1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

Trojaner TR / Injekt.ZS

Discussion in 'Sicherheit' started by msm.2000, Mar 24, 2008.

Thread Status:
Not open for further replies.
Page 1 of 2
  1. msm.2000

    msm.2000 Byte

    Hallo,
    habe mir irgendwie / irgendwo den Trojaner TR / Injekt.ZS gefangen. Er wird von AntiVir erkannt und dann von mir gelöscht.
    Beim nächsten Start des PC ist er jedoch wieder da. :confused:
    Von ZoneAlarm wird Aus- und Eingang geblockt.
    Trotzdem möchte ich das Ding los werden.
    Wer kann mir helfen ? Dank im Voraus.

    System: Win IX SP2
    Antivir
    ZoneAlarm
    AdAware

    Manni
     
    msm.2000, Mar 24, 2008
    #1
  2. X.MAN

    X.MAN Moderator

    X.MAN, Mar 24, 2008
    #2
  3. msm.2000

    msm.2000 Byte

    Attached Files:

    msm.2000, Mar 24, 2008
    #3
  4. Babu1940

    Babu1940 Viertel Gigabyte

    Nur mal so nebenbei (wenn dein Problem behoben ist):
    Aktualisiere mal dieses Programm, das ist nämlich schon lange überholt!

    Außerdem gibt es seit einiger Zeit den IE7!
     
    Babu1940, Mar 24, 2008
    #4
  5. X.MAN

    X.MAN Moderator

    >Beim nächsten Start des PC ist er jedoch wieder da.

    ...deaktiviere die Systemwiederherstellung(nach dem löschen und Neustart wieder aktivieren)!
     
    X.MAN, Mar 24, 2008
    #5
  6. Hummer

    Hummer Megabyte

    Vielleicht läuft der nicht auf "Win IX SP2"
     
    Hummer, Mar 24, 2008
    #6
  7. msm.2000

    msm.2000 Byte

    Hallo - was habe ich getan:

    System herunter gefahren
    System herauf gefahren
    Trojaner wurde angezeigt und von mir gelöscht
    Systemwiederherstellung deaktiviert
    System herunter gefahren
    System wieder herauf gefahren
    Trojaner immer noch vorhanden - wurde wieder ( wahrscheinlich vergeblich ) gelöscht

    Also immer noch kein endgültiger Erfolg.

    Manni
     
    msm.2000, Mar 24, 2008
    #7
  8. Hummer

    Hummer Megabyte

    Hummer, Mar 24, 2008
    #8
  9. Babu1940

    Babu1940 Viertel Gigabyte

    :teach: TO hat lt. HJT-Log:
    :)
     
    Babu1940, Mar 24, 2008
    #9
  10. Hummer

    Hummer Megabyte

    Hast Recht. Ich bin mal wieder zu leichtgläubig.
     
    Hummer, Mar 24, 2008
    #10
  11. msm.2000

    msm.2000 Byte

    Hallo, Hummer!


    Ich habe auf der Seite von AVIRA nachgesehen.

    " Kopie seiner selbst wird hier erzeugt:
    • %SYSDIR%\wmimgr.exe

    Wenn ich dieses Programm lösche, wäre damit das Problem behoben?
    Wen ja, wie und wo finde ich das ?

    Manni
     
    msm.2000, Mar 24, 2008
    #11
  12. Babu1940

    Babu1940 Viertel Gigabyte

    Ischa auch n ganz merkwürdiges System, nich? Klingt ja irgendwie nach selbstgebastelt!

    Oder die lateinische Umschreibung für Win 95/98 :D
     
    Babu1940, Mar 24, 2008
    #12
  13. msm.2000

    msm.2000 Byte

    Es war natürlich Win XP SP2 gemeint - der Fehler IX zu XP entstand in meinem Kopf oder auf dem Weg zu den Fingern.

    M.
     
    msm.2000, Mar 24, 2008
    #13
  14. Hummer

    Hummer Megabyte

    Es ist schon zum Kotzen, jeder Hersteller von Antivirenprogrammen benennt seine von ihm beschriebenen Viren anders als ein anderer Hersteller.
    Und AntiVir hat noch nicht einmal von Injekt.ZS eine Beschreibung, sondern von Injekt.AQ.
    Kleiner Fehler meinerseits.

    Vielleicht sind das aber auch in deren Nomenklatur Synonyme.

    %SYSDIR% ist der Pfad Deines Betriebssystems.
    edit:%System% is a variable that refers to the Windows System folder. By default this is C:\Windows\System for Windows 95/98/ME, C:\Winnt\System32 for Windows NT/2000, or C:\Windows\System32 for Windows XP and Vista.

    Gib doch einfach "wmimgr.exe" in die Suchenfunktion ein.
    Falls Du die Datei entdeckst, würde ich sie plattmachen und die ganzen Einträge die bei AntiVir aufgeführt sind auch ausmerzen.
    (*hüstel*...ohne Gewähr)
     
    Hummer, Mar 24, 2008
    #14
  15. msm.2000

    msm.2000 Byte

    Habe weder in System32 noch über die Suchfunktion die Datei wmimgr.exe gefunden.

    M.
     
    msm.2000, Mar 24, 2008
    #15
  16. Hummer

    Hummer Megabyte

    Hummer, Mar 24, 2008
    #16
  17. msm.2000

    msm.2000 Byte

    Online-Virus-scan durchgeführt,
    alles bereinigen lassen,
    Systemwiederherstellung deaktiviert,
    System herunter gefahren und neu gestartet;
    Trojaner wird wieder gefunden - und von mir wieder in Quarantäne geschickt.

    Alle Versuche, das Mistding zu beseitigen, bisher also ohne Erfolg. Wer weiß noch eine Lösung ?

    M.
     
    msm.2000, Mar 24, 2008
    #17
  18. Hummer

    Hummer Megabyte

    Nö, im Moment nicht.
    Interessant wäre genau zu wissen was Avira nun wo gefunden hat und was die Onlinescans gefunden hatten.
     
    Hummer, Mar 24, 2008
    #18
  19. msm.2000

    msm.2000 Byte

    Hallo ---

    der Pfad lautet
    C:\Dokumente und Einstellungen\All Users\Startmenue\Programme\Autostart\svchost.exe

    neuer Logfile

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:41:37, on 24.03.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\SLEE401.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Acronis\TrueImageHome\TrueImageMonito r.exe
    C:\Programme\Acronis\TrueImageHome\TimounterMonito r.exe
    C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
    C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\Java\j2re1.4.2_15\bin\jusched.exe
    C:\Programme\Steganos Security Suite 5\spm.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
    C:\Eigene Dateien\PC-Anweisungen\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = freenet.de - DSL Internet E-Mail Nachrichten Chat Shopping und alle aktuellen Themen
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonito r.exe
    O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonito r.exe
    O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\j2re1.4.2_15\bin\jusched.ex e"
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKCU\..\Run: [SSS5SPM] "C:\Programme\Steganos Security Suite 5\spm.exe" /booting
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [SSS5SPM] "C:\Programme\Steganos Security Suite 5\spm.exe" /booting (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_15\bin\npjpi142_15.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_15\bin\npjpi142_15.dll
    O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE401.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    --
    End of file - 5539 bytes



    und hier noch ein weitere Logfile

    So, hier ist nun der Logfile von Smitfraudfix:

    SmitFraudFix v2.308

    Scan done at 16:29:37,63, 24.03.2008
    Run from C:\Eigene Dateien\PC-Anweisungen\Smitfraudfix\SmitfraudFix
    OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
    The filesystem type is NTFS
    Fix run in normal mode

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
    !!!Attention, following keys are not inevitably infected!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Killing process


    »»»»»»»»»»»»»»»»»»»»»»»» hosts


    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.


    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: AVM FRITZ!Box SL #2 - Paketplaner-Miniport
    DNS Server Search Order: 192.168.178.1

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{67BAEE8E-3DE6-487C-8FD6-30FE4156C0E8}: DhcpNameServer=192.168.178.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{67BAEE8E-3DE6-487C-8FD6-30FE4156C0E8}: DhcpNameServer=192.168.178.1
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{67BAEE8E-3DE6-487C-8FD6-30FE4156C0E8}: DhcpNameServer=192.168.178.1


    »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, following keys are not inevitably infected!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""


    »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

    Registry Cleaning done.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
    !!!Attention, following keys are not inevitably infected!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll


    »»»»»»»»»»»»»»»»»»»»»»»» End



    Wenn jetzt noch niemand eine Lösung weiß, werde ich wohl formatieren müssen.:mad:

    Manni
     
    msm.2000, Mar 25, 2008
    #19
  20. Hummer

    Hummer Megabyte

    Hummer, Mar 25, 2008
    #20
Page 1 of 2
Thread Status:
Not open for further replies.

Share This Page