Trojaner, den kein Programm entfernen kann

[bgs]

Hallo,
ich hoffe mal einer von euch Cracks hier kann mir helfen (ich hoffe auch, dass das hier das richtige Forum ist).

Antivir hat auf meinem PC einen Trojaner mit folgender Bezeichnung gefunden: TR/Dldr.Zlob.BZ.2
Allerdings bringt es Antivir nicht fertig, diesen zu löschen. Es heisst nur jedesmal, die Datei wäre gelockt und nach nem Neustart wäre ich sie dann los. Allerding findet Antivir die Datei immer und immer wieder. Verschieben ins Quarantäneverzeichniss bringt nichts. Nach dem Neustart ist diese daraus wieder verschwunden und das Quarantäneverzeichniss läßt sich auch nicht von Hand löschen. Es heisst dann, dass die Datei wegen Benutzung nicht gelöscht werden kann. Löschen mit Hilfe von Antivir scheint auch nicht zu wirken: Die Datei verschwindet einfach nicht.
Nun dachte ich mir, es gibt ja auch noch andere Programme. Ich habe noch den McAfee Stinger (2.5.9) den Avast Cleaner (1.0.208), und die Entfernungs Tools von Symantec ausprobiert. Wenn diese Programme allerdings den Trojaner gefunden haben, geht das Fenster von Antivir auf, mit dem ich die Datei dann löschen kann (was nicht funktioniert, siehe oben). Wenn ich Antivir vom System entferne und dann die Tools laufen lasse, finden sie den Trojaner gar nicht mehr.
Als letzte Möglichkeit habe ich noch die DateiShredder Funktion von Spybot versucht. Wenn ich die besagte Datei allerdings vernichte, erscheint sofort eine neue mit einer wahllosen Buchstaben Kombination.

An Formatierung habe ich auch schon gedacht, aber ich wollte es erstmal auf diesem Weg versuchen. Vielleicht kann mir ja jemand helfen.

Gruß
Benjamin

 

[longi]

Hi

Antivir mal im abgesicherten Modus laufen lassen, vorher mal die
Systemwiederherstellung deaktivieren und nach einem Neustart
wieder aktivieren.

Cu

 

[Spielkind]

Imo mußt Du die Datei erst beenden bevor Du Sie löschen kannst. Daher kann Dein Virenscanner Sie auch net löschen. Vor dem Löschen bei ME und XP die Systemwiederhersteillung deaktivieren und nach dem löschen wieder einschalten.

Der Name des Trojaner läßt auch auf einen Downloader schließen. Wenn er nur/ noch im Temp- Verzeichnis gefunden wird, dieses löschen und den Papierkorb leeren und gut ist.

Google mal nach dem Trojaner. Es wird kein Ergebnis gefunden. Könnte sich um einen Fehlalarm von AntiVir handeln. Afaik ist diese Soft dafür bekannt.

Stinger scannt und desinfiziert afaik nur nach ~50 Viren.

Kennst Du die 'scheinbar' befallene Datei? Und den Verzeichnispfad? Wenn ja, kannst Du diese auf virusscan.jotti.org/de scannen.

Um eine Infizierung Deines Rechner weitgehend auszuschließen kannst Du einen eScan machen. eScan basiert auf Kaspersky.

HiJackThis.de Log gemacht und analysiert?

 

[bgs]

Also vielen Dank erst mal für die schnelle Hilfe von euch zwei. Der Tojaner wird nicht mehr gefunden und damit gehe ich mal davon aus, dass ich ihn vom System entfernen konnte.

@longi
Im Abgesicherten Modus hat Antivir den Tojaner plötzlich nicht mehr gefunden. Danach im Normalmodus allerdings doch wieder.


@Spielkind
Google hat für den Tojaner kein Ergebnis erbracht.

virusscan.jotti.org/de hat die Datei, die ich mit Antivir ins Quarantäneverzeichniss verschoben habe, gescannt und 4 der dort verwendeten Programm haben sie auch als Trojaner identifiziert.

HiJackThis.de hat nichts gefunden

eScan Anti-Virus (AV) for Windows habe ich mir runtergeladen und dieses hat dann wie angekündigt, den Tojaner nach dem Neustart entfernt. Antivir konnte ihn daraufhin nicht mehr finden.



Danke nochmal
Gruß Benjamin

 

[Spielkind]

@ebolavirus80

eScan findet nur Viren, entfernt sie aber nicht. Die Desinfektion muß man selbst mit der Hand (beenden, löschen bzw. ersetzen der befallenen Dateien) erledigen. Die Analyse eines HiJackThis Logs findet Zugriffe evt. Schadsoftware auf das Netzwerk (I-Net).

Da Jotti nur 4x den Virus gefunden hat wäre interessant, wie der dort integrierte Kaspersky Scanner darauf anschlägt?

Das augenscheinlich nix mehr gefunden wurde, liegt imo entweder an aktuallisierten Virensignaturen und das der 1. Fund ein Fehlalarm war. Dafür spricht imo auch das bei Google nichts bezüglich des angeblichen Trojaners gefunden wurde.

Andererseits wenn es eine Trojan- Downloader gewesen ist, Du Deine Temp- Files gelöscht hast und dieser vorher nicht ausgeführt wurde, ist er eh ins Datennirvana entschwunden (ganz ohne Mithilfe eines Virenscanners).

Ich würde zur Sicherheit noch ein HiJackThis Logfile machen und analysieren.

 

[Abianis]

Hallo unter diesem habe ich dann zumindest eine Erwähnung des Trojaners gefunden.

 

[Spielkind]

Du hast Recht. Mittlerweile findet sich auch im Chip- Forum ein Thread. Scheint also doch kein Fehlalarm zu sein. Hier noch ein Link zu Shopos. Komischerweise fand Google am Sonntag Abend noch nix.