Sam2k
26.12.2004, 12:25
Manuelle Entfernung von Trojanern
=================================
Die manuelle Entfernung von trojanischen Pferden
kann nötig werden, wenn es sich um eine neue
Version handelt und Tools zur Entfernung noch
nicht zur Verfügung stehen, oder wenn Sie den
Verdacht haben, mit einem bislang unbekannten
Trojaner infiziert zu sein.
Leider bietet ein Betriebssystem wie Windows
unzählige Möglichkeiten, den Server des Trojaners
mit einem Autostartmechanismus zu versehen. Die auf
unseren Seiten vorgestellten Anleitungen zur
Entfernung sind alle gesichert und funktionieren
alle einwandfrei.
Trotz alledem ist höchste Vorsicht geboten, wenn
manuell Einträge, also Schlüssel in der Windows-
Registrierung oder in den zentralen
Initialisierungsdateien wie Win.ini oder
System.ini verändert oder
gelöscht werden. Die beste Vorbereitung ist immer
die, zunächst eine Sicherungskopie der
Registrierung und der Ini-Dateien anzulegen und
dann erst mit der Entfernung zu beginnen. Ist die
Entfernung fehlerhaft oder werden Schlüssel in
der Registry gelöscht, die zum Start des
Betriebssystems zwingend notwendig sind, können
Sie die Sicherungskopien wieder einfügen und Ihr
System wieder starten.
Die Windows-Registrierung setzt sich aus den
beiden Dateien
system.dat
user.dat
zusammen, die Sie im Windows-Verzeichnis finden.
Möglicherweise sind sie mit dem "Hidden-
Attribut" versehen. Entweder suchen Sie diese
beiden Dateien über den Windows-Explorer, oder
entfernen auf der DOS-Ebene zunächst das Attribut
dieser Dateien mit dem Befehl:
Attrib system.dat -h (als Beispiel)
Legen Sie zur Sicherung am besten ein Verzeichnis
an, das aus höchstens 8 Buchstaben besteht
und keine Sonderzeichen enthält. So können Sie
auch auf der DOS-Ebene zuverlässig auf Ihre
Sicherungskopien zugreifen.
Ein komplettes Backup der Registrierung und Ini-
Dateien beinhaltet folgende Dateien:
c:\windows\system.dat
c:\windows\user.dat
c:\windows\win.ini
c:\windows\system.ini
c:\autoexec.bat
c:\config.sys
Falls Sie einen anderen Pfad als c:\windows
benutzen, müssen Sie die Angaben natürlich
anpassen !!
So gerüstet, können Sie sich auf die Suche nach
dem Trojaner machen !!
Besonders gefährdet für einen Eintrag zum
Autostart sind folgende Schlüssel in der Windows-
Registrierung:
HKEY_LOKAL_MACHINE/Software\Microsoft\Windows\Cur
rentVersion\Run
HKEY_LOKAL_MACHINE/Software\Microsoft\Windows\Cur
rentVersion\RunOnce
HKEY_LOKAL_MACHINE/Software\Microsoft\Windows\Cur
rentVersion\RunServices
HKEY_CURRENT_USER/Software\Microsoft\Windows\Curr
entVersion\Run
HKEY_CURRENT_USER/Software\Microsoft\Windows\Curr
entVersion\RunServices
Eine besondere Art des Autostarts ist die
sogenannte Not_known_methode.
Hier wird ein zusätzlicher Eintrag in einem
bereits vorhandenen Schlüssel der Registrierung
eingetragen der bewirkt, daß bei allen Aufrufen
von ausführbaren Dateien, also EXE-Dateien
zunächst der Server geladen wird. Sie finden
diesen Eintrag in folgendem Schlüssel:
HKEY_CLASSES_ROOT\exefile\shell\open\command
Hier sollten Sie eigentlich nur folgenden Eintrag
finden:
""%1"%*"
Bei einer Infizierung mit einem Trojaner sehen
Sie z.B.
windos.exe ""%1%%*"
Zur Entfernung müßte also der vordere Eintrag
windos.exe gelöscht werden.
Löschen Sie einfach nur den Server windos.exe aus
dem Windows-Verzeichnis werden Sie
feststellen, das Sie keine Datei mehr ausführen
können und Ihr System damit unbrauchbar geworden
ist.
Aus diesem Grund haben wir exakte Anleitungen zur
Entfernung auf unseren Seiten beigelegt, die
Sie zunächst gründlich studieren und dann Schritt
für Schritt ausführen können.
Moderne Trojaner wie SubSeven ab der Version 2.0
nutzen beispielsweise diese Art des Eintrags. In
diesen Fällen müssen Sie also zunächst den
entsprechenden Schlüssel in einer sogenannten
reg-Datei exportieren. Sie gehen dazu folgend vor:
Starten Sie den PC im DOS-Modus
Exportieren Sie den Zweig mit folgendem Befehl:
regedit /e trojan.reg
hkey_classes_root\exefile\shell\open\command
Öffnen Sie die Datei "trojan.reg" mit dem Editor
Löschen Sie den Eintrag "windos.exe (wie oben
beschrieben)
Speichern Sie die Datei wieder ab (mit der Endung .reg !!)
Importieren Sie den Schlüssel wieder mit folgendem Befehl:
regedit trojan.reg
Löschen Sie die Datei "windos.exe" aus dem
Windows-Verzeichnis.
Starten Sie den PC normal.
Das System ist wieder sauber.
In ähnlicher Weise verfahren Sie mit den Dateien
"win.ini und system.ini". Beide Dateien befinden
sich im Verzeichnis c:\windows.
Die Datei "Win.ini" gibt es eigentlich nur noch
aus Gründen der Kompatibilität zu älteren
Windows-Anwendungen und wird in der Regel von modernen
Programmen nicht mehr benutzt. In dieser Datei
gibt es zwei Sektionen, die für einen Autostart
benutzt werden können:
Load=
Run=
In vielen Fällen wird hier der Start des
Trojaners eingetragen.
Zur Entfernung starten Sie den PC wieder im DOS-
Modus Öffnen Sie die win.ini mit dem Editor
Löschen Sie den Eintrag hinter dem = Zeichen
Speichern Sie die Datei (mit der Endung .ini)
Löschen Sie den Server des Trojaners
Starten Sie den PC normal
Das System ist wieder sauber
In der Datei "System.ini" wird unter anderem auch
die zur Verfügung stehende Shell eingetragen,
also die Oberfläche, mit der Sie unter Windows
arbeiten. In der Regel ist das die Datei
"explorer.exe".
Leider bietet Windows auch die Möglichkeit, eine
alternative zweite Shell dort einzutragen. Diese
Funktion wird ebenso häufig v on Trojanern
genutzt. Den Eintrag finden Sie unter:
[boot]
Shell=explorer.exe
Bei infiziertem System sieht der Eintrag
möglichweise so aus:
Shell=explorer.exe subseven.com
Zur Entfernung gehen Sie bitte wieder folgenden Weg:
Starten Sie den PC im DOS-Modus
Öffnen Sie die Datei "system.ini" mit dem Editor
Löschen Sie den zweiten Eintrag hinter
"explorer.exe"
Speichern Sie die Datei (mit der Endung .ini)
Löschen Sie den Server des Trojaners
Starten Sie den PC normal
Das System ist wieder sauber.
In sehr seltenen Fällen können auch die beiden
Startdateien (autoexec.bat und config.sys" des
Betriebssystems für einen Servereintrag
mißbraucht werden. Ein Trojaner tarnt sich hier
beispielsweise als Gerätetreiber (das ist eine
Datei, die zur Benutzung eines Peripherie-Gerätes
wie z.B. das CD-ROM Laufwerks hier geladen werden
muß).
Zur Entfernung gehen Sie wieder wie folgt vor:
Starten Sie den PC im DOS-Modus
Öffnen Sie die Datei autoexec.bat oder config.sys
mit dem Editor
Entfernen Sie den entsprechenden Eintrag des Servers
Löschen Sie den Server aus dem Windows-Verzeichnis
Starten Sie den PC normal
Das System ist wieder sauber
Einige Trojaner wie z.B. Masters Paradise
ersetzen Original-Windows-Dateien durch gepatchte
Versionen. Löschen Sie diese Datei einfach, weil
Sie glauben, darin befindet sich der Trojaner,
wird Ihnen im günstigsten Fall die Funktionalität
dieser Datei anschließend nicht mehr zur
Verfügung stehen. In unserem Beispiel ist das die Datei
"sysedit.exe". Diese Datei wird unter Windows
dafür benötigt, die Systemdateien wie config.sys,
autoexec.bat und diverse andere Ini-Dateien
bewuem zu editieren. In einem anderen Fall wird die Datei
"regedit.exe" ersetzt. Regedit.exe ist der
zentrale Windows-Registrierungs-Editor. Wurde die Datei
gelöscht, können Sie unter Windows nicht mehr
überprüfen, ob sich ein Trojaner dort eingetragen hat.
Das heißt, Sie werden sich wohl oder übel mit der
manuellen Nachinstallation von Bestandteilen des
Betriebssystems unter DOS auseinander setzen
müssen. Sämtliche Dateien befinden sich auf der
Windows-Installations-CD in gepackten Dateien mit
der Endung .cab. Mit dem DOS-Befehl "extract"
können Sie dort einzelnen Dateien in das
entsprechende Verzeichnis kopieren. Schauen Sie
sich dazu die Hilfe zu dem Befehl an, in dem Sie in
einer DOS-BOX den Befehl ohne Zusatzparameter
eingeben.
Abschließend bleibt zu sagen, das sich nur
erfahrene Benutzer an die manuelle Entfernung
begeben sollten. Lesen Sie jedes Kapitel hier genau durch
und halten sich an die Anleitungen. Beherzigen
Sie alle Schritte, dürfte einer sicheren Entfernung
des Trojaners nichts im Wege stehen.
=================================
Die manuelle Entfernung von trojanischen Pferden
kann nötig werden, wenn es sich um eine neue
Version handelt und Tools zur Entfernung noch
nicht zur Verfügung stehen, oder wenn Sie den
Verdacht haben, mit einem bislang unbekannten
Trojaner infiziert zu sein.
Leider bietet ein Betriebssystem wie Windows
unzählige Möglichkeiten, den Server des Trojaners
mit einem Autostartmechanismus zu versehen. Die auf
unseren Seiten vorgestellten Anleitungen zur
Entfernung sind alle gesichert und funktionieren
alle einwandfrei.
Trotz alledem ist höchste Vorsicht geboten, wenn
manuell Einträge, also Schlüssel in der Windows-
Registrierung oder in den zentralen
Initialisierungsdateien wie Win.ini oder
System.ini verändert oder
gelöscht werden. Die beste Vorbereitung ist immer
die, zunächst eine Sicherungskopie der
Registrierung und der Ini-Dateien anzulegen und
dann erst mit der Entfernung zu beginnen. Ist die
Entfernung fehlerhaft oder werden Schlüssel in
der Registry gelöscht, die zum Start des
Betriebssystems zwingend notwendig sind, können
Sie die Sicherungskopien wieder einfügen und Ihr
System wieder starten.
Die Windows-Registrierung setzt sich aus den
beiden Dateien
system.dat
user.dat
zusammen, die Sie im Windows-Verzeichnis finden.
Möglicherweise sind sie mit dem "Hidden-
Attribut" versehen. Entweder suchen Sie diese
beiden Dateien über den Windows-Explorer, oder
entfernen auf der DOS-Ebene zunächst das Attribut
dieser Dateien mit dem Befehl:
Attrib system.dat -h (als Beispiel)
Legen Sie zur Sicherung am besten ein Verzeichnis
an, das aus höchstens 8 Buchstaben besteht
und keine Sonderzeichen enthält. So können Sie
auch auf der DOS-Ebene zuverlässig auf Ihre
Sicherungskopien zugreifen.
Ein komplettes Backup der Registrierung und Ini-
Dateien beinhaltet folgende Dateien:
c:\windows\system.dat
c:\windows\user.dat
c:\windows\win.ini
c:\windows\system.ini
c:\autoexec.bat
c:\config.sys
Falls Sie einen anderen Pfad als c:\windows
benutzen, müssen Sie die Angaben natürlich
anpassen !!
So gerüstet, können Sie sich auf die Suche nach
dem Trojaner machen !!
Besonders gefährdet für einen Eintrag zum
Autostart sind folgende Schlüssel in der Windows-
Registrierung:
HKEY_LOKAL_MACHINE/Software\Microsoft\Windows\Cur
rentVersion\Run
HKEY_LOKAL_MACHINE/Software\Microsoft\Windows\Cur
rentVersion\RunOnce
HKEY_LOKAL_MACHINE/Software\Microsoft\Windows\Cur
rentVersion\RunServices
HKEY_CURRENT_USER/Software\Microsoft\Windows\Curr
entVersion\Run
HKEY_CURRENT_USER/Software\Microsoft\Windows\Curr
entVersion\RunServices
Eine besondere Art des Autostarts ist die
sogenannte Not_known_methode.
Hier wird ein zusätzlicher Eintrag in einem
bereits vorhandenen Schlüssel der Registrierung
eingetragen der bewirkt, daß bei allen Aufrufen
von ausführbaren Dateien, also EXE-Dateien
zunächst der Server geladen wird. Sie finden
diesen Eintrag in folgendem Schlüssel:
HKEY_CLASSES_ROOT\exefile\shell\open\command
Hier sollten Sie eigentlich nur folgenden Eintrag
finden:
""%1"%*"
Bei einer Infizierung mit einem Trojaner sehen
Sie z.B.
windos.exe ""%1%%*"
Zur Entfernung müßte also der vordere Eintrag
windos.exe gelöscht werden.
Löschen Sie einfach nur den Server windos.exe aus
dem Windows-Verzeichnis werden Sie
feststellen, das Sie keine Datei mehr ausführen
können und Ihr System damit unbrauchbar geworden
ist.
Aus diesem Grund haben wir exakte Anleitungen zur
Entfernung auf unseren Seiten beigelegt, die
Sie zunächst gründlich studieren und dann Schritt
für Schritt ausführen können.
Moderne Trojaner wie SubSeven ab der Version 2.0
nutzen beispielsweise diese Art des Eintrags. In
diesen Fällen müssen Sie also zunächst den
entsprechenden Schlüssel in einer sogenannten
reg-Datei exportieren. Sie gehen dazu folgend vor:
Starten Sie den PC im DOS-Modus
Exportieren Sie den Zweig mit folgendem Befehl:
regedit /e trojan.reg
hkey_classes_root\exefile\shell\open\command
Öffnen Sie die Datei "trojan.reg" mit dem Editor
Löschen Sie den Eintrag "windos.exe (wie oben
beschrieben)
Speichern Sie die Datei wieder ab (mit der Endung .reg !!)
Importieren Sie den Schlüssel wieder mit folgendem Befehl:
regedit trojan.reg
Löschen Sie die Datei "windos.exe" aus dem
Windows-Verzeichnis.
Starten Sie den PC normal.
Das System ist wieder sauber.
In ähnlicher Weise verfahren Sie mit den Dateien
"win.ini und system.ini". Beide Dateien befinden
sich im Verzeichnis c:\windows.
Die Datei "Win.ini" gibt es eigentlich nur noch
aus Gründen der Kompatibilität zu älteren
Windows-Anwendungen und wird in der Regel von modernen
Programmen nicht mehr benutzt. In dieser Datei
gibt es zwei Sektionen, die für einen Autostart
benutzt werden können:
Load=
Run=
In vielen Fällen wird hier der Start des
Trojaners eingetragen.
Zur Entfernung starten Sie den PC wieder im DOS-
Modus Öffnen Sie die win.ini mit dem Editor
Löschen Sie den Eintrag hinter dem = Zeichen
Speichern Sie die Datei (mit der Endung .ini)
Löschen Sie den Server des Trojaners
Starten Sie den PC normal
Das System ist wieder sauber
In der Datei "System.ini" wird unter anderem auch
die zur Verfügung stehende Shell eingetragen,
also die Oberfläche, mit der Sie unter Windows
arbeiten. In der Regel ist das die Datei
"explorer.exe".
Leider bietet Windows auch die Möglichkeit, eine
alternative zweite Shell dort einzutragen. Diese
Funktion wird ebenso häufig v on Trojanern
genutzt. Den Eintrag finden Sie unter:
[boot]
Shell=explorer.exe
Bei infiziertem System sieht der Eintrag
möglichweise so aus:
Shell=explorer.exe subseven.com
Zur Entfernung gehen Sie bitte wieder folgenden Weg:
Starten Sie den PC im DOS-Modus
Öffnen Sie die Datei "system.ini" mit dem Editor
Löschen Sie den zweiten Eintrag hinter
"explorer.exe"
Speichern Sie die Datei (mit der Endung .ini)
Löschen Sie den Server des Trojaners
Starten Sie den PC normal
Das System ist wieder sauber.
In sehr seltenen Fällen können auch die beiden
Startdateien (autoexec.bat und config.sys" des
Betriebssystems für einen Servereintrag
mißbraucht werden. Ein Trojaner tarnt sich hier
beispielsweise als Gerätetreiber (das ist eine
Datei, die zur Benutzung eines Peripherie-Gerätes
wie z.B. das CD-ROM Laufwerks hier geladen werden
muß).
Zur Entfernung gehen Sie wieder wie folgt vor:
Starten Sie den PC im DOS-Modus
Öffnen Sie die Datei autoexec.bat oder config.sys
mit dem Editor
Entfernen Sie den entsprechenden Eintrag des Servers
Löschen Sie den Server aus dem Windows-Verzeichnis
Starten Sie den PC normal
Das System ist wieder sauber
Einige Trojaner wie z.B. Masters Paradise
ersetzen Original-Windows-Dateien durch gepatchte
Versionen. Löschen Sie diese Datei einfach, weil
Sie glauben, darin befindet sich der Trojaner,
wird Ihnen im günstigsten Fall die Funktionalität
dieser Datei anschließend nicht mehr zur
Verfügung stehen. In unserem Beispiel ist das die Datei
"sysedit.exe". Diese Datei wird unter Windows
dafür benötigt, die Systemdateien wie config.sys,
autoexec.bat und diverse andere Ini-Dateien
bewuem zu editieren. In einem anderen Fall wird die Datei
"regedit.exe" ersetzt. Regedit.exe ist der
zentrale Windows-Registrierungs-Editor. Wurde die Datei
gelöscht, können Sie unter Windows nicht mehr
überprüfen, ob sich ein Trojaner dort eingetragen hat.
Das heißt, Sie werden sich wohl oder übel mit der
manuellen Nachinstallation von Bestandteilen des
Betriebssystems unter DOS auseinander setzen
müssen. Sämtliche Dateien befinden sich auf der
Windows-Installations-CD in gepackten Dateien mit
der Endung .cab. Mit dem DOS-Befehl "extract"
können Sie dort einzelnen Dateien in das
entsprechende Verzeichnis kopieren. Schauen Sie
sich dazu die Hilfe zu dem Befehl an, in dem Sie in
einer DOS-BOX den Befehl ohne Zusatzparameter
eingeben.
Abschließend bleibt zu sagen, das sich nur
erfahrene Benutzer an die manuelle Entfernung
begeben sollten. Lesen Sie jedes Kapitel hier genau durch
und halten sich an die Anleitungen. Beherzigen
Sie alle Schritte, dürfte einer sicheren Entfernung
des Trojaners nichts im Wege stehen.