Hi @ll,
habe zwar keine direkte Lösung aber einen Workaround gefunden, da ich mir diese VX2-POS
auch eingefangen hatte.
Du brauchst nur adaware se. Ich beschreib mal was ich gemacht habe um es loszuwerden.
Ich hab W2K, bei anderen OS sollte es ähnlich sein. Dauert ca. 10min.
Mit adaware alles reinigen, es wird noch zum Schluß angemerkt, dass eine Datei erst beim
nächasten Systemstart gelöscht wird.
1. Mit einem Texteditor eine Datei erstellen mit dem Namen guard.dum (Ihr könnt was beliebiges
reinschreiben, sinnvoll ist dummy). Diese in eurem System32 Ordner speichern. In deinem Fall
ist es C:\WINDOWS\system32\
2. Rechner runterfahren und Netzwerkkabel trennen.
3. Rechner im Abgesicherten Modus hochfahren.(F8 beim Systemstart)
4. adaware wieder durchlaufen lassen, es dürfte jetzt nur noch 3 VX2 Prozesse/Module finden.
Die normale Quarantäne/lösch-Prozedur durchführen. Wieder wird angezeigt, dass eine Datei
beim nächsten Systemstart gelöscht wird.
5. Rechner neu starten und wieder im abgesicherten Modus hochfahren, diesmal aber mit der Option
mit eingabeaufforderung.
6. Ihr landet dann auf einem DOS command prompt :
In den System32 ordner wechseln > cd \windows\system32
Die attribute der Datei guard.tmp ansehen > attrib guard.tmp (Bei mir war da nur ein S für System)
Die attribute der Datei guard.tmp ändern > attrib guard.tmp -s
Die Datei umbenennen > ren guard.tmp guard.bad
Den Dummy umbenennen > ren guard.dum guard.tmp
Die attribute der Datei guard.tmp setzen > attrib guard.tmp +s +r
Mit exit auf die Oberfläche und den Taskmanager aufrufen, System Neu starten.
7. Rechner im Abgesicherten Modus hochfahren.(F8 beim Systemstart)
8. adaware wieder durchlaufen lassen, es dürfte jetzt nichts mehr finden.
Das wars, runterfahren Netzwerkkabel wieder dran, normal hochfahren.
Hintergrund, guard.tmp wird anscheinend bei jedem Systemstart in eine DLL Datei reinkopiert die
dann später unter anderem Namen/Bezeichnung im HJT unter o20-Winlogon auftaucht.
Hat man es geschafft die guard.tmp zu ändern, taucht der komische DLL zwar immer noch auf,
aber er ist identisch mit der guard.tmp (in diesem Fall ein Dummy). Guard.tmp und sein Zwillings
DLL lassen sich von Windows aus nicht löschen, da sie in Benutzung sind.
HTH, falls Debugger da sind die was mit dem original guard.tmp anfangen können, sagt Bescheid, dann
mail ich Ihn zu.
Gruß
chris