Trojaner erkennen und entfernen

Inhalt

Trojaner erkennen und entfernen
Überprüfen der Ports
Erstellte und geänderte Dateien suchen
Überprüfen der laufenden Prozesse
Löschen der Programmaufrufe

Trojaner erkennen und entfernen

Wenn man öfters im Internet surft und Dateien herunter lädt, sollte man gelegentlich den Rechner auf Trojaner überprüfen. Dies kann einerseits mit verschiedenen Anti-Virus- und Anti-Trojaner-Programmen geschehen, aber auch per Hand, da die Programme nicht immer alle im Umlauf befindlichen Trojaner erkennen.

Zunehmend beliebter wird das Versenden von Trojanern und Würmern mit E-Mails. Viele Mailprogramme (z.B. Microsoft Outlook Express) ermöglichen das automatische Ausführen von Anlagen, die mit der E-Mail mitgesendet werden, sobald die Nachricht angezeigt wird. So können nicht nur Geburtstagsgrüße und lustige Animationen automatisch gestartet werden, sondern auch schädliche Programme. Die Verwendung von alternativen Mailprogrammen, wie etwa "Eudora", kann hier Abhilfe schaffen.

In den meisten Fällen bemerkt man das Ausführen von Trojanern durch Downloadfenster und andere Vorgänge, die bei "normalen E-Mails" nicht vorkommen. Ist das der Fall, sollte als erstes die Internetverbindung beendet werden, um die Übermittlung von Daten zu unterbinden. Da sich Trojaner sofort nach ihrer Ausführung in das System einnisten, müssen alle Aufrufe und Dateien entfernt werden, die der Trojaner angelegt hat.

Überprüfen der Ports

Zuerst sollten die Ports des Systems überprüft werden. Dies kann mit eigenen Programmen geschehen (z.B. mit "Portcheck", "Portscan" oder ähnlichen Programmen), oder mit dem in Windows enthaltenen Programm Netstat. Dazu geben Sie in der DOS-Box den Befehl netstat -a ein.

Ausgabe des Netstat-Befehls im "Normalfall"

C:\WINDOWS>netstat -a

Aktive Verbindungen

  Proto  Lokale Adresse          Remoteadresse  Status
  UDP    localhost:microsoft-ds  *:*
  UDP    localhost:ntp           *:*
  ...

C:\WINDOWS>

Während die obige Ausgabe bedeutet, dass keine Programme auf eine Verbindung warten, zeigt die folgende Ausgabe, dass ein Programm am Port 31337 auf eine Internetverbindung wartet, was ein typisches Verhalten für Trojaner ist.

Ausgabe des Netstat-Befehls bei aktivem Back Orifice Trojaner

C:\WINDOWS>netstat -a

Aktive Verbindungen

  Proto  Lokale Adresse          Remote-Adresse  Status
  UDP    localhost:microsoft-ds  *:*
  UDP    localhost:ntp           *:*
  ...
  TCP    localhost:31337         0.0.0.0:45178   LISTENING
  UDP    localhost:31337         *:*

C:\WINDOWS>

In diesem Beispiel handelt es sich um Back Orifice (lokaler Port 31337). Aktuelle Listen mit Portnummern, die von Trojanern verwendet werden, sowie Listen mit den eigentlichen Diensten, die auf den jeweiligen Ports laufen sollten, sind im Internet verfügbar. Für eine erste Überprüfung sollte auch diese Liste ausreichend sein: Portnummern von Trojanern. Der Einsatz einer guten Firewall sollte ohnehin selbstverständlich sein.

Erstellte und geänderte Dateien suchen

Trojaner kopieren meist nicht nur die eigene Programmdatei in ein Systemverzeichnis, sondern erstellen auch häufig mehrere Dateien (ähnlich wie ein selbstentpackendes Archiv). In der Dateiliste des Suchergebnisses sollte relativ schnell ersichtlich sein, welche Dateien erstellt oder geändert wurden. Jetzt kennt man die Programmdatei(en) des Trojaners, was die weiteren Maßnahmen wesentlich vereinfacht.

Überprüfen der laufenden Prozesse

Danach sollten die laufenden Prozesse überprüft werden - allerdings nicht mit dem Windows-Taskmanager (Strg+Alt+Entf) - da es möglich ist, Prozesse vor diesem zu verbergen. Man sollte einen anderen Taskmanager verwenden, wie etwa DLL-View, der wirklich alle laufenden Programme anzeigt. Der Vorteil von DLL-View liegt darin, dass auch gleich die DLL-Dateien angezeigt werden, die dieses Programm benötigt. Bevor man mit der Entfernung des Trojaners fortfahren kann, muss der Prozess beendet werden.

Löschen der Programmaufrufe

Nachdem der Trojaner beendet wurde, kann man sich auf die Suche nach dem Programmaufruf machen. Trojaner ändern meistens die Startdateien, um beim Systemstart automatisch geladen zu werden. Wenn ein Programmaufruf gefunden wurde, sollte man auf jeden Fall auch alle weiteren Möglichkeiten überprüfen - eventuell existieren mehrere Aufrufe.

In folgenden Dateien können Programme automatisch gestartet werden:

Autoexec.bat

In dieser Datei können Programme wie an der DOS-Eingabeaufforderung gestartet werden (z.B.: 'C:\Windows\Trojaner.exe').

Win.ini

[Windows]
load=trojaner.exe
run=trojaner.exe

In den Zeilen "load" und "run" können Programme beim Windows-Start automatisch ausgeführt werden (hier z.B. das Programm 'trojaner.exe').

System.ini

[boot]
shell=explorer.exe trojaner.exe

In der Zeile 'shell=explorer.exe' kann ein Aufruf für ein Programm angefügt werden. Dieses wird vom Explorer automatisch gestartet. Zum Beispiel: 'shell=explorer.exe trojaner.exe'.

C:\<Windows-Verzeichnis>\winstart.bat

Diese Datei wird vom Betriebssystem dazu verwendet um bestimmte Dateien, zum Beispiel nach der Installation eines Programmes, zu löschen oder zu kopieren. Diese Datei ist eine normale BAT-Datei, in der Programme so wie in der Autoexec.bat aufgerufen, gelöscht oder kopiert werden können.

C:\<Windows-Verzeichnis>\wininit.ini

Diese Datei wird häufig von Setup-Programmen verwendet. Wenn die Datei existiert wird sie einmal ausgeführt, und anschließend gelöscht.

Autostart-Ordner

Alle Verknüpfungen oder Programme, die sich im "Autostart"-Ordner befinden, werden beim Start von Windows ausgeführt. Da diese Einträge über das Startmenü erreichbar sind, wird diese Art der automatischen Ausführung eher selten verwendet.

Der Pfad zum Autostart Ordner ist im Registry-Schlüssel:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Shell Folders
im String-Wert "Startup" gespeichert. Dieser Eintrag, z.B. "C:\windows\start menu\programs\startup" kann leicht von jedem beliebigen Programm verändert werden.

Registry

Hier gibt es mehrere Möglichkeiten eine Datei zu starten. Mit dem Programm regedit.exe können diese Möglichkeiten überprüft werden:

HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ ...

... Run
... RunOnce
... RunServices

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ ...

... Run
... RunOnce
... RunOnceEx
... RunServices
... RunServicesOnce

Hier können Dateien eingetragen werden, die bei jedem Start von Windows geladen werden.

Registry Shell Spawning

Hier wird der Trojaner jedes Mal aufgerufen, wenn eine EXE-, PIF-, COM-, BAT- oder HTA-Datei ausgeführt wird. Diese Methode wird bei SubSeven als "Unknown Staring Method" bezeichnet:

[HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command] @="%1" %*
[HKEY_CLASSES_ROOT \ comfile \ shell \ open \ command] @="%1" %*
[HKEY_CLASSES_ROOT \ batfile \ shell \ open \ command] @="%1" %*
[HKEY_CLASSES_ROOT \ htafile \ Shell \ Open \ Command] @="%1" %*
[HKEY_CLASSES_ROOT \ piffile \ shell \ open \ command] @="%1" %*

[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ batfile \ shell \ open \ command] @="%1" %*
[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ comfile \ shell \ open \ command] @="%1" %*
[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ exefile \ shell \ open \ command] @="%1" %*
[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ htafile \ Shell \ Open \ Command] @="%1" %*
[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ piffile \ shell \ open \ command] @="%1" %*

Der Wert hinter diesen Schlüsseln sollte wie folgt aussehen: "%1" %*. Wenn irgendetwas (sei es auch nur ein scheinbares Leerzeichen) vor dem ersten Prozentzeichen steht, ändert man den Eintrag so, dass er wie oben beschrieben aussieht.

Icq NetDetect

Dieser Schlüssel enthält alle Programme die gestartet werden wen ICQ NetDetect eine Verbindung ins Internet festgestellt hat.
HKCU \ Software \ Mirabilis \ ICQ \ Agent \ Apps
Ein Trojaner-Eintrag könnte zum Beispiel so aussehen:

HKCU \ Software \ Mirabilis \ ICQ \ Agent \ Apps \ <Trojaner>
"Path"="trojaner.exe"
"Startup"="c:\\trojaner"
"Parameters"=""
"Enable"="Yes"

In diesem Fall können Sie den kompletten Schlüssel "Trojaner" löschen.

Sonstiges

Windows bietet die Möglichkeit, die Endung von Dateien nicht anzeigen zu lassen. Dies wird in der Registry mit dem Schlüssel "NeverShowExt" erreicht. Ein Beispiel: Um die Endung von sogenannten ShellSraps (SHS-Dateien) zu verstecken wird folgender Eintrag in der Registry erstellt:
HKLM \ Software \ CLASSES \ ShellScrap
In diesem Schlüssel wird der String-Wert "NeverShowExt" auf einen Leerstring ("") gesetzt. Dies bedeutet jetzt, dass zum Beispiel eine Datei mit dem Dateinamen "Hot.jpg.shs" nur noch als "Hot.jpg" angezeigt wird. Ein Klick auf diese Datei öffnet jedoch nicht das erhoffte Bild, sondern führt einen eventuell schädlichen Programmcode aus. In der Registry sind viele dieser Schlüssel zu finden. Um eine Endung wieder anzuzeigen löscht man einfach den entsprechenden Schlüssel.