hatte am Laptop den Trojaner TR/Inject.ZS im Autostart nun hab ich ihn erfolgreich entfernt (auch aus der Systemwiederserstellung) alles läuft optimal.
Aber leider, sobald ich die externe Festplatte auf der ich all meine Daten, Fotos usw. habe anstecke, ist er wieder da!
Wenn ich AntiVir nur auf der externen durchlaufen lass findet er nichts. Wo kann sich dieser Trojaner denn verstecken?

Bitte um Hilfe


Win XP Home Edition SP2

hi

Zitat:

Zitat von Mike_T

hatte am Laptop den Trojaner TR/Inject.ZS im Autostart nun hab ich ihn erfolgreich entfernt

bist du dir da sicher??

mach mal ein HijackThis logfile und poste es hier bitte.

hast du nach deiner "erfolgreichen" entfernung auch noch mal nen scann mit antivir oder kaspersky oder was auch immer durchgeführt??

wo "hatte" sich denn der trojaner genau eingenistet??


ps. es heisst nicht das wenn dein system optimal läuft das auch alles iO ist

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:23:33, on 23.03.2008
Platform: Windows XP SP2 (WinNT 6.02.2400)
MSIE: Internet Explorer v6.00 SP2 (x.00.xxxx.xxxx)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\SPAMfighter\sfus.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Option\GlobeTrotter Mobility Manager\GlobeTrotter Mobility Manager.exe
C:\Programme\Option\GlobeTrotter Mobility Manager\VirtualWirelessDevice.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\pruefung1.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = xxxx://xxx.google.at/
O2 - BHO: Adobe PDF Reader - {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (InstaFred) - file://C:\Programme\AutoCAD LT 2002 Deu\InstFred.ocx
O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD LT 2002 Deu\AcDcToday.ocx
O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (NOXLATE-BANR) - file://C:\Programme\AutoCAD LT 2002 Deu\InstBanr.ocx
O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD LT 2002 Deu\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{xxxxxxxxxx-xxxxxxxx-xxxxxxxxxx-xxxxxxxxxx}: NameServer = xxxxxxxxxxxxxx
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Programme\SPAMfighter\sfus.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe

--
End of file - 5326 bytes

hi

also bitte diese einträge fixen (aber nur wenn du sie nicht kennst)

O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (InstaFred) - file://C:\Programme\AutoCAD LT 2002 Deu\InstFred.ocx

O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD LT 2002 Deu\AcDcToday.ocx

O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (NOXLATE-BANR) - file://C:\Programme\AutoCAD LT 2002 Deu\InstBanr.ocx

O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD LT 2002 Deu\AcPreview.ocx


ansonsten ist dein logfile sauber aber check nochmals deine externe festplatte mit den folgenden einstellungen von antivir

Was mir jedes Mal unbegreiflich erscheint, wie manche ihre Autostartliste nicht mal durchgehen und einfach alles kicken, was einfach nicht gebraucht wird.

Das geht los bei Adobe Reader. Der ist sowieso überflüssig, gibt genug PDF Reader, die schnell starten und dabei genausoviel beherrschen wie Adobe.

Weiter zu Programmen wie Nero, Realplayer, Google Toolbar. Alles nutzlose Programme, die unnötig mitstarten. Wenn diese Verwendung finden, dann startet man diese, wenn sie gebraucht werden.

Gut, ich nutze seit Anfang an Win98 und Suse. Meine Autostartliste und Win hat einen Eintrag.

Logfile of HijackThis v1.99.1
Scan saved at 12:06:27, on 24.03.08
Platform: Windows 98 Gold (Win9x 4.10.1998)

O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

Lediglich der TWAIN Treiber für den Scanner, den ich häufig brauche.

@ kleinermarce

ich frage mich was dein Beitrag in diesem tread soll
also 1. interessiert es wahrscheinlich die wenigstens was in ihrer autostartliste ist und
2. wissen einige (die nicht so vertraut sind mit computern) gar nicht wo, wie und warum sie diese herausnehmen sollten

du würdest denn usern besser helfen und erklären wie und warum sie dies tun sollten anstatt deinen ärger kund zu geben

ps. kannst ja im diskussionsforum nen tread darüber eröffnen

Ja, mag sein. Antworte aber nicht durch die Blume, sondern direkt! Wer Fragen hat, kann ja nachfrage ;o)