GVU Trojaner und der Eintrag AutoRun im Command Processor

eifelman

Es geht noch mal um den GVU Trojaner ...

In den Thread http://www.trojaner-board.de/135552-...in7-start.html darf ich leider nicht reinschreiben.

Der GVU-Trojaner nistet sich im Temp-Verzeichnis des Users ein, der ihn sich eingefangen hat und sorgt über den Eintrag

dafür, dass er beim Systemstart geladen wird. Nach dem Löschen des Temp-Verzeichnisses gibt er sich in einem DOS-Fenster zu erkennen, weil er nicht mehr gefunden wird. Der Windows Explorer kann dann über Taskmanager > Neuer Task > Explorer.exe gestartet werden.

Eigentlich ziemlich primitiv, dieser Schädling. Man benötigt keinen zeitintensiven Systemstart mit einer Boot-CD, um den Rechner zu analysieren. Die Anmeldung als anderer User, falls vorhanden, genügt bereits.

Mir war diese Startmöglichkeit eines Schädlings bisher unbekannt, weil auch AutoRun diese Stelle unter Logon nicht aufführt. Erst über Everything findet man den Eintrag weiter unten.

Auf einem sauberen Rechner scheint es den Eintrag AutoRun im Zweig Command Processor nicht zu geben. Wenn ich aber den Eintrag AutoRun im Command Processor lösche, bleibt der Bildschirm schwarz.

Nur wenn ich hier wie bei Shell ein Explorer.exe eintrage, startet der Rechner wie gewohnt mit dem Unterschied, dass nach dem Hochfahren ein DOS-Fenster auf dem Bildschirm steht.

Dieses Windows-Feature hat vermutlich ein höhere Priorität oder wird vor dem Eintrag Shell=Explorer.exe abgearbeitet.

Irgendwo muss es also noch einen Eintrag in der Registry geben, der auf diesen Command Processor "umschaltet" bzw. den AutoRun Eintrag in diesem Zweig aktiviert bzw. erforderlich macht.

Bevor ich jetzt irgendwelche Tools auf den Rechner loslasse, hätte ich gerne gewußt, wie dieses Windows-Feature funktioniert und wieder berichtigt werden kann.

Bin für jeden Tip dankbar!