Tipps & Tricks
26.01.2004, 13:15 Uhr
Trojaner entfernen
Ich glaube, ich habe einen Trojaner auf meinem Computer. Wie kann ich ihn entfernen?
Woraus schliessen Sie, dass sich auf Ihrem System ein Trojaner installiert hat? Beruht Ihre Annahme auf einer E-Mail, die Sie kürzlich von einem Unbekannten bekommen haben?
Trug die Mail einen Betreff wie z.B. "du wirst ausspioniert" oder "Ein Trojaner ist auf Ihrem Rechner!" oder "Du hast einen Trojaner drauf!"? Dann hatte vermutlich diese E-Mail selber einen Schädling im Schlepptau. Ein Wurm namens W32/Sober.C [1] verwendet unter anderem solche Betreffzeilen bei den Mails, die er automatisch verschickt. Weitere Texte und Betreffzeilen von Sober.C sind auch bei F-Secure [2] aufgelistet. Glauben Sie solchen Mails also nicht!
Wenn sich aber wirklich ein so genanntes "trojanisches Pferd" installiert hat, sollten Sie zuerst wissen, um welchen der vielen möglichen Trojaner es sich überhaupt handelt. Das finden Sie mit der aktuellen Version eines guten Virenscanners heraus, den Sie natürlich erst via Internet aktualisieren müssen, damit er auch die neuesten Schädlinge findet. Was das Aufspüren von Trojanern betrifft, schneiden nicht alle Virenscanner gleich gut ab. Zu den besten Trojaner-Findern gehören in der Regel F-Secure Antivirus, Kaspersky AntiVirus und McAfee VirusScan.
Sobald Sie den Namen des Trojaners kennen, surfen Sie zur Webseite des Antiviren-Herstellers und suchen den Trojaner in der dortigen Virendatenbank. Wichtig: Mit dem "Namen" des Trojaners ist hier nicht der Dateiname gemeint. Wenn also Ihr Virenscanner etwas meldet wie "Downloader-GJ gefunden in Datei klickmich.exe", dann müssen Sie im Web nicht nach klickmich.exe suchen, sondern nach Downloader-GJ, denn ein solcher Schädling kann verschiedene Dateinamen verwenden.
Die Beschreibung des Antivirenherstellers enthält meist detaillierte Informationen darüber, welche Art von Dateien der Trojaner verwendet und in welchen Ordnern er diese normalerweise ablegt. Zudem gibts eine Sache, die praktisch alle Würmer, Viren und Trojaner tun: Alle erstellen irgendwo im System einen Eintrag mit einem Befehl, der dafür sorgt, dass die Schädlingsdatei gleich wieder ausgeführt und in den Speicher geladen wird, sobald Windows aufstartet. Einige gehen sogar so weit, dass sie sich jedesmal ausführen, wenn der Benutzer ein beliebiges Programm startet. Solche Virenstartbefehle befinden sich praktisch immer in der Windows-Registry, seltener findet man sie auch in Konfigurationsdateien mit Endung INI oder BAT. Da die Antivirenhersteller die Schädlinge analysieren, beschreiben sie meist sehr genau, in welchen Dateien oder Registry-Zweigen der Wurm, Virus oder Trojaner den Eintrag gemacht hat und wie dieser lautet (manchmal sind es auch mehrere Einträge). In den Beschreibungen steht in der Regel auch, welche Schäden ein Trojaner anrichtet bzw. welche Daten er ausspioniert.
Jetzt haben Sie eigentlich schon alle Informationen zusammengetragen, die Sie brauchen werden, um den Trojaner zu entfernen: Sie wissen, wie er heisst, in welcher(n) Datei(en) er sitzt, welche Einträge er in Ihrem System erstellt haben könnte und welche Auswirkungen das Ganze haben könnte.
Das Entfernen des Trojaners verläuft nun so: Auch eine Trojanerdatei können Sie normalerweise nicht löschen, während Windows diese gerade geladen bzw. in Benutzung hat. Also müssen Sie erstmal dafür sorgen, dass der Trojaner nicht geladen wird.
Wichtig: Falls Sie Windows XP oder Windows Me haben, schalten Sie erst vorübergehend die so genannte Systemwiederherstellung aus. Wie das geht, lesen Sie in diesem [3] Kummerkasten-Beitrag. Wenn Sie diese Funktion nicht vorübergehend ausschalten, wird der unerwünschte Registry-Eintrag beim nächsten PC-Start wieder da sein.
Haben Sie eine andere Windows-Version bzw. haben Sie unter XP oder Me die Systemwiederherstellung ausgeschaltet, entfernen Sie gemäss Anleitung des Antiviren-Herstellers die Starteinträge, die der Trojaner gemacht hat. Sie finden hierzu auch ausführliche Informationen auf der Trojaner-Info-Webseite [4]. Ist das erledigt, starten Sie den PC neu. Haben Sie die richtigen Einträge gelöscht, wird jetzt die Trojanerdatei nicht mehr automatisch gestartet. Sie können sie löschen. Prüfen Sie nochmals alle vorhandenen Festplatten-Laufwerke auf Viren.
Das weitere Vorgehen hängt davon ab, was der Trojaner sonst noch angerichtet hat. Falls er Passwörter klaut oder einem Cracker (oft fälschlicherweise als Hacker bezeichnet) schon Zugang zu Ihrem Computer gewährt hat, dann sollten Sie zumindest alle Ihre Passwörter ändern. Noch besser wäre es, das Systemlaufwerk zu formatieren und den PC komplett neu zu installieren; natürlich mitsamt allen Windows-Updates und dem Virenscanner. Denn nur so können Sie vermeiden, dass allfällige Hinterlassenschaften eines Crackers zurückbleiben, z.B. unliebsame Scripts, die er platziert haben könnte oder Systemeinstellungen, die vielleicht durch den Cracker manipuliert wurden.
Kommentare
Es sind keine Kommentare vorhanden.