Tipps & Tricks 16.01.2003, 10:00 Uhr

Norton kann Trojaner nicht löschen

Ich bekam von meinem Norton-Programm die Meldung, dass sich ein Trojaner auf meinem PC befindet. Er sitzt im Ordner «System Volume Information» auf der Festplatte C. Norton konnte ihn nicht eliminieren und ich konnte ihn nicht manuell löschen: Dateizugriff verwehrt! Die Datei heisst ähnlich wie «MS Heimnetz», gefolgt von einer langen Reihe von Zahlen und Buchstaben und der Endung .exe. Was kann ich nun tun?
Leider haben Sie nicht angegeben, wie der Trojaner genau heisst, der in der Datei sitzt (meist etwa "Trojan.Trojanername"). Auch wissen wir nicht, welche Windows-Version Sie verwenden.
Trotzdem einige Tipps: Starten Sie den PC im abgesicherten Modus und versuchen Sie dann, die Datei zu entfernen. Wenn dies nicht funktioniert, versuchen Sie, den Prozess des Trojaners zu beenden: Drücken Sie die Tastenkombination CTRL-ALT-DELETE und versuchen Sie den Trojaner-Prozess ausfindig zu machen. Falls Sie ihn entdecken, klicken Sie ihn an und beenden Sie ihn. Versuchen Sie erneut, die Datei zu löschen bzw. vom Virenscanner löschen zu lassen.
Falls dies auch nicht funktioniert und Sie Windows XP oder Windows Me haben, schalten Sie vorübergehend die so genannte Systemwiederherstellung aus. Wie dies geht, haben wir z.B. im Virenticker-Artikel betreffend des BugBear-Wurms beschrieben [1]. Nach dem nächsten PC-Start sollte Norton die Datei löschen können. Scannen Sie danach die Festplatte nochmals komplett nach Viren. Werden keine mehr gefunden, schalten Sie die Systemwiederherstellung wieder ein.
Vielleicht hat sich der Trojaner in der Windows Registry eingetragen. Starten Sie den Registry-Editor via Start/Ausführen und Eintippen von REGEDIT. Inspizieren Sie die Einträge in diesen Zweigen. Vielleicht verweist einer davon auf die fragliche Datei:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\[IhrName]\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Sollte tatsächlich in einem der genannten Registry-Zweige ein Verweis auf die mutmassliche Trojaner-Datei vorhanden sein, löschen Sie den Verweis, starten Sie den PC neu und löschen Sie die Datei.



Kommentare
Es sind keine Kommentare vorhanden.