| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Inject.ZS auf externer FestplatteWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
22.03.2008, 13:08
| #1 |
| |  TR/Inject.ZS auf externer Festplatte hatte am Laptop den Trojaner TR/Inject.ZS im Autostart nun hab ich ihn erfolgreich entfernt (auch aus der Systemwiederserstellung) alles läuft optimal. Aber leider, sobald ich die externe Festplatte auf der ich all meine Daten, Fotos usw. habe anstecke, ist er wieder da! Wenn ich AntiVir nur auf der externen durchlaufen lass findet er nichts. Wo kann sich dieser Trojaner denn verstecken? Bitte um Hilfe Win XP Home Edition SP2 |
|
22.03.2008, 19:08
| #2 | |
| Gast |  TR/Inject.ZS auf externer Festplatte hi
__________________Zitat:
 mach mal ein HijackThis logfile und poste es hier bitte. hast du nach deiner "erfolgreichen" entfernung auch noch mal nen scann mit antivir oder kaspersky oder was auch immer durchgeführt?? wo "hatte" sich denn der trojaner genau eingenistet?? ps. es heisst nicht das wenn dein system optimal läuft das auch alles iO ist  |
|
23.03.2008, 18:28
| #3 |
| | TR/Inject.ZS auf externer Festplatte Logfile of Trend Micro HijackThis v2.0.2
__________________Scan saved at 18:23:33, on 23.03.2008 Platform: Windows XP SP2 (WinNT 6.02.2400) MSIE: Internet Explorer v6.00 SP2 (x.00.xxxx.xxxx) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\keyhook.exe C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\SPAMfighter\SFAgent.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\sistray.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\slserv.exe C:\Programme\SPAMfighter\sfus.exe C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Option\GlobeTrotter Mobility Manager\GlobeTrotter Mobility Manager.exe C:\Programme\Option\GlobeTrotter Mobility Manager\VirtualWirelessDevice.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\pruefung1.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = xxxx://xxx.google.at/ O2 - BHO: Adobe PDF Reader - {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60 O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (InstaFred) - file://C:\Programme\AutoCAD LT 2002 Deu\InstFred.ocx O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD LT 2002 Deu\AcDcToday.ocx O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (NOXLATE-BANR) - file://C:\Programme\AutoCAD LT 2002 Deu\InstBanr.ocx O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD LT 2002 Deu\AcPreview.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{xxxxxxxxxx-xxxxxxxx-xxxxxxxxxx-xxxxxxxxxx}: NameServer = xxxxxxxxxxxxxx O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Programme\SPAMfighter\sfus.exe O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe -- End of file - 5326 bytes |
|
24.03.2008, 11:05
| #4 |
| Gast | TR/Inject.ZS auf externer Festplatte hi also bitte diese einträge fixen (aber nur wenn du sie nicht kennst) O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (InstaFred) - file://C:\Programme\AutoCAD LT 2002 Deu\InstFred.ocx O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD LT 2002 Deu\AcDcToday.ocx O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (NOXLATE-BANR) - file://C:\Programme\AutoCAD LT 2002 Deu\InstBanr.ocx O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab O16 - DPF: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD LT 2002 Deu\AcPreview.ocx ansonsten ist dein logfile sauber  aber check nochmals deine externe festplatte mit den folgenden einstellungen von antivir |
|
24.03.2008, 12:10
| #5 |
| Gast | TR/Inject.ZS auf externer Festplatte Was mir jedes Mal unbegreiflich erscheint, wie manche ihre Autostartliste nicht mal durchgehen und einfach alles kicken, was einfach nicht gebraucht wird. Das geht los bei Adobe Reader. Der ist sowieso überflüssig, gibt genug PDF Reader, die schnell starten und dabei genausoviel beherrschen wie Adobe. Weiter zu Programmen wie Nero, Realplayer, Google Toolbar. Alles nutzlose Programme, die unnötig mitstarten. Wenn diese Verwendung finden, dann startet man diese, wenn sie gebraucht werden. Gut, ich nutze seit Anfang an Win98 und Suse. Meine Autostartliste und Win hat einen Eintrag. Logfile of HijackThis v1.99.1 Scan saved at 12:06:27, on 24.03.08 Platform: Windows 98 Gold (Win9x 4.10.1998) O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE Lediglich der TWAIN Treiber für den Scanner, den ich häufig brauche. |
|
24.03.2008, 20:38
| #6 |
| Gast | TR/Inject.ZS auf externer Festplatte @ kleinermarce ich frage mich was dein Beitrag in diesem tread soll  also 1. interessiert es wahrscheinlich die wenigstens was in ihrer autostartliste ist und 2. wissen einige (die nicht so vertraut sind mit computern) gar nicht wo, wie und warum sie diese herausnehmen sollten du würdest denn usern besser helfen und erklären wie und warum sie dies tun sollten anstatt deinen ärger kund zu geben  ps. kannst ja im diskussionsforum nen tread darüber eröffnen |
|
24.03.2008, 20:42
| #7 |
| Gast | TR/Inject.ZS auf externer Festplatte Ja, mag sein. Antworte aber nicht durch die Blume, sondern direkt! Wer Fragen hat, kann ja nachfrage ;o) |
|
| Themen zu TR/Inject.ZS auf externer Festplatte |
| antivir, autostart, daten, edition, ellung, entfern, entfernt, erfolgreich, externe, externe festplatte, externen, externer, festplatt, festplatte, fotos, home, laptop, platt, platte, sobald, sp2, troja, trojaner, verstecken, xp home |
Linear-Darstellung
