Kriege den Rest eines Trojaners nicht weg

Dieses Thema im Forum "Sicherheit" wurde erstellt von dinges opfer, 21. Februar 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. dinges opfer

    dinges opfer Byte

    Registriert seit:
    14. Februar 2005
    Beiträge:
    35
    Ich kenne einen Typ, der mir bei so was per ICQ hilft, aber den kriege ich seit Tagen nicht ereicht. Kann mir vielleicht einer von euch helfen?

    Ich hab ein System relativ sauber gekriegt, aber ich hab noch Reste drauf:

    "Fehler beim Laden von C:\WINDOWS\system32\guard.tmp

    Eine DLL-Initialisierungsroutine ist fehlgeschlagen."

    Diese Datei gibt es nicht mehr auf dem System. Ich hab sie gelöscht. Allerdings wird so alle zwei Minuten drauf zugegriffen. Das Problem ist aber, daß es nirgendwo was gibt. Alle Autostartordner sind sauber. Der Taskmanager zeigt auch keine unbekannten Prozesse. Ich hab auch einen etwas genaueren Taskmanager installiert, der auch den Rest zeigt, aber auch der hat keine unbekannten Prozesse. Ich hab keinen Taskplanner drauf. Wer startet also regelmäßig guard.tmp? Mir ist klar, daß es wahrscheinlich Rundll.exe etwas damit zu tun hat, aber auch dieses muß gestartet werden. Wer kann mir also sagen wo dieses Zeug gestartet wird? Irgendwo muß es eingetragen sein. Nur wo?
     
  2. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014
    Wenn du nicht neu installiert hast kann ich das nicht glauben - sorry ....
     
  3. kuhn73

    kuhn73 Megabyte

    Registriert seit:
    4. Juli 2003
    Beiträge:
    1.489
  4. TABANO

    TABANO Kbyte

    Registriert seit:
    18. März 2003
    Beiträge:
    284
    eben noch den Rechner aufgeraucht, gibt aber schon weise Ratschläger, der Herr :bse:
    siehe hier

    Junge... lerne mal mit dem Rechner sicherer umzugehen! ;)
     
  5. dinges opfer

    dinges opfer Byte

    Registriert seit:
    14. Februar 2005
    Beiträge:
    35
    Was ist? Darf ich keine Tipps geben?

    Und Junge... ich hab zwar den Rechner verseucht, hab den aber wieder hingekriegt. Kriegst du das auch hin? :cool:

    @kuhn73

    Danke für den Link. Er hat zwar nicht direkt geholfen, hat mich aber auf den richtigen Weg gebracht.

    @whisky

    Ja, es ist der gleiche Rechner und der ist sauber. Zumindest sauberer als Rechner von denen, die glauben einen sauberen Rechner zu haben, und aus Überzeugung keinen Vierenscanner und keine PFW nutzen.
     
  6. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014
    Bei deinem Verhalten im Internet kann ich dir das nicht glauben.

    Poste mal ein Hijackthis-log :D
     
  7. dinges opfer

    dinges opfer Byte

    Registriert seit:
    14. Februar 2005
    Beiträge:
    35
    Logfile of HijackThis v1.99.0
    Scan saved at 07:34:11, on 23.02.2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\WinZip\WZQKPICK.EXE
    C:\HijackThis.exe

    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
    O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
    O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
     
  8. Faith

    Faith Kbyte

    Registriert seit:
    26. Dezember 2002
    Beiträge:
    293
    ähm .... und wo ist der Rest :confused:
     
  9. dinges opfer

    dinges opfer Byte

    Registriert seit:
    14. Februar 2005
    Beiträge:
    35
    Das ist alles. Mehr gibt es nicht.
     
  10. poro

    poro Ganzes Gigabyte

    Registriert seit:
    31. Juli 2003
    Beiträge:
    13.635
    Da hat aber einer die Klopapierrolle alle gemacht. Gut so. Is ja weniger wie(als) bei mir.
     
  11. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014
    Manuelles Löschen der Hijacklogseinträge in Notepad würde ich sagen. :D
     
  12. TABANO

    TABANO Kbyte

    Registriert seit:
    18. März 2003
    Beiträge:
    284
    Imho nein.

    Ja, aber ich verseuche den Rechner nicht :jump:

    Du kennst Dich also aus!? :volldoll: :totlach:
     
  13. dinges opfer

    dinges opfer Byte

    Registriert seit:
    14. Februar 2005
    Beiträge:
    35
    Na ja, aber wen interessiert schon deine Meinung :D


    Da bin ich mir nicht so sicher. Wahrscheinlich ist dein Rechner voll mit Trojanern voll. Allerdings glaubst du, dass du sauber bist.


    Ja.

    Es wird höchste Zeit hier paar Sachen zu klären. Ich hab hier ein wenig geschwindelt. Das ganze war ein Teil eines Experiments. Ich kenne mich relativ gut mit Computern aus. Man könnte fast sagen, dass ich ein Profi bin. Der hier beschriebene Rechner war einer von neun Rechnern, die zum Testen von Surfrisiken genutzt wurde. Es wurden also neun Rechner mit verschiedenen Einstellungen genommen, und es wurden die gleichen Seiten im Internet besucht. Dieser hier war der Rechner ohne Firewall und mit Dingens geschlossenen Diensten. Insoweit stimmt die Geschichte schon. Die hier veröffentlichte HiJackThis Log ist die original Log aus diesem Rechner. Der Rechner wurde auch nicht extra verseucht. Er hat die gleichen Seiten besucht wie auch die anderen acht Rechner.

    Eigentlich war damit das Experiment erledigt. Allerdings dachte ich mir, dass ich das Wissen im Internet testen könnte. Ich wollte sehen ob die Leute in Sicherheitsforen in der Lage sind solche Rechner wieder sauber zu kriegen oder ob sie lediglich das Formatieren empfehlen. Eigentlich spielte sich alles so ab wie ich es beschrieben habe: Spotlight, das erste Forum in dem ich gepostet habe, hat gleich den ganzen Beitrag und mein Account gelöscht. Das war schon drastisch für einen, der nur um Hilfe gebeten hat. Dieses Forum hier war eigentlich das freundlichste. Auch wenn nicht direkt geholfen wurde, so war dieses Forum zumindest nicht unfreundlich.

    Insgesamt gab es vier Leute, die sich dran machten mir zu helfen. Allerdings, ohne die Hilfe der Anderen zu schmälern, hatte nur einer so richtig Ahnung. Er half mir dann per ICQ den Rechner sauber zu kriegen. :bet:

    Es stimmt also schon, dass der Rechner sauber gemacht wurde. :cool:
     
  14. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Code:
                                      --------------------------
                             /|  /|  |                          |
                             ||__||  |       Trolle bitte       |
                            /   O O\__           nicht          |
                           /          \         füttern!        |
                          /      \     \                        |
                         /   _    \     \ ----------------------
                        /    |\____\     \     ||
                       /     | | | |\____/     ||
                      /       \|_|_|/   |    __||
                     /  /  \            |____| ||
                    /   |   | /|        |      --|
                    |   |   |//         |____  --|
             * _    |  |_|_|_|          |     \-/
          *-- _--\ _ \     //           |
            /  _     \\ _ //   |        /
          *  /   \_ /- | -     |       |
            *      ___ c_c_c_C/ \C_c_c_c____________
    
    
    
     
  15. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014
    Da bin ich ja beruhigt.

    Da wundert sich ein Profi wie du? Die Foren in denen du gepostet hast werden von einer ganzen Menge Newbies besucht und dir "Profi" fällt, wohl aus lauter Langeweile die dir dein Profiwissen beschert, ein das du Links auf Dailerseiten (bei manchen Links würde sofort Software runtergeladen und installiert) posten könntest.

    Tja - es ist doch immer wieder toll wenn neue "Profis" im Forum auftauen.
     
  16. TABANO

    TABANO Kbyte

    Registriert seit:
    18. März 2003
    Beiträge:
    284
    Ahja... alles klar! Ein Profi, also; na wenns denn schee mocht - bzw. wers denn glaubt ... Deine Art auf Postings zu reagieren, lässt aber eher auf durchgeknallten Amateur mit ausgeprägter Profilneurose schliessen.

    Muuuuhahahahaaa

    Klar, ich finde auch schon den Knopf zum einschalten, kann mich also auch schonmal Profi nennen, oder? :totlach: Das Forum, welches Dich gleich abschoss hat wohl Deinen Test nicht so recht verstanden, was?

    Echt, Dingens Bumens, Du bist mein Held für diese Woche!

    Ist je echt ein Brüller der Knabe!

    LOL!!!
     
  17. dinges opfer

    dinges opfer Byte

    Registriert seit:
    14. Februar 2005
    Beiträge:
    35
    @ TheD0CT0R

    Trolle bitte nicht füttern!

    90% aller Leute in Sicherheitsforen sind Trolle. Dein Beitrag zeigt, dass du es bist. Der Beitrag von TABANO zeigt, dass er auch gerne trollt. Oder bezeichnest das als professionellen Beitrag? Whisky ist einfach nur sauer. Der möchte zeigen, dass ich ein Amateur bin. Er sieht es als Blamage an und möchte mich gerne ein wenig drücken, damit Andere es auch nicht so sehen.

    Wie gesagt, den Rechner gab es und die HiJackThis Log ist echt. Es wurden hier also keine erfundenen Scherze durchgezogen, sondern jeder hatte die Möglichkeit zu helfen. Jeder konnte hier sein Können unter Beweis stellen.

    Es ist nun mal so, dass man das Beseitigen von Schadware nicht in der Theorie lernen kann. Man muß auch schon selbst ran und auch das Verlangen haben wollen, so einen Rechner sauber zu kriegen. Hier hatte jeder die Chance. Wenn du das als Trollen ansiehst, dann ist das deine Sache. Ich hab das für mich als Teil eines Tests, aber auch als eine Möglichkeit zu lernen, angesehen. Ich wollte von dem Wissen des Internets profitieren.


    @whisky

    Wer lesen kann, ist im Vorteil. Ich hab mein "Profi" Wissen auf den Umgang mit dem Rechner bezogen. Wenn du dir das noch einmal durchliest, dann wirst du es erkennen. Bei mir kommt kein Trojaner an Bord wenn ich es nicht will. Ich hab auch soviel Wissen um bei den richtigen Tipps auch richtig zu reagieren. Ich hab nie behauptet ein Profi im entfernen von Schadware zu sein. Hier wollte ich von Eurem Wissen profitieren.

    Falsch. Hättest du auf die Links geklickt, dann hättest du gemerkt, dass nichts passiert. Alle Links gingen ins leere. Frag mich nicht warum, aber keiner der Links funktionierte. Du hättest es nur testen müssen ;)

    Ja danke. Wird Zeit.

    @TABANO

    Nur weil du Muuuuhahahahaaa rufst, klingst du nicht weniger bescheuert.

    Glaub was du willst. Ich will dir doch nicht deinen Glauben rauben. ;)

    Der Test sollte zeigen, dass solche Leute wie du wenig Ahnung haben. Ja, der Test hat das gezeigt was er zeigen musste.
     
  18. TABANO

    TABANO Kbyte

    Registriert seit:
    18. März 2003
    Beiträge:
    284
  19. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    dinges opfer >> Ignore-Liste :flame:

    Ich schlage allen vor das gleiche zu tun.


    Und könnte ein Mod bitte den Thread schließen? :zu:
     
  20. MaxMaster

    MaxMaster Registrierter Benutzer

    Registriert seit:
    13. Oktober 2003
    Beiträge:
    92
    Das wäre also geklärt.
    Du kannst also nicht wissen, ob Originaldateien von den Schädlingen verändert wurden, da du nicht mal mit einem Hex-Editor umgehen kannst?
    Dann war FORMAT der einzig richtige Tipp.
    Und jetzt troll dich.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen