Diese Seite als ZIP-File downloaden Erkennung Trojanischer Pferde Auf dieser Seite erkläre ich Dir, wie Du Trojanische Pferde auf Deinem System identifizieren kannst. Es handelt sich hier ausschliesslich um Trojanische Pferde, die sich auf Deinem System zwecks Autorun installiert haben. Diese Trojanischen Pferde gehoeren zu der gefährlichsten Kategorie. Damit ein Programm bei jedem Systemstart aufgerufen wird, muss sich dieses dementsprechend zunächst installieren. Die Betriebssysteme Windows 95/98 halten hierfür verschiedene Möglichkeiten bereit. Diese möchte ich Dir jetzt so verständlich wie möglich nahelegen. Jedoch ACHTUNG ! - Nicht jeder Eintrag in den folgenden Windows-Pfaden muss unbedingt ein Trojanisches Pferd bedeuten. Auch harmlose Programme wie z.B. Deinstaller, Anti-Viren-Programme und viele mehr nutzen diese Möglichkeiten selbstverständlich ebenfalls aus. Wichtig ! - Bevor Du irgendwelche Änderungen an Deinem System gemäss den hier genannten Eintragungen tätigst, lese bitte auch die anderen Seiten meiner Trojaner-Rubrik. Du solltest Dir immer merken, was Du auf Deinem System in letzter Zeit installiert hast. - Auch hat es sich bewährt, immer wieder die genannten Möglichkeiten anzuschauen. - So ist ausreichend gewährleistet, dass kein wichtiges Programm "zerstümmelt" wird. Der Trojaner "Sockets de Troie" kann nicht über die genannten Wege identifiziert und entfernt werden. - Dazu rate ich das Anti-Viren-Programm AVP (http://www.avp.at) gegebenfalls als Testversion herunterzuladen und das System danach zu scannen. AVP kann den Trojaner entfernen. Autostart-Ordner Diese Möglichkeit wird von Trojanern sehr selten genutzt. Grund: Die Entdeckungsgefahr ist zu hoch. Den Autostart-Ordner findest Du z.B. wie folgt: Windows-Start - Suchen - Dateien/Ordner - Autostart eingeben - Der Ordner wird angezeigt - Doppelklicken - Jetzt siehst Du alle Einträge. Win.ini Eine der häufigsten Methoden ist die Eintragung in die Win.ini unter den Parametern "Load=" oder "Run=". Vorsicht ! Manche Trojanische Pferde tragen sich nicht direkt hinter der Parameter-Bezeichnung ein, sondern nach zahlreichen Leerzeichen, damit dieses nicht sofort erkannt wird. Scrolle also mit dem unteren Balken einfach mal nach rechts (falls denn ein solcher Balken vorhanden sein sollte). Den besten Zugriff auf die Win.ini hast Du, indem Du auf Windows-Start gehst - Ausführen - sysedit.exe eingeben - OK klicken. Nun werden verschiedene Fenster geöffnet, auch die Win.ini. Die sysedit.exe wirst Du noch öfters brauchen, wenn Du die Beschreibungen auf meinen Seiten weiter aufmerksam liest. System.ini Eine Eintragung erfolgt unter dem Paramter "shell=". Vorsicht ! Hier ist schon eine Eintragung Namens Explorer.exe enthalten. - Die nicht löschen !!! Es könnten jedoch hinter Explorer.exe noch weitere Eintragungen erfolgen. Die System.ini findest Du auf dem gleichen Weg, wie unter Win.ini beschrieben. Hier erfolgen jedoch eher selten Eintragungen. Autoexe Hier solltest Du ebenfalls mit dem Löschen von Eintragungen vorsichtig sein. Denn auch hier tragen sich einige harmlose Programme ebenfalls ein. Mir ist noch kein Trojanisches Pferd bekannt, welches diesen Weg genutzt hat. Da jedoch diese Möglichkeit ebenfalls gegeben ist, erwähne ich diese auch. Die Autoexe kannst Du auch in der Sysedit.exe (Beschreibung unter Win.ini) vorfinden. Config.sys Einige, wenige Trojaner tarnen sich auch als Gerätetreiber auf Windows 95/98 Systemen. Diese Trojaner lassen sich jedoch schwer realisieren und sind daher zum Glück noch recht selten. Die Config.sys ist ebenfalls in der Sysedit.exe auffindbar. Winstart.bat Wenn hier eine Eintragung erkennbar ist, bedeutet dieses in der Regel folgendes: Eine Befehlzeile veranlasst das kopieren einer Datei, welche vor dem letzten Systemstart geloescht wurde. Bisher sind kaum Trojaner bekannt, die diesen Weg nutzen. Wininit.ini Nicht zu verwechseln mit der Win.ini ! Die Wininit.ini muss sich im uebrigen auch nicht auf jedem System befinden. Jedoch kann hier einmalig zwecks Autorun (also Ausführung einer Datei bzw. eines Trojaners) ein Eintrag erfolgen, welcher hinterher sogar gelöscht wird. progman.ini Das ist quasi noch die "alte" win.ini von Windows 3.x, welche sogar ebenfalls noch bei Start verarbeitet wird. control.ini Auch hier ist theoretisch möglich, einen Eintrag zwecks Autorun zu tätigen. Bisher ist mir jedoch noch kein Fall bekannt, wo sich eine Trojaner hier eingetragen hat. Die Möglichkeiten wären jedoch sicherlich machbar. Windows-Registrierung Zuerst rufst Du die Registrierung Deines Systems auf. - Diese kannst Du u.a. in folgenden Schritten tun: Windows-Start - Ausführen - regedit eingeben - OK klicken. - Ein Programm mit scheinbar unendlichen Eintragungen/Ordnern öffnet sich. Jedoch keine Angst, uns interessieren lediglich einige, wenige Pfade: HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Windows ->CurrentVersion->Run HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Windows->CurrentVersion->RunOnce HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Windows->CurrentVersion->RunServices HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Windows->CurrentVersion->RunServicesOnce HKEY_CURRENT_USER->SOFTWARE->Microsoft->Windows->CurrentVersion->Run HKEY_CURRENT_USER->SOFTWARE->Microsoft->Windows->CurrentVersion->RunOnce HKEY_CURRENT_USER->SOFTWARE->Microsoft->Windows->CurrentVersion->RunServices HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run (diese Eintragung gilt nur für Mehrnutzersysteme). Die soeben genannten Pfade werden als Ordner dargestellt und erreichst Du mit jeweiligen Doppelklicks auf den Iconen. Auch hier ist wieder Vorsicht geboten, was hier eventuell gelöscht wird. Die Möglichkeit zwecks Start beim Systemstart wird von sehr vielen harmlosen Programmen, jedoch auch Trojanischen Pferden genutzt. Es gibt noch zahlreiche andere Eintragungsmöglichkeiten zwecks Autorun in der Registrierung. Diese werden jedoch (zum Glück) nur selten von Trojanischen Pferden genutzt. Task Hier trägt sich nichts ein in dem Sinne. Wenn Du die Tasten Strg+Alt+Entf betätigst, werden Programme/Dateien angezeigt, die zur Zeit auf Deinem System laufen. Hier könnten ebenfalls verdächtige Eintragungen enthalten sein. - Aber Vorsicht ! Nur über diesen Weg nach Trojanischen Pferden Ausschau zu halten ist SEHR unzuverlässig ! Viele Trojanische Pferde werden hier entweder gar nicht oder unter falschem Namen angezeigt. - Es kann also durchaus passieren, dass hier ein Programm, welches sich sogar auf Deinem System befindet (z.B. Norton AntiVirus) sehr wohl angezeigt wird. Jedoch könnte sich dahinter ein Trojaner verbergen. Du weisst nicht, wo Du nach den oben genannten Eintraegen suchen sollst ? Abgesehen von der Registrierung erreichst Du die anderen Dateien auch mit der Windows-Suchfunktion. Gehe auf "Start" (Windowslogo unten links im Desktop), dann auf "Suchen" und wähle "Dateien/Ordner" aus. Der Rest dürfte selbsterklärend sein. Hilfreich ist auch das Windowseigene Programm "msconfigsys". Gehe also einfach auf den Start-Button (unten links Desktop), dann auf "Ausführen" und gibt msconfigsys ein. Über dieses Programm kannst Du viele der oben genannten Einträge überprüfen und bequem ändern. Auch über "sysedit" findest Du viele der o.g. Eintragungsmöglichkeiten. Gehe vor wie unter "msconfigsys", gib stattdessen jedoch sysedit ein. Es werden sich mehrer Fenster in Editorform öffnen. Sehr zu empfehlen sind auch sogenannte "Process Viewer", die ebenfalls Programme/Dateien anzeigen, die im Hintergrund eines Systemes laufen. Diese Hilfsprogramme findest Du unter meiner Rubrik "Security Tools". Process Viewer erleichetern im übrigen auch die Entfernung Trojanischer Pferde, welche im Hintergrund laufen. Das Programm kann mittels dieser Tool sofort beendet werden. So besteht danach die Möglichkeit zur sofortigen Löschung des Trojaners. Diese Seite als ZIP-File downloaden http://www.trojaner-info.de