Manuelles Entfernen von Trojanern (Trojanischen Pferden)

Leider gibt es im Internet eine fast unüberschaubare Menge an Trojanern. Deshalb haben wir für Sie dieses Tutorial geschrieben. Wenn Sie sich folgende Schritte im Kampf gegen Trojaner zu Herzen nehmen, können Sie gewiss 95 % der derzeit im Umlauf befindlichen Trojaner effizient entfernen.

Identifizieren von Trojanern

So finden Sie Trojaner

Wie kann ich erkennen, ob in meinem System ein Trojaner installiert ist? Nun, meistens äußert es sich dadurch, dass man von einem Angreifer attackiert wird. Entweder das CD-ROM Laufwerk springt auf oder es passieren sehr seltsame Dinge. Es können Programme verschwinden, Fenster aufspringen oder der PC kann sich plötzlich wie von selbst abschalten.

Woher kommen Trojaner?

Trojaner sind eigenständige Programme, die man erst selbst installieren muss und die sich im Gegensatz zu Viren nicht selbstständig verbreiten können. Meist sind es sog. "Freunde" im ICQ oder Mail, die Trojaner bewusst verschicken, um damit ihren "Spaß" zu haben. Sobald Sie per ICQ ein (meist getarntes) Programm bekommen und es starten, installiert sich der Trojaner ins System. Ein Handicap haben Trojaner im Vergleich zu Viren jedoch: Sie müssen dafür sorgen, dass sie bei jedem Systemstart auch geladen werden. Viren werden ja durch die infizierten Programme aktiv. Damit die Trojaner automatisch immer geladen werden, legen sie immer Einträge in bestimmten Systemdateien an. Wenn man diese gezielt sucht und entfernt, kann man auch ohne das System komplett neu aufzusetzen, von Trojanern wieder befreit werden. Zu bedenken gibt es jedoch, dass in der Zeit zwischen Infizierung mit dem Trojaner und dessen Entdeckung nicht nur Passwörter und andere Daten ausspioniert wurden konnten, sondern auch Systemdateien manipuliert oder ersetzt werden konnten, die weitere Hintertüren öffnen, auch wenn der entdeckte Trojaner entfernt wurde. Ein komplettes Neuaufsetzen des Systems ist daher dennoch anzuraten.

Systemeinträge

Da Trojaner über Systemeinträge bei jedem Systemstart geladen werden, kann man sie auch am besten über diese entfernen. Es gibt mehrere Möglichkeiten, wo die Trojaner ihre Start-Einträge machen können:
Startmenü - Autostart:
Ist die einfachste Möglichkeit, wird jedoch von Trojanern kaum genutzt, da sie sich dort am einfachsten auffinden lassen. Zum Entfernen muss lediglich der Eintrag im Startmenü im Autostart-Ordner gelöscht werden.

autoexec.bat
Diese System-Startdatei kann z.B. so eingesehen werden: Klicken Sie auf den Startbutton - Ausführen. Dort geben Sie 'sysedit' ein. Es erscheint dann ein Editor mit den wichtigsten editierbaren Systemdateien. Ein Fenster darin ist die autoexec.bat. In dieser werden Programme festgelegt die bei Systemstart noch vor der grafischen Benutzeroberfläche geladen werden. Es gibt jedoch auch hier kaum Trojaner, die diesen Weg nutzen.

config.sys
Diese Datei kann ebenfalls mit sysedit aufgerufen werden. In dieser werden verschiedene Systemtreiber geladen. Auch hier gibt es kaum Trojaner, die diesen Weg nutzen. Vermutlich deshalb, weil diese Dateien vor dem eigentlichen Systemstart geladen werden und die Trojaner noch nicht die nötigen Möglichkeiten haben, als eigenständiges Programm geladen zu werden.

system.ini
Auch diese Datei ist mit sysedit editierbar. Suche Sie die Zeile die mit 'shell=' beginnt. In dieser Zeile können Trojaner gestartet werden, müssen jedoch nicht! Es kann genausogut ein harmloses Programm wie der Explorer gestartet werden. Allerdings verdienen mehrere dort aufgeführte Dateien durchaus Aufmerksamkeit.

win.ini
Dies ist die letzte Datei, die über sysedit aufgerufen werden kann. Die Wahrscheinlichkeit, den Trojaner hier zu finden, ist schon etwas höher. Suchen Sie die Zeilen die mit 'run=' oder 'load=' beginnen. In diesen kann ein Trojaner gestartet werden, doch nicht jeder Eintrag stellt zwingend einen solchen Aufruf dar.

Systemregistrierung (Registry)
99 % der Trojaner nutzen diesen Weg, um automatisch geladen zu werden. Der Grund ist relativ simpel: Die Registrierung ist schier unüberschaubar für den Laien und bietet die meisten Möglichkeiten, sich zu tarnen.

Windows-Systemregistrierung

Sie können die Registry mit folgenden Schritten öffnen: Klicken Sie auf Start - Ausführen und schreiben Sie 'regedit' in die Eingabezeile. Es öffnen sich das Programm regedit.exe, welches mit seiner Baumstruktur etwas an den Windows-Explorer erinnert. Keine Angst, Sie müssen jetzt nicht die gesamte Registry auswendig kennen! Für die Trojaner-Suche sind lediglich ein paar bestimmte Verzeichnisse interessant:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

sowie

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

In diesen Verzeichnissen wird festgelegt, welche Programme beim Systemstart geladen werden. Es werden sich vermutlich bei Ihnen schon mehrere Einträge darin befinden, jedoch bei weitem nicht alle sind zwangsläufig Trojaner, sondern meist Dinge wie Player, Garfikkartentools, Virenscanner und andere im Hintergrund laufende Anwendungen.

Entfernen von Trojanern

So entfernen Sie Trojaner

Hier erfahren Sie nun, wie Sie in wenigen Schritten den Trojaner loswerden:
Löschen des Start-Eintrages
Sollten Sie einen sehr verdächtigen Eintrag in der Registry gefunden haben, können Sie diesen löschen. Sicherheitshalber notieren Sie aber bitte jeden Eintrag, den Sie aus der Registry entfernen! Dies sollten Sie aus zweierlei Gründen tun:
1. Sie benötigen den Wert des Eintrages später, um den Trojaner sauber aus dem System zu entfernen.
2. Sollten Sie einen falschen Eintrag löschen, kann dies unvorhersehbare Folgen bis hin zu einem Systemabsturz nach sich ziehen.

Neustart
Nach dem Löschen des Start-Eintrages müssen Sie unbedingt schnellstens einen System-Neustart machen. Da einige Trojaner die Registry-Einträge periodisch wieder aktualisieren, sollten Sie diesen Neustart nicht unnötig hinauszögern sondern sofort nach dem Entfernen des Eintrages durchführen. Der Neustart ist deshalb notwendig, weil der Trojaner nicht gelöscht werden kann, während er ausgeführt wird. Nach dem Neustart ist der Trojaner nicht mehr aktiv.

Löschen des Trojaners selbst
Der in Schritt 1 notierte, gelöschte Wert des Eintrages, ist nun wichtig. Dieser Wert enthält den Dateinamen des Trojaners im Dateisystem. Um den Trojaner vollkommen aus dem System zu beseitigen, muss diese Programmdatei auch gelöscht werden. Dazu führen Sie am besten folgende Schritte aus: Klick auf den Startbutton - Suchen - Nach Dateien und Ordnern. Dort geben Sie nun den notierten Dateinamen des Trojaners ein und durchsuchen alle Festplatten im System. Der gefundene Trojaner kann dann gelöscht werden. Es ist durchaus möglich, dass ein Trojaner mehrfach im System verteilt ist. Sie können alle diese Dateien löschen.
ACHTUNG! Manche Trojaner verwenden Dateinamen, die denen von Systemdateien zum Verwechseln ähneln, um den Benutzer davon abzuhalten, sie zu löschen bzw. gar nicht erst misstrauisch werden zu lassen. Nicht alles, was WIN, SYSTEM, KERNEL oder 32 im Namen trägt, ist automatisch harmlos.

Der Trojaner ist entfernt!
Oder doch nicht? Dann führen Sie bitte die Schritte von der Erkennung bis zum Entfernen nochmals aus. Sollte sich ein Trojaner als sehr hartnäckig erweisen, besteht noch die Möglichkeit, das System im abgesicherten Modus zu starten. Beim Systemstart bitte während des kurzen Textes "Windows wird gestartet" die F8-Taste drücken und es erscheint ein Auswahlmenü. Dort gehen Sie auf 'Abgesicherter Modus'. Der Systemstart kann jedoch hier wesentlich länger als normal dauern und es stehen keine Netzlaufwerke, etc. zur Verfügung. Weiterhin wird die Bildschirmauflösung auf ein Minimum heruntergesetzt. Führen Sie dann die Schritte 1 bis 3 aus.

Entfernen von Trojanern (Kurzvariante)

Es gibt natürlich noch eine schnellere Möglichkeit, den Trojaner loszuwerden - ohne Neustart. Dazu sind jedoch schon fundiertere Kenntnisse im System notwendig. Sie benötigen dazu einen Prozess-Viewer der auch Prozesse killen kann. Bei Windows NT/2000 ist bereits ein Prozess-Viewer integriert. Er kann mit einem Rechtsklick auf die Taskleiste - Task-Manager aufgerufen werden. Für Windows 9x gibt es auch solche Tools. Damit lassen sich gezielt die Programmprozesse der Trojaner abschießen und somit die Trojaner beenden. Nach diesem zwangsweisen Abschalten des Trojaners kann dieser dann gesucht und gelöscht werden, denn solange der Prozess läuft, wird die Datei durch Windows selbst vor dem Löschen geschützt.

Viel Glück bei der Trojaner-Suche!

Hinweise

Dieses Turorial ist keine 100%ige Garantie, um Trojaner-frei zu bleiben. Es werden hier lediglich nützliche Tips und Hinweise gegeben, um Trojaner mit einfachen Mitteln zu entfernen. Wir übernehmen keine Haftung über die Richtigkeit dieses Textes und sind auch für jeglichen Schäden, die durch die Durchführung dieser Schritte entstehen könnten, nicht haftbar.

Artikel vom 19.04.2014 - Diskussion zum Thema im Forum



Testsieger!