Wo zum Teufel können Trojaner sich autostarten?

[calamari]

Also die primitiven autostartmöglichkeiten kenn ich ja
und das nur unter win 9x
meine frage ist
Wo verstecken die Trojaner ihren Autostart bei WinNt 2k Xp

Wo muß ich suchen?

 

[Erazer]

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionRun
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices


da kannst mal schauen,
dazu gab es aber schon mal einen Beitrag

 

[calamari]

Die Registrie kenn ich wie meine Hosentasche
nee
ich hatte nen Trojaner gehabt der hieß mosucker
und den hab ich nicht in der Registrie gefunden

und nun wollte ich wissen wp er sich versteckt hatte
(hab ich mit der remove anweißung entfernt)
jedenfalls hab ich auch in win.ini gesucht
naja
ich such nochmal
aber wo?

 

[mido]

bei Trojaner-Info.de giebt es einen Interressanten Artikel über das Aufspüren von Trojanern.
cu,
little_Newbie

 

[Watchme]

@ Cala : mal dran gedacht, dass in der reg ein anderes Programm steht, dass dann den Troja aufruft??? hatte ich letztens .....))

 

[Asker]

Naja ich denke doch das dass klar ist.... wird sicherlich nicht server.exe drin stehn oder so

 

[Erazer]

Re:

Original von calamari
Die Registrie kenn ich wie meine Hosentasche

dann dürfte es für dich doch kein problem sein !

 

[Tec]

unter NT gibts mehrere Autostarts. Der Admin hat eine, jeder normale User eine, dann der "All User", der "Default"-User...

Such mal dort.

 

[calamari]

und gibts da nicht etwas was für alle autostart ist?

Naja ich denke doch das dass klar ist.... wird sicherlich nicht server.exe drin stehn oder so

rofl wenn man buha user ist dann kann so was passieren

dann dürfte es für dich doch kein problem sein !

die registry ist nicht alles auf dieser Welt

 

[dwarf]

du kennst du bestimmt exe-binder , oder ?
also was ist nun wenn sich der trojaner an eine exe klemmt die sowieso jedesmal gestartet wird.
z.B. explorer.exe , ...

 

[calamari]

Die kann man aber nicht bearbeiten wenn sie geöffnet ist

soll ích dann im Stammverzeichnis suchen (also c nach der explorer.exe?

 

[Gismon]

Tambu_Registry!

Da kann ich nur das Programm "Tambu_Registry" empfehlen.

Einfach starten und das Programm zeigt alle wesentlichen Regedit-Einträge an, wo sich Trojaner gerne verstecken.

Einfach auf delete gehen und die Einträge sind aus der Regedit draußen.

Ich wollte es erst bei Euch uploaden, aber der Dateianhang darf wohl nur ca 40 KB sein.

Naja - ich habe einen Link für Euch.

Gismon

[http://astalavista.box.sk/cgi-bin/robot?srch=tambu+registry+]