Tipps & Tricks 19.03.2003, 17:30 Uhr

Freddy, der Trojaner

Ich habe vor kurzem eine E-Mail bekommen, mit einer Anlage namens Party.exe. Nach dem ich sie geöffnet habe, fand mein Norton AntiVirus, dass die Datei C:\WINDOWS\watchDLL.dll mit einem Backdoor.Trojan infiziert wurde und nicht repariert werden konnte. Der Zugriff auf die Datei wurde dann von Norton verwehrt. Ich habe den ganzen Computer daraufhin sowohl nach Viren durchsucht als auch nach der Datei watchDLL.dll, habe aber keins von beiden gefunden. Mein Computer ist seitdem ganz normal, nur beim Starten bekomme ich jedes Mal die Meldung «Fehler: library watchdll.dll not found. System watching is disabled». Habe ich nun einen Virus auf dem PC?
Sie sollten wirklich niemals EXE-Dateien oder sonstige Mail-Beilagen öffnen, wenn Sie nicht genau wissen, von wem sie stammen oder was sie enthalten. Fragen Sie im Zweifelsfall beim Absender nach. Wenn Sie den Absender nicht kennen, dann ist die Mail inkl. Beilage erst recht höchst verdächtig. Da ein Trojaner sich nicht von selber verbreitet, wurde Ihnen (und vermutlich vielen anderen Personen) diese Datei von einem Möchtegern-Hacker zugestellt. Auf die Absender-Adresse können Sie in diesem Fall nicht vertrauen, da diese höchst wahrscheinlich gefälscht ist.
Ist die von Norton blockierte Datei nicht mehr im Windows-Ordner zu finden? Dann starten Sie Norton, lassen sich die Quarantäne anzeigen und entfernen die Datei auch noch aus der Quarantäne. Übrigens haben Sie es möglicherweise mit dem Backdoor-Programm namens "Freddy" [1] zu tun. Dieses erlaubt es einem aussenstehenden, via Internet auf Ihren PC zuzugreifen und diesen fernzusteuern oder noch mehr Schädlinge zu installieren.
Vermutlich hat der Backdoor einen Eintrag in der Windows-Registry erstellt. Gehen Sie zu "Start/Ausführen", tippen Sie REGEDIT ein und drücken Sie Enter. Dies startet den Registry-Editor. Seien Sie damit bitte sehr vorsichtig!
Achten Sie darauf, dass Sie im Registry-Editor ganz zu oberst stehen (also auf Arbeitsplatz). Klicken Sie sich nun im Registry-Editor über die Pluszeichen zu diesem Zweig durch und klicken Sie ihn an, damit Sie in der rechten Fensterhälfte dessen Einträge sehen:
HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run
Schauen Sie sich die Einträge an. Enthält einer von ihnen den Dateinamen
wintool.exe oder watchdll.dll, klicken Sie den Eintrag mit Rechts an und wählen im Kontextmenü den Punkt "Löschen". Schliessen Sie den Registry-Editor wieder un starten Sie Ihren PC neu.
Öffnen Sie nun per Windows-Explorer den Ordner C:\Windows\. Halten Sie nach einer Datei namens Wintool.exe Ausschau und löschen Sie sie. Führen Sie auch ein Update Ihres Virenscanners durch (bei Norton heisst dies "LiveUpdate") und scannen Sie Ihre Festplatte erneut.
Da Sie nicht wissen, ob jemand bereits Zugriff auf Ihren PC genommen hat, sollten Sie Ihre Passwörter (z.B. fürs Mail-Konto und ähnliches) ändern.
Viele Mailprogramme blockieren standardmässig alle Beilagen, die eine Endung wie EXE, VBS, SHS, PIF, COM, BAT (etc.) haben. Da Ihres dies nicht tut, sollten Sie sich auch einmal über Systemupdates Gedanken machen. Installieren Sie mindestens den Internet Explorer Version 5.5 SP2 [2]. Führen Sie anschliessend ein Windows-Update durch.
Da Norton offensichtlich nur die DLL-Datei des Backdoors gefunden hat, aber nicht die EXE-Datei, sollten Sie Ihren PC vielleicht mit einem zweiten Virenscanner prüfen. Zum Beispiel direkt via Internet mit Panda ActiveScan [3] oder Symantec Security-Check [4] oder mit einer Test-Version eines anderen Virenscanners (z.B. Kaspersky Antivirus [5]).



Kommentare
Es sind keine Kommentare vorhanden.