Trojaner-Server per Hand gelöscht - Programme lassen sich nicht mehr starten
Sub Seven sowie viele andere neue Trojaner bieten mittlerweile sehr viele verschiedene Varianten des automatischen Programmstarts. Unter anderem gibt es eine sogenannte not_known method. Der Server trägt sich dabei nicht in die mittlerweile allseits bekannten Autorun-Ordner in der Registry ein, sondern benutzt eine noch raffiniertere Methode.
Und zwar kann der Server auch über einen Eintrag an den folgenden Stellen gestartet werden:
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command
Dort sollte unter dem Punkt "Standard" eigentlich nur folgender Eintrag zu finden sein:
"%1" %*
Um den Server zu starten, setzt der Trojaner aber vor diesen Eintrag einen weiteren, so dass hier beispielsweise
"windos.exe"%1 %*"
stehen kann.
Das Problem ist nun folgendes:
Man findet per Virenscanner die Serverdatei auf seinem Rechner und lässt sie löschen. Die Einträge aus der Registry werden jedoch nicht entfernt. Als Folge dieses Vorgehens lässt sich der Rechner zwar noch starten, es lässt sich jedoch keine Exe-Datei mehr ausführen. Da man noch nicht mal mehr einen Virenscanner oder den Registry-Editor starten kann, ist man im Prinzip ziemlich in den Hintern gekniffen.
Um den PC doch wieder in den Griff zu bekommen, gibt es mehrere Möglichkeiten. (Ich gehe dabei von dem Fall aus, dass wir keine Norton Rescue Disks zur Verfügung haben und auch keinerlei Sicherungen der Systemdateien gemacht wurden.)
Erstellt von Andreas Ebert 20. Februar 2000
Copyright by Andreas Ebert & trojaner-info.de
| 