Trojaner

Jannemann92

Cadet 1st Year
Registriert
Feb. 2007
Beiträge
15
Hallo an die Fachleute,
ich bekomme seit gestern ständig von meinem Antivirusprogramm die Meldung, dass ich in D:\System Volume Information\_restore{DB325EF8-3278-444B-9986-7A8D42DB4531}\RP512\A0049611.exe ein trojanisches Pferd namens TR/Zlob.CA.71 hätte.

Lasse dieses auch sofort über das Virenprogramm löschen.

Leider kommt diese Meldung aber immer und immer wieder mit dem gleichen Trojaner.

Wo finde ich diese Datei damit ich das Zeug von Hand löschen könnte?
Mit Suchergebnisse hab ich nich grad viel gefunden.

MFG
Jan
 
Es ist zu empfehlen die Systemwiederherstellung zu deaktivieren !

Wenn ein Computer mit einem Virus, Wurm oder Trojanischen Pferd infiziert ist, wurde die infizierte Datei möglicherweise in die Sicherung mit einbezogen. Nachdem ein Virenscanner den Rechner gesäubert hat, und dieser neu gestartet wurde, kopiert die Systemwiederherstellung von Windows die infizierte Datei wieder zurück in das eben gesäuberte System, da es die Änderung durch den Virenscanner entdeckt und diesen "Fehler" ausgleichen will.

http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Nach erfolgreicher Viren Entfernung, nicht vergessen die Systemwiederherstellung für das Systemlaufwerk (Partition auf der das Betriebssystem installiert ist) wieder an zu machen.

Danach mit deinem Virenscanner noch mal im abgesicherten Modus scannen.

Auch mal mit anderen Scannern dein Festplatte überprüfen lassen:

[HowTo] Malware / Spyware entfernen
9b Online Virenscanner

https://www.computerbase.de/forum/threads/malware-spyware-entfernen.302565/
 
Zuletzt bearbeitet:
Lass mal die Datenträgerbereinigung laufen, da löscht Du alle Wiederherstellungspunkte, bis auf den letzten, am besten ist es wenn Du vorher einen neuen erstellst. Mach das ganze im abgesicherten Modus, damit der Trojaner nicht aktiv wird. Danach starte den Rechner neu, der Trojaner sollte verschwunden sein.
 
@boogeyman: ich war im abgesicherten modus hab die datei aba nich gefunden
ich weiß nich wo die datei D:\System Volume Information\_restore{DB325EF8-3278-444B-9986-7A8D42DB4531}\RP512\A0049611.exe sein soll die finde ich nch wo soll ich die suchen
ich versteh leida nich so viel von PCs

@werkam: was sind wiederherstellungspunkte
 
Wenn der PC nicht mehr läuft, erkennt Windows das ein Fehler aufgetreten ist und versucht aus den Wiederherstellungspunkten ein lauffähiges System wiederherzustellen. Wenn Du diese entfernst, werden auch keine Viren und Trojaner die sich in den WHs befinden zurückgesichert.
"D:\System Volume Information\_restore" ist der Ort wo sich die WH-Punkte befinden, jeder wird beim runterfahren oder beim Installieren von Updates/Treibern/Software erstellt, wenn der Hersteller es eingebunden hat oder Windows erkennt, das Systemdateien geändert werden. Du kannst nachsehen wieviele und wann die WH-Punkte erstellt wurden, indem Du die Systemwiederherstellung aus dem Ordner "Programme/Verwaltung/System/Systemwiederherstellung" startest, versuche mal einen alten Punkt wiederhezustellen (breche den Vorgang aber wieder ab),es erscheint ein Kalender, an den Tagen wo ein WH erstellt wurde, hast Du Auswahlen für eine Wiederherstellung. Damit kannst Du aber keine Punkte löschen, das geht, wenn Du mit der rechten Maustaste auf das Laufwerk (D:\) klickst, auf Eigenschaften klickst und die Bereinigung aufrufst, dann auf weitere Optionen>> Systemwiederherstellung. Bevor Du das machst, starte den abgesicherten Modus, erstelle einen neuen Wiederherstellungspunkt mit dem Programm "Systemwiederherstellung", danach löscht Du alle Punkte, der neu erstellte Punkt bleibt erhalten, dann starte den Rechner neu.
Dann musst Du noch nachsehen welche Programme autostartend sind und nicht koscher sind (msconfig), diese entfernst/deaktivierst Du, sonst aktiviert sich der Trojaner wieder, auch aus der Registry sollten diese Einträge gelöscht werden.
 
Zuletzt bearbeitet:
ich weiß nich wo die datei D:\System Volume Information\_restore{DB325EF8-3278-444B-9986-7A8D42DB4531}\RP512\A0049611.exe sein soll

Dieser Ordner wird in der Standard Einstellung im Explorer versteckt gehalten, zum entfernen brauchst du ihn auch nicht sehen. ;)

Du solltest dir hier gegebenen Ratschläge schon umsetzen !
Du sollst einfach die Systemw. deaktivieren, ich habe einen Link gepostet, dort ist alles erklärt mit Bildern.
 
Rechtsklick Arbeitsplatz/Eigenschaften/Systemwiederherstellung deaktivieren..nach neustart ist der Ordner restore auch verschwunden.

Trotzdem könnte der Troyaner immer noch auf dem System sein
 
Nein, der Ordner wird nicht verschwinden, nur geleert.
Und ja, dein System könnte kompromittiert sein. Poste ein Hijackthis-Logfile, Link in meiner Signatur.

mfg,
Markus
 
Egal geleert, oder verschwunden.

Aber warum sollte Windows den Ordner wiederherstellen, wenn die Systemwiederherstellung deaktiviert ist?

Trojanhunter findet mehr als Trojaner, sogar Adware und hat sogar einen Guard.

da kann man sehen wenn der Trojaner noch aktiv ist, ob er ins Internet zugreifen will.
 
Zurück
Oben