Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Inject.ZS auf externer Festplatte (https://www.trojaner-board.de/50897-tr-inject-zs-externer-festplatte.html)

Mike_T 22.03.2008 13:08
TR/Inject.ZS auf externer Festplatte
 
hatte am Laptop den Trojaner TR/Inject.ZS im Autostart nun hab ich ihn erfolgreich entfernt (auch aus der Systemwiederserstellung) alles läuft optimal.
Aber leider, sobald ich die externe Festplatte auf der ich all meine Daten, Fotos usw. habe anstecke, ist er wieder da!
Wenn ich AntiVir nur auf der externen durchlaufen lass findet er nichts. Wo kann sich dieser Trojaner denn verstecken?

Bitte um Hilfe


Win XP Home Edition SP2

virus 22.03.2008 19:08
hi

Zitat:
Zitat von Mike_T (Beitrag 329764)
hatte am Laptop den Trojaner TR/Inject.ZS im Autostart nun hab ich ihn erfolgreich entfernt
bist du dir da sicher??:D

mach mal ein hijackthis logfile und poste es hier bitte.

hast du nach deiner "erfolgreichen" entfernung auch noch mal nen scann mit antivir oder kaspersky oder was auch immer durchgeführt??

wo "hatte" sich denn der trojaner genau eingenistet??


ps. es heisst nicht das wenn dein system optimal läuft das auch alles iO ist;)

Mike_T 23.03.2008 18:28
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:23:33, on 23.03.2008
Platform: Windows XP SP2 (WinNT 6.02.2400)
MSIE: Internet Explorer v6.00 SP2 (x.00.xxxx.xxxx)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\SPAMfighter\sfus.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Option\GlobeTrotter Mobility Manager\GlobeTrotter Mobility Manager.exe
C:\Programme\Option\GlobeTrotter Mobility Manager\VirtualWirelessDevice.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\pruefung1.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = xxxx://xxx.google.at/
O2 - BHO: Adobe PDF Reader - {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (InstaFred) - file://C:\Programme\AutoCAD LT 2002 Deu\InstFred.ocx
O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD LT 2002 Deu\AcDcToday.ocx
O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (NOXLATE-BANR) - file://C:\Programme\AutoCAD LT 2002 Deu\InstBanr.ocx
O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD LT 2002 Deu\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{xxxxxxxxxx-xxxxxxxx-xxxxxxxxxx-xxxxxxxxxx}: NameServer = xxxxxxxxxxxxxx
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Programme\SPAMfighter\sfus.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe

--
End of file - 5326 bytes

virus 24.03.2008 11:05
hi

also bitte diese einträge fixen (aber nur wenn du sie nicht kennst)

O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (InstaFred) - file://C:\Programme\AutoCAD LT 2002 Deu\InstFred.ocx

O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD LT 2002 Deu\AcDcToday.ocx

O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (NOXLATE-BANR) - file://C:\Programme\AutoCAD LT 2002 Deu\InstBanr.ocx

O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD LT 2002 Deu\AcPreview.ocx


ansonsten ist dein logfile sauber:daumenhoc aber check nochmals deine externe festplatte mit den folgenden einstellungen von antivir

KleinerMarce 24.03.2008 12:10
Was mir jedes Mal unbegreiflich erscheint, wie manche ihre Autostartliste nicht mal durchgehen und einfach alles kicken, was einfach nicht gebraucht wird.

Das geht los bei Adobe Reader. Der ist sowieso überflüssig, gibt genug PDF Reader, die schnell starten und dabei genausoviel beherrschen wie Adobe.

Weiter zu Programmen wie Nero, Realplayer, Google Toolbar. Alles nutzlose Programme, die unnötig mitstarten. Wenn diese Verwendung finden, dann startet man diese, wenn sie gebraucht werden.

Gut, ich nutze seit Anfang an Win98 und Suse. Meine Autostartliste und Win hat einen Eintrag.

Logfile of HijackThis v1.99.1
Scan saved at 12:06:27, on 24.03.08
Platform: Windows 98 Gold (Win9x 4.10.1998)

O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

Lediglich der TWAIN Treiber für den Scanner, den ich häufig brauche.

virus 24.03.2008 20:38
@ kleinermarce

ich frage mich was dein Beitrag in diesem tread soll:confused:
also 1. interessiert es wahrscheinlich die wenigstens was in ihrer autostartliste ist und
2. wissen einige (die nicht so vertraut sind mit computern) gar nicht wo, wie und warum sie diese herausnehmen sollten ;)

du würdest denn usern besser helfen und erklären wie und warum sie dies tun sollten anstatt deinen ärger kund zu geben:headbang:

ps. kannst ja im diskussionsforum nen tread darüber eröffnen

KleinerMarce 24.03.2008 20:42
Ja, mag sein. Antworte aber nicht durch die Blume, sondern direkt! Wer Fragen hat, kann ja nachfrage ;o)


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:39 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129