Backdoor.Mosuck: Was nun?

Symantec stellt nicht für jeden Schädling ein separates Beseitigungs-Tool zur Verfügung. Aber Sie finden für fast jeden eine ausführliche Anleitung, die beschreibt, wie Sie den Schädling manuell löschen können; wenn auch meist nur in Englisch (so z.B. für Backdoor.Mosuck [1]).

Möglichkeit 1: Sehr sicher, aber aufwändig

Wenn Ihr System durch einen Backdoor kompromittiert wurde, wäre eigentlich das folgende Vorgehen am besten: Sichern Sie alle persönlichen Daten auf externe Datenträger (z.B. Backup auf CD, DVD oder externe Harddisks), formatieren Sie die Festplatte und installieren Sie Windows neu. Der Grund für dieses radikale Vorgehen: Wenn sich ein Backdoor-Trojaner erfolgreich installieren konnte, können Sie nicht genau wissen, was ein Angreifer via Internet damit vielleicht schon alles angerichtet hat. So erlaubt Backdoor.Mosuck einem Angreifer z.B. Dateien ins System einzuschleusen, umzubenennen, zu starten usw. Sie können nicht sicher sein, ob noch weitere Programme oder Scripts hinterlassen wurden.

Möglichkeit 2: Weniger sicher, kleinerer Aufwand

Aktualisieren Sie Ihren Virenscanner zuerst nochmals via Internet. Bei Norton finden Sie LiveUpdate meist unter "Start/Alle Programme/Norton Antivirus". So stellen Sie gleich zwei Dinge sicher: Erstens sollte Norton auch die neusten Varianten dieses Schädlings finden und zweitens wird die Gefahr eines falschen Alarmes etwas kleiner.

Führen Sie nun einen kompletten Scan der Festplatte durch. Jetzt wird Norton vermutlich den Backdoor-Trojaner in einer oder mehreren Dateien finden. Wichtig: Merken oder notieren Sie sich die genauen Dateinamen, in welchen der Backdoor gefunden wird und die Ordner, in denen diese Dateien gefunden werden. Also am besten den ganzen Pfad, wie z.B. "C:\Windows\System32\bösedatei.exe".

Da Sie Windows XP haben, müssen Sie jetzt die Systemwiederherstellung ausschalten, bevor Sie weiterfahren, weil Windows sonst die zu löschenden Registry-Einträge wiederherstellt. Wie das geht, lesen Sie im Kummerkasten-Artikel mit Webcode 26316 (bzw. hier [2]).

Ist dies erledigt, starten Sie nun den Registry-Editor, indem Sie zu "Start/Ausführen" gehen, REGEDIT eintippen und die Enter-Taste drücken. Seien Sie bitte jetzt sehr vorsichtig, denn eine Fehlmanipulation in der Windows-Registry könnte unliebsame Folgen haben.

Klicken Sie sich über die Pluszeichen zu diesem Zweig durch und klicken Sie ihn einmal an, damit Sie in der Rechten Fensterhälfte seine Einträge sehen können:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Betrachten Sie also diese Einträge. Da Sie ja vorhin den (oder ev. mehrere) Dateinamen notiert haben, die als Backdoor.Mosucker identifiziert wurden, können Sie leicht jene Einträge ausfindig machen, die auf die besagte Datei verweisen. Haben Sie so einen Eintrag entdeckt, klicken Sie ihn mit Rechts an und wählen "Löschen".

Wiederholen Sie dies noch in diesem Registry-Zweig:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

...und auch gleich in diesem Registry-Zweig:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

Es könnte durchaus sein, dass Sie nicht in allen drei Zweigen einen Verweis auf eine der Backdoor-Dateien finden, sondern nur in einem davon. Sind die Einträge gelöscht, starten Sie den PC neu und löschen Sie die Trojaner-Dateien (auch aus dem Papierkorb). Scannen Sie den PC sicherheitshalber nochmals.

Wichtig: Passwörter!

Egal, ob Sie nun formatiert und das System neu installiert haben ("Möglichkeit 1") oder ob Sie den Trojaner manuell entfernt haben ("Möglichkeit 2"): Für beides gilt, dass Sie alle Ihre Passwörter ändern sollten, also jene von Windows selber und auch z.B. jene von Ihrem Mailkonto oder sonstigen Diensten. Der Grund hierfür ist, dass Sie nicht wissen, ob ein Angreifer vielleicht die Passwörter schon ausgeschnüffelt hat. Sie sollten auch versuchen, herauszufinden, wie der Schädling überhaupt auf Ihre Festplatte kam.