Problem Mit Trojaner!

BadBoy! · 14. Oktober 2004, 10:54

Hallo,

mein Kumpel hat sich ein Trojaner eingefangen, den wir nicht gelöscht bekommen, ich hoffe, dass ich die Festplatte nicht löschen muss.

Vielleicht habt ihr ja ein paar Ratschläge.

Es handelt sich um den "Trojan.QHOSTS".

Ja ich weiss, es gibt ein Remove-Tool von Symantec, den haben wir auch durchlaufen lassen, der findet aber nichts!

Der Trojaner macht sich aufmerksam, in dem eine Warnung von Norton Antivirus 2004 (haben wir auch durchlaufen lassen und ist auch auf den neuesten Stand) auf dem Desktop erscheint, dort steht das die Datei gelöscht wurde, klickt man OK, kommt erneut das Fenster, bloß das jetzt eine andere Datei erstellt wurde, die auch mit dem Trojaner infiziert ist, man kann zigtausend mal OK klicken und das Warnfenster verschwindet nicht. :grrr:

Wir haben das Remove-Tool und Norton auch im abgesicherten Modus durchlaufen lassen ---> NICHTS GEFUNDEN!

Hab auch schon ein bestimmten Eintrag aus der Registry entfernt, danach kamm die Warnung auch nicht mehr, bloß einen Tag später war die/der wieder da!

Seine Festplatte C: habe ich auch schon formatiert, der scheint auf der Partition E: zu sein, denn er taucht immer wieder auf. Wenn es gar keine andere Möglichkeit gibt, muss er seine Daten absichern und ich mache die gesamte Festplatte platt. Na dann hab ich ja wieder was zu tun, mir ist ja im Moment sooooo Langweilig! :grrr:

Sein System: Ist ein AMD mit 2400+, 1 GB RAM PC3200, 1x 80 GB HDD, 1x 120 GB HDD, GeForce TI4200 und WinXP HE.

Hoffentlich könnt ihr mir, bzw. mein Kumpel helfen.

paychecker · 14. Oktober 2004, 11:10

hört sich eher so an als ob sich der virus im bootsektor befindet und nich auf E: , also eventuell mal nen bootcleaner nehmen oder so ...

matzek · 14. Oktober 2004, 11:47

du bekommst meine standard antwort, weil dieses vorgehen bei mir immer am besten funktioniert und bis jetzt auch immer 100% zum erfolg geführt hat.

1. hijackthis runterladen (freeware)
2. pc im abgesichterten modus starten
3. hijackthis ausführen und den pc scannen
4. logfile sichern
5. logfile auf der hijackthias seite automatisch auswerten lassen und gemäß der auswertung die befallenen einträge fixen
6. anschliessend noch mit adaware scannen und fixen
7. dein pc ist wieder sauber
8. spaßeshalber wenn du dsl flatrate hast mit panda activ scan online den pc interessehalber scannen

schnuddel2003 · 14. Oktober 2004, 12:33

hijackthis ist für hijack attacken gegen den ie gut,aber was hat hijackthis mit trojanern zu tun?
Es würde wohl echt helfen erstmal nen bootcleaner laufen zu lassen,ansonsten musste wohl oder übel das ganze system plätten.

Dagomiter · 14. Oktober 2004, 12:54

Hi Schnuddel!

Du irrst, derVierenscanner findet nichts weil sich eine Umleitung in der Hosts Datei eingetragen hat. das bedeutet, der Trojaner-downloder hat sich im Systemstart eingetragen und bei jedem Start greift er auf die hosts-Datei zu. Dort ist allerding eine Umleitung eingetragen, die auf die Downloadseite des Trojaners verweist.

Die einfachste Möglichkeit diese und den Systemstart zu bearbeiten ist, hijackthis zu benutzen.

Die Datei hosts befindet sich in Windows\system32\Drivers\Etc

pogona187 · 14. Oktober 2004, 13:26

Nun, da ich selber gestern son Problem hatte... im abgesicherten Modus starten und dann z.B. Antivir laufen lassen..... im normalen Modus hat er nix gefunden.. im abgesicherten schon..

so long pogona187

matzek · 14. Oktober 2004, 15:43

@schnuddel

meiner meinung nach sucht hijackthis auch gezielt nach viren und trojanern und entfernt diese.
im übrigen muss man bei solchen problemen so oder so mehrere möglichkeiten ausprobieren um erfolg zu haben. es gibt kein allheilmittel und selten führt gleich der erste versuch zum erfolg (was man an den zahlreichen unterschiedlichen antworten bei solchen problemen erkennen kann). und da lasse ich doch lieber den ein oder anderen scan zu viel laufen lassen, als es gleich sein zu lassen, weil es ja angeblich doch nichts bringt. schaden kann es auf keinen fall (und hijackthis sowieso nicht) ...

CampDavid · 14. Oktober 2004, 17:28

@pogona187: Er hat doch sein Virenprogram im abgesicherten Modus laufen lassen, aber nichts gefunden!
Im Übrigen bin ich auch für hijackthis, da ich vor kurzem so ein ähnliches Problem hatte und es damit gefunzt hat! Ich würd es versuchen!

KuschelBaer · 14. Oktober 2004, 18:22

komisch ist, das solche fragen hier immer wieder auftauchen...

das beste wäre, wenn du den genauen namen von dem teil kennst.

dann im taskmanager (taskleiste--> rechtsklick --> taskmanager --> oder strg + alt+ entf) und dann unter prozesse evtl das ding suchen und beenden (auf den namen klicken --> rechtsklick --> prozess beenden)

dann ein paar sekunden warten, und die ansicht aktualisieren. sollte das olle ding wieder da sein - halb so wild...

dann mach mal folgendes:

start --> ausführen--> regedit

dann strg+f drücken, und dann nochmals den namen des trojaners eingeben.
mit F3 weiter suchen.

solltest du was finden, kannste den trojaner mit entf taste löschen

danach mit der sufu nochmals den datenträger danach durchsuchen, und evtl. einträge (meist im wind00fs ordner) löschen --> wenn das net geht, wie oben nochmals den prozess im taskmanager beenden, und nochmals löschen versuchen.

so solltest du das nervige ding los werden.

sollten noch fragen sein, kannste dich ja mal per pn bei mir melden

greetz KuschelBaer

BadBoy! · 15. Oktober 2004, 07:47

Vielen Dank erstmal für die schnellen Antworten!

Ich werde die Lösung von matz0569 ausprobieren (klingt sehr gut), das Proggi hijackthis kannte ich bis jetzt noch garnicht, hab mir es auch schon gezogen, eine Frage noch dazu, auf welcher Website muss ich die Logfile auswerten lassen?

Zu schnuddel2003: Kannst du mir einen guten Bootcleaner nennen? Und wo ich den gleich finden kann (Link).

Zu Kuschelbaer: Ich habe selbstverständlich im Taskmanager geschaut, ob da was verdächtiges steht, aber es stand nichts verdächtiges. Und ich glaube nicht, dass die Programmierer eines Trojaner den gleichen Namen des Trojaners(in diesem Fall: Trojan.Qhosts) auch der Datei geben, die im Taskmanager oder irgendwo in einen Ordner steckt. Ich habe eine verdächtige Datei ja gefunden, die hieß "Delus", diesen Namen habe ich auch in der Registry gefunden, aber nicht im Taskmanager. Ich habe die Datei natürlich gelöscht, was scheinbar nur einen Tag hielt.

Ich war seitdem nicht mehr bei meinem Kumpel, ich werde vielleicht nächste Woche, oder auch erst übernächste Woche zu ihn kommen. Danach werde ich mich wieder melden.

razorback · 15. Oktober 2004, 17:14

tja das selbe problem hatte ich auch und ich musste meine beiden Festplatten formatieren. Danach kahm sie nicht mehr.

XodoX · 15. Oktober 2004, 21:15

Ihr könnt doch einfach den Virus über den pfad selber suchen und dann löschen ! Geht oft net, weil die gelockt sind. Dann einfach Pc neustarten und dann gehts !

KrEeSKor04 · 17. Oktober 2004, 23:00

Ich würde dir raten ad-aware zu instalieren und den pc mal damit prüfen bei mir löscht es ja auch alle trojaner

BadBoy! · 28. Oktober 2004, 08:56

Nochmals vielen Dank für eure Antworten!

Besonderen Dank an matz0569! Seine Hilfe hat mir sehr geholfen, denn der Trojaner ist für allemal vernichet worden! Er taucht nicht mehr auf! :knu:

zu KrEeSKor04: Ad-Aware löscht Cookies und Spionage-Programme, aber soweit wie ich weiss nicht Trojaner! Wenn du diesen Trojaner hättest, den mein Kumpel hat, dann glaub ich auch nicht, dass du den damit wegbekommen hättest. Denn das habe ich auch ausprobiert!

Wie schön, dass es ein solches Forum wie dieses gibt!

Bis zum nächsten mal...

CLOSED

User64 · 28. Oktober 2004, 13:13

Schön das man dir helfen konnte!

.:CLOSED:.

Teilen