Obvious Virus places

 

HomeProjects & InfosCommodore16Bit ComputerCP/M ComputerCP/M Software
Detection of a virus 
Protect yourself 
Forensics 
Linux BootCDs 
Analyzing Tools 
Obvious Virus places 
ProxyFailover 
EXE Types 
FreeDOS CD 
Display Driver Error 
Changing VGA cooler 
Outpost Distribution Tool 
Overclocking PIII 
Transfer service 
Flea market 
About Z80 
About me 

 

 

Where to find Trojans/Viruses (german: Wo die Trojaner/Viren zu finden sind)

In DEUTSCH weiter unten !

Finding "default" places where Trojans/Viruses are anchored is no rocket science. In general, you have to look for "Autostart" entries.
Some Malware scanners will help for this, also some tools like "Autoruns" from Microsoft/Sysinternals.

But you need only REGEDIT.
All things can be done in "SAFE MODE" (press F8 at boot time), but use start with command line only !
Start the Registry Editor by typing in "REGEDIT".

Navigate in left pane similar to Windows Explorer to the following places:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (see picture below)


Click on "Winlogon".

Look in right pane for value of "shell", it should be "explorer.exe".
If not, restore it (change value by doubleclick on "Shell" and type in "explorer.exe" w/o quotes).

Navigate in left pane to:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\Run
or
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\Run   (see picture below)


In right pane, look for unusual file pathes or unusual file names.
This could be a bit tricky because you have to know what is "good" and what is "bad". If you have no idea, it is wise to print these entries on paper or you save it by exporting it in a file - and then delete all entries on right pane (a new installed windows system does not really need any additional program here).

Take a look also at your own "startup" folder (just click on "All programs", scroll down if needed).

Restart windows by shutting it down with the help of a 2nd command.
You have to type in:

shutdown -r -t 00

There are several other ways to start programs automatically in Windows, so this is only a first aid page.


DEUTSCHE ANLEITUNG:

Das Finden der "Standard" Plätze wo Trojaner/Viren im System verankert sind ist keine Wissenschaft. Generell gilt, man hat die "Autostart" Einträge zu kontrollieren.
Einige Schadsoftware-Scanner helfen dabei, auch einige Werkzeuge wie "Autoruns" von Microsoft/Sysinternals.

Aber eigentlich braucht man nur REGEDIT.
Alle Tipps können im "abgesicherten Modus" (drücke F8 beim Rechnerstart, aber wähle "nur mit Kommandozeile") ausgeführt werden !
Starte den Registry Editor indem man einfach "REGEDIT" eintippt.

Navigiere im linken Bereich ähnlich wie mit dem Windows Explorer zu den folgenden Stellen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (siehe Bild unten)


Klicke auf "Winlogon" (einmal).

Schaue im rechten Bereich nach "shell", weiter rechts sollte "explorer.exe" stehen.
Wenn nicht, stelle diesen Eintrag wieder her (ändere den Wert durch Doppelklick auf "Shell" und tippe "explorer.exe" ohne Anführungsstriche ein).

Navigiere im linker Bereich weiter zu:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\Run
und/oder
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\Run   (siehe Bild unten)


Im rechten Bereich muß man jetzt nach ungewöhnlichen Dateipfadangaben oder Dateinamen schauen.
Das ist etwas schwieriger weil man wissen muß, was "gut" und was "schlecht" ist. Wenn man keine Idee dazu hat, sollte man die Einträge ausdrucken oder in eine Datei exportieren - aber dann alle Einträge löschen (ein neu installiertes Windows braucht keine Einträge hier).

Bitte auch mal in das benutzereigene "Autostart" Verzeichnis reinschauen (in der "Alle Programme" Liste).

Starte Windows neu mit der Hilfe eines weiteren Kommandzeilenbefehls.
Gebe ein:

shutdown -r -t 00

Es gibt noch viele andere Wege, Programme in Windows automatisch zu starten, daher ist das hier nur eine erste Hilfe Seite...

Übrigens: Der "DE-Cleaner" von Avira und damit wohl auch "AntiVir" ist nicht besonders empfehlenswert.
Kurz nach Auftreten einer neuen Variante des "BKA Trojaner" war u.a. die Produkte von Avira nicht in der Lage, hier ein Schädling zu erkennen. Da waren (auch kostenlose) Virenscanner von Avast oder AVG erfolgreicher...

 

HomeProjects & InfosCommodore16Bit ComputerCP/M ComputerCP/M Software

Copyright (c) 2005-2014 Peter Dassow. All rights reserved.

peter.dassow@NOSPAM.z80.eu (remove NOSPAM. for a proper mail address)