tRoJaN - aReA

HoW tO rEmOvE tHaT BeAsT
Manuelle Entfernung:
Die manuelle Entfernung von trojanischen Pferden kann n�tig werden, wenn es sich um eine neue Version handelt und Tools zur Rntfernung noch nicht zur Verf�gung stehen, oder wenn der Verdacht besteht, mit einem bislang unbekannten Trojaner infiziert zu sein.

Leider bietet ein OS wie Windows unz�hlige M�glichkeite,n, den Server des Trojaners mit einem Autostartmechanismus zu versehen. Diese Anleitungen wurden getestet und funktionieren einwandfrei !!
Trotz allem ist h�chste Vorsicht geboten, wenn manuellEintr�ge, also Schl�ssel in der Windows-Registrierung oder in den zentralenInitialisierungsdateien wie Win.ini oder System.ini ver�ndert oder gel�scht werden. Die beste Vorbereitung ist immer die, zun�chst eine Sicherrungskopie der Registrierung und der *.ini Dateien anzulegen und erst dann mit der Entfernung zu beginnen.
Ist die Entfernung fehlerhaftoder werden Schl�sseln der Registry gel�scht, die zum Start des OS zwingend notwendig sind, k�nnen die Sicherungskopiene wieder eingef�gt werden und das System l�uft wieder.

Die Windows Registrierung setzt sich aus

system.dat

und

user .dat

zusammen, die sich im Windows-Verzeichnis befinden. M�glicherweise sind sie mit dem "Hidden-Attribut" versehen. Entweder werden diese Dateien �ber den Windows-Explorer gesucht und das Attribut gel�scht oder auf der DOS-Ebene.
Unter DOS wird das Attribut mittels:         attrib system.dat -h
entfernt.

Zur Sicherung sollte man am besten ein Verzeichnis anlegen, dass h�chstens aus 8 Buchstaben besteht und keine Sonderzeichen enth�lt. So kann man auch auf der DOS-Ebene zuverl�ssig auf die Sicherungskopien zugreifen,

Ein komplettes Backup der Registrierung under der *.ini Dateien sieht wie folgt aus:

c:\windows\system.dat
c:\windows\user.dat
c:\windows\win.ini
c:\windows\system.ini
c:\autoexec.bat
c:\system.ini

Falls ein anderer Pfad als c:\windows\ verwendet wird m�ssen die obigen Angaben angepasst werden !

So ger�stet, kann es los gehen !!

Besonders gef�hrdet f�r einen Autostarteintrag sind folgende Schl�ssel in der Windows-Registrierung:

HKEY_LOKAL_MACHINE/Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOKAL_MACHINE/Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOKAL_MACHINE/Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\RunServices


Eine besondere Art des Autostarts ist die sogenannte Not_known_method. Hier wird ein zus�tzlicher Eintrag in einem bereits vorhandenen Schl�ssel der Registrierung eingetragen, der bewirkt, dass bei allen Aufrufen von ausf�hrberen Dateien zun�chst der Server geladen wird. Dieser Eintrag ist in folgendem Schl�ssel zu finden:

HKEY_CLASSES_ROOT\exefile\shell\open\command

Hier sollte der Eintrag:

""%1%%*

zu finden sein.

Bei einer Infizierung mit einem Trojaner sieht dieser Eintrag wie folgt aus:

windos.exe ""%1%%*"

Wenn ihr einfach den Eintrag windos.exe l�schen w�rdet, h�ttet ihr folgendes Problem. Keine Datei w�rde mehr ausf�hrbar sein, dh euer System ist damit unbrauchbar geworden !!

Aus diesem Grunde habe ich eine exakte Anleitung zur Entfernung auf meiner Seite online gestellt, die ihr ausf�hrlich studieren solltet.

Moderne Trojaner wie zum Beispiel Sub Seven aber der Version nutzen Beispielsweise diese Art des Eintrags. In diesen f�llen m�sst ihr also zun�chst nach dem entsprechenden Schl�ssel in einer sogenannten reg-Datei exportieren. Dabei geht ihr wie folgt vor:

Startet den PC im DOS-Mode.
Exportiert den Zweig mit folgendem Befehl:

regedit /e trojan.reg hkey_classes\exefile\shell\open\command

�ffnet die Datei "trojan.reg" mit dem Editor.
L�scht den Eintrag "windos.exe" wieoben beschrieben.
Speichert die Datei ab, wieder mit der Endung *.reg !!!
Importiert den SChl�ssel wieder mit folgendem Befehl:

regedit trojan.reg

L�scht die Datei "windos.exe" aus dem Windows-Verzeichnis.
Startet den PC normal.
Das System ist wieder sauber.

In �hnlicher Weise verfahrt ihr mit den Dateien "win.ini und system.ini". Beide Dateien befinden sich im Verzeichnis c:\windows.

Die  Datei "Win.ini" gibt es eigentlich nur noch aus Gr�nden der Kompatibilit�t zu �lteren Windows-Anwendungen und wird in der Regel von modernen Programmen nicht mehr benutzt. In dieser Datei gibt es zwei Sektionen, die f�r einen autostart benutzt werden k�nnen:

Load=
Run=

In vielen F�llen wird hier der Start der Trojaner eingetragen.

Zur Entfernung startet den PC wieder im DOS-Mode.
�ffnet Win.ini mit dem Editor,
L�scht den Eintrag hinter dem = Zeichen.
Speichert die Datei wieder mit der Endung *.ini.
L�scht den Server des Trojaners und startet normal.
Das System ist sauber.

In der Datei "System.ini" wird unter anderem auch die zur Verf�gung stehende Shell eingetragen, also die Oberfl�che, mit der ihr unter Windows arbeitet. In der Regel ist das die Datei "explorer.exe"
Leider bietet Windows auch die M�glichkeit, eine alternative zweite Shell dort einzutragen. Diese Funktion wird ebenso h�ufig von Trojanern genutzt.

Den Eintrag findet ihr unter:

[boot]
Shell=explorer.exe

Bei infizierten Sytemen sieht der Eintrag m�glicherweise so aus:

Shell=explorer.exe subseven.com

Zur Entfernung geht bitte folgenden Weg:

Startet den PC im DOS-Mode-
�ffnet die Datei "system.ini" mit dem Editor.
L�scht den Eintrag hinter "explorer.exe".
Speichert die Datei (Endung *.ini).
L�scht den Server des Trojaners.
Startet den PC normal.
Das System ist sauber.

In sehr seltenen F�lllen k�nnne auch beide Startdateien (autoexec.bat und config.sys) des OS f�r einen Servereintrag mi�braucht werden. Ein Trojaner tarnt sich hier beispielsweise als Ger�tetreiber.

Zur Entfernung geht wie folgt vor:

Startet den PC im DOS-Mode.
�ffnet die Datei autoexec.bat oder config.sys mit dem Editor.
Entfernen Sie den entsprechenden Eintrag des Servers.
L�scht den Server aus dem Windows-Verzeichnis.
Startet normal.
Das System ist sauber.



Einige Trojaner wie z.B. Masters Paradise ersetzen die Original-Windows Dateien durch gepatchte Versionen.L�scht ihr diese Datei einfach, weil ihr glaubt, darin befindet sich der Trojaner, wird im g�nstigsten Fall die Funktionalit�t dieser Datei anschliessend nicht mehr zur Verf�gung stehen.
In unserem Beispieln ist das die Datei "sysedit.exe". Diese Datei wird unter Windows daf�r ben�tigt, die Systemdateien wie config.sys, autoexec.bat und diverse andere *.ini Dateien bequem zu editieren. In einem anderen Fall wird die Datei "regedit.exe" ersetzt, Regedit.exe ist der zentrale Windows-Registreirungs-Editor. Wurde dieser gel�scht, k�nnt ihr unter Windows nicht mehr �berpr�fen, ob sich ein Trojaner dort eingetragen hat.

Das heisst, ihr werdet euch wohl oder �bel mit der manuellen Nachinstallation von Bestandteilen des OS unter DOS auseinandersetzen m�ssen *lol*.
S�mtliche Dateien befinden sich auf der Windows-Installations-CD in gepackten Dateien mit der Endung *.cab. Mit dem DOS-Befehl "extract" k�nnt ihr dort einzeln Dateien in das entsprechende Verzeichnis entpacken. Schaut euch dazu die Hilfe zu dem Befehl an, indem ihr in einer DOS-BOX den Befehl ohne Zusatzparameter eingebt.

Abschliessend bleibt zu sagen, das sich nur erfahrene Benutzer an die manuelle Entfernung begeben sollten.
Lest jedes Kapitel genau durch und haltet euch an die Anleitungen. B_eherzigen Sie alle Schritte, d�rfte einer sicheren Entfernung des Trojaners nichts im Wege stehen.
Hosted by www.Geocities.ws

1