schlodfeger
Goto Top

Trojaner aufspüren und beseitigen

Wissenswertes für Anfänger und Fortgeschrittene

So erkennt man Trojaner auf einem System

Wie könnt ihr nun feststellen, ob das System bereits von einem trojanischen Pferd infiziert ist? Dieser Artikel soll zeigen, wie trojanische Pferde auf einem System erkannt und beseitigt werden. Für den ungeübten User erweist sich dies oft als sehr schwierig, da die Suche nach solchen Programmen meist Eingriffe ins System bzw. die Registry erfordert. Daher empfiehlt es sich, auf Programme, wie Virenscanner oder spezielle Anti-Trojaner-Tools, zurückzugreifen. Diese automatisieren das Aufspüren und Beseitigen und halten die Gefahren beim Beseitigen, das System zu beschädigen, recht gering. Grundsätzlich sollten diese Programme permanent auf jedem System installiert sein. Es erweist sich weiterhin als zwingend erforderlich, dass die Software ständig aktualisiert wird, denn schließlich werden täglich neue Trojaner entdeckt. Doch häufig lassen sich die Schädlinge auch von diesen Abwehr-Tools nicht entdecken, denn Hacker tarnen ihren Spionageserver so, dass diese trotz installiertem Virenscanner auf den Systemen arbeiten können.

AutoRun-Einträge

Ein Trojaner funktioniert nur dann, wenn er mit dem Systemstart ausgeführt wird. Das heißt, dass der Server ständig im Hintergrund des Systems laufen muss, um bei einer Onlineverbindung bereit zu sein, Befehle vom Client zu empfangen. Wie die Programmierer dies bewerkstelligen, ist von Trojaner zu Trojaner unterschiedlich, daher sollte man die Orte kennen, an denen Einträge solcher Art vorgenommen werden. Der Autostartordner ist eine der klassischen Methoden, gleichzeitig aber die mit der geringsten Kreativität. Hierbei wird eine Verknüpfung des Servers direkt in den Autostartordner des Startmenüs gelegt. Die Gefahr entdeckt zu werden, ist hierbei besonders groß, da dieser Ordner auch für den ungeübten Anwender leicht über "Start/Programme" zugänglich ist. Daher sehen Programmierer solcher Software in der Regel davon ab, diesen Weg zum automatischen Start zu wählen. Trotzdem schadet es nicht, wenn man ab und zu hineinzusehen, entweder über die Startleiste "Start/Programme/Autostart" oder über den Explorer. Bei früheren Trojanern, wie zum Beispiel NetBus, war es eine beliebte Methode, Einträge in die "Win.ini" zu schreiben, um den Server so zu starten. .Die Datei WIN.INI enthält Informationen über die Windows-Umgebung. Die WIN.ini wurde in erster Linie von älteren Windows Versionen für softwarerelevante Informationen benutzt. Trotzdem ist es angebracht, gelegentlich einen Blick in die "Win.ini" zu werfen. Gehe über "Start/Ausführen" und gieb in das Eingabefeld "sysedit.exe" ein. Hier sollte man auf Einträge hinter den Parametern "Load" und "Run" achten. Oft werden Trojaner so eingestellt, dass die Parameter mit zahlreichen Leerzeichen ausgepuffert sind, sodass diese nicht sofort ins Auge springen, sondern man erst einmal scrollen muss, um die Einträge zu sehen. Sollte man hinter "load" oder "run" Parameter finden, wie z.B. "Server.exe" oder "Explorer.exe", so sollten diese entfernt werden. Selbstverständlich variieren die Bezeichnungen der Parameter von Trojaner zu Trojaner. Deshalb sollte man hier mit einer gewissen Vorsicht herangehen, damit nicht unabsichtlich die wichtigen Einträge gelöscht werden.

Registry-Einträge

Auch in der Registry müssen sich viele Trojaner verewigen, um alle gewünschten Funktionen ausführen zu können. Um in die Registry zu gelangen, geht man über "Start/Ausführen" und ruft anschließend das Programm "regedit" auf. Interessant sind dabei folgende Einträge, die regelmäßig geprüft werden sollten:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOne\ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices\


Ist hier ein Schlüssel zu einer ausführbaren Datei enthalten, teilkann sich ein trojanisches Pferd dahinter verbergen. Vergleicht die Einträge mit denen aktueller Trojaner. Informationen über diese findet ihr zum Beispiel unter www.heise-security.de.

Grundsätzlich sollten die Registryeinträge gesichert werden, also in ein Verzeichnis exportiert werden, um ev. Änderungen wieder rückgängig machen zu können! Vor allem sollte man als Unwissender keinenfalls Änderungen vornehmen, wenn das System normal läuft.
Wer sich die Registry-Einträge unmittelbar nach ener neuen Windows Installation und immer wieder nach einzeln Software Installationen angesehen hat, kann die einzeln Registry`s leicht zuordnen. Bei einem Trojanerverdacht kann somit die Ursache meist auf einen Eintrag beschränken, weil dieser Erstmals vorkommt.

Beispiel für Trojaner:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\Ms Office=c:\windows\system\MsOffice.exe

zum Vergleich der wichtige Norten Antivirus Autoprotect Registry Eintrag:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\ccApp=c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe


Laufende Prozesse überprüfen

Häufig kommt man einem Trojaner schon auf die Schliche, indem man die so genannten "laufenden Prozesse" überprüft. Bei "laufenden Prozessen" handelt es sich um ausführbare Dateien, die gerade im System "mitlaufen". Überprüft werden können diese mit dem gleichzeitigen Drücken der Tasten "AltGr + Strg + Entf". Nun erscheint eine Box, welche die laufenden Prozesse anzeigt, die man auch entsprechend beenden kann. Allerdings ist diese Methode überhaupt nicht sicher, da die meisten trojanischen Pferde es verstehen, sich vor diesem "Taskmanager" mit gefälschtem Prozessnamen zu verstecken.

Abschließend:

Ich weiß, das ist für die meisten von euch Schnee von gestern und diejenigen für die es interessant wäre, kommen sowieso erst
hier vorbei, wenn sie die Computerverwaltung ordendlich "konfiguriert" haben, und sich die Fehlermeldungen überschlagen,
aber ich wollte halt auch mal ein Tutorial schreiben !

Content-ID: 35138

Url: https://administrator.de/contentid/35138

Ausgedruckt am: 20.11.2024 um 08:11 Uhr

Mitchell
Mitchell 30.06.2006 um 00:53:15 Uhr
Goto Top
Hi Schlodfeger,

nettes Tutorial (?), die gängisten Aufspürarten sind genannt. Ich übe dennoch ein wenig Kritik, nicht falsch verstehen, ist wirklich nur gut gemeint:

1. Wenn du eine Tutorial über Trojaner in dieses Forum schreibst (was ja wirklich nichts neues für die Leute hier ist), solltest du auch ein wenig mehr ins Detail gehen. Evtl. schreiben, was es mit der win.ini auf sich hat....was steht drin, wofür ist sie etc.
Selbiges mit der Registry...was macht ein Eintrag z. B. in "RunServices" und was ist der Unterschied zu dem einfachen "Run" (ist schon ein gewisser Unterschied, ob ich einen Service beenden will oder eine ausführbare Datei).

2. Sagen wir, ich bin Laie (meine Tante z. B. kann sich nur auf ihr Antivir verlassen) und lese die Überschrift. Ich denke, hier wird mir erklärt, wie ich einige Trojaner, Viren etc. auch ohne Programm entfernen kann (ich will ja auch auf Nummer sicher gehen und vertraue nicht nur dem Programm)....ich sehe aber nur was von "sieh mal in der Registry nach", sagt mir nicht wirklich was.
Für den ungeübten User erweist sich dies oft als sehr schwierig
das ist nämlich der Punkt. Eventuell ein, zwei Beispiel für "trojanische Einträge" in der Registry geben.

3. Wenn es um Laien geht, solltest du immer darauf hinweisen, dass gewisse Einträge (bzw. die ganze Registry usw.) gesichert werden sollen.
Sollte man hinter "load" oder "run" Parameter finden, wie z.B. "Server.exe" oder "Explorer.exe", so sollten diese entfernt werden.
An diesen Stellen sollte man hinschreiben, was dort beispielsweise stehen darf, sonst hält ein Anfänger alles für einen gefährlichen Eintrag.

So...hoffe du nimmst es mir nicht Krumm, ansonsten schon gut hinbekommen.

Mfg

Mitchell
27119
27119 03.07.2006 um 13:36:53 Uhr
Goto Top
Danke fuer das interessante Tutorial.

Ich finde in diesem Zusammenhang die kostenlose Viren-Online-Suche von
Symantec erwähnens- und empfehlenswert.
Von nem normalen user kann man nicht erwarten, dass er weiss was eine registry ist,
geschweigedenn was er damit anfangen soll.

http://security.symantec.com/sscv6/ssc_EULA.asp?langid=ge&venid=sym ...

(EULA bestätigen, ActiveX Control installieren)

Der Online Check von symantec zeigt infizierte Dateien an.
Die Pfade zu den Dateien u. Namen der Datein notieren (oder screenshot machen mit alt+druck).
Dann mit F8 im abgesicherten Modus starten, und die infizierten Dateien (die man sich vorher notiert hat) manuell löschen.

AUSDIEMAUS.
15187
15187 01.08.2006 um 00:45:47 Uhr
Goto Top
Ich finde in diesem Zusammenhang die
kostenlose Viren-Online-Suche von
Symantec erwähnens- und
empfehlenswert.

Symantec ist leider nicht in der Lage, Antivirensoftware herzustellen, die auch nur annähernd so zuverlässig ein System sauber hält wie die preislich gleiche Kategorie von TrendMicro!

Aktuell wurde ein PC mit einem Trojaner infiziert, den die Client Security 3.1 reingelassen hat. Symantec konnte auch am Telefon nicht helfen. Und der Support ist nicht in deutsch. Per Mail ist er in Englisch, per Telefon schweizerisch ("odrrrchsowass"). Nicht verständlich - daher unbrauchbar.

Statt symantec empfehle ich als Äquivalent daher www.housecall.de. Auch für Java und Mac's.
27119
27119 01.08.2006 um 08:31:20 Uhr
Goto Top
Jo, jeder findet halt das gut womit er gute Erfahrungen gemacht hat.
Wir benutzen seit Jahren Symantec.
Der beschriebene Online Scan kostet nix und ist daher für den Heimuser empfehlenswert - nach dem Motto - viel besser wie nix ist es allemal. Ich finds in kombination mit nem Freeware Antivirenscanner (AVG Free Edition) sogar richtig gut, im Verdachtsfall noch den Online Scan zu machen. Und beides kostet keinen Cent. Ich seh nicht ein, privat ein Antivirus-Abo abzuschiessen u. jedes Jahr 60-100Eu zu verbrennen.
15187
15187 01.08.2006 um 09:02:42 Uhr
Goto Top
Der beschriebene Onlinescan (für alle, die wie Du nicht nachschauen wollen, housecall.de ist von Trendmicro!) ist ebenfalls kostenlos, und hat bereits auf einigen verseuchten Systemen, die eigentlich von der Client Security geschützt sein sollten, zahlreiche Infektionen ausfindig gemacht und dauerhaft gelöscht. Aber die Online-Virenscanner sind für den Notfall, der nicht eintreten soll. Virenscanner, die permanent im Hintergrund laufen und das System VOR EINEM BEFALL BEWAHREN sollen, dabei 300 Euro pro Jahr kosten, dürfen es sich nicht wie in unserem Fall leisten, einen seit Jahren bekannten Trojaner aufs System zu lassen.
Und genau damit hat sich Symantec nun nach unten katapultiert.

Ich kann vom Kauf und dem "sich darauf verlassen" nur abraten.
Und übrigens: TM-Produkte sind günstiger als die Pendants von Symantec! Weshalb wir zum nächsten Abo-Ende umsteigen werden.
Flash600
Flash600 04.08.2007 um 00:01:42 Uhr
Goto Top
Ich sag nur KASPERSKY!
wir haben vor ca. 3 Monaten einen Kunden übernommen, wo die frühere EDV-Firma trendmicro installiert hatte, lief alles ganz "normal", laut trendmicro zumindest.
Wir setzen nur Kaspersky ein. Nachdem wir dieses Antivirenprog. installierten und anfingen zu scannen.... Alle WS waren voll von trojanern, trotz installierten und aktiven (!) trendmicro!
NicKLesS
NicKLesS 09.06.2008 um 23:14:59 Uhr
Goto Top
Hallo,
in diesem Zusammenhang:
http://www.virustotal.com/de/
http://virusscan.jotti.org/de/
Wenn etwas verdächtiges gefunden wurde, hier hochladen und schaun was die Antivierenlösungen sagen.
Dahingehend weiter recherchieren.

Gruß
gnarff
gnarff 10.01.2009 um 23:18:15 Uhr
Goto Top
So, wir haben hier also ein Tutorial in unserem Forum vom 29.06.2006 und ein nahezu Identisches erstellt am 25.10.2005, 21:26 zu geniessen im Winluxboard.

Zumindest hatte der Ersteller dieses Tutorials sich die Muehe gemacht wenigstens die Quelle anzugeben, naemlich das PC-Magazin, Ausgabe 11/2005.

Ich erspare mir jetzt weiter im Internet zu recherchieren und lasse diese erstaunliche Tutorial-Leistung fuer sich selbst sprechen...

saludos gnarff