Manuelle Entfernung von Trojanern ================================= Die manuelle Entfernung von trojanischen Pferden kann nötig werden, wenn es sich um eine neue Version handelt und Tools zur Entfernung noch nicht zur Verfügung stehen, oder wenn Sie den Verdacht haben, mit einem bislang unbekannten Trojaner infiziert zu sein. Leider bietet ein Betriebssystem wie Windows unzählige Möglichkeiten, den Server des Trojaners mit einem Autostartmechanismus zu versehen. Die auf unseren Seiten vorgestellten Anleitungen zur Entfernung sind alle gesichert und funktionieren alle einwandfrei. Trotz alledem ist höchste Vorsicht geboten, wenn manuell Einträge, also Schlüssel in der Windows- Registrierung oder in den zentralen Initialisierungsdateien wie Win.ini oder System.ini verändert oder gelöscht werden. Die beste Vorbereitung ist immer die, zunächst eine Sicherungskopie der Registrierung und der Ini-Dateien anzulegen und dann erst mit der Entfernung zu beginnen. Ist die Entfernung fehlerhaft oder werden Schlüssel in der Registry gelöscht, die zum Start des Betriebssystems zwingend notwendig sind, können Sie die Sicherungskopien wieder einfügen und Ihr System wieder starten. Die Windows-Registrierung setzt sich aus den beiden Dateien system.dat user.dat zusammen, die Sie im Windows-Verzeichnis finden. Möglicherweise sind sie mit dem "Hidden- Attribut" versehen. Entweder suchen Sie diese beiden Dateien über den Windows-Explorer, oder entfernen auf der DOS-Ebene zunächst das Attribut dieser Dateien mit dem Befehl: Attrib system.dat -h (als Beispiel) Legen Sie zur Sicherung am besten ein Verzeichnis an, das aus höchstens 8 Buchstaben besteht und keine Sonderzeichen enthält. So können Sie auch auf der DOS-Ebene zuverlässig auf Ihre Sicherungskopien zugreifen. Ein komplettes Backup der Registrierung und Ini- Dateien beinhaltet folgende Dateien: c:\windows\system.dat c:\windows\user.dat c:\windows\win.ini c:\windows\system.ini c:\autoexec.bat c:\config.sys Falls Sie einen anderen Pfad als c:\windows benutzen, müssen Sie die Angaben natürlich anpassen !! So gerüstet, können Sie sich auf die Suche nach dem Trojaner machen !! Besonders gefährdet für einen Eintrag zum Autostart sind folgende Schlüssel in der Windows- Registrierung: HKEY_LOKAL_MACHINE/Software\Microsoft\Windows\Cur rentVersion\Run HKEY_LOKAL_MACHINE/Software\Microsoft\Windows\Cur rentVersion\RunOnce HKEY_LOKAL_MACHINE/Software\Microsoft\Windows\Cur rentVersion\RunServices HKEY_CURRENT_USER/Software\Microsoft\Windows\Curr entVersion\Run HKEY_CURRENT_USER/Software\Microsoft\Windows\Curr entVersion\RunServices Eine besondere Art des Autostarts ist die sogenannte Not_known_methode. Hier wird ein zusätzlicher Eintrag in einem bereits vorhandenen Schlüssel der Registrierung eingetragen der bewirkt, daß bei allen Aufrufen von ausführbaren Dateien, also EXE-Dateien zunächst der Server geladen wird. Sie finden diesen Eintrag in folgendem Schlüssel: HKEY_CLASSES_ROOT\exefile\shell\open\command Hier sollten Sie eigentlich nur folgenden Eintrag finden: ""%1"%*" Bei einer Infizierung mit einem Trojaner sehen Sie z.B. windos.exe ""%1%%*" Zur Entfernung müßte also der vordere Eintrag windos.exe gelöscht werden. Löschen Sie einfach nur den Server windos.exe aus dem Windows-Verzeichnis werden Sie feststellen, das Sie keine Datei mehr ausführen können und Ihr System damit unbrauchbar geworden ist. Aus diesem Grund haben wir exakte Anleitungen zur Entfernung auf unseren Seiten beigelegt, die Sie zunächst gründlich studieren und dann Schritt für Schritt ausführen können. Moderne Trojaner wie SubSeven ab der Version 2.0 nutzen beispielsweise diese Art des Eintrags. In diesen Fällen müssen Sie also zunächst den entsprechenden Schlüssel in einer sogenannten reg-Datei exportieren. Sie gehen dazu folgend vor: Starten Sie den PC im DOS-Modus Exportieren Sie den Zweig mit folgendem Befehl: regedit /e trojan.reg hkey_classes_root\exefile\shell\open\command Öffnen Sie die Datei "trojan.reg" mit dem Editor Löschen Sie den Eintrag "windos.exe (wie oben beschrieben) Speichern Sie die Datei wieder ab (mit der Endung .reg !!) Importieren Sie den Schlüssel wieder mit folgendem Befehl: regedit trojan.reg Löschen Sie die Datei "windos.exe" aus dem Windows-Verzeichnis. Starten Sie den PC normal. Das System ist wieder sauber. In ähnlicher Weise verfahren Sie mit den Dateien "win.ini und system.ini". Beide Dateien befinden sich im Verzeichnis c:\windows. Die Datei "Win.ini" gibt es eigentlich nur noch aus Gründen der Kompatibilität zu älteren Windows-Anwendungen und wird in der Regel von modernen Programmen nicht mehr benutzt. In dieser Datei gibt es zwei Sektionen, die für einen Autostart benutzt werden können: Load= Run= In vielen Fällen wird hier der Start des Trojaners eingetragen. Zur Entfernung starten Sie den PC wieder im DOS- Modus Öffnen Sie die win.ini mit dem Editor Löschen Sie den Eintrag hinter dem = Zeichen Speichern Sie die Datei (mit der Endung .ini) Löschen Sie den Server des Trojaners Starten Sie den PC normal Das System ist wieder sauber In der Datei "System.ini" wird unter anderem auch die zur Verfügung stehende Shell eingetragen, also die Oberfläche, mit der Sie unter Windows arbeiten. In der Regel ist das die Datei "explorer.exe". Leider bietet Windows auch die Möglichkeit, eine alternative zweite Shell dort einzutragen. Diese Funktion wird ebenso häufig v on Trojanern genutzt. Den Eintrag finden Sie unter: [boot] Shell=explorer.exe Bei infiziertem System sieht der Eintrag möglichweise so aus: Shell=explorer.exe subseven.com Zur Entfernung gehen Sie bitte wieder folgenden Weg: Starten Sie den PC im DOS-Modus Öffnen Sie die Datei "system.ini" mit dem Editor Löschen Sie den zweiten Eintrag hinter "explorer.exe" Speichern Sie die Datei (mit der Endung .ini) Löschen Sie den Server des Trojaners Starten Sie den PC normal Das System ist wieder sauber. In sehr seltenen Fällen können auch die beiden Startdateien (autoexec.bat und config.sys" des Betriebssystems für einen Servereintrag mißbraucht werden. Ein Trojaner tarnt sich hier beispielsweise als Gerätetreiber (das ist eine Datei, die zur Benutzung eines Peripherie-Gerätes wie z.B. das CD-ROM Laufwerks hier geladen werden muß). Zur Entfernung gehen Sie wieder wie folgt vor: Starten Sie den PC im DOS-Modus Öffnen Sie die Datei autoexec.bat oder config.sys mit dem Editor Entfernen Sie den entsprechenden Eintrag des Servers Löschen Sie den Server aus dem Windows-Verzeichnis Starten Sie den PC normal Das System ist wieder sauber Einige Trojaner wie z.B. Masters Paradise ersetzen Original-Windows-Dateien durch gepatchte Versionen. Löschen Sie diese Datei einfach, weil Sie glauben, darin befindet sich der Trojaner, wird Ihnen im günstigsten Fall die Funktionalität dieser Datei anschließend nicht mehr zur Verfügung stehen. In unserem Beispiel ist das die Datei "sysedit.exe". Diese Datei wird unter Windows dafür benötigt, die Systemdateien wie config.sys, autoexec.bat und diverse andere Ini-Dateien bewuem zu editieren. In einem anderen Fall wird die Datei "regedit.exe" ersetzt. Regedit.exe ist der zentrale Windows-Registrierungs-Editor. Wurde die Datei gelöscht, können Sie unter Windows nicht mehr überprüfen, ob sich ein Trojaner dort eingetragen hat. Das heißt, Sie werden sich wohl oder übel mit der manuellen Nachinstallation von Bestandteilen des Betriebssystems unter DOS auseinander setzen müssen. Sämtliche Dateien befinden sich auf der Windows-Installations-CD in gepackten Dateien mit der Endung .cab. Mit dem DOS-Befehl "extract" können Sie dort einzelnen Dateien in das entsprechende Verzeichnis kopieren. Schauen Sie sich dazu die Hilfe zu dem Befehl an, in dem Sie in einer DOS-BOX den Befehl ohne Zusatzparameter eingeben. Abschließend bleibt zu sagen, das sich nur erfahrene Benutzer an die manuelle Entfernung begeben sollten. Lesen Sie jedes Kapitel hier genau durch und halten sich an die Anleitungen. Beherzigen Sie alle Schritte, dürfte einer sicheren Entfernung des Trojaners nichts im Wege stehen. :: Information :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: Dieser Text hier stammt aus dem Tutorial Archiv des Login Club´s :: Visit: http://www.login-club.org | irc.euric.net 6667 #loginclub :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: ::