« The Next Uri Geller 2: Setzen, Sechs!
Obama ist gekommen, Bush ist gegangen. »

Trojanische Pferde und ihre Folgen

Veröffentlicht Freitag, 20. Februar 2009, 03:24:04 Alltag , Netzwelt Kommentare

Es gab eine Zeit, da wurde der trojanische Krieg durch ein hölzernes Pferd entschieden. In diesem Pferd schleusten die Griechen ihre Soldaten nach Troja, um die Schlach für sich zu gewinnen.Doch handelt dieser Artikel nicht um historische Kriege, sondern um den Krieg zwischen mir und dem Schädling in meinem Computer. Dieser Schädling schimpft sich „Trojanisches Pferd“ und hat sich unter dem Namen „TR/Crypt.XPACK.Gen“ in in mein System eingenistet. Dabei wird ähnlich wie in der Geschichte Trojas eine Hintertür geöffnet und der Verlust über die Herrschaft über den Rechner eingeläutet.

Die folgenden Zeilen stammen aus dem Kriegslogbuch von F.Lau:

Es ist kurz vor Mitternacht. Ich google gerade nach einen Begriff. Plötzlich startet ein Programm.  „XP Police Antivirus“ – mit dem bekannten XP 4 Farben Symbol. Doch kommt mir dieser plötzliche Start sehr merkwürdig vor. Sofort versuche ich, den Taskmanager zu starten, doch es geht nicht: Bei STRG+ALT+ENTFERNEN erscheint eine Mitteilung.

„Der Administrator hat den Taskmanager gesperrt.“ – NA SUPER – Ich bin nämlich mit dem Administratoraccount eingeloggt. Jetzt fällt mir auch ein, dass ich blöderweise die Firewall von der letzten Zweierlan deaktiviert gelassen habe. Jedenfalls komme ich zu dem spontanen Entschluss, den PC direkt auszuschalten und das Internetkabel herauszuziehen. Der Verdacht auf einen Trojaner erscheint verständlich. Im abgesicherten Modus werfe ich sofort einen Virenscan an und siehe da: Zwei bis drei Trojanerfunde erscheinen in der Suche. Das sind sie also.. die Hintertürchen. Der Trojaner hatte zu dem Zeitpunkt einiges angerichtet. Einmal war einfach so das vermeintliche Antivirus Programm „XP POLICE ANTIVIRUS“ in den Programme Ordner installiert, außerdem hat der Trojaner verschiedene „Fake“ Systemdateien im Windows Ordner erstellt. Diese wollten den Zugriff zum Internet, die jedoch sofort von der nun aktivierten Firewall geblockt wurden. Nach etlichen Operationen und zum Beispiel einem Hijack – Scan und etlichen Virenscannungen habe ich die Spuren des Trojaners so weit ich konnte vernichtet. Das falsche Programm wurde gelöscht und die Registryeinträge dazu. Den Taskmanager konnte ich im Registrierungseditor auch wieder aktivieren, nachdem der Virus/der Trojaner diesen zuvor deaktiviert hat.  Desweiteren gibt es in einem gewöhnlichen XP System einen lokalen Service, der sich „svchost.exe“ nennt. Dieser führt unter anderem DLL Dateien aus. Normalerweise befindet sich diese Datei unter C:\windows\system32. Nach dem Einnisten des Trojaners gab es diese Datei an zwei neuen Orten, nämlich unter C:\windows  und ..\system32\drivers. Na toll. Nach einem Scannen haben sich diese Dateien als Trojaner geoutet.  Auch das Internet wurde durch diesen Trojaner erstmal blockiert, doch wirkten die verschiedenen Löschungsaktionen.  Es bleibt die Ungewissheit, wo das trojanische Pferd noch weiteren Schaden eingerichtet hat. Stundenlange Arbeit sag ich nur.

Ich hoffe nun, dass ich meinen ersten offiziellen Trojanerbefall soweit überstanden habe. Eine Neuformatierung wird über kurz oder lang sowieso notwendig sein.

Meine mir neu angeeigneten Tips bei ähnlichen Vorkommnissen:

  • Vermeide zunächst eine Internetverbindung des befallenen PC
  • Systemwiederherstellung in der Systemsteuerung erstmal deaktivieren
  • vor jeglicher Bekämpfung ein Hijack-Systemscan ( http://www.hijackthis.de/) und Auswertung des Logfiles -> Möglichkeit der „Fixung“ der Probleme
  • Benutze ausschließlich den abgesicherten Modus zur Erkennung des Schädlings (Beim Systemstart F8 drücken)
  • Hilfreich dabei: Erweiterte Taskmanager (z.B. „Security Task Manager“), Virenscanner, Antispywareprogramme (z.B. Spybot – Search and Destroy – u.a. sehr hilfreich bei Registry-Änderungen)
  • nachträgliche Scannung des Systems nach Resten des Virus oder des trojanischen Pferds
  • Effektivste, wenn auch zeitaufwendigste Methode: Formatierung des Systems
  • Falls alles an Daten beseitigt ist, Systemwiederherstellung wieder aktivieren

Das beste ist es jedoch, garnicht erst infiziert zu werden. Dabei helfen! Firewalls, Virenscanner und Antispywareprogramme. Zur Vermeidung solcher automatischen Installationen sollte man auch im Normalfall nie mit dem Administrator-Account, welcher bei WIN XP der erste User gewöhnlich darstellt, am Computer arbeiten. Das Manko von XP ist es nämlich, dass Anmeldung als Administrator nicht nur uneingeschränkte Rechte des Users ermöglicht, sondern auch den Programmen uneingeschränkte Rechte ermöglicht.   Auch ich habe den Fehler gemacht und bin stets mit dem Administrator-Account ohne Hintergedanken online gewesen.

Bis dann, und viel Glück bei der Schädlingsbekämpfung :D

Felix Lau

3 Antworten zu „Trojanische Pferde und ihre Folgen“

Feed zu diesem Beitrag Trackback-Adresse
  1. 1 Benedikt Freitag, 20. Februar 2009, 06:14:23 um 6:14

    Der mit abstan nerdigste Post seit Jahren (:

    Viel Glück mit der Entfernung des Eindringlings.

    Antworten
  2. 2 Felix Lau Freitag, 20. Februar 2009, 08:57:04 um 8:57

    Ach komm, vielleicht habe ich dich auch schon angesteckt :D .

    Antworten
  3. 3 Ben Samstag, 21. Februar 2009, 02:38:18 um 2:38

    Bloß nicht… Aber ich habe wenn noch nichts bemerkt.

    Antworten

Eine Antwort schreiben

« The Next Uri Geller 2: Setzen, Sechs!
Obama ist gekommen, Bush ist gegangen. »

Flickr Photos

Shine

Macht des Meeres

Die Flut

More Photos

Besucher

  • 11,201 hits

 

Februar 2009
M D M D F S S
« Jan   Mär »
 1
2345678
9101112131415
16171819202122
232425262728