Administrator Startseite

Apple

iOS, iTunes, Mac OS X

Entwicklung

Assembler, BASIC, Batch & Shell, Bibliotheken & Toolkits, C und C++, CSS, Datenbanken, HTML, IDE & Editoren, Installation, Java, JavaScript, KiXtart, Lizenzierung, Pascal & Delphi, Perl, PHP, Python, VB for Applications, Visual Studio, Webentwicklung, XML

Hardware

Benchmarks, @Server Cluster, CPU, RAM, Mainboards, Drucker und Scanner, Festplatten, Raid, Grafikkarten & Monitore, @Netzwerkkarten, Multimedia & Zubehör, Notebook & Zubehör, @Router und Routing, SAN, NAS, DAS, Server-Hardware, Sonstige Peripheriegeräte, Speicherkarten, Switche und Hubs

Internet

Blogs, CMS, Domain Registrierung, E-Books, E-Business, E-Mail, Flatrates, Hosting & Housing, Informationsdienste, Instant Messaging, Onlinedienste, SEO, Server, Soziale Netzwerke, Utilities, Webbrowser

Linux

Apache Server, Debian, Desktop, Netzwerk, OpenOffice, LibreOffice, RedHat, CentOS, Fedora, Samba, Suse, Tools & Utilities, Ubuntu, Userverwaltung

Microsoft

Exchange Server, @Hyper-V, Installationsprobleme, Netzwerk, Office, Outlook & Mail, Systemdateien, Tools & Utilities, Userverwaltung, @Visual Studio, Windows 7, Windows 8, Windows Phone, Windows Server, Windows Vista, Windows XP

Multimedia

Audio, Digitiales Fernsehen, Grafik, Icons, Schriftarten, Video

Netzwerke

Cluster, DNS, DSL, VDSL, Groupware, Grundlagen, ISDN & Analoganschlüsse, LAN, WAN, Wireless, Monitoring, Netzwerkmanagement, Netzwerkprotokolle, Router & Routing, TK-Netze & Geräte, UMTS, EDGE & GPRS, Voice over IP

Off Topic

Administrator.de Feedback, Humor (lol), Papierkorb

Sicherheit

Backup, Erkennung und -Abwehr, Firewall, Grundlagen, Informationsdienste, Rechtliche Fragen, Sicherheits-Tools, Tipps & Tricks, Verschlüsselung & Zertifikate, Viren und Trojaner

Sonstige Systeme

Google Android, MikroTik RouterOS, Novell Netware, Sun Solaris

Virtualisierung

Hyper-V, KVM, Vmware, Xenserver

Weiterbildung

Aus- und Weiterbildung, Ausland, Schulung & Training, Studentenjobs & Praktikum

Zusammenarbeit

Biete Zusammenarbeit, Suche Projektpartner
Weniger Werbung?
Cover IT-Administrator
In der Juni-Ausgabe des IT-Administrator Magazins dreht sich alles um den Schwerpunkt 'Monitoring & Dokumentation'. So zeigen Ihnen die Redaktion unter anderem, wie die Netzwerküberwachung in heterogenen Umgebungen mit Zenoss funktioniert und auf welchem Weg Sie Leistungsdaten von Windows-Clients mit der PowerShell abfragen. Daneben lesen Sie, wie Sie die I/O-Last auf Ihren Servern im Blick behalten und Ihr Red Hat Enterprise Linux auf Trab bringen. ... mehr
Mitglied: schlodfeger
29.06.2006, aktualisiert 09.06.2008, 25460 Aufrufe, 8 Kommentare

Trojaner aufspüren und beseitigen

Wissenswertes für Anfänger und Fortgeschrittene

So erkennt man Trojaner auf einem System

Wie könnt ihr nun feststellen, ob das System bereits von einem trojanischen Pferd infiziert ist? Dieser Artikel soll zeigen, wie trojanische Pferde auf einem System erkannt und beseitigt werden. Für den ungeübten User erweist sich dies oft als sehr schwierig, da die Suche nach solchen Programmen meist Eingriffe ins System bzw. die Registry erfordert. Daher empfiehlt es sich, auf Programme, wie Virenscanner oder spezielle Anti-Trojaner-Tools, zurückzugreifen. Diese automatisieren das Aufspüren und Beseitigen und halten die Gefahren beim Beseitigen, das System zu beschädigen, recht gering. Grundsätzlich sollten diese Programme permanent auf jedem System installiert sein. Es erweist sich weiterhin als zwingend erforderlich, dass die Software ständig aktualisiert wird, denn schließlich werden täglich neue Trojaner entdeckt. Doch häufig lassen sich die Schädlinge auch von diesen Abwehr-Tools nicht entdecken, denn Hacker tarnen ihren Spionageserver so, dass diese trotz installiertem Virenscanner auf den Systemen arbeiten können.

AutoRun-Einträge

Ein Trojaner funktioniert nur dann, wenn er mit dem Systemstart ausgeführt wird. Das heißt, dass der Server ständig im Hintergrund des Systems laufen muss, um bei einer Onlineverbindung bereit zu sein, Befehle vom Client zu empfangen. Wie die Programmierer dies bewerkstelligen, ist von Trojaner zu Trojaner unterschiedlich, daher sollte man die Orte kennen, an denen Einträge solcher Art vorgenommen werden. Der Autostartordner ist eine der klassischen Methoden, gleichzeitig aber die mit der geringsten Kreativität. Hierbei wird eine Verknüpfung des Servers direkt in den Autostartordner des Startmenüs gelegt. Die Gefahr entdeckt zu werden, ist hierbei besonders groß, da dieser Ordner auch für den ungeübten Anwender leicht über "Start/Programme" zugänglich ist. Daher sehen Programmierer solcher Software in der Regel davon ab, diesen Weg zum automatischen Start zu wählen. Trotzdem schadet es nicht, wenn man ab und zu hineinzusehen, entweder über die Startleiste "Start/Programme/Autostart" oder über den Explorer. Bei früheren Trojanern, wie zum Beispiel NetBus, war es eine beliebte Methode, Einträge in die "Win.ini" zu schreiben, um den Server so zu starten. .Die Datei WIN.INI enthält Informationen über die Windows-Umgebung. Die WIN.ini wurde in erster Linie von älteren Windows Versionen für softwarerelevante Informationen benutzt. Trotzdem ist es angebracht, gelegentlich einen Blick in die "Win.ini" zu werfen. Gehe über "Start/Ausführen" und gieb in das Eingabefeld "sysedit.exe" ein. Hier sollte man auf Einträge hinter den Parametern "Load" und "Run" achten. Oft werden Trojaner so eingestellt, dass die Parameter mit zahlreichen Leerzeichen ausgepuffert sind, sodass diese nicht sofort ins Auge springen, sondern man erst einmal scrollen muss, um die Einträge zu sehen. Sollte man hinter "load" oder "run" Parameter finden, wie z.B. "Server.exe" oder "Explorer.exe", so sollten diese entfernt werden. Selbstverständlich variieren die Bezeichnungen der Parameter von Trojaner zu Trojaner. Deshalb sollte man hier mit einer gewissen Vorsicht herangehen, damit nicht unabsichtlich die wichtigen Einträge gelöscht werden.

Registry-Einträge

Auch in der Registry müssen sich viele Trojaner verewigen, um alle gewünschten Funktionen ausführen zu können. Um in die Registry zu gelangen, geht man über "Start/Ausführen" und ruft anschließend das Programm "regedit" auf. Interessant sind dabei folgende Einträge, die regelmäßig geprüft werden sollten:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOne\ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices\


Ist hier ein Schlüssel zu einer ausführbaren Datei enthalten, teilkann sich ein trojanisches Pferd dahinter verbergen. Vergleicht die Einträge mit denen aktueller Trojaner. Informationen über diese findet ihr zum Beispiel unter www.heise-security.de.

Grundsätzlich sollten die Registryeinträge gesichert werden, also in ein Verzeichnis exportiert werden, um ev. Änderungen wieder rückgängig machen zu können! Vor allem sollte man als Unwissender keinenfalls Änderungen vornehmen, wenn das System normal läuft.
Wer sich die Registry-Einträge unmittelbar nach ener neuen Windows Installation und immer wieder nach einzeln Software Installationen angesehen hat, kann die einzeln Registry`s leicht zuordnen. Bei einem Trojanerverdacht kann somit die Ursache meist auf einen Eintrag beschränken, weil dieser Erstmals vorkommt.

Beispiel für Trojaner:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\Ms Office=c:\windows\system\MsOffice.exe

zum Vergleich der wichtige Norten Antivirus Autoprotect Registry Eintrag:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\ccApp=c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe





Laufende Prozesse überprüfen

Häufig kommt man einem Trojaner schon auf die Schliche, indem man die so genannten "laufenden Prozesse" überprüft. Bei "laufenden Prozessen" handelt es sich um ausführbare Dateien, die gerade im System "mitlaufen". Überprüft werden können diese mit dem gleichzeitigen Drücken der Tasten "AltGr + Strg + Entf". Nun erscheint eine Box, welche die laufenden Prozesse anzeigt, die man auch entsprechend beenden kann. Allerdings ist diese Methode überhaupt nicht sicher, da die meisten trojanischen Pferde es verstehen, sich vor diesem "Taskmanager" mit gefälschtem Prozessnamen zu verstecken.

Abschließend:

Ich weiß, das ist für die meisten von euch Schnee von gestern und diejenigen für die es interessant wäre, kommen sowieso erst
hier vorbei, wenn sie die Computerverwaltung ordendlich "konfiguriert" haben, und sich die Fehlermeldungen überschlagen,
aber ich wollte halt auch mal ein Tutorial schreiben !
Mitglied: Mitchell
30.06.2006 um 00:53 Uhr
Hi Schlodfeger,

nettes Tutorial (?), die gängisten Aufspürarten sind genannt. Ich übe dennoch ein wenig Kritik, nicht falsch verstehen, ist wirklich nur gut gemeint:

1. Wenn du eine Tutorial über Trojaner in dieses Forum schreibst (was ja wirklich nichts neues für die Leute hier ist), solltest du auch ein wenig mehr ins Detail gehen. Evtl. schreiben, was es mit der win.ini auf sich hat....was steht drin, wofür ist sie etc.
Selbiges mit der Registry...was macht ein Eintrag z. B. in "RunServices" und was ist der Unterschied zu dem einfachen "Run" (ist schon ein gewisser Unterschied, ob ich einen Service beenden will oder eine ausführbare Datei).

2. Sagen wir, ich bin Laie (meine Tante z. B. kann sich nur auf ihr Antivir verlassen) und lese die Überschrift. Ich denke, hier wird mir erklärt, wie ich einige Trojaner, Viren etc. auch ohne Programm entfernen kann (ich will ja auch auf Nummer sicher gehen und vertraue nicht nur dem Programm)....ich sehe aber nur was von "sieh mal in der Registry nach", sagt mir nicht wirklich was.
Für den ungeübten User erweist sich dies oft als sehr schwierig
das ist nämlich der Punkt. Eventuell ein, zwei Beispiel für "trojanische Einträge" in der Registry geben.

3. Wenn es um Laien geht, solltest du immer darauf hinweisen, dass gewisse Einträge (bzw. die ganze Registry usw.) gesichert werden sollen.
Sollte man hinter "load" oder "run" Parameter finden, wie z.B. "Server.exe" oder "Explorer.exe", so sollten diese entfernt werden.
An diesen Stellen sollte man hinschreiben, was dort beispielsweise stehen darf, sonst hält ein Anfänger alles für einen gefährlichen Eintrag.

So...hoffe du nimmst es mir nicht Krumm, ansonsten schon gut hinbekommen.

Mit freundlichen Grüßen

Mitchell
Bitte warten ..
Mitglied: 27119
03.07.2006 um 13:36 Uhr
Danke fuer das interessante Tutorial.

Ich finde in diesem Zusammenhang die kostenlose Viren-Online-Suche von
Symantec erwähnens- und empfehlenswert.
Von nem normalen user kann man nicht erwarten, dass er weiss was eine registry ist,
geschweigedenn was er damit anfangen soll.

http://security.symantec.com/sscv6/ssc_EULA.asp?langid=ge&venid=sym ...

(EULA bestätigen, ActiveX Control installieren)

Der Online Check von symantec zeigt infizierte Dateien an.
Die Pfade zu den Dateien u. Namen der Datein notieren (oder screenshot machen mit alt+druck).
Dann mit F8 im abgesicherten Modus starten, und die infizierten Dateien (die man sich vorher notiert hat) manuell löschen.

AUSDIEMAUS.
Bitte warten ..
Mitglied: 15187
01.08.2006 um 00:45 Uhr
Ich finde in diesem Zusammenhang die
kostenlose Viren-Online-Suche von
Symantec erwähnens- und
empfehlenswert.

Symantec ist leider nicht in der Lage, Antivirensoftware herzustellen, die auch nur annähernd so zuverlässig ein System sauber hält wie die preislich gleiche Kategorie von TrendMicro!

Aktuell wurde ein PC mit einem Trojaner infiziert, den die Client Security 3.1 reingelassen hat. Symantec konnte auch am Telefon nicht helfen. Und der Support ist nicht in deutsch. Per Mail ist er in Englisch, per Telefon schweizerisch ("odrrrchsowass"). Nicht verständlich - daher unbrauchbar.

Statt symantec empfehle ich als Äquivalent daher www.housecall.de. Auch für Java und Mac's.
Bitte warten ..
Mitglied: 27119
01.08.2006 um 08:31 Uhr
Jo, jeder findet halt das gut womit er gute Erfahrungen gemacht hat.
Wir benutzen seit Jahren Symantec.
Der beschriebene Online Scan kostet nix und ist daher für den Heimuser empfehlenswert - nach dem Motto - viel besser wie nix ist es allemal. Ich finds in kombination mit nem Freeware Antivirenscanner (AVG Free Edition) sogar richtig gut, im Verdachtsfall noch den Online Scan zu machen. Und beides kostet keinen Cent. Ich seh nicht ein, privat ein Antivirus-Abo abzuschiessen u. jedes Jahr 60-100Eu zu verbrennen.
Bitte warten ..
Mitglied: 15187
01.08.2006 um 09:02 Uhr
Der beschriebene Onlinescan (für alle, die wie Du nicht nachschauen wollen, housecall.de ist von Trendmicro!) ist ebenfalls kostenlos, und hat bereits auf einigen verseuchten Systemen, die eigentlich von der Client Security geschützt sein sollten, zahlreiche Infektionen ausfindig gemacht und dauerhaft gelöscht. Aber die Online-Virenscanner sind für den Notfall, der nicht eintreten soll. Virenscanner, die permanent im Hintergrund laufen und das System VOR EINEM BEFALL BEWAHREN sollen, dabei 300 Euro pro Jahr kosten, dürfen es sich nicht wie in unserem Fall leisten, einen seit Jahren bekannten Trojaner aufs System zu lassen.
Und genau damit hat sich Symantec nun nach unten katapultiert.

Ich kann vom Kauf und dem "sich darauf verlassen" nur abraten.
Und übrigens: TM-Produkte sind günstiger als die Pendants von Symantec! Weshalb wir zum nächsten Abo-Ende umsteigen werden.
Bitte warten ..
Mitglied: Flash600
04.08.2007 um 00:01 Uhr
Ich sag nur KASPERSKY!
wir haben vor ca. 3 Monaten einen Kunden übernommen, wo die frühere EDV-Firma trendmicro installiert hatte, lief alles ganz "normal", laut trendmicro zumindest.
Wir setzen nur Kaspersky ein. Nachdem wir dieses Antivirenprog. installierten und anfingen zu scannen.... Alle WS waren voll von trojanern, trotz installierten und aktiven (!) trendmicro!
Bitte warten ..
Mitglied: NicKLesS
09.06.2008 um 23:14 Uhr
Hallo,
in diesem Zusammenhang:
http://www.virustotal.com/de/
http://virusscan.jotti.org/de/
Wenn etwas verdächtiges gefunden wurde, hier hochladen und schaun was die Antivierenlösungen sagen.
Dahingehend weiter recherchieren.

Gruß
Bitte warten ..
Mitglied: gnarff
10.01.2009 um 23:18 Uhr
So, wir haben hier also ein Tutorial in unserem Forum vom 29.06.2006 und ein nahezu Identisches erstellt am 25.10.2005, 21:26 zu geniessen im Winluxboard.

Zumindest hatte der Ersteller dieses Tutorials sich die Muehe gemacht wenigstens die Quelle anzugeben, naemlich das PC-Magazin, Ausgabe 11/2005.

Ich erspare mir jetzt weiter im Internet zu recherchieren und lasse diese erstaunliche Tutorial-Leistung fuer sich selbst sprechen...

saludos gnarff
Bitte warten ..
Neuester Wissensbeitrag
Windows 8
Tipp: Auch wenn die meisten schon 8.1 haben werden, denke ich, dass diese Anleitung interessant ist: Will man von Windows 8 auf 8.1 unter Umgehung des Stores updaten, so ... von DerWoWusste, in Windows 8
Diese Inhalte könnten dich auch interessieren
Google Android
Link: Ab jetzt gibt es eine Spionagesoftware direkt ab Werk. Das erspart das (nicht wirklich) aufwendige "hacken" der Android Geräte erheblich ;-) Christian Geschkat von G Data: "Die Möglichkeiten ... von Frank, in Google Android
Webbrowser
Frage: Hallo, ich verwende eine Software, die im Internet Explorer Schaltpläne im SVG Format darstellt. Neben dem angezeigten Schaltplan wird eine Navigation eingeblendet, welche wohl ein Java Applet ist. ... von mabue88, in Webbrowser
Viren und Trojaner
Frage: Hallo zusammen, uns hat gerade ein Neukunde angerufen, dass sich auf seinem PC "jemand" per RDP einwählt. Mitten bei der Arbeit - Bildschrim gesperrt - Neu angemeldet, paar ... von Kurznotiert, in Viren und Trojaner
Heiß diskutierte Inhalte
CPU, RAM, Mainboards
Frage: Hallo liebe Community , Ich habe das BIOS auf meinen 15 Intel S5520HC Systemen gekillt indem ich ein Update mit AFUDOS auf allen Systemen durchfuehren wollte Es ist ... von Knogle, in CPU, RAM, Mainboards
Entwicklung
Frage: Hallo zusammen, ja ich weis, diese Frage wurde schon oft gestellt und überall ist es das gleiche; und "Oh man wieder einer, ich kanns nicht mehr hören." Tja, ... von Trecasim, in Entwicklung
Exchange Server
Frage: Hallo zusammen, unser Chef hat mal wieder eine Idee. Wie so oft. Und zwar sollen bei uns die namentlichen Mailadressen (max.mustermann@de) aufgelöst werden und es soll nur noch ... von Trackmaster1303, in Exchange Server
Multimedia & Zubehör
Frage: Hallo Zusammen! Ich bin vor kurzem zu Unitymedia gewechselt und habe nun erstmal ein KabelChaos angerichtet. Ich nutze: Internet (Kabel), Telefon (DECT), Anrufbeantworter (Telefonkabel) und Fernsehen (HDMI). Trotzdem ... von Dediggefedde, in Multimedia & Zubehör
Debian
Frage: Hallo, Ich habe ein Problem beim Konfigurieren meines ICECAST2. Situation: Bei uns in der Firma (ca. 100 User) hören viele Online Radio. Aber wir bekommen von unseren Provider ... von K-ist-K, in Debian