHO finden, das mit der Datei gebyx.dll zu tun hat. Diese dll-Datei wird als Schädling ausgewiesen. Wenn ich hijackthis anweise, die Datei zu löschen klappt das zwar, wenn ich hijackthis aber schließe und wieder öffne, taucht die dll wieder auf.

Ich habe Spybot S&D, Adaware und Spysweeper drüber laufen lassen, die Datei ist nicht wegzubekommen. Manuell entfernen geht auch nicht. Nachdem ich Spysweeper installiert und die dll mit hijackthis gelöscht hatte, meldete sich sofort Spysweeper um mir mitzuteilen, dass winlogon.exe versucht ein BHP zu installieren. Sage ich ja, ist die dll wieder da, sage ich nein, taucht sie (bis zum Neustart) nicht mehr auf.

Ich habe irgendwo noch ein Removal-Tool runtergeladen und laufen lassen, das allerdings behauptet hat, ich hätte keinen Schädling. Das sagen auch SBS&D und Adware.

Wenn ich den Rechner durchsuche taucht die winlogon.exe nur dort auf, wo sie hingehört.

Was kann ich tun? Muss ich überhaupt was tun? Gibt es eine Möglichkeit, die dll zu löschen, bevor Windows zugreift?

Es ist ein W2k-Rechner, NTFS formatiert

Danke schon mal! :)
 

Amon

assimiliert
Bei solchen Dateien lad ich die immer in die Qarantäne meines Virenscanners mit Häkchen bei "Vom Ursprungsort löschen". Aber wenns bei dir danach immer wieder auftaucht hilft es wohl auch nicht.
 
B

Brummelchen

Gast
winlogon benutzt hauptsählich diesen Schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
zum Starten seiner Events (dort steht auch wgalogon)
 

chmul

Moderator
Teammitglied
Ich habe hier eine ausführliche Anleitung gefunden. Hab's probiert und es sieht gut aus, muss aber jetzt weg und kann nicht mehr genau nachschauen.

Die Symantec-Tools habe ich verwendet. Ging nicht.

Danke für Eure Hinweise! :)
 
Oben