WINLOGON.EXE und der Suchpfad…
Problem
Heute hatte ich nen KundenPC, der auf Windows 2000 lief und nachm Starten, genau beim Wechseln vom Boot-Bildschirm auf den graphischen Schirm, wo dann “Windows wird gestartet…” in der Mitte des Schirms kommen sollte steht das Teil komplett. Tastatur und Maus gehen nimmer, das Ganze Teil ist tot.
Zuerst habi an einen Hardwarehänger gedacht und bissl rumgespielt mit Karten rein udn raus, doch dann bin ich draufgekommen, dass es im &Winroot%
(\WINDOWS) – Verzeichnsi ne Datei namens WINLOGON.EXE gab, die so ein Symbol enthilt, was normalerweise nur Standard Visual C++ –
Projekte tragen. Nun ist es ja so, dass Windows zum Starten wirklich eine
WINLOGON.EXE braucht, aber die liegt standardmaessig in %Systemroot%
(\WINDOWS\SYSTEM32). Die Suchreihenfolge beim Start ist aber scheinbar so,
dass zuerst in %winroot%
und erst, wenn dort nichts gefunden wird, in
%systemroot%
gesucht wird, sodass diese dubiose winlogon.exe ausgefuehrt wurde,
und dann das Ding natuerlich prompt abgesemmelt ist.
Dieser Virus wollte wohl vom Schutz von Windows profitieren, das jeden Prozess nicht killen lässt,
der winlogon.exe heißt.. nur hat er sich leider ein blödes Verzeichnis gesucht.
Lösung
Habe dann, nach Entfernung der Datei, rausgefunden, dass es sich dabei
um den Virus backdoor.hazzer gehandelt hat, welcher eigentlich
als Prozess mit dem Namen winlogon.exe rennen moechte, um im Prozessmanager
ganz “normal” auszusehen. Nur leider bringt er mit seiner Namensgebung
und seinem Speicherort das komplette Windows beim Start zum Absturz.
Jetzt rennt das Ding endlich wieder.