Verdächtige Dateien: Sind dies Trojaner?

Leider haben Sie nicht geschrieben, welchen Virenscanner Sie verwenden und ob Sie ihn frisch aktualisiert haben. Gute Trojaner-Erkennungs-Raten haben z.B. Kaspersky AntiVirus, McAfee VirusScan und Norman Virus-Control (Achtung: nicht mit Norton verwechseln). Falls Sie Zweifel haben, ob eine Malware (Malicious Software) von Ihrem Scanner übersehen wurde, holen Sie sich am besten eine zweite Meinung ein, indem Sie die Demo-Version eines anderen Virenscanners installieren und damit noch einmal gründlich scannen.

Zu den drei verdächtigen Dateien können wir folgendes sagen:

SYSTRAY.EXE gehört zu Windows und ist für die untere rechte Ecke Ihres Desktops verantwortlich - nämlich für die Verwaltung des so genannten "System Tray", der in der Taskleiste sitzt und ausser der Uhr meist noch weitere Symbole enthält.

Zum Thema MSBB.EXE fanden wir Hinweise [1], dass es sich um einen Bestandteil von werbeunterstützter Software handeln könnte. MSBB.EXE wäre in diesem Fall fürs Anzeigen der Werbebanner zuständig. So kommt eine gleichnamige Datei offenbar auch in MP3-Such-Programmen vor, wie z.B. in jenem von "SongSpy.com". Lesen Sie zum Thema AdWare/Spyware auch diesen Kummerkasten-Artikel [2].

Bei TSCASH.EXE könnte es sich um einen Dialler (Einwählprogramm, z.B. für Sex-Seiten) von dieser Firma [3] handeln, worüber die Webseite des SAT1-Magazins "Akte" [4] recht ausführlich berichtete.

Gehen Sie zu Start/Ausführen, tippen Sie MSCONFIG ein (Enter drücken) und wechseln Sie ins Register Autostart. Entfernen Sie die Häkchen bei den zwei Programmen MSBB.EXE und TSCASH.EXE und klicken Sie OK. Nach dem nächsten PC-Start sollten diese zwei Programme nicht mehr geladen werden und Sie können die beiden Dateien suchen und anschliessend löschen.

Wollen Sie die Einträge stattdessen komplett aus der Registry entfernen, dann starten Sie den Registry-Editor (Regedit.exe) und navigieren Sie der Reihe nach zu den Registry-Schlüsseln, die einen solchen Eintrag enthalten könnten. Klicken Sie im Registry-Editor jeweils den RUN bzw. RunServices-Schlüssel an, dann sehen Sie in der rechten Fensterhälfte die darin geladenen Dateien. Löschen Sie die unerwünschten Einträge in der rechten Fensterhälfte via rechte Maustaste. Sie sollten hier auf gar keinen Fall etwas löschen, das Sie nicht genau kennen, sondern testen Sie vorher lieber die MSCONFIG-Methode. Sichern Sie vorher unbedingt die Registry oder den gewählten Zweig über "Registrierung/Registrierungsdatei exportieren".

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_USERS\[IhrName]\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

Wenn Sie mit MSCONFIG schon Einträge deaktiviert haben, dann werden diese nicht in diesen Schlüsseln erscheinen, sondern in neuen, die mit einem Minus-Zeichen enden, also z.B. in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run-

Ans Editieren der Windows Registry sollten sich nur erfahrene Benutzer heranwagen. Eine Fehlmanipulation könnte ins Auge gehen!