Hallo Leute,

ich habe ein Problem mit einem Trojaner und weiß nicht wie ich es aus der Welt kriege.

Vor einigen Tagen hab ich routinemäßig mal wieder AdAware laufen lassen. Während es lief hat mein AntiVir angeschlagen und den Fund eines "Trojanischen Pferds" mit dem Namen "TR/Qhost.A.2" (die genaue Fundstelle: Datei F:/DOKUMEN~/GENOSS~1/Lokale~1/TEMP/16542556005D) gemeldet. Das Mistding habe ich dann mit AntiVir überschrieben und gelöscht. AdAware blieb daraufhin stehen und konnte nur über den Task-Manager beendet werden.

Heute hab ich das gleiche gemacht: AdAware anlaufen lassen, Antivir meldet wieder den selben Trojaner, diesmal nur gelöscht, AdAware bleibt daraufhin stecken. Hört sich nicht gut an, oder?

Ich habe sowohl AntiVir wie auch AdAware deinstalliert und neu draufgezogen. Ich habe HijackThis laufen lassen und fast alles gekillt was mir angezeigt wurde. Dann habe ich noch einen RegCleaner automatisch laufen lassen. Auch das Programm Spybot habe ich laufen lassen. Hilft alles nix. [img]graemlins/heulen.gif[/img] Es passiert immer noch dasselbe wie oben schon beschrieben.

Außerdem habe ich gerade Trojancheck6 laufen lassen. Aber ich muß zugeben, daß ich nicht so recht durchsteige durch das, was mir angezeigt wird.

Mein Betriebssystem ist Windows2000.

Wäre super, wenn ihr mir helfen könntet.

Egon

Das Problem wird wohl daran liegen, das Antivir und Adaware die selben Signaturen nutzen um den qhost zu finden. Sprich Antivir findet die Signatur in der Datei, die Adaware im Temp Ordner ablegt. Du solltest Antivir deaktivieren, wenn du Adaware laufen laesst.

Vielleicht hilft ja das, schalte mal die Systemwiederherstellung ab, bevor du einen Sccann machen tust. Mußt sie aber wieder nach dem Scann wieder einschalten. Versuche es mal mit den Tools von Symantec, Trendmicro usw...

Wenn du den qHost wirklich hast, kannst du dann wahrscheinlich wwww.google.de nicht mehr ansurven, oder ?

THN

@raman
Ich habe AntiVir beendet. Beim ersten Mal konnte AdAware auch problemlos durchlaufen, den Trojaner hat es allerdings nicht finden können. Dann habe ich wieder einen Neustart gemacht und das Problem ging wie oben geschildert von [img]graemlins/schrei.gif[/img] vorne los, obwohl AntiVir ausgeschaltet war.

@TrojanerHunterNEW
Wie schalte ich die Systemwiederherstellung ab?
Bei Google kann ich problemlos surfen.

Also Wiederherstellung geht doch nur bei XP, oder?

Versuchs mal mit nem Online-Scan, z. B. bei BitDefender. Das dauert, aber die finden, wenn's was zu finden gibt.

Viel Glück!

</font><blockquote>Zitat:</font><hr />Original erstellt von Kiki:
Also Wiederherstellung geht doch nur bei XP, oder?</font>[/QUOTE]Bei XP und bei ME. Und brauchen tut man's auch nicht unbedingt.

hi egon,
ich lasse mir nur vermuten, das die gelöschte/umbenannte/desinfizierte Datei, die zwar von AVPE unschädlich gemacht wurde, enthält trotzdem die Virus-Signatur, im Verzeichnis &lt;LW&gt;:\....\AVPersonal\INFECTED liegt, bzw. gemeldet wird .
Leere bitte den o.g. Ordner, alle TEMP-Ordner, Papierkob, Temporary Internet Files ...usw. Lasse deinen PC von einem OL-Scanner (Trendmicro, z.B.) scannen, bevor aber stelle den AVGuard komplett ein.

Ich habe die Ordner geleert und AntiVir deinstaliert. Dann habe ich versucht einen Onlinescan bei BitDefender zu machen. Allerdings stürzt dabei immer mein Internet-Explorer ab. (Mit Opera oder Netscape funzt der Onlinescan erst gar nicht).

Bis zum Absturz gab es folgende Meldung im Report:

Memory ok
Master Boot Record 80 ok (Windows 95 B20 - Windows 98)
Partition Boot 1 (primary) (active) ok (Windows NT 2000 NTFS)
Partition Boot 2 ok (Windows NT 2000 NTFS)
F:\bootconf.exe infected: Trojan.Startpage.Q
F:\bootconf.exe unable to disinfect

Ergänzung: Ich habe jetzt gerade einen Onlinescan mit HouseCall von Trendmicro gemacht. Gefunden und vernichtet wurde 1 Virus. Vielleicht wars das ja?

</font><blockquote>Zitat:</font><hr />Original erstellt von Egon:
Gefunden und vernichtet wurde 1 Virus. Vielleicht wars das ja?</font>[/QUOTE]Vielleicht. Vielleicht aber auch nicht. Hiermit prüfen:

http://www.tomcoyote.org/hjt/

Zukünftig vorbeugend: auf den IE verzichten.