Zurück zur Hauptseite





Trojaner-Server per Hand gelöscht – Programme lassen sich nicht mehr starten




Sub Seven sowie viele andere neue Trojaner bieten mittlerweile sehr viele verschiedene Varianten des automatischen Programmstarts. Unter anderem gibt es eine sogenannte not_known method. Der Server trägt sich dabei nicht in die mittlerweile allseits bekannten Autorun-Ordner in der Registry ein, sondern benutzt eine noch raffiniertere Methode.

Und zwar kann der Server auch über einen Eintrag an den folgenden Stellen gestartet werden:


HKEY_CLASSES_ROOT\exefile\shell\open\command


HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command


Dort sollte unter dem Punkt „Standard“ eigentlich nur folgender Eintrag zu finden sein:

“%1“%*“

Um den Server zu starten, setzt der Trojaner aber vor diesen Eintrag einen weiteren, so dass hier beispielsweise

“windos.exe”%1“%*”

stehen kann.


Das Problem ist nun folgendes:

Man findet per Virenscanner die Serverdatei auf seinem Rechner und lässt sie löschen. Die Einträge aus der Registry werden jedoch nicht entfernt. Als Folge dieses Vorgehens lässt sich der Rechner zwar noch starten, es lässt sich jedoch keine Exe-Datei mehr ausführen. Da man noch nicht mal mehr einen Virenscanner oder den Registry-Editor starten kann, ist man im Prinzip ziemlich in den Hintern gekniffen.

Um den PC doch wieder in den Griff zu bekommen, gibt es mehrere Möglichkeiten. (Ich gehe dabei von dem Fall aus, dass wir keine Norton Rescue Disks zur Verfügung haben und auch keinerlei Sicherungen der Systemdateien gemacht wurden.)


1. Reparatur der Registry


Variante 1

Um Windows wieder normal starten zu lassen, müssen wir manuell die Registry reparieren. Dabei kann man wie folgt vorgehen:

Wir lassen Windows hochbooten bis wir uns auf dem Desktop befinden. Jetzt klicken wir mit der rechten Maustaste auf den Desktop. In dem sich öffnenden Kontextmenü wählen wir den Punkt Neu – Textdatei aus.

Es erscheint ein Icon auf dem Desktop, das wir doppelt mit der linken Maustaste anklicken.

In die sich öffnende Textdatei schreiben wir folgendes:


REGEDIT4

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\"%*"

[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
@="\"%1\"%*"


Dabei ist unbedingt auf die korrekte Schreibweise (Groß-/Kleinschreibung) und die Vollständigkeit zu achten.

Anschließend speichern wir die Datei unter c:\ als regfix.reg ab. Danach starten wir die Datei mit einem Doppelklick auf das Icon und beantworten die Frage nach dem Einfügen in die Registry mit einem Ja.

So. Das sollte es gewesen sein. Die falschen Einträge dürften damit, falls sie auch wirklich an den von uns angegebenen Stellen standen, korrigiert worden sein. Windows lässt sich nun wieder normal starten und wir können mit einem Virenscanner eventuell noch vorhandene Server-Dateien reinigen lassen.

(Dank an davidovv für seinen Hinweis.)


Variante 2

Alternativ kann man auch die regedit.exe umbenennen in regedit.com. Anschließend lässt sich der Registry-Editor wie gewohnt starten und man kann die entsprechenden Einträge des Servers an den oben genannten Stellen manuell entfernen.

Die regedit.exe befindet sich im Verzeichnis c:\windows.

Abschließend müssen wir den Registry-Editor nur wieder in regedit.exe umbenennen.

(Dieser Hinweis kam von einem Leser der www.trojaner-info.de
(WWW) und wurde von mir noch nicht persönlich getestet.)


2. Der Rechner lässt sich nicht mehr starten bzw. Vorgehen 1 funktioniert nicht

Tja, nun geht’s ans Eingemachte.


Aber zunächst einmal meine Empfehlung:

Falls ihr genug Festplattenspeicher habt, kopiert euch Windows von der CD auf die Festplatte. Einfach das Win98-Verzeichnis von der Installations-CD auf die Platte kopieren.


Warum das ganze? Dafür gibt es 3 ganz einfache Gründe.

1. Bei der Installation von CD erkennt Windows zum Ende der Installation hin das Laufwerk nicht. Es wird dann nach Treibern gefragt die sich auf der CD befinden, aber in dem Moment nicht erreichbar sind. Es bleibt uns in diesem Moment nur das Drücken der Überspringen-Taste und eine spätere Nachinstallation. Habe ich Win98 von der Festplatte aus installiert, kann ich aber auf die benötigten Dateien sofort zugreifen.

2. Eine Installation von Festplatte ist mindestens um 30-40 Prozent schneller als eine Installation von CD.

3. Der in meinen Augen wichtigste Grund ist aber die Bequemlichkeit. Wenn ich unter Windows neue Geräte, Programmteile etc. installieren will (z.B. Netzwerkprotokolle), dann fordert Windows jedes mal die CD an. Habe ich aber eine Installation von der Festplatte vorgenommen (und das Verzeichnis anschließend nicht gelöscht), dann sucht sich Windows automatisch die benötigten Dateien zusammen. Ein Einlegen der CD mit anschließendem Bestätigen und/oder Durchsuchen entfällt völlig.


Soviel am Rande. Zurück zum Thema.


Nehmen wir mal an, dass ihr wichtige Daten auf eurem Rechner habt und ihr die Festplatte aus diesem Grund nicht formatieren wollt/könnt/dürft. Wenn sich der Rechner in so einem Fall unter gar keinen Umständen mehr starten lässt, gibt es dennoch eine Möglichkeit die Daten zu erhalten.

Dazu booten wir mit der Windows-Bootdiskette, bis wir an der Eingabeaufforderung c:\ stehen. Alternativ können wir auch über die F8-Taste den abgesicherten Modus – nur MS-DOS Eingabeaufforderung als Startmethode auswählen.

Jetzt geben wir bei c:\ folgenden Befehl ein:

Deltree c:\windows (falls sich euer Windows-Verzeichnis auch tatsächlich hier befindet)

Die Abfrage bestätigen wir mit Ja.

Jetzt dauert es je nach Rechner eine ganze Weile bis das komplette Windows-Verzeichnis gelöscht ist. Und zusammen mit dem Windows-Verzeichnis ist natürlich auch die Registry gelöscht.

Wenn der Rechner mit dem Löschen fertig ist, können wir mit der Bootdiskette neu starten und Windows von der Festplatte (siehe Hinweis oben) neu installieren.

Dazu geben wir an der Eingabeaufforderung nacheinander folgendes ein:

c:\cd win98

c:\win98\setup.exe


Falls ihr Windows98 Zweite Edition nur als Update habt, müsst ihr zunächst Windows98 installieren. Anschließend könnt ihr dann auf Windows98 SE updaten. In diesem Fall würde ich beide Versionen auf der Festplatte speichern (z.B. in den Verzeichnissen Win98alt und Win98).


Vorteile dieser Vorgehensweise:

  • Alle Daten auf dem Rechner bleiben erhalten
  • Nutzloser Datenmüll im Windows-Verzeichnis oder der Registry wird gleich mit gelöscht (die Systemleistung/Stabilität nimmt dadurch sogar erheblich zu)
  • Falls sich ein Trojaner sich nicht gerade in die Autoexec.bat oder die Config.sys geschrieben hat, sind die Start-Einträge ebenfalls gelöscht (falls doch, kann man die Einträge in diesen Dateien aber ohne weiteres per Hand löschen)



Nachteil dieser Vorgehensweise:

  • Da die Registry gelöscht wurde, müssen alle eingesetzten Programme in ihren jeweiligen Ursprungs-Verzeichnissen neu installiert werden



3. Die Holzhammer-Methode

Wenn ich keine wichtigen Daten auf dem Rechner habe, kann ich den PC alternativ zu Punkt 2 auch ganz formatieren. Das Vorgehen dabei brauche ich wohl nicht näher zu erläutern, da es allgemein bekannt ist.



Zum Schluss noch mal einen Hinweis:

Meiner Meinung nach sollte sich jeder mindestens 2 Bootdisketten (falls eine mal defekt sein sollte) an die Seite legen. Außerdem kann ich nur immer wieder den Einsatz von QuickSave
(WWW) empfehlen.

Eine elegante Lösung ist dabei die Verschiebung der QuickSave Startdatei in den Autostart-Ordner. Dann werde ich praktisch bei jedem Systemstart daran erinnert, regelmäßig meine Systemdateien zu sichern. Den minimalen Performance-Verlust beim hochfahren des Rechners kann man dabei durchaus in Kauf nehmen.

Zur Verwendung: Ich sichere mindestens einmal die Woche meine Dateien in einem neu angelegten Order. Falls ich neue Programme installiere, fahre ich ebenfalls vorher eine Sicherung. Sollte ich das Programm wieder löschen wollen oder sollten sich Systemstörungen durch das Programm ergeben (z.B. bei Beta-Versionen etc.), dann kann ich meine Registry wenigstens wieder in den Ursprungszustand zurückversetzen.



Zurück zum Inhalt