Trojan.Nebuler und winyda32.dll

Houseghost

Hi!

Folgendes: Mein Virenscanner zeigt immer wieder einen Virus mit dem Namen Trojan.Nebuler an. Jedes mal wenn ich versuche ihn allerdings erst reparieren zu lassen, dann zu löschen und schließlich jeglichen Zugriff sperren will, bekomme ich eine Fehlermeldung, dass die Datei c:\Windows\System32\winyda32.dll gesperrt ist.
Mein Virenscanner ist Norton 2005 mit dem neusten Update. (stand 22.5.06)
Auf der Seite von Symantec habe ich Infos zu dem Trojaner gefunden, allerdings heißt er dort Nebular und die zu löschenden Dateien heißen auch anders. Allerdings sind die Registry-Einträge an der selben Stelle zu finden.
Habe den Scanner mehrmals auch schon im Abgesicherten Modus von meinem XP Home System laufen lassen, die DLL ist aber immer gesperrt.

Meine eigene Idee wäre es jetzt ein Programm zu schreiben, welches vor dem Laden der DLL beim Start aufgerufen wird und die DLL einfach löscht, umbenennt oder sonst etwas damit macht, damit der Aufruf ins Leere geht.

Die DLL ist unter
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon\Notify\winyda32
zu finden.
Woher weiß ich welche Aufrufe zuerst gemacht werden? Wird der Registry-Baum von unten nach oben durchlaufen oder habe ich hier gar keinen Zugriff auf die DLL?

Allerdings ist es doch so, dass eine DLL nun ja nicht von alleine ins Leben gerufen wird, sondern lediglich Funktionen beinhaltet die von einem anderen Programm aufgerufen werden. Wie bekomme ich heraus welches Programm dies ist? Wenn jmd einen Vorschlag hat, dann bitte raus damit! Ich sitz hier nun schon 2 Tage am Rechner und werd das Teil nicht los. So ein hartnäckiges Teil ist mir noch nie untergekommen.

MFG Rob