Tipps & Tricks 26.04.2004, 17:00 Uhr

Wie werde ich den WinSatan-Trojaner los?

Auf der Rechnung für meinen TV-Kabel-Internetanschluss habe ich seit kurzem immer wieder hohe Download-Gebühren, die ich nicht selber verursacht habe. Der Betreiber hat mir erklärt, mein PC sei mit dem «Winsatan» infiziert. Meine Antiviren-Software (Steganos Internet-Security) hat aber nichts festgestellt! Wie kann ich weiter vorgehen?
Nicht jeder Virenscanner kennt sich mit Trojanischen Pferden gleich gut aus. Wir haben Erwähnungen zum WinSatan-Trojaner bei den folgenden Firmen gefunden, woraus wir schliessen, dass deren Produkte diesen Schädling auch erkennen sollten: McAfee [1], PestPatrol [2], Sophos [3] und TrendMicro [4]. Von den meisten Produkten gibts Testversionen, die Sie 30 Tage lang benutzen können.
Vielleicht ist aber die Installation eines zusätzlichen Virenscanners gar nicht nötig. Scannen Sie Ihr System mal mit TrendMicro Housecall, welches in der rechten Spalte unserer Virenticker-Seite [5] unter den Gratis-Online-Scannern verlinkt ist. Damit sollten Sie herausfinden können, welche Datei Sie loswerden müssen. Falls die Datei z.B. "fs-backup.exe" heisst (wie bei Sophos beschrieben), gehen Sie so vor:
Falls Sie Windows Me oder XP einsetzen, schalten Sie zuerst die Systemwiederherstellung aus. Wie dies geht, wird in diesem Kummerkastenartikel [6] beschrieben. Nun starten Sie per Start/Ausführen und Eintippen von REGEDIT den Registry-Editor. Seien Sie hier bitte sehr vorsichtig!
Klicken Sie sich über die Pluszeichen zu diesem Zweig durch und klicken Sie ihn an, damit Sie in der rechten Hälfte seine Einträge sehen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Run\
Halten Sie in der rechten Fensterhälfte Ausschau nach einem Eintrag, der auf die gefundene Trojanerdatei verweist, also z.B. auf "C:\WINDOWS\fs-backup.exe". Klicken Sie den Eintrag mit Rechts an und wählen Sie "Löschen". Starten Sie den PC neu; jetzt sollte sich die Trojanerdatei selber ebenfalls löschen lassen. Nach dem nächsten PC-Neustart können Sie die Windows-Systemwiederherstellung wieder einschalten, falls Sie sie vorhin ausschalten mussten.
Scannen Sie Ihr System nun unbedingt mit der aktuellen und frisch via Internet aktualisierten Version eines guten Virenscanners. Da Sie einen Trojaner an Bord hatten, der in der Internetverbindung eine Backdoor öffnete ("Hintertüre"), sollten Sie auch daran denken, alle Ihre Passwörter zu ändern.
Sie sollten zudem den Steganos-Hersteller [7] darüber informieren, dass er einen bekannten Schädling übersehen hat. Ev. übermitteln Sie ihm die Trojanerdatei zwecks Analyse, bevor Sie sie löschen.


Kommentare

Es sind keine Kommentare vorhanden.