Ich habe Win2000 englisch mit allen updates, Norton Antivirus und ZoneAlarm Pro alles aktualisiert. Trotzdem habe ich einen Trojaner eingefangen. Dieser hat mir den Zugriff zu jeglichen webpages gesperrt, regedit, task manager, Norton Antivirus, sowie firewall abgewürgt. Stinger und HijackThis kann ich auch nicht vom infizierten System starten. Leider funktioniert bei mir der Save Mode nicht. Das war schon immer so, keine Ahnung warum. Das kompliziert die Sache natürlich. Ich habe mal ein zweites Win2000 instaliert und von dort aus Stinger laufen lassen, dieser brachte dann die Meldung vom Qhsots.apd trojan. Entfernen konnte er es jedoch nicht und das Symantec Removal Tool für Qhosts findet nichts. Gibt es noch eine Möglichkeit mein System ohen Neu-Installation zu retten???
Kann dieser Trojaner sich auf meiner Daten-Partition verstecken und so nach einer formatierung des C-Laufwerks wieder ins System zurückkehen?
Bin für jede Hilfe sehr dankbar.

Hallo rthumiger,

Zitat:

Kann dieser Trojaner sich auf meiner Daten-Partition verstecken und so nach einer formatierung des C-Laufwerks wieder ins System zurückkehen?

Wenn der Trojaner gelöscht ist, kann er sich nirgends verstecken und nirgends wieder auftauchen. Wenn Du verseuchte Dateien von einer Partition auf die andere verschiebst, kann sich die Malware natürlich mitverschieben. Daher wäre es gut, ihn zu löschen. Du könntest es mit einem Online-Scan versuchen. Ich gebe Dir hier einen Link zu einer Auswahl kostenloser Online-Scans.

Hast Du die Ordner TEMP, Temporary Internet Files, Cookies und Verlauf bereits geleert?

Lass uns bitte wissen, ob Du den Trojaner beseitigen konntest. Erstelle dann - so möglich - ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es mittels copy&paste hier in Deinen Thread.

SD

@ SD, du weißt doch das es geht, wenn ich eine infizierte Datei von C :nach sonst wo schicke und die dann wieder auf C:, ist halt der ganze Mist wieder da, oder?
LG;
Charlie

Ich glaube, ihr redet nur ein wenig aneinander vorbei und meint eigentlich dasselbe. Falls es dich ein wenig verwirrt haben sollte rhumiger: gesetzt den Fall, du hast dir den Schädling durch eine von dir heruntergeladene Datei aufs System geholt, beispielsweise einen Crack für ein Programm in einer Zip-Datei und du hast diese Zip-Datei dann entpackt und den Crack ausgeführt, hat er nebenbei den Trojaner installiert. Diesen installierten (!) Trojaner wirst du durch eine Formatierung los, falls du die Zipdatei vorher zwecks späterer Verwendung allerdings auf deine Daten-Partition kopiert und gesichert hast, die du NICHT formatierst, hast du den Infektionsherd immer noch auf dem Rechner. Allerdings musst du erst wieder die Datei öffnen bzw. den Crack ausführen, um ihn erneut zu installieren.

Entfernen konnte ich ihn tatsächlich nicht, mein System war so blockiert da ging nichts mehr. Nun habe ich in den sauren Apfel gebissen und statt Win2K, gleich XP aufgesetzt, da komme ich wenigsten in den Save Mode.
Die möglichen Ursachen habe ich natürlich entfernt, um mir ihn nicht erneut draufzuladen. Habe aber ne Menge Daten aller Art und die habe ich natürlich nicht gelöscht und wollte eigentlich wissen, ob sich der Mistkäfer da verstecken kann. Bis jetzt sieht eigentlich alles gut aus von meiner unwissenden Sichtweise aus. Zur Sicherheit poste ich hier mal das log vom Hijachthis:

Logfile of HijackThis v1.97.7
Scan saved at 19:11:13, on 12/10/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINNT\Mixer.exe
C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\NetLimiter\NetLimiter.exe
C:\WINNT\System32\ctfmon.exe
C:\Program Files\Yahoo!\Messenger\ypager.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Microsoft ActiveSync\WCESMgr.exe
C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tagi.ch/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [PMXInit] C:\WINNT\System32\pmxinit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite (HKLM)
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/yinst/yinst_current.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097519863278
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yaho...tocomplete.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Bin für eure Kommentare dankbar.
rth

Verwende zum Erstellen eines Logfiles immer die aktuelle Version 1.98.2

Bitte besuche sofort www.windowsupdate.com und installiere alle Updates und Patches.

Inzwischen gibt es schon SP2 von XP.