Schädlinge manuell suchen

Die meisten Programme – egal ob Spezial-Tool oder AV-Software – können das System nicht vollständig säubern. Gerade in der Registry bleiben oft Einträge zurück. Sie sollten daher immer manuell überprüfen, ob sich noch Reste der Malware im System befinden. Dieser Check wird auch fällig, wenn auf dem PC keine Antiviren-Software installiert ist oder die Signaturen veraltet waren.

In der Regel installieren sich Schädlinge so, dass sie sich beim Start des Systems unbemerkt automatisch laden. Das Programm läuft meistens im Hintergrund und wird aktiv, wenn der Benutzer etwa online geht. Trojaner lassen sich somit dort aufspüren, wo sie sich eintragen können, um heimlich zu starten. Manche schreiben sich in die Dateien Win.INI, System.INI, Autostart.BAT oder Config.SYS, die Sie in Windows mit „Start, Ausführen, Sysedit“ einsehen und bearbeiten können.

Win.INI: Vor allem früher wurde diese Datei öfter benutzt, um den Trojaner beim Systemstart zu laden. Eventuelle Eintragungen sind dort unter den Parametern „Load=“ oder „Run=“ zu finden. Manchmal werden hinter den Parametern auch Leerzeichen eingefügt, damit die restlichen Einträge am Bildschirm nicht mehr zu sehen sind. Sie sollten deshalb immer an den Rand scrollen.

System.INI: In diese Datei tragen sich Trojaner meist unter „Shell=“ ein. Der Programmaufruf von Explorer.EXE ist an dieser Stelle in Ordnung. Wenn dahinter allerdings weitere Einträge stehen, gehen Sie dem besser nach, indem Sie zum Beispiel die laufenden Prozesse überwachen.

Registry: Ein beliebter Ort für versteckte Programmstarts ist die unübersichtliche Registrierdatenbank, die Sie über „Start, Ausführen, Regedit“ öffnen können. Kontrollieren Sie darin, ob sich etwa Einträge unter „Hkey_Classes_Rootxefile\Shell\ Open\Command“ befinden. Standardmäßig steht dort nur „%1"%*“. Bei einem Trojaner-Befall steht vor der Zeichenkette noch der Pfad für ein Programm. Bei Verdacht löschen Sie den Eintrag.

Vorsichtig vorgehen: Änderungen in der Registry sollten Sie nur vornehmen, wenn Sie wirklich sicher wissen, dass die Einträge tatsächlich von einem Trojaner stammen. Mit Hilfe eines Start-Managers können Sie nach und nach jedes unbekannte Programm deaktivieren, das automatisch mit dem PC startet. Haben Sie versehentlich eine benötigte Software abgeschaltet, lässt sie sich später einfach wieder aktivieren. Auf Trojaner spezialisiert ist der Start-Manager Trojancheck: Mit der Freeware können Sie überprüfen, welche Programme und Daten Ihr Rechner automatisch beim Start lädt.

Infos zu Schädlingen: Möchten Sie wissen, ob eine Datei, die Trojancheck meldet, ein Virus oder ein Trojaner ist, dann suchen Sie die Datei einfach über Google. Anhand der Beschreibungen finden Sie schnell heraus, ob die Datei zum System, zu einem wichtigen Programm oder Dienst gehört oder ob es sich um einen Schädling handelt. Sie können auch die Prozessdatenbank der PC-WELT einsehen.

Prozess-Viewer: Trojanern kommen Sie auch auf die Schliche, indem Sie einen Prozess-Viewer einsetzen, zum Beispiel die kostenlose Software Starter. Damit stellen Sie fest, welche Programme gerade aktiv sind. Die meisten Trojaner tarnen sich mit geschickt gewählten Namen, so dass Sie sie auf den ersten Blick für Programme halten, die zum Betriebssystem gehören. Überwachen Sie daher öfter die laufenden Programme. Dann wird Ihnen auch auffallen, wenn plötzlich ein Programm dabei ist, das vor zwei Tagen noch nicht da war.