- Joined
- Jan 12, 2005
- Messages
- 65
- Reaction score
- 0
Hi!
Schau mal im taskmanager nach ob was verdächtiges mitläuft-wenn ja-dann beende es,denn erst dann kannst du es löschen oder in quarantene stecken!
Also,ein Trojaner funktioniert nur dann, wenn er mit dem Systemstart ausgeführt wird.
Das heißt, dass der Server ständig im Hintergrund des Systems laufen muss, um bei einer Onlineverbindung bereit zu sein, Befehle vom Client zu empfangen.Wie der Programmierer dies bewerkstelligt, ist von Trojaner zu Trojaner unterschiedlich, daher solltest du die Orte kennen, an denen Einträge solcher Art vorgenommen werden.Der Autostartordner ist eine der klassischen Methoden, gleichzeitig aber die mit der geringsten Kreativität!
Hierbei wird eine Verknüpfung des Servers direkt in den Autostartordner des Startmenüs gelegt.Die Gefahr entdeckt zu werden, ist hierbei besonders groß, da dieser Ordner auch für den ungeübten Anwender leicht über "Start/Programme" zugänglich ist!
Daher sieht ein Programmierer solcher Software in der Regel davon ab, diesen Weg zum automatischen Start zu gehn.
Trotzdem schadet es nicht, wenn du ab und zu hineinschaust, entweder über die Startleiste "Start/Programme/Autostart" oder über den Explorer.
Bei früheren Trojanern, wie zum Beispiel NetBus, war es eine beliebte Methode, Einträge in die "Win.ini" zu schreiben, um den Server so zu starten. Auch hier ist es angebracht, gelegentlich einen Blick in die "Win.ini" zu werfen. Gehe über "Start/Ausführen" und gib in das Eingabefeld "sysedit.exe" ein.
Hier solltest du auf Einträge hinter den Parametern "Load" und "Run" achten. Oft werden Trojaner so eingestellt, dass die Parameter mit zahlreichen Leerzeichen ausgepuffert sind, sodass diese nicht sofort ins Auge springen, sondern man erst einmal scrollen muss, um die Einträge zu sehen.Solltest du hinter "load" oder "run" Parameter finden, wie z.B."Server.exe" oder "Explorer.exe", so solltest du diese entfernen!
Selbstverständlich variieren die Bezeichnungen der Parameter von Trojaner zu Trojaner. Deshalb solltest du hier mit einer gewissen Vorsicht herangehen, damit nicht unabsichtlich die wichtigen Einträge gelöscht werden!
Und bei dir hört es sich dannach an,schau nach unter:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices\ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServicesOne\ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunOnce\ HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\ HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\RunOnce\ HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\RunServices\
LG!
Schau mal im taskmanager nach ob was verdächtiges mitläuft-wenn ja-dann beende es,denn erst dann kannst du es löschen oder in quarantene stecken!
Also,ein Trojaner funktioniert nur dann, wenn er mit dem Systemstart ausgeführt wird.
Das heißt, dass der Server ständig im Hintergrund des Systems laufen muss, um bei einer Onlineverbindung bereit zu sein, Befehle vom Client zu empfangen.Wie der Programmierer dies bewerkstelligt, ist von Trojaner zu Trojaner unterschiedlich, daher solltest du die Orte kennen, an denen Einträge solcher Art vorgenommen werden.Der Autostartordner ist eine der klassischen Methoden, gleichzeitig aber die mit der geringsten Kreativität!
Hierbei wird eine Verknüpfung des Servers direkt in den Autostartordner des Startmenüs gelegt.Die Gefahr entdeckt zu werden, ist hierbei besonders groß, da dieser Ordner auch für den ungeübten Anwender leicht über "Start/Programme" zugänglich ist!
Daher sieht ein Programmierer solcher Software in der Regel davon ab, diesen Weg zum automatischen Start zu gehn.
Trotzdem schadet es nicht, wenn du ab und zu hineinschaust, entweder über die Startleiste "Start/Programme/Autostart" oder über den Explorer.
Bei früheren Trojanern, wie zum Beispiel NetBus, war es eine beliebte Methode, Einträge in die "Win.ini" zu schreiben, um den Server so zu starten. Auch hier ist es angebracht, gelegentlich einen Blick in die "Win.ini" zu werfen. Gehe über "Start/Ausführen" und gib in das Eingabefeld "sysedit.exe" ein.
Hier solltest du auf Einträge hinter den Parametern "Load" und "Run" achten. Oft werden Trojaner so eingestellt, dass die Parameter mit zahlreichen Leerzeichen ausgepuffert sind, sodass diese nicht sofort ins Auge springen, sondern man erst einmal scrollen muss, um die Einträge zu sehen.Solltest du hinter "load" oder "run" Parameter finden, wie z.B."Server.exe" oder "Explorer.exe", so solltest du diese entfernen!
Selbstverständlich variieren die Bezeichnungen der Parameter von Trojaner zu Trojaner. Deshalb solltest du hier mit einer gewissen Vorsicht herangehen, damit nicht unabsichtlich die wichtigen Einträge gelöscht werden!
Und bei dir hört es sich dannach an,schau nach unter:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices\ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServicesOne\ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunOnce\ HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\ HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\RunOnce\ HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\RunServices\
LG!
Last edited:
