Tipps & Tricks
07.02.2002, 00:45 Uhr
Litmus-Trojaner über Bord werfen
Ich habe seit geraumer Zeit einen Virus namens Backdoor.Litmus auf meinem PC. Mein Betriebssystem ist Windows XP. Der Virus wird mir von Norton Antivirus in der Datei C:\Windows\litmus\MSGSRV32.exe angzeigt. Ich habe versucht, diesen mit dem Norton zu reparieren, leider vergeblich. Immer wieder erscheint die selbe Virenwarnmeldung. Auch die Datei Litmus lässt sich nicht löschen. Da ich nur Anwender bin, bin ich mit meinem Latein am Ende. Können Sie mir in diesem Fall weiterhelfen?
Reparieren lässt sich die Datei nicht, weil es sich nicht um eine bestehende Datei handelt, die durch einen Virus nachträglich infiziert wurde, sondern um eine, die vollumfänglich zu diesem Virus resp. Trojaner gehört und von diesem auch dorthin abgelegt wurde. Und das Löschen funktioniert aus dem Grund nicht, weil Windows die Datei in Benutzung hat. Viele Viren und Trojaner setzen einen Eintrag in die Windows Registrierdatenbank (Registry). Der Eintrag bewirkt, dass der Virus oder Trojaner bei jedem Windows-Start geladen wird. Und sobald Windows die Datei geladen hat, ist sie in Benutzung und kann nicht gelöscht werden.
Abhilfe schafft hier wohl, wenn Sie den Eintrag aus der Registry löschen und den PC neu starten. Dann wird die Datei nicht mehr gestartet, liegt somit quasi "unbenutzt herum" und kann entfernt werden.
Achtung: Wenn Sie mit der Arbeit mit REGEDIT.EXE nicht vertraut sind, sollten Sie dies ev. einen Bekannten tun lassen, der sich die Arbeit mit dem Registry Editor gewöhnt ist, denn eine Fehlmanipulation könnte schwer wiegende Folgen für Ihr System haben.
Gehen Sie zum Menü Start/Ausführen, tippen Sie REGEDIT ein und drücken Sie die Enter-Taste. Nun wird der Regitry-Editor gestartet. In diesem sind die Einträge in verschiedene Zweige unterteilt, die sich fast wie im Windows Explorer bedienen lassen: Ein Klick auf das Plus-Zeichen eines Zweiges öffnet die darin liegenden Unterzweige. Öffnen Sie auf diese Weise diesen Zweig:
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\
Klicken Sie in der *linken* Fensterhälfte in diesem Zweig auf den "Ordner" namens RUN. Wenn es sich um eine herkömmliche Version des Litmus-Trojaners handelt, werden Sie nun in der *rechten* Fensterhälfte einen Eintrag entdecken, der auf die vom Virenscanner erkannte Datei verweist (C:\Windows\litmus\MSGSRV32.exe). Falls das Fenster oder die Spalten des Registry-Editors zu schmal sind, können Sie diese durch Klicken und Ziehen per Maus (wie unter Windows gewohnt) anpassen. Klicken Sie mit der *rechten* Maustaste auf diesen Eintrag und wählen Sie "Löschen". Schliessen Sie den Registrierungs-Editor. Nach dem nächsten PC-Neustart sollte die Datei nicht mehr von Windows benutzt werden und sich ganz einfach im Windows Explorer löschen lassen.
Tipp: Da Litmus sich offenbar in spionierender Weise diverser Passwörter bemächtigt, sollten Sie nach erfolgreichem Beseitigen des Schädlings Ihre Passwörter ändern, z.B. jenes von Windows (via Start/Einstellungen/Systemsteuerung/Kennwörter), jenes Ihres Mailkontos (in den Hilfe-Seiten des Providers nachlesen) oder andere Passwörter/Kennwörter, die auf dem System gespeichert waren. Führen Sie nach dem nächsten Antivirus-Update noch einmal einen kompletten Virenscan Ihres PCs durch, um sicher zu stellen, dass kein allfälliger Angreifer noch andere Viren oder Trojaner auf Ihrem System hinterlassen hat. Beschreibungen des Trojaners haben wir übrigens z.B. bei Sophos [1] und Symantec [2] gefunden.
Kommentare
Es sind keine Kommentare vorhanden.
