Trojaner auf dem Rechner - Was tun?
In diesem Report möchte ich mich mal einer Frage widmen, die in dieser oder ähnlicher Form sehr häufig in diversen Trojaner-Foren gestellt wird. Anhand einer Step-by-step Anleitung soll das generelle Vorgehen im Falle einer Infizierung durch einen Trojaner erläutert werden.
Infizierung erkennen
Okay, nehmen wir mal an, man hat sich einen Trojaner eingefangen. Woher weiß man eigentlich, dass man infiziert ist? Da gibt es durchaus mehrere Möglichkeiten. Hier einige Beispiele:
- Der Virenscanner findet einen Trojaner, kann ihn aber nicht entfernen
- Man hat sich "unbeabsichtigt" selbst infiziert
- Man bekommt eine Mitteilung von einem "Freund" oder einer anderen Person, die um die Infizierung weiß
- Man hat mit einem Tool festgestellt, dass auch im normalen PC-Betrieb Ports offen sind (Ausnahmen sind natürlich die Ports, die für eine Netzwerkverbindung benötigt werden) und auf eine Verbindung lauschen
- Die Telefonrechnung ist in letzter Zeit weitaus höher als normal.
Der 1. Schritt: Scanner herunterladen
Am sinnvollsten wäre es, wenn ihr Euch neben Eurem normalen Virenscanner noch ein oder zwei andere Scanner herunterladet. Evtl. sind diese ja in der Lage, den Trojaner sauber zu entfernen. Vom einfachen Löschen des Trojaners ist zu diesem Zeitpunkt dringend abzuraten. Wichtig ist auch, dass man ein Update der Virensignaturen per File-Download vornehmen kann.
Scanner updaten. Nachdem ihr Euch ein bis zwei Scanner heruntergeladen habt, müsst ihr die Virensignaturen zunächst mal aktualisieren. Dazu findet ihr auf der jeweiligen Homepage des Herstellers die Möglichkeit, ein Update per File-Download vorzunehmen. Der Vorteil ist, dass ihr Euch eine Datei herunterladet, die ihr anschließend manuell in den Virenscanner einlesen lassen könnt. Andere Scanner müssen sich die Updates direkt über das Internet herunterladen. Dabei werden dann die Dateien direkt in den Scanner integriert und können somit nicht einzeln heruntergeladen werden.
Wichtiger Hinweis: Alle Aktionen im Internet von einem anderen Rechner aus vorzunehmen. Scanner und die Virensignaturen bei einem Bekannten herunterladen und auf CD-ROM brennen oder auf USB ziehen. Andernfalls besteht immer die Gefahr, dass sich in der Zeit des Downloads jemand am Rechner zu schaffen macht.
Nach der Installation und dem Update lasst ihr den Scanner über Euren PC laufen. Stellt dabei die Scan-Tiefe unbedingt so ein, dass alle Dateien gescannt werden. Außerdem würde ich die heuristische Suche aktivieren.
Ergebnis. Jetzt gibt es 2 Möglichkeiten. Entweder der neue Scanner kann den Trojaner finden und sauber entfernen oder er schafft es ebenfalls nicht. Im ersten Fall ist die Welt ja wieder in Ordnung. Im zweiten Fall müssen wir den übeltäter wohl oder übel manuell suchen und entfernen.
Der 2. Schritt: Manuelle Suche
Falls ihr auf diesem Gebiet (Veränderung an den Systemdateien und der Registry) noch sehr unerfahren seid, würde ich auf jeden Fall raten, einen erfahrenen Bekannten oder einen Fachmann hinzuzuziehen. Alternativ würde ich diese Dateien vorher unbedingt sichern, da man dann fehlerhafte Veränderungen schnell und bequem wieder rückgängig machen kann.
Manuelles Entfernen. Nachdem ihr alle möglichen Autostart-Methoden durchsucht und den Eintrag des Trojaners gefunden habt, kommen wir zum Entfernen. Dabei ist es sehr wichtig, dass ihr zunächst sauber den Autostart-Eintrag entfernt, damit der Trojaner beim nächsten Systemstart nicht wieder mit gestartet wird. Falls der Virenscanner den Trojaner nicht erkannt hat, müsst ihr Euch den Dateinamen des Trojaners an dieser Stelle unbedingt merken.
Nach dem Löschen des Eintrages sollte ein Neustart des Systems erfolgen. Nun können wir den Virenscanner erneut über das System laufen und die entsprechenden Trojaner-Dateien löschen lassen. Sofern der Scanner nichts gefunden hat, müssen wir den gemerkten Dateinamen des Trojaners manuell über den Explorer suchen und entfernen.
Eine überprüfung des Systems sollte keine offenen Ports mehr anzeigen. Andernfalls haben wir einen Fehler bei der Entfernung gemacht oder der Trojaner ist nicht so einfach zu entfernen. Mehr dazu unter Schritt 3.
Ergebnis. Ich schätze mal, dass wir mit dem 2. Schritt in 98 % aller Fälle Erfolg haben werden. Natürlich kann es durchaus sein, dass sich "unser" Trojaner als hartnäckig erweist und sich nicht auf diese Art finden bzw. entfernen lässt.
Der 3. Schritt: Sonderfälle
Einige der neueren Trojaner haben leider sehr ausgeklügelte Methoden, sich vor einer Entdeckung oder Entfernung zu schützen. Eine Möglichkeit ist z. B., dass sich der Trojaner als Gerätetreiber in den Speicher laden lässt. Eine Entdeckung des Trojaners auf herkömmlichem Wege nach Schritt 2 ist dabei fast unmöglich. Eine andere Möglichkeit ist, dass ein spezielles Programm die Registry mehrmals pro Sekunde auf den Trojaner-Eintrag hin scannt. Wird dieser dann manuell entfernt, trägt das Programm ihn sofort wieder ein. Für den Normal-User ebenfalls ein nicht so ohne weiteres zu lösendes Problem.
Was soll man in so einem Fall unternehmen? Da gibt es eigentlich nur 3 Möglichkeiten.
- Entweder ich habe eine alte saubere Sicherung der System-Dateien (z.B. mit QuickSafe), die ich im MS-DOS Modus einspielen kann. In diesem Fall sind natürlich alle Einträge des Trojaners gelöscht und man kann gefahrlos die Trojaner-Datei löschen.
- Die 2. Möglichkeit ist, dass man den Namen des Trojaners kennt und sich aus dem Internet spezielle Informationen zur Entfernung besorgt.
- Die 3. und denkbar ungünstigste Möglichkeit ist die komplette Formatierung der Festplatte. Dabei sollte man natürlich nicht vergessen, wichtige Dateien und Daten vorher zu sichern. Keine Angst: Eine Infektion der gesicherten Daten durch einen Trojaner kann dabei 100 prozentig ausgeschlossen werden.
Der 4. Schritt: Nachforschungen
Wenn man mit einen Trojaner infiziert wurde, sollte man auf jeden Fall anschließend Nachforschungen darüber anstellen. Schließlich sollte man zukünftig eine wiederholte Infektion vermeiden. Folgende Fragen sollte ich mir stellen:
- Welche Programme habe ich in letzter Zeit installiert?
- Habe ich ungeprüft einen E-Mail-Dateianhang geöffnet?
- War ein Fremder an meinem Rechner?
- Welche Web-Seiten habe ich besucht?
über kurz oder lang sollte die Quelle der Infektion offenbar werden und zukünftig darauf achten, dass man nicht noch einmal auf dieselbe Art und Weise infiziert wird.
Der 5. Schritt: Schutzvorkehrungen
Wenn man schon einmal Opfer war, sollte man sich natürlich auch Gedanken um einen zukünftigen Schutz machen. Ich empfehle dazu meinen Report "Schutz im Internet Teil 2" (FAQ) zu lesen und die darin beschriebenen Schutzvorkehrungen auf dem eigenen Rechner umzusetzen.