Norton kann Keylogger und Jeem nicht löschen

Bei einer Anfrage an den Kummerkasten sollten Sie stets so viele Informationen wie möglich mitliefern. So haben Sie leider nicht erwähnt, in welchen Dateien oder Ordnern Norton diese Dateien findet, oder wie diese Dateien heissen. Aus diesem Grund ist die Antwort eher allgemein gehalten.

Die etwas unbequeme, aber wohl professionellste Lösung: Am besten wäre es, wenn Sie nach dem Sichern Ihrer persönlichen Daten eine komplette Neuinstallation Ihres Systems auf eine frisch formatierte Festplatte ins Auge fassen würden. Denn die Kombination von Keylogger und Fernbedien-Trojaner (Jeem) kann bedeuten, dass auf Ihrem PC noch weitere Einstellungen verändert oder Programme installiert wurden. Ihre Daten sind eigentlich auf diesem PC nicht mehr sicher.

Was Sie auf jeden Fall versuchen sollten, wenn Sie mit der oben erwähnten Lösung nicht einverstanden sind: Aktualisieren Sie Norton nochmals via Internet. Sichern Sie Ihre Daten auf externe Datenträger (CD, Zip, Jaz, zweite Festplatte oder ähnliches). Schalten Sie die Systemwiederherstellungs-Funktion aus (siehe hier [1]). Starten Sie dann den PC im abgesicherten Modus. Hierzu müssen Sie beim Aufstarten des PCs einmal oder mehrmals die Funktionstaste F8 drücken und dann den abgesicherten Modus (ohne Netzwerk) auswählen. Scannen Sie nun in diesem Modus die Festplatte nochmals. Jetzt sollten sich diese Schädlinge entfernen lassen.

Bei "Keylogger.Trojan" [2] handelt es sich um Symantecs allgemeine Bezeichnung für Programme, die Tastatureingaben (z.B. Passwörter) aufzeichnen und diese an einen möglichen Angreifer (Cracker) weiterleiten. Es gibt praktisch keinen Weg herauszufinden, ob das schon geschehen ist.

Solche Schadsoftware kann in Dateien mit zufällig gewählten Namen stecken. Diese Dateien wiederum können in verschiedenen Registry-Zweigen eingetragen sein, damit diese bei jedem Windows-Start wieder geladen werden. Und solange die Schadsoftware von Windows in Benutzung ist, können Sie diese nicht löschen. Falls sich der Schädling durch das oben erwähnte Vorgehen (abgesicherter Modus) nicht löschen lässt, müssen Sie ihn manuell entfernen. Hierfür müssen Sie den automatischen Starteintrag des Trojaners aus der Registry verbannen. Beim nächsten Windows-Start wird die Datei nicht mehr geladen, worauf Norton den Keylogger löschen kann.

Das Folgende ist ein Vorgehen, an welches sich nur fortgeschrittene Benutzer wagen sollten. Eine vorgängige Datensicherung ist unerlässlich. Verantwortung können wir für solches natürlich nicht übernehmen.

Ein Beispiel:

Nehmen wir an, Norton findet einen Keylogger in einer Datei wie "bösedatei.exe". Notieren Sie sich den genauen Dateinamen und den genauen Ordner, in welchem die Schädlingsdatei gefunden wird. Starten Sie via "Start/Ausführen" und Eintippen von REGEDIT den Registry-Editor und suchen Sie darin via "Bearbeiten/Suchen" nach "bösedatei.exe". Vielleicht wird dieser Eintrag in einem Zweig wie hier gefunden (am Schluss heisst es dort "Run"):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Schauen Sie sich den Eintrag genau an. Wenn er wirklich auf jene "bösedatei.exe" verweist (und wenn auch der Ordner stimmt), klicken Sie mit Rechts auf den Eintrag, der "bösedatei.exe" enthält und wählen Sie "Löschen". Suchen Sie weiter, denn manche Schädlinge erstellen mehr als einen Eintrag, da es mehr als einen \Run-Schlüssel gibt. Starten Sie danach den PC neu und lassen Sie Norton die Datei entfernen.

Sollte dies nicht klappen, hat Ihnen die Systemwiederherstellung einen Streich gespielt: Dann hat diese gut gemeinte Funktion den vorhin von Ihnen absichtlich gelöschten Eintrag wieder reingepflanzt. Deaktivieren Sie in einem solchen Fall die Systemwiederherstellung (siehe oben), starten Sie den PC neu und wiederholen Sie die Löschung des Registry-Eintrags. Wichtig: Allfällige Systemwiederherstellungs-Punkte werden dadurch gelöscht.

Nun aber zu Backdoor.Jeem:

Dies ist ein Schädling, der es einem Angreifer erlaubt, einen PC quasi fernzubedienen (siehe Beschreibung von Symantec [3]). Das Entfernen jenes Trojaners funktioniert im Prinzip genau gleich: Systemwiederherstellung deaktivieren, den PC im abgesicherten Modus aufstarten und die Festplatte nochmals scannen. War das Löschen erfolgreich, entfernen Sie nun mit der gebotenen Vorsicht die Registry-Einträge (und nur diese), die in der Symantec-Beschreibung erwähnt werden.

Sind alle Schädlinge entfernt, führen Sie nochmals einen kompletten Virenscan durch. Da Sie einen Keylogger an Bord hatten, sollten Sie alle (wirklich alle) von Ihnen verwendeten Passwörter ändern. Sie sollten sich auch darüber Gedanken machen, wie diese Schädlinge überhaupt auf Ihre Festplatte gelangen konnten. Bedenken Sie, dass jede Zeile Programmcode, die Sie von aussen auf Ihren PC lassen, potentiell gefährlich sein könnte.