Port-Verbindung überwachen

Trojaner finden Sie auch, indem Sie die Kommunikations-Kanäle Ihres PCs überwachen, die Ports. Ein belegter Port bedeutet, dass hier ein Trojaner lauern könnte. Am besten überprüfen Sie die Ports direkt nach dem Start des Rechners, solange Sie noch offline sind. Das geht zum Beispiel mit dem Windows-eigenen Kommandozeilen-Programm Netstat. Geben Sie unter „Start, Ausführen“ zuerst den Befehl „cmd“ ein und in das neue Fenster den Befehl „netstat -a“. Ist ein Port belegt, dann lautet der entsprechende Status „Listening“. Anhand der ausführlichen Port-Liste lässt sich in den meisten Fällen erkennen, ob es sich um einen Trojaner handelt und um welchen. Um ein Gefühl dafür zu bekommen, welche Ports standardmäßig belegt sind, rufen Sie Netstat regelmäßig auf.

Mit der Port-Liste können Sie den Trojaner allerdings nicht immer genau bestimmen: Hacker-Tools, mit denen nahezu jeder einen Trojaner erstellen kann, geben dem Autor die Möglichkeit, die Ports frei zu wählen. Viele legen die Kommunikation ihrer Schädlinge auf Ports, die eigentlich für harmlose Anwendungen reserviert sind. Sie sollten sich also nicht allein auf die Überwachung der Ports verlassen, sondern die beschriebenen Methoden kombinieren.

Firewall: Eines der effektivsten Mittel, mit dem sich Trojaner aufspüren lassen, ist eine Systemüberwachung per Firewall. Versucht ein Trojaner beispielsweise, aus Ihrem Rechner heraus zu seinem Programmierer Kontakt aufzunehmen, erkennt dies eine Firewall sofort. Sie zeigt an, welches Programm unaufgefordert eine Verbindung herstellen will und über welchen Port das versucht wird. Eine Firewall darf daher auf keinem System mit Netzwerkverbindung fehlen. Für Privatanwender empfehlen wir die kostenlose Firewall Zone Alarm.

Haben Sie bei Ihrer Suche in der Registry einen Trojaner-Eintrag gefunden, notieren Sie sich zuerst den Eintrag und löschen ihn dann. Anschließend starten Sie das System neu und entfernen die zuvor notierte Datei von Ihrem Rechner. Lässt sich der Trojaner auf diese Weise nicht beseitigen, starten Sie Ihren Rechner im „Abgesicherten Modus“ und versuchen es erneut. In den abgesicherten Modus kommen Sie, wenn Sie die <F8>-Taste drücken, während Ihr PC hochfährt.

Einfacher und schneller säubern Sie Ihr System, indem Sie den Trojaner mit Hilfe des Prozess-Viewers beenden, das Programm auf dem System suchen und es dann löschen. Nach einem erneuten Systemstart sollten Sie sämtliche Einträge in der Registry und die Dateien noch einmal überprüfen. Danach löschen Sie mögliche weitere Trojaner-Einträge in der Registry. Das geht über „Start, Ausführen, Regedit“ und „Bearbeiten/Suchen“. Sollte nach einem Neustart eine Fehlermeldung über eine nicht gefundene Datei erscheinen, haben Sie noch nicht alle Einträge des Trojaners aufgestöbert. Vergessen Sie nicht, die Systemwiederherstellung vor der Säuberung zu deaktivieren und danach wieder zu starten.

Achtung: Sie sollten sicher sein, dass es sich bei dem zu löschenden Programm um einen Trojaner handelt. Wenn Sie wichtige Systemdateien entfernen, kann Ihr PC anschließend seinen Dienst verweigern.