Hier ein paar Tips zur Erkennung des Trojaners

Zuerst müssen alle Autostart-Methoden von SubSeven 2.2 überprüft und unter Umständen gelöscht werden.

Bitte zuerst alle Autostart-Einträge löschen, noch KEINE Trojaner-Dateien !!!


Übliche Run-Einträge in der Registry
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run oder
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices
Eintrag unter RunDLL32r key. Bevor dieser Schlüssel gelöscht wird, unbedingt den Inhalt (vor allem Pfad und Dateiname !) merken bzw. notieren. Das gilt im übrigen für ALLE Löschungen aus der Registry und anderen Autostart-Methoden ! Diese Informationen werden später benötigt, um die Server-Dateien zu entfernen.

Registry Installed Components
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
Der Default-Wert lautet: hyil\StubPath - C:\WINDOWS\SYSTEM\hyil.exe
ACHTUNG ! Auch dieser Name kann stark abweichen ! Es ist kaum möglich diesen Eintrag zu finden, wenn der Dateiname nicht bekannt ist.
Am Besten kann der Eintrag gelöscht werden, wenn du einen aktuellen Virenscanner dein Laufwerk c:\ durchsuchen lässt. Der Scanner müsste zwei infizierte Dateien finden, die unterschiedliche Namen tragen. Danach öffnest du den obigen Pfad der Registry und suchst unter "Installed Components" nach einem Ordner, der einen der beiden Namen der Trojanerdateien trägt. Dieser muss dann gelöscht werden. Nicht vergessen ! Vorher die enthaltenen Information notieren.


Registry Common Startup Schlüssel
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
Currentversion\explorer\User shell folders.
Der Eintrag heisst: C:\WINDOWS\SYSTEM\dv\
Unter diesem Pfad befindet sich auch der Server, sowie im Verzeichnis C:\Windows\System
Wobei lediglich der Server im Windos\System Verzeichnis über den im anderen Verzeichnis befindlichen Server geladen und quasi durch Windows verwendet wird.

System.ini unter [boot]
shell=Explorer.exe c:\windows\sytem\"name_des_Trojaners".exe
Hier sollte nur shell=Explorer.exe stehen. Alles was sich dahinter befindet, bitte löschen.

5. Win.ini
load=c:\windows\system\"name des Trojaners.exe"
Hinter "load=" sollte überhaupt kein Eintrag stehen.

6. Methode über "Explorer.exe" auf Laufwerk C:\
Aufgrund eines Bugs in Windows, wird immer zunächst die "erste explorer.exe" ausgeführt (also in Verzeichnis C:\), bevor die eigentliche explorer.exe (in c:\windows\) gestartet wird. Die explorer.exe in c:\ bewirkt, dass der Sub7 Server zunächst geladen wird, der sich im Verzeichnis c:\windows\system befindet.
Die Datei "explorer.exe" aus dem Verzeichnis c:\ entfernen.

Nachdem wirklich alle gelöschten Informationen notiert wurden, sollte am Besten über die Windows-Suchfunktion (erreicht man über "Start - Suchen") zunächst alle Trojaner-Dateien einmal gesucht und versucht werden zu löschen. Dieses wird in einigen Fällen nicht gelingen, da die Datei(en) von Windows verwendet werden. Wie immer ist hier eine gute alte DOS Installation sehr hilfreich.
Danach das System neu starten und wieder die Suchfunktion aufrufen und nach allen Trojaner-Dateien suchen lassen, die sich aus den Autorun-Einträgen ergeben haben. Diese können nun entfernt werden, da die Autostart-Einträge bereits gelöscht wurden.


Wichtiger Hinweis:
Nicht jeder Autorun-Eintrag muss unbedingt ein Trojaner bedeuten. Daher niemals wild drauf los löschen, ohne das man weis, was man da löscht !

Im übrigen müssen auch nicht alle hier aufgeführten Autostart-Methoden gleichzeitig auf einem System installiert worden sein. Die EditServer lässt auch die Konfiguration einer einzigen hier erwähnten Autostart-Methode zu.

 

Bild Quelle: Trojaner-info.de