Administrator Startseite

Apple

iOS, iTunes, Mac OS X

Entwicklung

Assembler, BASIC, Batch & Shell, Bibliotheken & Toolkits, CSS, C und C++, Datenbanken, HTML, IDE & Editoren, Installation, Java, JavaScript, KiXtart, Lizenzierung, Pascal & Delphi, Perl, PHP, Python, VB for Applications, Visual Studio, Webentwicklung, XML

Hardware

Benchmarks, Cluster, CPU, RAM, Mainboards, Drucker und Scanner, Festplatten, Raid, Grafikkarten & Monitore, LAN, WAN, Wireless, Multimedia & Zubehör, Notebook & Zubehör, Router & Routing, SAN, NAS, DAS, Server-Hardware, Sonstige Peripheriegeräte, Speicherkarten, Switche und Hubs

Internet

Blogs, CMS, Domain Registrierung, E-Books, E-Business, E-Mail, Flatrates, Hosting & Housing, Informationsdienste, Instant Messaging, Onlinedienste, SEO, Server, Soziale Netzwerke, Utilities, Webbrowser

Linux

Apache Server, Debian, Desktop, Netzwerk, OpenOffice, LibreOffice, RedHat, CentOS, Fedora, Samba, Suse, Tools & Utilities, Ubuntu, Userverwaltung

Microsoft

Exchange Server, Hyper-V, Installationsprobleme, Netzwerk, Office, Outlook & Mail, Systemdateien, Tools & Utilities, Userverwaltung, Visual Studio, Windows 7, Windows 8, Windows 10, Windows Phone, Windows Server, Windows Vista, Windows XP

Multimedia

Audio, Digitiales Fernsehen, Grafik, Icons, Schriftarten, Video

Netzwerke

Cluster, DNS, DSL, VDSL, Groupware, Grundlagen, ISDN & Analoganschlüsse, LAN, WAN, Wireless, Monitoring, Netzwerkmanagement, Netzwerkprotokolle, Router & Routing, TK-Netze & Geräte, UMTS, EDGE & GPRS, Voice over IP

Off Topic

Administrator.de Feedback, Humor (lol), Papierkorb

Sicherheit

Backup, Erkennung und -Abwehr, Firewall, Grundlagen, Informationsdienste, Rechtliche Fragen, Sicherheits-Tools, Tipps & Tricks, Verschlüsselung & Zertifikate, Viren und Trojaner

Sonstige Systeme

Google Android, MikroTik RouterOS, Novell Netware, Sun Solaris

Virtualisierung

Hyper-V, KVM, Vmware, Xenserver

Weiterbildung

Aus- und Weiterbildung, Ausland, Schulung & Training, Studentenjobs & Praktikum

Zusammenarbeit

Suche Projektpartner

Nächster Wissensbeitrag

Outlook Befehlszeichen
Weniger Werbung?
Cover IT-Administrator
Die Datenmenge in Unternehmen wächst unaufhaltsam und auch deren notwendige Verfügbarkeit steht längst außer Frage. Deshalb befasst sich das IT-Administrator Magazin im November mit dem Schwerpunkt 'Storage & Datenmanagement'. So zeigen wir unter anderem, wie die Speichervirtualisierung mit Open vStorage funktioniert. Außerdem lesen Sie, auf welchem Weg Sie iSCSI optimal mit Windows Server 2012 R2 und Hyper-V nutzen und wie Sie Amazon S3 dank S3QL ... mehr
Mitglied: schlodfeger
29.06.2006, aktualisiert 09.06.2008, 27412 Aufrufe, 8 Kommentare

Trojaner aufspüren und beseitigen

Wissenswertes für Anfänger und Fortgeschrittene

So erkennt man Trojaner auf einem System

Wie könnt ihr nun feststellen, ob das System bereits von einem trojanischen Pferd infiziert ist? Dieser Artikel soll zeigen, wie trojanische Pferde auf einem System erkannt und beseitigt werden. Für den ungeübten User erweist sich dies oft als sehr schwierig, da die Suche nach solchen Programmen meist Eingriffe ins System bzw. die Registry erfordert. Daher empfiehlt es sich, auf Programme, wie Virenscanner oder spezielle Anti-Trojaner-Tools, zurückzugreifen. Diese automatisieren das Aufspüren und Beseitigen und halten die Gefahren beim Beseitigen, das System zu beschädigen, recht gering. Grundsätzlich sollten diese Programme permanent auf jedem System installiert sein. Es erweist sich weiterhin als zwingend erforderlich, dass die Software ständig aktualisiert wird, denn schließlich werden täglich neue Trojaner entdeckt. Doch häufig lassen sich die Schädlinge auch von diesen Abwehr-Tools nicht entdecken, denn Hacker tarnen ihren Spionageserver so, dass diese trotz installiertem Virenscanner auf den Systemen arbeiten können.

AutoRun-Einträge

Ein Trojaner funktioniert nur dann, wenn er mit dem Systemstart ausgeführt wird. Das heißt, dass der Server ständig im Hintergrund des Systems laufen muss, um bei einer Onlineverbindung bereit zu sein, Befehle vom Client zu empfangen. Wie die Programmierer dies bewerkstelligen, ist von Trojaner zu Trojaner unterschiedlich, daher sollte man die Orte kennen, an denen Einträge solcher Art vorgenommen werden. Der Autostartordner ist eine der klassischen Methoden, gleichzeitig aber die mit der geringsten Kreativität. Hierbei wird eine Verknüpfung des Servers direkt in den Autostartordner des Startmenüs gelegt. Die Gefahr entdeckt zu werden, ist hierbei besonders groß, da dieser Ordner auch für den ungeübten Anwender leicht über "Start/Programme" zugänglich ist. Daher sehen Programmierer solcher Software in der Regel davon ab, diesen Weg zum automatischen Start zu wählen. Trotzdem schadet es nicht, wenn man ab und zu hineinzusehen, entweder über die Startleiste "Start/Programme/Autostart" oder über den Explorer. Bei früheren Trojanern, wie zum Beispiel NetBus, war es eine beliebte Methode, Einträge in die "Win.ini" zu schreiben, um den Server so zu starten. .Die Datei WIN.INI enthält Informationen über die Windows-Umgebung. Die WIN.ini wurde in erster Linie von älteren Windows Versionen für softwarerelevante Informationen benutzt. Trotzdem ist es angebracht, gelegentlich einen Blick in die "Win.ini" zu werfen. Gehe über "Start/Ausführen" und gieb in das Eingabefeld "sysedit.exe" ein. Hier sollte man auf Einträge hinter den Parametern "Load" und "Run" achten. Oft werden Trojaner so eingestellt, dass die Parameter mit zahlreichen Leerzeichen ausgepuffert sind, sodass diese nicht sofort ins Auge springen, sondern man erst einmal scrollen muss, um die Einträge zu sehen. Sollte man hinter "load" oder "run" Parameter finden, wie z.B. "Server.exe" oder "Explorer.exe", so sollten diese entfernt werden. Selbstverständlich variieren die Bezeichnungen der Parameter von Trojaner zu Trojaner. Deshalb sollte man hier mit einer gewissen Vorsicht herangehen, damit nicht unabsichtlich die wichtigen Einträge gelöscht werden.

Registry-Einträge

Auch in der Registry müssen sich viele Trojaner verewigen, um alle gewünschten Funktionen ausführen zu können. Um in die Registry zu gelangen, geht man über "Start/Ausführen" und ruft anschließend das Programm "regedit" auf. Interessant sind dabei folgende Einträge, die regelmäßig geprüft werden sollten:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOne\ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices\


Ist hier ein Schlüssel zu einer ausführbaren Datei enthalten, teilkann sich ein trojanisches Pferd dahinter verbergen. Vergleicht die Einträge mit denen aktueller Trojaner. Informationen über diese findet ihr zum Beispiel unter www.heise-security.de.

Grundsätzlich sollten die Registryeinträge gesichert werden, also in ein Verzeichnis exportiert werden, um ev. Änderungen wieder rückgängig machen zu können! Vor allem sollte man als Unwissender keinenfalls Änderungen vornehmen, wenn das System normal läuft.
Wer sich die Registry-Einträge unmittelbar nach ener neuen Windows Installation und immer wieder nach einzeln Software Installationen angesehen hat, kann die einzeln Registry`s leicht zuordnen. Bei einem Trojanerverdacht kann somit die Ursache meist auf einen Eintrag beschränken, weil dieser Erstmals vorkommt.

Beispiel für Trojaner:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\Ms Office=c:\windows\system\MsOffice.exe

zum Vergleich der wichtige Norten Antivirus Autoprotect Registry Eintrag:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\ccApp=c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe





Laufende Prozesse überprüfen

Häufig kommt man einem Trojaner schon auf die Schliche, indem man die so genannten "laufenden Prozesse" überprüft. Bei "laufenden Prozessen" handelt es sich um ausführbare Dateien, die gerade im System "mitlaufen". Überprüft werden können diese mit dem gleichzeitigen Drücken der Tasten "AltGr + Strg + Entf". Nun erscheint eine Box, welche die laufenden Prozesse anzeigt, die man auch entsprechend beenden kann. Allerdings ist diese Methode überhaupt nicht sicher, da die meisten trojanischen Pferde es verstehen, sich vor diesem "Taskmanager" mit gefälschtem Prozessnamen zu verstecken.

Abschließend:

Ich weiß, das ist für die meisten von euch Schnee von gestern und diejenigen für die es interessant wäre, kommen sowieso erst
hier vorbei, wenn sie die Computerverwaltung ordendlich "konfiguriert" haben, und sich die Fehlermeldungen überschlagen,
aber ich wollte halt auch mal ein Tutorial schreiben !
Mitglied: Mitchell
30.06.2006 um 00:53 Uhr
Hi Schlodfeger,

nettes Tutorial (?), die gängisten Aufspürarten sind genannt. Ich übe dennoch ein wenig Kritik, nicht falsch verstehen, ist wirklich nur gut gemeint:

1. Wenn du eine Tutorial über Trojaner in dieses Forum schreibst (was ja wirklich nichts neues für die Leute hier ist), solltest du auch ein wenig mehr ins Detail gehen. Evtl. schreiben, was es mit der win.ini auf sich hat....was steht drin, wofür ist sie etc.
Selbiges mit der Registry...was macht ein Eintrag z. B. in "RunServices" und was ist der Unterschied zu dem einfachen "Run" (ist schon ein gewisser Unterschied, ob ich einen Service beenden will oder eine ausführbare Datei).

2. Sagen wir, ich bin Laie (meine Tante z. B. kann sich nur auf ihr Antivir verlassen) und lese die Überschrift. Ich denke, hier wird mir erklärt, wie ich einige Trojaner, Viren etc. auch ohne Programm entfernen kann (ich will ja auch auf Nummer sicher gehen und vertraue nicht nur dem Programm)....ich sehe aber nur was von "sieh mal in der Registry nach", sagt mir nicht wirklich was.
Für den ungeübten User erweist sich dies oft als sehr schwierig
das ist nämlich der Punkt. Eventuell ein, zwei Beispiel für "trojanische Einträge" in der Registry geben.

3. Wenn es um Laien geht, solltest du immer darauf hinweisen, dass gewisse Einträge (bzw. die ganze Registry usw.) gesichert werden sollen.
Sollte man hinter "load" oder "run" Parameter finden, wie z.B. "Server.exe" oder "Explorer.exe", so sollten diese entfernt werden.
An diesen Stellen sollte man hinschreiben, was dort beispielsweise stehen darf, sonst hält ein Anfänger alles für einen gefährlichen Eintrag.

So...hoffe du nimmst es mir nicht Krumm, ansonsten schon gut hinbekommen.

Mit freundlichen Grüßen

Mitchell
Bitte warten ..
Mitglied: 27119
03.07.2006 um 13:36 Uhr
Danke fuer das interessante Tutorial.

Ich finde in diesem Zusammenhang die kostenlose Viren-Online-Suche von
Symantec erwähnens- und empfehlenswert.
Von nem normalen user kann man nicht erwarten, dass er weiss was eine registry ist,
geschweigedenn was er damit anfangen soll.

http://security.symantec.com/sscv6/ssc_EULA.asp?langid=ge&venid=sym ...

(EULA bestätigen, ActiveX Control installieren)

Der Online Check von symantec zeigt infizierte Dateien an.
Die Pfade zu den Dateien u. Namen der Datein notieren (oder screenshot machen mit alt+druck).
Dann mit F8 im abgesicherten Modus starten, und die infizierten Dateien (die man sich vorher notiert hat) manuell löschen.

AUSDIEMAUS.
Bitte warten ..
Mitglied: 15187
01.08.2006 um 00:45 Uhr
Ich finde in diesem Zusammenhang die
kostenlose Viren-Online-Suche von
Symantec erwähnens- und
empfehlenswert.

Symantec ist leider nicht in der Lage, Antivirensoftware herzustellen, die auch nur annähernd so zuverlässig ein System sauber hält wie die preislich gleiche Kategorie von TrendMicro!

Aktuell wurde ein PC mit einem Trojaner infiziert, den die Client Security 3.1 reingelassen hat. Symantec konnte auch am Telefon nicht helfen. Und der Support ist nicht in deutsch. Per Mail ist er in Englisch, per Telefon schweizerisch ("odrrrchsowass"). Nicht verständlich - daher unbrauchbar.

Statt symantec empfehle ich als Äquivalent daher www.housecall.de. Auch für Java und Mac's.
Bitte warten ..
Mitglied: 27119
01.08.2006 um 08:31 Uhr
Jo, jeder findet halt das gut womit er gute Erfahrungen gemacht hat.
Wir benutzen seit Jahren Symantec.
Der beschriebene Online Scan kostet nix und ist daher für den Heimuser empfehlenswert - nach dem Motto - viel besser wie nix ist es allemal. Ich finds in kombination mit nem Freeware Antivirenscanner (AVG Free Edition) sogar richtig gut, im Verdachtsfall noch den Online Scan zu machen. Und beides kostet keinen Cent. Ich seh nicht ein, privat ein Antivirus-Abo abzuschiessen u. jedes Jahr 60-100Eu zu verbrennen.
Bitte warten ..
Mitglied: 15187
01.08.2006 um 09:02 Uhr
Der beschriebene Onlinescan (für alle, die wie Du nicht nachschauen wollen, housecall.de ist von Trendmicro!) ist ebenfalls kostenlos, und hat bereits auf einigen verseuchten Systemen, die eigentlich von der Client Security geschützt sein sollten, zahlreiche Infektionen ausfindig gemacht und dauerhaft gelöscht. Aber die Online-Virenscanner sind für den Notfall, der nicht eintreten soll. Virenscanner, die permanent im Hintergrund laufen und das System VOR EINEM BEFALL BEWAHREN sollen, dabei 300 Euro pro Jahr kosten, dürfen es sich nicht wie in unserem Fall leisten, einen seit Jahren bekannten Trojaner aufs System zu lassen.
Und genau damit hat sich Symantec nun nach unten katapultiert.

Ich kann vom Kauf und dem "sich darauf verlassen" nur abraten.
Und übrigens: TM-Produkte sind günstiger als die Pendants von Symantec! Weshalb wir zum nächsten Abo-Ende umsteigen werden.
Bitte warten ..
Mitglied: Flash600
04.08.2007 um 00:01 Uhr
Ich sag nur KASPERSKY!
wir haben vor ca. 3 Monaten einen Kunden übernommen, wo die frühere EDV-Firma trendmicro installiert hatte, lief alles ganz "normal", laut trendmicro zumindest.
Wir setzen nur Kaspersky ein. Nachdem wir dieses Antivirenprog. installierten und anfingen zu scannen.... Alle WS waren voll von trojanern, trotz installierten und aktiven (!) trendmicro!
Bitte warten ..
Mitglied: NicKLesS
09.06.2008 um 23:14 Uhr
Hallo,
in diesem Zusammenhang:
http://www.virustotal.com/de/
http://virusscan.jotti.org/de/
Wenn etwas verdächtiges gefunden wurde, hier hochladen und schaun was die Antivierenlösungen sagen.
Dahingehend weiter recherchieren.

Gruß
Bitte warten ..
Mitglied: gnarff
10.01.2009 um 23:18 Uhr
So, wir haben hier also ein Tutorial in unserem Forum vom 29.06.2006 und ein nahezu Identisches erstellt am 25.10.2005, 21:26 zu geniessen im Winluxboard.

Zumindest hatte der Ersteller dieses Tutorials sich die Muehe gemacht wenigstens die Quelle anzugeben, naemlich das PC-Magazin, Ausgabe 11/2005.

Ich erspare mir jetzt weiter im Internet zu recherchieren und lasse diese erstaunliche Tutorial-Leistung fuer sich selbst sprechen...

saludos gnarff
Bitte warten ..
Neuester Wissensbeitrag
Outlook & Mail
Tipp: Moin, Epilog: Ja, ich hatte mal wieder eine "alte" (Kunden-)Kiste in den Fingern und das Problem, daß Thunderbird die Mails nicht importieren konnte. Der Grund war, daß auf ... von Lochkartenstanzer, in Outlook & Mail
Diese Inhalte könnten dich auch interessieren
Sicherheit
Frage: Hallo zusammen, kann mir jemand ein gutes Portal empfehlen, wo ich Viren, Trojaner downloaden kann. Möchte die Viren auf ein Windows System, welches in einer Virtuellen Maschine läuft, ... von Corraggiouno, in Sicherheit
Microsoft
Frage: Hallo, habt Ihr eine Idee mit welchem Tool ich effizient im Netzwerk (komplette Domäne) alle Netzwerkfreigaben auflisten/aufspüren kann? Ich möchte dabei auch gleich die jeweiligen Freigabe und NTFS ... von TechNik80, in Microsoft
Google Android
Link: Ab jetzt gibt es eine Spionagesoftware direkt ab Werk. Das erspart das (nicht wirklich) aufwendige "hacken" der Android Geräte erheblich ;-) Christian Geschkat von G Data: "Die Möglichkeiten ... von Frank, in Google Android
Heiß diskutierte Inhalte
Linux
Frage: Schönen guten Tag allerseits, zuhause habe ich 5 Computer die von der ganzen Familie immer genutzt werden. Nun wollte ich mir aber einen kleinen Datenserver zusammenbauen, damit man ... von DasJulian, in Linux
Netzwerk
Frage: Hallo, ich habe bei mir beim Raspberry Pi vor langer Zeit einmal einen Proxy eingetragen mit folgenden Befehl: http_proxy=" Ich finde aber nicht wo der Pi das abspeichert. ... von K-ist-K, in Netzwerk
PHP
Frage: Hallo Zusammen, ich brauche eine Website auf der man sich mit seinen LDAP Account anmelden kann und dann eine Nachricht eingeben kann die dann in einer .txt abgelegt ... von schneerunzel, in PHP
Netzwerk
Frage: Hallo zusammen, mein Intranet besteht aus einer FritzBox 7170 (stellt Internet bereit) und eine FritzBox 7240 (im IP-Client-Modus) für WLan und DECT (die kommt aber leider nicht mit ... von ChristianKnorr, in Netzwerk
CPU, RAM, Mainboards
Frage: Servus an alle da Drausen. Ich habe seit einigen tagen das Problem , das nur noch 3,95 gb Ram verwendbar sind. Ich habe aktuell 12GB verbaut 3x4GB Riegel ... von Loip104, in CPU, RAM, Mainboards