Hilfe, kryptische Fehlermeldung

[virusette]

ja, im abgesicherten Modus und den anderen Störenfried gleich dazu nochmal.

 

[Harmless]

OK,

O23 - Service: Messanger - Unknown owner - c:\Recyclers\svchost.ex

ist nun wech, aber

O20 - Winlogon Notify: rlx5dom1 - C:\WINNT\SYSTEM32\rlx5dom1.dll

geht einfach nicht wech

 

[virusette]

Wie Groß ist rlx5dom1.dll ?

bitte auf das Byte genau!

 

[Harmless]

lol, die Datei gibbet nicht

Habe mit dem Explorer gesucht und auch manuell den Pfad durchsucht = nix

 

[RAT]

Versuchs im abgesicherten Modus, möglicherweise wird die Datei ansonsten versteckt.

Allerdings .... formatiere lieber und .spiel Windoofs neu auf. Geht schneller und ist vor allem sicherer als da jetzt rumzudoktern und evtl. was zu übersehen.

Denke daran Dir vorher von einem sauberen Rechner alle .Treiber und SPs aus dem Netz frisch herunterzuladen und zu brennen, damit Du nach der Windoofsinstallation nicht mit einem ungesicherten Rechner ins Netz mußt.

 

[Harmless]

Versuchs im abgesicherten Modus, möglicherweise wird die Datei ansonsten versteckt.

Allerdings .... formatiere lieber und .spiel Windoofs neu auf. Geht schneller und ist vor allem sicherer als da jetzt rumzudoktern und evtl. was zu übersehen.

1. Mach ich
2. siehe 1. Post:
Eine Neuinstallation möchte ich umgehen, da sowieso in einigen Wochen ein neuer PC ansteht und von daher habe ich eigentlich keine Lust nun für diesen kurzen Zeitraum alles noch mal neu zu machen.

 

[Harmless]

Wie Groß ist rlx5dom1.dll ?

bitte auf das Byte genau!

lol, im abgesicherten Modus ist die Datei dann da

Größe: 20.014 Bytes
Größe auf Dateiträger: 20.480 Bytes

 

[RAT]

Das würde mir Angst machen ... kenn mich mit rootkits nicht aus, aber könnte wohl eins sein?

Ich vermute, wenn Du sie im abgesicherten Modus löscht, ist sie nach einem "normalen" Neustart wieder da?

Wird also von irgendeinem versteckten Prozeß neu generiert. Vielleicht kommt man da mit FileMon oder RegMon von M$ an den Ersteller - oder jemand weiß noch was.

Ja, ich hab den Beitrag durchaus komplett gelesen. Aber allein die Zeit die hier fürs schreiben draufgeht hätte wahrscheinlich gereicht das System eben neu aufzusetzen. Ich gehe mal davon aus, daß Du eine halbwegs aktuelle Sicherung Deiner Benutzerdaten hast? Ansonsten wirds Zeit, denn Du wirst das verseuchte System doch hoffentlich nicht ins gleiche Netz wie den neuen Rechner hängen wollen?

 

[Harmless]

Das würde mir Angst machen ... kenn mich mit rootkits nicht aus, aber könnte wohl eins sein?

Ich vermute, wenn Du sie im abgesicherten Modus löscht, ist sie nach einem "normalen" Neustart wieder da?

Wird also von irgendeinem versteckten Prozeß neu generiert. Vielleicht kommt man da mit FileMon oder RegMon von M$ an den Ersteller - oder jemand weiß noch was.

Ja, ich hab den Beitrag durchaus komplett gelesen. Aber allein die Zeit die hier fürs schreiben draufgeht hätte wahrscheinlich gereicht das System eben neu aufzusetzen. Ich gehe mal davon aus, daß Du eine halbwegs aktuelle Sicherung Deiner Benutzerdaten hast? Ansonsten wirds Zeit, denn Du wirst das verseuchte System doch hoffentlich nicht ins gleiche Netz wie den neuen Rechner hängen wollen?

Ja, wollte auch schon ein rootkit Programm probieren, aber das was ich kenne kann ich nicht installieren

Und ich finde das Schreiben sehr interessant und ich lerne viel dabei. Das wichtigste an meinem Rechner läuft und die 2 Wochen werde ich auch noch so überleben; falls das Problem nicht gelöst wird

Und nein, dieser PC kommt in die Ecke, der neue wird komplett installiert - und danach werde ich den alten formatieren und für meinen Sohn konfigurieren. Das ist ja auch ein Grund - mein Kleiner bekommt nicht wirklich alle Programme, die ich nutze, von daher ist die Arbeit absolut umsomst.
Und selbst wenn ich schon einige Male meinen PC neu gemacht habe - es sind doch immer X Stunden bis alles wieder so ist wie es war und darauf habe ich 2 mal keinen Bock

Habe mal nen rootkit laufen lassen, scheint doch was Ernstes zu sein:


Shot at 2007-07-31

Bleibt jetzt noch die Frage wie ich das wech bekomme

 

[Harmless]

HEUREKA

Es waren die letzten beiden Dinger da

Habe den F-Secure Blacklight Rootkit Eliminator probiert und die beiden Sachen gecleaned - jetzt läuft alles was ich probiere wieder ohne Probleme

Mein besonderer Dank an virusette, RAT198 und meinen Kollegen Matthias K. der heute morgen als erster das Wort Rootkit in den Raum warf

Nun noch eine blöde abschliessende Frage: Wie schützt man sich vor so was

 

[RAT]

Klasse, war ja eine schwere Geburt

Danke für Dein Feedback, wußte bisher nicht das es auch etwas gegen Rootkits von M$ (fka sysinternals) gibt und der Tip mit dem "F-Secure Blacklight Rootkit Eliminator" wird auch notiert

Schützen? Genau so wie vor Würmern, Trojanern und Spyware. Nichts laden, was man nicht 100% kennt, aufpassen bei den Seiten die man besucht, aktuelle (!) Virensignaturen für einen ständig im Hintergrund laufenden .Virenscanner.

 

[Harmless]

Klasse, war ja eine schwere Geburt

Danke für Dein Feedback, wußte bisher nicht das es auch etwas gegen Rootkits von M$ (fka sysinternals) gibt und der Tip mit dem "F-Secure Blacklight Rootkit Eliminator" wird auch notiert

Schützen? Genau so wie vor Würmern, Trojanern und Spyware. Nichts laden, was man nicht 100% kennt, aufpassen bei den Seiten die man besucht, aktuelle (!) Virensignaturen für einen ständig im Hintergrund laufenden .Virenscanner.

Wenn das mal so einfach wäre

Ein aktueller Virenscanner lief, neue Seiten hab ich auch (bewusst) nicht besucht, ....

Naja, bin jetzt seit mehr als 10 Jahren im Internet, aber so was fieses hatte ich bis jetzt auch noch nicht

Gn8 @ all

 

[virusette]

Hmmm, vielleicht irgendeiner der vielen ungefixten Windows-Fehler, vielleicht wurde Dir mit irgendeinem Browserbug was untergeschoben. Dazu müssten wir aber schon genauer wissen, was Du womit machst.
Es könnte auch sein, daß das Rootkit zu einem mir noch nicht bekannten Kopierschutz gehört, wie das z.B. beim Settec-Kopierschutz war.

Betreffs Rootkit und Schutz. Diese unerwünschten Rootkits, wenn es eine Malware war, kommen als ganz normale Würmer, Viren, Trojaner an. Es ist "nur" die Tarnkappentechnologie, was diese Schädlinge von anderen unterscheidet.

Ich würde dennoch neu installieren. Ein Rootkit kann völlig versteckt ganz andere Dingen anstellen als ein "normaler" Schädling, weil nichts in Deinem System Dich darauf hinweist und er insofern einfach Zeit dafür hat, sich maßgeschneidert und damit unerkennbar für normale Virenscanner etc. im System einzunisten.
Nicht nur theoretisch wenn auch noch(!) relativ unwahrscheinlich könnte er sogar einen Virtualisierer installiert haben, so daß Dein Windows nur noch in einer VM läuft. Und zumindest als proof of concept existiert schon eine Technik, die das im laufenden Betrieb macht.

Mich würde noch interessieren, als was der Rootkit Eliminator das Ding identifiziert hat.

 

[Harmless]

Neu installieren werde ich auf jeden Fall wenn der neue PC da ist - wie schon geschrieben wird er dann für meinen Kurzen konfiguriert

Aber so kann ich wenigstens die paar Wochen bzw. Tage, wenn ich den Urlaub abziehe *freu* 7 und der Rest von heute , noch damit arbeiten

Ähhmmm, das was ich womit mache können wir evtl. mal bei nem Bier besprechen, aber garantiert nicht hier

Das mit der Identifizierung kann ich dir nicht sagen, er hat dasselbe gefunden wie die 2 unteren Punkte im geposteten Pic, sprich die beiden rlx... Dinger - habe danach einfach gecleaned und mich nicht um irgendwelche Namen gekümmert - sorry

So, er läuft jetzt immer noch nach mehrmaligem booten, von daher hoffen wir mal das Beste ....