PWSteal-Trojaner lässt sich nicht löschen

Es sieht so aus, als hätten Sie es mit PWSteal.Trojan zu tun. Allerdings ist uns nicht bekannt, ob es sich um die Ur-Variante (siehe [1]) handelt oder um eine leichte Abwandlung davon.

Vermutlich können Sie die Dateien nicht löschen, weil Windows sie gerade in Verwendung hat. Folgendes gilt für Windows 2000 und Windows XP: Notieren Sie sich die Dateinamen, die gemäss Norton AntiVirus vom PWSteal-Trojaner betroffen sind. Drücken Sie einmal kurz die Tastenkombination CTRL+ALT+DELETE und wählen Sie (falls er nicht sofort erscheint) den "Taskmanager". Gehen Sie darin zum Register "Prozesse" und klicken Sie ein oder zweimal auf den Spaltentitel bei "Name", um die Dateinamen dieser Prozesse alphabetisch zu ordnen.

Machen Sie den Prozess ausfindig, welcher den Namen der Trojaner-Datei trägt. Klicken Sie diesen an und anschliessend auf die Schaltfläche "Prozess beenden". Ist der Trojaner-Prozess beendet? Dann scannen Sie Ihr System sofort nochmals mit Norton AntiVirus. Jetzt sollte sich die Datei löschen lassen.

Folgendes gilt auch für Benutzer von Windows 95/98: Nun müssen Sie in der Windows-Registry den Verweis auf die Trojaner-Dateien löschen. Gehen Sie zu "Start/Ausführen", tippen Sie REGEDIT ein und drücken Sie die Enter-Taste. Dies startet den Registry-Editor. Seien Sie jetzt bitte extrem vorsichtig, denn eine Fehlmanipulation könnte für Ihr System schwerwiegende Folgen haben!

Klicken Sie sich über die Pluszeichen vorsichtig zu diesem Registry-Zweig durch und klicken Sie ihn an, damit Sie dessen Inhalt in der rechten Fensterhälfte sehen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Darin werden Sie höchst wahrscheinlich einen oder zwei Einträge vorfinden, welche die Trojaner-Dateinamen enthalten. Klicken Sie einen Eintrag mit der rechten Maustaste an und wählen Sie Löschen. Enfernen Sie auf diese Weise alle Trojaner-Einträge. Fertig? Schliessen Sie den Registry-Editor wieder (z.B. durch Klick auf's X oben rechts) und starten Sie den PC neu.

Achtung Benutzer von Windows XP:

Weil Windows XP eine so genannte automatische "Systemwiederherstellung" hat, kann es passieren, dass Windows beim Neustart die soeben gelöschten Registry-Einträge und Dateien wiederherstellt. Falls dies passiert, müssen Sie zuerst (vorübergehend) die Systemwiederherstellung ausschalten. Gehen Sie zu "Start/Alle Programme". Unter "Zubehör/Systemprogramme" wählen Sie die "Systemwiederherstellung". Klicken Sie auf den Link zu "Systemwiederherstellungseinstellungen". Nun öffnet sich das Fenster "Systemeigenschaften" mit dem Register "Systemwiederherstellung".Dort enfernen Sie durch einen Klick das Häkchen bei "Systemwiederherstellung auf allen Laufwerken deaktivieren", klicken Sie auf "Übernehmen" und auf OK. Schliessen Sie jetzt das Fenster der Systemwiederherstellung mit "Abbrechen".

Führen Sie die eingangs erwähnten Schritte nochmals durch und starten Sie den PC neu. Jetzt sollte die Systemwiederherstellung nicht mehr dazwischenfunken. Deshalb können Sie sie jetzt auf dem selben Weg wieder einschalten.

Der PWSteal.Trojan wurde programmiert, um Passwörter auszuspionieren und an anonyme Mail-Adressen zu senden. Falls Sie wichtige Passwörter gespeichert haben (z.B. in Ihrem Mail-Programm), sollten Sie diese bei der nächsten Gelegenheit ändern.

Symantec stellt übrigens ein englisches "Tutorial" (Lern-Lektion) zum Entfernen bestimmter Schädlinge bereit [2], wie z.B. den PWSteal.Trojan.