Hab nen Trojaner... Was tun?

[Malakai]

wenn es der executor wäre, wäre das ziemlich schlecht. der Executor ist nämlich ein rein destruktiver trojaner, dessen sinn es ist dateien zu eliminieren und irgendwelche funktionen ausser gefecht setzen.

so, nochmal zu den ideen, das ding zu entfernen:

überprüfen der laufenden prozesse
zuerst solltest du die laufenden prozesse überprüfen - allerdings nicht mit dem windoof-taskmanager - da es möglich ist, prozesse vor diesem zu verbergen. du solltest einen anderen taskmanager verwenden, wie etwa DLL-view, der wirklich alle laufenden programme anzeigt. der vorteil von DLL-View liegt darin, dass auch gleich die DLL-dateien angezeigt werden, die dieses programm benötigt.


in folgenden dateien können trojaner/programme automatisch gestartet werden(einige wurden ja schon genannt):

autoexec.bat
in dieser datei können programme wie an der DOS-eingabeaufforderung gestartet werden (z.B.: 'CWindows\Trojaner.exe').


win.ini
[Windows]
load=sub7.exe
run=sub7.exe
in den Zeilen 'load' und 'run' können programme beim windows-start automatisch ausgeführt werden (hier z.B. das programm 'sub7.exe').

system.ini
[boot]
shell=explorer.exe sub7.exe
in der zeile 'shell=explorer.exe' kann ein aufruf für ein programm angefügt werden. dieses wird vom explorer automatisch gestartet.

C<Windows-Verzeichnis>\winstart.bat
diese datei wird vom OS dazu verwendet um bestimmte dateien, zum beispiel nach der installation eines programmes, zu löschen oder zu kopieren. diese datei ist eine normale BAT-datei, in der programme so wie in der Autoexec.bat aufgerufen, gelöscht oder kopiert werden können.

C<Windows-Verzeichnis>\wininit.ini
diese datei wird häufig von setup-programmen verwendet. wenn die datei existiert wird sie einmal ausgeführt, und anschließend gelöscht.

autostart-ordner
ist, denk ich mal, klar

der pfad zum autostart ordner ist im registry-schlüssel:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Shell Folders
im string-wert "Startup" gespeichert. dieser eintrag, z.B. "Cwindows\start menu\programs\startup" kann leicht von jedem beliebigen programm verändert werden.

registry
hier gibt es mehrere möglichkeiten eine datei zu starten. alles folgende ist über regedit.exe möglich:

HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ ...
... Run
... RunOnce
... RunServices

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ ...
... Run
... RunOnce
... RunOnceEx
... RunServices
... RunServicesOnce


registry shell spawning
hier wird der trojaner jedes mal aufgerufen, wenn eine EXE-, PIF-, COM-, BAT- oder HTA-datei ausgeführt wird. Diese methode wird bei subseven als "unknown staring method" bezeichnet:


[HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command] @="%1" %*
[HKEY_CLASSES_ROOT \ comfile \ shell \ open \ command] @="%1" %*
[HKEY_CLASSES_ROOT \ batfile \ shell \ open \ command] @="%1" %*
[HKEY_CLASSES_ROOT \ htafile \ Shell \ Open \ Command] @="%1" %*
[HKEY_CLASSES_ROOT \ piffile \ shell \ open \ command] @="%1" %*

[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ batfile \ shell \ open \ command] @="%1" %*
[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ comfile \ shell \ open \ command] @="%1" %*
[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ exefile \ shell \ open \ command] @="%1" %*
[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ htafile \ Shell \ Open \ Command] @="%1" %*
[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ piffile \ shell \ open \ command] @="%1" %*

der wert hinter diesen schlüsseln sollte wie folgt aussehen: "%1" %*. wenn irgendetwas (sei es auch nur ein scheinbares Leerzeichen) vor dem ersten prozentzeichen steht, änderst du den eintrag so, dass er wie oben beschrieben aussieht.

icq netdetect
dieser schlüssel enthält alle programme die gestartet werden wen ICQ netdetect eine verbindung ins internet festgestellt hat.
HKCU \ Software \ Mirabilis \ ICQ \ Agent \ Apps

ein trojaner-eintrag könnte z.b so aussehen:
HKCU \ Software \ Mirabilis \ ICQ \ Agent \ Apps \ <Trojaner>
"Path"="trojaner.exe"
"Startup"="c\trojaner"
"Parameters"=""
"Enable"="Yes"
in diesem fall kannst du den kompletten schlüssel "Trojaner" löschen.

puuh...das sind wirklich alle methoden, die ich kenne. ich hoffe du wirst so fündig.
(ich schätze ja, dass der trojaner selbst schon weg ist--> durch antitrojan. jedoch werden die autostart einträge noch erhalten sein. das ist zumindest meine vermutung)