-Anzeige-

Internefallen
Verbraucherschutz im Internet

Steuern | Behördenwegweiser | Internetfallen

Themenbereiche
sonstiges
Suchen
 
Web Internetfallen

Trojaner entfernen

Trojaner erkennen und entfernen ohne Spezialsoftware

Trojaner erkennen und entfernen ohne Spezialsoftware

Trojaner installieren sich oft so, dass sie direkt beim Systemstart ausgeführt werden. Das bedeutet:Der Trojaner läuft ständig im Hintergrund des Systemes mit und startet sobald der PC Online geht.Dazu kann der Trojaner sich als Autostartprogramm in diversen Ordnern oder Programm-inis verstecken.Die Suche danach ist aufwendig und für Laien oft nicht ungefährlich. Schnell wird ein regulärer Eintrag gelöscht. Also Vorsicht bei den nachfolgenden Tipps !

Verdacht auf Trojaner ? Prüfen sie zunächst die laufenden Prozesse wenn sie Online sind :

Mit dem “Klammeraffengriff” ( Tasten: AltGr + Strg + Entf gleichzeitig drücken ) werden in einem Fenster alle laufende Prozesse anzeigt. Ist hier ein Trojaner kann man das Programm sofort beenden. Leider gibt es aber Trojaner die in diesem Taskmanager nicht auftauchen, besonders wenn sie nur gelegentlich Daten versenden.

Windows verfügt dazu über ein gutes Tool zur Überprüfung der laufenden Prozesse : "DrWatson". DRWATSON startet man unter Windows mit START –Ausführen- . Dort den Befehl drwatson eingeben. In DrWatson dann die "Ansicht" aufrufen und wähle dort die Option "Erweiterte Ansicht".Hier werden sehr viele Einträge auftauchen, den Trojaner jetzt rauszusuchen ist eine Kunst, für Anfänger vielleicht etwas schwierig..

Autostart-Ordner

Von Trojanern sehr selten genutzt, da leicht zu erkennen und leicht zu löschen. Den Autostart-Ordner findet man unter Windows -Start - Suchen - Dateien/Ordner - Autostart eingeben - . Oder mit der rechten Maustaste auf die untere Leiste am Bildschirmrand klicken, dann auf –Eigenschaften- Startleiste bearbeiten-gehen. Wenn im dortigen Autostartordner unerwünschte Einträge sind, löschen. Aber beachte : Die Entfernung des Autostarteintrages entfernt noch nicht unbedingt den Trojaner sondern verhindert nur dessen Autostart! Anhand des Eintrages im Autostartordner kann aber das Programm/Trojaner lokalisiert und gelöscht werden.

Ersetzen einer regulären Datei , bereits passiert : runonce.exe

Windows führt beim Start automatisch diverse Dateien aus. Ein schlauer Trojaner benennt sich nach einer solchen Datei und wird daher nicht erkannt. Man kann eine geänderte Orginaldatei nur aufgrund der unterschiedlichen Größe zum Orginal ermitteln. Wer kennt schon die Orginalgröße ?Bekannt aus der Fachpresse sind Trojaner die die Datei runonce.exe dazu mißbrauchten. Mein Rat in diesen Fällen : Hier muß ein Spezialprogramm gegen Viren oder Trojaner her ! ( siehe Banner unten ).

Win.ini

Eine häufig anzutreffende Methode ist die Eintragung in die Win.ini unter den Parametern "Load=" oder "Run=". Viele Trojaner tragen sich jedoch verdeckt , nach Zwischenzeichen oder Leerzeichen, hinter der Parameter-Bezeichnung ein. Die Win.ini kann man über den Explorer finden oder man benutzt den Befehl sysedit.exe unter Windows-Start - Ausführen -.

Es öffnet sich jetzt ein Editorfenster u.a. mit der Win.ini.

System.ini

Hier müssen Sie unter dem Paramter "shell=" nachschauen. Eigentlich sollte hier nur der explorer eingetragen sein, wenn weitere Einträge vorhanden sind genau anschauen. Zur System.ini kommt man ebenfalls leicht mit dem Befehl sysedit.exe unter Ausführen.

autoexec.bat

Die autoexec.bat war früher sehr ( unter DOS / Win 3.1) beliebt um Programme automatisch zu starten. Heute wird sie kaum noch verwandt. Bearbeiten kann man die Datei mit dem Editor.Die Datei befindet sich direkt unter Laufwerk c:.

Winstart.bat

Selten mißbraucht da sehr kompliziert zu handhaben. Es soll wenige Trojaner gegeben haben welche mit einem Befehl zur Kopie der Trojanerdatei gearbeitet haben. Mir ist das nicht bekannt.Wer ganz vorsichtig sein will kann versuchen hier alle Befehlzeilen zu überprüfen, für einen Laien unmöglich.

Config.sys

Hier gilt wie bei der autoexec.bat: Alt und selten benutzt. Als Gerätetreiber getarnte Trojaner gibt es praktisch nicht mehr.Hier müssen nur WIN 3.1 User ( sofern es solche noch gibt ) nachschauen.

Der Standartfall eines Trojaners : Windows-Registrierungseinträge

Die Registry wird wieder über Start-Ausführen aufgerufen, dazu den Befehl regedit eingeben.

Die Registry ist für Laien ebenfalls ein Buch mit sieben Siegeln, jede falsche Löschung kann zum Absturz von Windows führen. Vor jeder Änderung daher unbedingt die Registry sichern !! (Kopie anlegen )Keine Einträge wahllos löschen, hier müssen sie genau wissen was sie tun ! In nachfolgenden Ordnern der Registry können sich unliebsame Trojaner einnisten :

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices/
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce/
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce/

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce/
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices/

Dazu kommen noch die Einträge der Shell-Parameter . Hier bedarf es eines Fachmannes, denn auf keinen Fall darf der gesamte Eintrag gelöscht werden ! Hier muß der Trojaner aus der jeweiligen Zeile “ herausgeschnitten” werden. So sollten die Einträge aussehen im Orginal, wenn weitere Zeichen eingetragen sind könnte es ein Trojaner sein :

HKEY_CLASSES_ROOT/exefile/shell/open/command/ @="%1" %*"
HKEY_CLASSES_ROOT/comfile/shell/open/command/ @="/"%1/" %*"
HKEY_CLASSES_ROOT/batfile/shell/open/command/ @="/"%1/" %*"
HKEY_CLASSES_ROOT/htafile/Shell/Open/Command/ @="/"%1/" %*"
HKEY_CLASSES_ROOT/piffile/shell/open/command/ @="/"%1/" %*"

HKEY_LOCAL_MACHINE/Software/CLASSES/batfile/shell/open/command/ @="/"%1/" %*"
HKEY_LOCAL_MACHINE/Software/CLASSES/comfile/shell/open/command/ @="/"%1/" %*"
HKEY_LOCAL_MACHINE/Software/CLASSES/exefile/shell/open/command/ @="/"%1/" %*"
HKEY_LOCAL_MACHINE/Software/CLASSES/htafile/Shell/Open/Command/ @="/"%1/" %*"
HKEY_LOCAL_MACHINE/Software/CLASSES/piffile/shell/open/command/ @="/"%1/" %*"

Weitere Möglichkeiten bestehen in der Tarnung als Gerätetreiber. Falsche Gerätetreiber aufzuspüren ist für Laien unmöglich. Zu viele Einträge mit unbekannten Bezeichnungen befinden sich in der Registry. Hier hilft praktisch nur ein Spezialprogramm gegen Trojaner/Viren. Siehe hierzu unter Schutzprogramme.

zurück zu Trojaner