Kriege den Rest eines Trojaners nicht weg

Ich kenne einen Typ, der mir bei so was per ICQ hilft, aber den kriege ich seit Tagen nicht ereicht. Kann mir vielleicht einer von euch helfen?

Ich hab ein System relativ sauber gekriegt, aber ich hab noch Reste drauf:

"Fehler beim Laden von C:\WINDOWS\system32\guard.tmp

Eine DLL-Initialisierungsroutine ist fehlgeschlagen."

Diese Datei gibt es nicht mehr auf dem System. Ich hab sie gelöscht. Allerdings wird so alle zwei Minuten drauf zugegriffen. Das Problem ist aber, daß es nirgendwo was gibt. Alle Autostartordner sind sauber. Der Taskmanager zeigt auch keine unbekannten Prozesse. Ich hab auch einen etwas genaueren Taskmanager installiert, der auch den Rest zeigt, aber auch der hat keine unbekannten Prozesse. Ich hab keinen Taskplanner drauf. Wer startet also regelmäßig guard.tmp? Mir ist klar, daß es wahrscheinlich Rundll.exe etwas damit zu tun hat, aber auch dieses muß gestartet werden. Wer kann mir also sagen wo dieses Zeug gestartet wird? Irgendwo muß es eingetragen sein. Nur wo?

 

Wenn du nicht neu installiert hast kann ich das nicht glauben - sorry ....

 

http://www.informationsarchiv.net/foren/beitrag-11970.html, vielleicht hilft es dir weiter.

 

eben noch den Rechner aufgeraucht, gibt aber schon weise Ratschläger, der Herr
siehe hier

Junge... lerne mal mit dem Rechner sicherer umzugehen!

 

Was ist? Darf ich keine Tipps geben?

Und Junge... ich hab zwar den Rechner verseucht, hab den aber wieder hingekriegt. Kriegst du das auch hin?

@kuhn73

Danke für den Link. Er hat zwar nicht direkt geholfen, hat mich aber auf den richtigen Weg gebracht.

@whisky

Ja, es ist der gleiche Rechner und der ist sauber. Zumindest sauberer als Rechner von denen, die glauben einen sauberen Rechner zu haben, und aus Überzeugung keinen Vierenscanner und keine PFW nutzen.

 

Bei deinem Verhalten im Internet kann ich dir das nicht glauben.

Poste mal ein Hijackthis-log

 

Logfile of HijackThis v1.99.0
Scan saved at 07:34:11, on 23.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

 

ähm .... und wo ist der Rest

 

Das ist alles. Mehr gibt es nicht.

 

Da hat aber einer die Klopapierrolle alle gemacht. Gut so. Is ja weniger wie(als) bei mir.

 

Manuelles Löschen der Hijacklogseinträge in Notepad würde ich sagen.

 

Imho nein.

Ja, aber ich verseuche den Rechner nicht

Du kennst Dich also aus!?

 

Na ja, aber wen interessiert schon deine Meinung

Da bin ich mir nicht so sicher. Wahrscheinlich ist dein Rechner voll mit Trojanern voll. Allerdings glaubst du, dass du sauber bist.

Ja.

Es wird höchste Zeit hier paar Sachen zu klären. Ich hab hier ein wenig geschwindelt. Das ganze war ein Teil eines Experiments. Ich kenne mich relativ gut mit Computern aus. Man könnte fast sagen, dass ich ein Profi bin. Der hier beschriebene Rechner war einer von neun Rechnern, die zum Testen von Surfrisiken genutzt wurde. Es wurden also neun Rechner mit verschiedenen Einstellungen genommen, und es wurden die gleichen Seiten im Internet besucht. Dieser hier war der Rechner ohne Firewall und mit Dingens geschlossenen Diensten. Insoweit stimmt die Geschichte schon. Die hier veröffentlichte HiJackThis Log ist die original Log aus diesem Rechner. Der Rechner wurde auch nicht extra verseucht. Er hat die gleichen Seiten besucht wie auch die anderen acht Rechner.

Eigentlich war damit das Experiment erledigt. Allerdings dachte ich mir, dass ich das Wissen im Internet testen könnte. Ich wollte sehen ob die Leute in Sicherheitsforen in der Lage sind solche Rechner wieder sauber zu kriegen oder ob sie lediglich das Formatieren empfehlen. Eigentlich spielte sich alles so ab wie ich es beschrieben habe: Spotlight, das erste Forum in dem ich gepostet habe, hat gleich den ganzen Beitrag und mein Account gelöscht. Das war schon drastisch für einen, der nur um Hilfe gebeten hat. Dieses Forum hier war eigentlich das freundlichste. Auch wenn nicht direkt geholfen wurde, so war dieses Forum zumindest nicht unfreundlich.

Insgesamt gab es vier Leute, die sich dran machten mir zu helfen. Allerdings, ohne die Hilfe der Anderen zu schmälern, hatte nur einer so richtig Ahnung. Er half mir dann per ICQ den Rechner sauber zu kriegen.

Es stimmt also schon, dass der Rechner sauber gemacht wurde.

 

Code:

                                  --------------------------
                         /|  /|  |                          |
                         ||__||  |       Trolle bitte       |
                        /   O O\__           nicht          |
                       /          \         füttern!        |
                      /      \     \                        |
                     /   _    \     \ ----------------------
                    /    |\____\     \     ||
                   /     | | | |\____/     ||
                  /       \|_|_|/   |    __||
                 /  /  \            |____| ||
                /   |   | /|        |      --|
                |   |   |//         |____  --|
         * _    |  |_|_|_|          |     \-/
      *-- _--\ _ \     //           |
        /  _     \\ _ //   |        /
      *  /   \_ /- | -     |       |
        *      ___ c_c_c_C/ \C_c_c_c____________

 

Da bin ich ja beruhigt.

Da wundert sich ein Profi wie du? Die Foren in denen du gepostet hast werden von einer ganzen Menge Newbies besucht und dir "Profi" fällt, wohl aus lauter Langeweile die dir dein Profiwissen beschert, ein das du Links auf Dailerseiten (bei manchen Links würde sofort Software runtergeladen und installiert) posten könntest.

Tja - es ist doch immer wieder toll wenn neue "Profis" im Forum auftauen.

 

Ahja... alles klar! Ein Profi, also; na wenns denn schee mocht - bzw. wers denn glaubt ... Deine Art auf Postings zu reagieren, lässt aber eher auf durchgeknallten Amateur mit ausgeprägter Profilneurose schliessen.

Muuuuhahahahaaa

Klar, ich finde auch schon den Knopf zum einschalten, kann mich also auch schonmal Profi nennen, oder? Das Forum, welches Dich gleich abschoss hat wohl Deinen Test nicht so recht verstanden, was?

Echt, Dingens Bumens, Du bist mein Held für diese Woche!

Ist je echt ein Brüller der Knabe!

LOL!!!

 

@ TheD0CT0R

Trolle bitte nicht füttern!

90% aller Leute in Sicherheitsforen sind Trolle. Dein Beitrag zeigt, dass du es bist. Der Beitrag von TABANO zeigt, dass er auch gerne trollt. Oder bezeichnest das als professionellen Beitrag? Whisky ist einfach nur sauer. Der möchte zeigen, dass ich ein Amateur bin. Er sieht es als Blamage an und möchte mich gerne ein wenig drücken, damit Andere es auch nicht so sehen.

Wie gesagt, den Rechner gab es und die HiJackThis Log ist echt. Es wurden hier also keine erfundenen Scherze durchgezogen, sondern jeder hatte die Möglichkeit zu helfen. Jeder konnte hier sein Können unter Beweis stellen.

Es ist nun mal so, dass man das Beseitigen von Schadware nicht in der Theorie lernen kann. Man muß auch schon selbst ran und auch das Verlangen haben wollen, so einen Rechner sauber zu kriegen. Hier hatte jeder die Chance. Wenn du das als Trollen ansiehst, dann ist das deine Sache. Ich hab das für mich als Teil eines Tests, aber auch als eine Möglichkeit zu lernen, angesehen. Ich wollte von dem Wissen des Internets profitieren.


@whisky

Wer lesen kann, ist im Vorteil. Ich hab mein "Profi" Wissen auf den Umgang mit dem Rechner bezogen. Wenn du dir das noch einmal durchliest, dann wirst du es erkennen. Bei mir kommt kein Trojaner an Bord wenn ich es nicht will. Ich hab auch soviel Wissen um bei den richtigen Tipps auch richtig zu reagieren. Ich hab nie behauptet ein Profi im entfernen von Schadware zu sein. Hier wollte ich von Eurem Wissen profitieren.

Falsch. Hättest du auf die Links geklickt, dann hättest du gemerkt, dass nichts passiert. Alle Links gingen ins leere. Frag mich nicht warum, aber keiner der Links funktionierte. Du hättest es nur testen müssen

Ja danke. Wird Zeit.

@TABANO

Nur weil du Muuuuhahahahaaa rufst, klingst du nicht weniger bescheuert.

Glaub was du willst. Ich will dir doch nicht deinen Glauben rauben.

Der Test sollte zeigen, dass solche Leute wie du wenig Ahnung haben. Ja, der Test hat das gezeigt was er zeigen musste.

 

Hier trollt er auch nicht schlecht, der Lütte (angebl. 12 Jahre alt)
Dingens Bumens Test

 

dinges opfer >> Ignore-Liste

Ich schlage allen vor das gleiche zu tun.


Und könnte ein Mod bitte den Thread schließen?

 

Das wäre also geklärt.

Du kannst also nicht wissen, ob Originaldateien von den Schädlingen verändert wurden, da du nicht mal mit einem Hex-Editor umgehen kannst?

Dann war FORMAT der einzig richtige Tipp.
Und jetzt troll dich.