Wie erkennt und entfernt man Trojaner by SnakeByte [snakebyte@kryptocrew.de] Wenn man öfters im Internet surft und Dateien annimmt, sollte man gelegentlich den Rechner auf Trojaner überprüfen. Dies kann zum einen mit verschiedenen Anti-Virus & Anti-Trojan Programmen geschehen, aber auch per Hand, da die Programme nicht immer alle Trojaner finden können. Wie dies geht erkläre ich hier. + Woher weiß man das man einen Trojaner hat ? Zuerst sollte man seine Ports überprüfen. Dies kann zum einen mit extra Programmen geschehen ( Portcheck, Portscan auf eigene Ports ) oder mit dem in Windows enthaltenen Netstat. Dazu einfach mal ( offline ) die MS-Dos Eingabeaufforderung starten und auf der Befehlszeile 'Netstat -a' eingeben. Dann erscheint so etwas : Active Connections Proto Local Address Foreign Address State TCP _:31337 0.0.0.0:45178 LISTENING UDP _:31337 *:* Dies bedeutet, das ein Programm an Port 31337 auf eine Verbindung wartet. Das ist ein typisches Verhalten für Trojaner. In diesem Beispiel kann der erfahrenere Anwender über den Port auf das Programm schließen ( 31337 = Back Orifice ) Alle anderen sollten ihr System mit einem Virenscanner überprüfen. Jedenfalls ist dies ein ziemlich sicheres Anzeichen für einen Trojaner. Danach sollte man die laufenden Prozesse überprüfen, allerdings nicht mit dem Windows-Taskmanager ( Strg+Alt+Entf ) da es möglich ist Prozesse vor diesem zu verstecken. Lieber einen anderen Taskmanager verwenden wie CCTASK. Diese Überprüfung sollte am Besten direkt nach einem Reboot gemacht werden, damit nur die Programme sichtbar sind, die bei jedem Start von Windows geladen werden. Falls man hier verdächtiges entdeckt den Task beenden und die Datei löschen. ( Vorher besser Backup machen ! ) Eine weitere Möglichkeit Trojaner zu finden ist die, daß man die Systemdateien überprüft, in denen Programme eingetragen werden können, die automatisch gestartet werden. Diese sind: Autoexec.bat - Hier nur nach 'del' und 'format' überprüfen, da die Programme die hier eingetragen sind reine Dos-Programme sind Win.ini - Hier die Einträge 'load=' und 'run=' überprüfen, ob nur die Programme eingetragen sind, die sie wirklich starten möchten. System.ini - Hier im Eintrag 'shell=' sollte normalerweise nur die 'Explorer.exe' stehen. Registry - Hier gibt es mehrere Möglichkeiten eine Datei zu starten. Per Windows-Program 'regedit.exe' können sie diese Möglichkeiten überprüfen: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce Hier können Dateien eingetragen werden, die bei jedem Start von Windows mit-geladen werden. Desweiteren gibt es noch die folgenden 3 Einträge : HKEY_CLASSES_ROOT\exefile\shell\open\command HKEY_CLASSES_ROOT\comfile\shell\open\command HKEY_CLASSES_ROOT\batfile\shell\open\command Passes sie jedoch bei Änderungen auf, wenn sie Fehler machen, kann es passieren, das sie keine Programme mehr starten können ! Der Standartmäßige Eintrag ist folgender: "%1" %* Weitere Anzeichen für Trojaner sind: - Merkwürdiges Verhalten des PC's - Messageboxen mit Grüßen - Gelöschte Dateien - Verlangsamung des PC's + Wie entfernt man Trojaner ? 1.) Beenden des Prozesses per Taskmanager (wichtig da viele Trojaner Registry Einträge etc. erneuern !) 2.) Löschen der Autostart-Einträge 3.) Löschen der Datei ( Vorher Backup machen ! ) 4.) Neu Booten und nochmals überprüfen ob der Trojaner aktiv ist ! 5.) Falls es Fehler gibt, die Datei wiederherstellen & Starten 6.) Ansonsten den Trojaner an SnakeByte@kryptocrew.de schicken ;) 7.) Passwörter ändern, falls sie geklaut wurden 8.) Sich freuen, das TFAK demnächst auch diesen Trojaner erkennt Wenn sie diese Anleitung befolgen, kann eigentlich nichts schiefgehen !