Weiterführende Anweisungen zum Entfernen von problematischen Dateien

  • Artikel-ID: 14443
  • Aktualisiert: 02 Feb 2012

Bedrohungen lassen sich in der Regel zentral über Enterprise Console oder lokal über Sophos Anti-Virus mit einem Befehlszeilenscanner (z.B. SAV32CLI) entfernen. Es kann jedoch auch vorkommen, dass die Probleme erneut auftreten.

Die Anweisungen beziehen sich zwar auf Computer unter Windows 2000, Windows XP oder Windows 2003, die Vorgehensweise ist unter Windows 95/98/Me und Windows NT jedoch ähnlich. Auch bei anderen Betriebssystemen lässt sich das Problem auf ähnliche Weise beheben.

Der Begriff "Trojaner" deckt in diesem Artikel Würmer, Viren oder sonstige unerwünschte Anwendungen ab, die sich nur schwer entfernen lassen.

Vorgehensweise

Arbeiten Sie bei der Bereinigung des infizierten Computers an einem virenfreien Computer, wenn Sie im Internet recherchieren, Dienstprogramme herunterladen usw. Speichern Sie sämtliche Tools auf Diskette oder CD und schreibschützen Sie den verwendeten Datenträger an (bei einer CD müssen Sie hierzu die Sitzung/Session schließen, bevor Sie die CD in den infizierten Computer einlegen).

1. 1. Fortbestand des Trojaners oder erneute Infektion?

Zunächst gilt es, festzustellen, ob die erneute Infektion von außen kommt oder oder der Trojaner nicht von der Systemüberprüfung erfasst wurde. Die Virenanalyse gibt Aufschluss über mögliche Ursachen des Problems. Prüfen Sie zudem Folgendes:

  1. Ist der Computer mit dem Internet verbunden?
  2. Ist der Computer mit dem lokalen Netzwerk (LAN) verbunden?
  3. Wurden WLAN-Karten ggf. entfernt bzw. deaktiviert?
  4. Ist eine USB-Karte, ein Wechsellaufwerk oder ein sonstiges Speichermedium an den Computer angeschlossen?
  5. Befinden sich CDs oder Disketten in den jeweiligen Laufwerken?

Trennen Sie den Computer von allen Netzwerken (auch dem Internet) und ziehen Sie sämtliche Karten, Laufwerke, Datenträger und Peripheriegeräte ab. Führen Sie die Überprüfung dann erneut durch. Wenn der Trojaner entfernt wurde, stellen Sie sicher, dass der Computer mit allen Patches ausgestattet wurde und sich Ihre Sicherheitssoftware auf dem neuesten Stand befindet. Nähere Informationen hierzu finden Sie im Abschnitt Normalzustand des Computers wiederherstellen.

Wenn der Computer bereits von anderen Computern und externen Medien getrennt wurde, die Infektion nach dem Neustart jedoch weiterhin vorhanden ist oder sich Dateien nicht im abgesicherten Modus über die Befehlszeile löschen lassen, fahren Sie mit Abschnitt 5 fort.

2. USB-Karte oder Wechsellaufwerk

Unter Umständen befindet sich die Infektionsquelle auf Medien, die nicht überprüft werden, auf die jedoch beim Starten des Computers zugegriffen wird. Zu diesen Medien zählen etwa USB-Karten und Wechsellaufwerke. Es empfiehlt sich zudem, Handys, Digitalkameras, Drucker und sonstige Peripheriegeräte mit Speicher abzutrennen.

  • Trennen Sie das betreffende Medium ab.
  • Wiederholen Sie die Überprüfung.
  • Prüfen Sie, ob die Infektion auch nach einem Neustart des Computers weiterhin auftritt.
  • Ist dies nicht der Fall, formatieren Sie die Karte/das Laufwerk erneut oder desinfizieren Sie sie/es auf einem anderen Computer. Nach Möglichkeit sollte die Formatierung auf einem anderen Betriebssystem, wie etwa Mac OS, erfolgen.

Wenn das Problem von einer anderen Gerät herrührt, schalten Sie dieses aus und wieder ein. Untersuchen Sie dann sämtliche verwendeten Speicherkarten usw. Sichern Sie ggf. Daten auf der Karte (z.B. Fotos auf CD) und formatieren Sie die Speicherkarte dann erneut.

Ihr Telefon, Ihre Kamera usw. können nicht mit dem Trojaner infiziert sein; diese Geräte sind "immun". Planen Sie genug Zeit für die Datensicherung ein.

Wenn der Trojaner entfernt wurde, stellen Sie sicher, dass der Computer mit allen Patches ausgestattet wurde und sich Ihre Sicherheitssoftware auf dem neuesten Stand befindet. Nähere Informationen hierzu finden Sie im Abschnitt Normalzustand des Computers wiederherstellen.

3. Lokales Netzwerk

Wenn weitere Computer an Ihr Netzwerk angeschlossen sind, überprüfen Sie diese ebenfalls auf Trojaner. Stellen Sie sicher, dass Ordner- oder Verzeichnisfreigaben, die von anderen Computern verwendet werden (wie etwa gemeinsame genutzte Ordner unter Mac OS, Samba-Freigaben unter Linux oder NetWare-Freigaben) ebenfalls überprüft werden.

Wenn der Trojaner entfernt wurde, stellen Sie sicher, dass der Computer mit allen Patches ausgestattet wurde und sich Ihre Sicherheitssoftware auf dem neuesten Stand befindet. Nähere Informationen hierzu finden Sie im Abschnitt Normalzustand des Computers wiederherstellen.

4. Erneute Infektion über das Internet

Wenn Sie glauben, dass die Infektion über eine WLAN-Karte oder ein Kabel aus dem Internet auf den Computer gelangt ist, können Sie erst wieder eine Verbindung zum Internet herstellen, wenn die Infektionsquelle blockiert wurde.

  • WLAN-Karten und drahtlose Netzwerke
    Sie müssen eine Reihe von Sicherheitsüberprüfungen auf dem Netzwerk ausführen. Zunächst sollten Sie den voreingestellten Benutzernamen und das Kennwort Ihres Routers ändern. Wählen Sie ein sicheres Kennwort. Anweisungen zur Absicherung Ihres WLANs finden Sie im entsprechenden Begleitmaterial, auf der Microsoft Website sowie im Internet. Die Wireless-Branche ist schnelllebig. Als Suchbegriffe bieten sich etwa "Wireless", "drahtlos", "Sicherheit" und/oder "Wi-fi" an.
  • Internetverbindungen
    Wenn auf dem Computer erneut eine Infektion aus dem Internet auftritt, überprüfen Sie die Sicherheit Ihrer Internetverbindung. Sie sollten neben der Antiviren-Software auch eine Firewall einsetzen und zwar insbesondere bei Standleitungen (etwa DSL, sonstige Breitbandverbindungen). Sie können Firewall-Software oder einen Router verwenden, der als Firewall fungiert. Wenn Sie nicht in einem Wireless-Netzwerk arbeiten, ist vom Einsatz eines Routers mit Firewallfunktion abzuraten.

Wenn Ihr Computer von einem Browser-Hijacker betroffen ist, sollten Sie den Browser wechseln. Importieren Sie dabei keine Einstellungen oder gespeicherten Seiten.

Unten finden Sie weitere Tipps für den Umgang mit Browser-Hijackern.

5. Problem auf dem lokalen Computer

Wenn sich die problematische Datei auf dem lokalen Computer befindet, muss festgestellt werden, ob die Datei sich nicht löschen lässt oder ob sie sich immer wieder neu erstellt.

Führen Sie zunächst folgende Schritte durch:

  • Sichern Sie nach Möglichkeit alle Daten (Dokumente, Tabellen, Fotos, E-Mail-Adressbuch usw.) auf CD oder anderen Medien.
  • Drucken Sie die gesamte Bedrohungsanalyse (auch den Abschnitt "Erweitert") aus.

Unter Umständen ist es weniger zeitaufwendig, Ihre Daten zu sichern und den Originalzustand des Computers wiederherzustellen, als den durch den Trojaner verursachten Schaden rückgängig zu machen. Informationen hierzu finden Sie auch im Abschnitt Neuinstallation von Windows.

  1. Wird der Trojaner erkannt, wenn Sie eine Überprüfung mit SAV32CLI im abgesicherten Modus über die Befehlszeile durchführen? Wenn dies nicht der Fall ist, fahren Sie mit Schritt 7 fort.
  2. Können Sie den Trojaner löschen, wenn er entdeckt wurde? Wenn dies nicht möglich ist, fahren Sie mit Schritt 6 fort.
  3. Wenn sich die Dateien zwar entfernen ließen, die Probleme jedoch weiterhin auftreten, fahren Sie mit Abschnitt 8 fort.

Nähere Informationen zur Verwendung des abgesicherten Modus über die Befehlszeile finden Sie im Abschnitt mit den einfachen DOS-Befehlen.

6. Datei wurde nicht gelöscht

Wenn sich die Datei nicht im Zuge einer Überprüfung im abgesicherten Modus über die Befehlszeile löschen lässt, wird sie vom Betriebssystem genutzt oder befindet sich in der Systemwiederherstellung.

Unter Windows XP oder Windows Me lässt sich die Systemwiederherstellung über die Befehlszeile leeren.

Unter Umständen können Sie die Datei manuell über die Wiederherstellungskonsole von Windows entfernen.

Unter Umständen können Sie auch verhindern, dass die Datei beim Hochfahren des Computers ausgeführt wird. Nähere Informationen hierzu finden Sie im Abschnitt über die Registrierungseinträge unten.

7. Datei nicht gefunden

Bedrohungen liegen in der Regel in Form von ausführbaren Dateien (Programmen) vor. Es ist jedoch möglich, den Dateityp einer ausführbaren Datei vor dem Ausführen zu ändern. Wenn die Bedrohung bei einer Überprüfung der ausführbaren Dateien im abgesicherten Modus über die Befehlszeile Befehlszeile nicht gefunden wird, führen Sie eine Überprüfung "aller Dateien" durch, bei der im ersten Durchgang keine Dateien gelöscht werden.

Geben Sie Folgendes ein, um eine Überprüfung "aller Dateien" mit SAV32CLI auszuführen:

SAV32CLI -ALL -P=C:\LOGFILE1.TXT

Achten Sie bei der Überprüfung "aller Dateien" darauf, dass Sie nicht versehentlich Dateien löschen, die Sie behalten möchten. Eventuell werden ganze E-Mail-Ordner oder eine Reihe von Dateien gelöscht, die jeweils nur eine infizierte Datei enthalten. Es ist jedoch relativ unwahrscheinlich, dass diese Dateien die Infektion ausgelöst haben. Geben Sie zum Löschen und Protokollieren von Dateien über eine Überprüfung "aller Dateien" Folgendes ein:

SAV32CLI -ALL -REMOVE -P=C:\LOGFILE2.TXT

Weiterführende Hinweise zur Überprüfung mit SAV32CLI finden Sie im Support-Artikel Überprüfungsoptionen mit SAV32CLI.

Wenn Sie die Datei entfernt haben, sollten Sie ermitteln, weshalb die Datei ausgeführt wurde. So lässt sich ein erneuter Virenbefall eventuell umgehen. Details hierzu finden Sie unten.

8. Löschen von Registrierungseinträgen

Der Trojaner hat wahrscheinlich Registrierungseinträge gelöscht oder hinzugefügt. Dadurch werden unter Umständen Prozesse ausgelöst, die nicht aufgefunden werden.

Wenn sich bestimmte Registrierungseinträge nicht löschen lassen, ändern Sie die Berechtigungen des gewünschten Eintrags und löschen Sie ihn.

Wenn sich die Registrierung nicht öffnen lässt und aus der Virenanalyse hervorgeht, dass ein bestimmter Registrierungseintrag das Öffnen der Registrierung verhindert, kopieren und importieren Sie diesen Eintrag von einem virenfreien Computer. Wenn Sie jetzt auf die Registrierung zugreifen können, löschen Sie die übrigen Einträge.

9. Ändern von Registrierungseinträgen

Gehen Sie wie folgt vor, wenn die Registrierung durch einen Trojaner geändert wurde:

  • Sehen Sie in der Virenanalyse nach, welche Registrierungseinträge betroffen sind.
  • Kopieren Sie die geänderten Einträge aus der Registrierung eines virenfreien Computers.
  • Importieren Sie die Einträge.

Der Computer, von dem die Einträge kopiert werden, muss unter dem gleichen Betriebssystem laufen, wie der infizierte Rechner.

Diese Methode ist eventuell auch dann erfolgreich, wenn Sie nicht auf die Registrierung zugreifen können.

10. Andere Ausführungsmethoden

Suchen Sie in den folgenden Dateien nach Anzeichen für den Trojaner bzw. die von ihm verwendeten Websites:

  • autorun.inf
  • HOSTS
  • autoexec.bat
  • config.sys

Kopieren Sie die Dateien bei Bedarf auf eine Diskette, erstellen Sie eine Sicherungskopie und und öffnen Sie sie auf einem virenfreien Computer in einem Texteditor. Ersetzen Sie dann die Originaldateien auf dem infizierten Rechner.

11. Datenträgerbereinigung und Systemwiederherstellung

Entfernen Sie die temporären Dateien mit Hilfe des Dienstprogramms "Datenträgerbereinigung", da diese unter Umständen versteckte Elemente aufweisen. Geben Sie hierzu Folgendes in die Befehlszeile ein und befolgen Sie dann die Anweisungen auf dem Bildschirm:

Cleanmgr

Folgende Optionen müssen beim Löschen aktiviert sein:

  • Übertragene Programmdateien
  • Temporäre Internetdateien
  • Temporäre Dateien
  • Papierkorb

Unter Windows XP und Windows Me verbergen sich Trojaner eventuell auch in den Systemwiederherstellungsdateien. Geben Sie zum Öffnen der Systemwiederherstellung im abgesicherten Modus über die Befehlszeile unter Windows XP Folgendes ein:

<Windows_Ordner>\system32\restore\rstrui.exe

<Windows_Ordner> ist dabei der Name Ihres Windows-Ordners (unter Windows XP in der Regel "Windows"). Löschen Sie anschließend die Systemwiederherstellung und setzen Sie sie zurück.

12. Wiederherstellung von Windows

Wenn Sie Ihren Computer nach der Infektion zum ersten Mal einschalten, können Sie Anwendungen im Ordner "Autostart" deaktivieren, indem Sie bei der Anmeldung die Umschalttaste gedrückt halten. Überprüfen Sie den Ordner "Autostart" und das Startmenü.

Führen Sie eine weitere Antiviren-Überprüfung durch.

13. Wiederherstellung des Arbeitszustands

Überprüfen Sie Folgendes, bevor Sie wieder wie gewohnt mit dem Computer arbeiten:

  • Stellen Sie (mit Windows Update und Microsoft Baseline Analyzer – MBSA) sicher, dass der Computer alle Patches umfasst.
  • Überprüfen Sie, ob sich Ihre Sicherheitssoftware auf dem neuesten Stand befindet.
  • Überprüfen Sie Ihre Firewall (installieren Sie eine Hardware- oder Software-Firewall, wenn Sie noch keine besitzen).
  • Überprüfen Sie, ob sich der Zugriff auf Ihre Freigabeordner auf die Benutzer beschränkt, denen Sie Zugang gewährt haben.
  • Überprüfen Sie die Einstellungen des Windows Sicherheitscenters unter Windows XP (einschließlich der Einstellungen der Windows-Firewall).

Windows Update ist nur mit Internet Explorer Version 5 oder höher kompatibel. Laden Sie ggf. Patches aus dem Microsoft Download Center auf einem anderen Computer oder über einen anderen Browser herunter. Speichern Sie die Patches auf CD und installieren Sie sie von dort.

14. Browser-Hijacker

Manche Trojaner übernehmen die Kontrolle über den Internet-Browser (in der Regel Internet Explorer). Ihr Computer ruft dann automatisch eine bestimmte Website auf und wird erneut infiziert.

Führen Sie folgende Schritte durch:

  • Verwenden Sie vorübergehend einen anderen Browser und richten Sie diesen auch als Standard-Browser ein. Importieren Sie bei der Installation keine Einstellungen oder gespeicherten Seiten.
  • Suchen Sie die Datei "Iereset.inf" und ersetzen Sie sie durch eine Kopie von einem anderen Computer mit demselben Betriebssystem. Diese Datei befindet sich in einem der Windows-Ordner, falls sie vorhanden ist.
  • Die meisten Einstellungen des Internet Explorers lassen sich auch im abgesicherten Modus aufrufen und ändern. Geben Sie an der Eingabeaufforderung Folgendes ein:
    Inetcpl.cpl
    Klicken Sie im Register "Programme" auf "Add-Ons verwalten", um unerwünschte Plug-ins zu deaktivieren.

15. Nützliche Dienstprogramme und Informationen

Folgende Dienstprogramme können bei der Problembehebung hilfreich sein:

Msconfig

Dieses Konfigurationsprogramm ist unter Windows XP und Windows 98, jedoch nicht unter Windows 2000, verfügbar. Wählen Sie zum Starten von Msconfig unter Windows "Start" > "Ausführen" und geben Sie Folgendes ein:

Msconfig

Funktionen von Msconfig

  • Sie können Programme aus dem Ordner "Autostart" entfernen.
  • Sie können alle Windows-fremden Dienste ermitteln, indem Sie auf das Register "Dienste" klicken und die Option "Alle Microsoft-Dienste ausblenden" wählen. Die übrigen Dienste stammen nicht von Microsoft, gehören jedoch vornehmlich zu Ihrer Originalsoftware.
  • Wenn Windows nicht im abgesicherten Modus hochfährt, legen Sie dies über die Registerkarte BOOT.INI fest. Wählen Sie "/SAFEBOOT/" und "Minimal".

Msinfo32 und Winmsd

Msinfo32 und Winmsd erstellen ausführliche Systemberichte, die die Problembehebung erleichtern können. Eines der Programme funktioniert jeweils unter Windows 2000, XP und 2003. Geben Sie "Msinfo32" oder "Winmsd" ein, um das gewünschte Programm im abgesicherten Modus über die Befehlszeile auszuführen.

Links zu diesem Thema

Folgende Artikel und Tools von Microsoft können zu mehr Computersicherheit beitragen.

Auffinden von Dateien mit der Befehlszeile

Geben Sie Folgendes ein, wenn Sie eine Datei im abgesicherten Modus über die Befehlzeile suchen:

C:
CD \
DIR <Dateiname> /S

Sie befinden sich nun im Hauptverzeichnis von Laufwerk C:. Suchen Sie jetzt nach der Datei <Dateiname>, dem Hauptverzeichnis und allen Unterverzeichnissen. Wenn Sie nach der Datei <Dateiname> in allen Ordnern suchen und versteckte Dateien in die Suche einbeziehen möchten, geben Sie Folgendes ein:

DIR <Dateiname> /S /AH

Nähere Informationen zur Verwendung der Befehlszeile finden Sie im Abschnitt mit den einfachen DOS-Befehlen.

16. Kontakt zu Sophos

Wenn sich der Trojaner nach wie vor nicht entfernen lässt und Sie Kontakt zu Sophos aufnehmen möchten, sollten Sie sich eine Antwort für möglichst viele der folgenden Fragen zurechtlegen. So unterstützen Sie uns bei der zügigen Analyse des Problems.

Grundlagen

  1. Als was wird/werden die Datei(en) von Sophos Anti-Virus erkannt?
  2. Welche Betriebssysteme laufen auf den Computern?
  3. Wie viele Computer sind betroffen?
  4. Wo (in welchem Ordner) befindet sich die betroffene Datei?

Hartnäckiger Trojaner

  1. Der Trojaner lässt sich entfernen, tritt jedoch wieder auf: wann?
    • Auch wenn der Computer von allen Netzwerken getrennt wurde?
    • Wenn der Computer wieder an das Netzwerk angeschlossen wird?
    • Beim Starten einer Anwendung/eines Programms (z.B. Internet Explorer)?
  2. Wurde die Datei gesperrt und kann entfernt werden (mit SAV32CLI oder manuell)?

Weitere Aspekte

  1. Lassen sich die Trojaner-Prozesse im Task-Manager beenden Wird der Trojaner daraufhin erneut gestartet?

Protokolle und weitere Informationsquellen

  • Senden Sie uns alle relevanten Berichte von Msinfo32 bzw. Winmsd.
  • Fügen Sie außerdem die Protokolle von SAV32CLI oder anderen Überprüfungen bei.

Neue Bedrohungen

Wenn Sie annehmen, dass es sich bei dem Trojaner um eine neue Gattung handelt oder die problematische Datei den Typ "-Fam" oder "-Gen" aufweist, senden Sie uns ein Sample.


Neuinstallation von Windows

Unter Umständen ist es einfacher, Windows erneut zu installieren, als die Infektion in all Ihren Auswirkungen zu beheben. Sichern Sie vor der Neuinstallation alle Daten (z.B. auf CD/DVD).

Ihr Original-Systemdatenträger kann in folgender Form vorliegen:

  1. Windows-CD von Microsoft
  2. Wiederherstellungs-CD vom Hersteller
  3. Wiederherstellungs-CDs/-DVDs, die Sie beim Einrichten des Computers erstellt haben

Bei Einsatz der Wiederherstellungs-CD vom Hersteller oder den selbst erstellten Wiederherstellungs-CDs/-DVDs werden alle Daten gelöscht. Dadurch wird zwar der Trojaner entfernt, jedoch auch alle Einstellungen, die Sie vorgenommen haben, sowie sämtliche von Ihnen installierten Programme, Treiber, Service-Packs und Patches.

Wenn Sie von einer Microsoft Windows-CD erneut installieren, wird das System repariert und nicht noch einmal komplett installiert. Aktive Trojaner bleiben dabei unter Umständen auf der Festplatte erhalten. Wenn dies der Fall ist, formatieren Sie Ihre Festplatte vor der Installation von Windows neu. Dadurch werden der Trojaner sowie sämtliche von Ihnen installierten Programme, Treiber, Service Packs und Patches gelöscht.

Stellen Sie nach der erneuten Installation von Windows sicher, dass Ihr Computer hinreichend vor Bedrohungen geschützt, bevor Sie wieder wie gewohnt damit arbeiten.

 
Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.

Artikel bewerten

Ungenügend Hervorragend

Anmerkungen