Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

BKA Trojaner (Version 2.07) im Domänenprofil eingefangen

Frage Microsoft Windows 7

Mitglied: chevron-9

chevron-9 (Level 1) - Jetzt verbinden

19.09.2012 um 08:45 Uhr, 4699 Aufrufe, 6 Kommentare

Hallo Zusammen !

Ich bin grade ein wenig am verzweifeln... Einer meiner Notebookusern hat sich einen BKA Trojaner eingefangen, laut google die Version 2.07. Es handelt sich um ein Windows 7 Notebook an einer Windows 2008 Domain. Es werden Netzlaufwerkanbindung und ein Netzgestützes Profil genutzt.

Das Notebook ist inifiziert, soweit ist das klar. Jedoch hat sich der User bevor er sich bei mir gemeldet hat testweise an anderen PCs in der Umgebung angemeldet, und die BKA Meldung kommt an allen PCs. Wenn sich dort andere User anmelden zeigt sich der Trojaner jedoch nicht...

Da der Trojaner augenscheinlich in dem Profil existiert reicht es nun nicht das Notebook zu killen und neu aufzusetzen. Hat jemand einen Tipp wie ich am sinnvollsten vorgehe ?

Ich habe schon im Domain User folgendes getestet

Netzlaufwerke und Profilpfad entfernt : keine Änderung
Gruppenzugehörigkeiten entfernt : keine Änderung
ein Kollege hat sogar schon einmal das Profil aus einem älteren Backup wiederhergestellt

Wenn ich testweise den User umbenenne von "user" auf zB "user2", so funktioniert einmalig die Anmeldung, wenn der user2 sicher dann ab und wieder anmeldet hat auch dieser dann das Trojanerbild...

*seufz*
Bin für jeden Tipp äußerst dankbar

LG
chevron-9
Mitglied: Ravers
19.09.2012 um 12:09 Uhr
Moin,

Virenscan auf den bereits betroffenen Rechnern machen. Danach würde ich das Profil neu anlegen und die reinen Daten rüberkopieren.
Somit die Registrierung halt säubern und im Profil dürfte dann auch nix mehr sein.

greetz
ravers
Bitte warten ..
Mitglied: Neomatic
19.09.2012 um 12:13 Uhr
Hallo,

starte den Rechner im abgesicherten Modus mit Netzwerktreibern. Melde dich mit dem Benutzer an und lass den Virenscanner mal drüber laufen.

Gute Erfahrungen habe ich mit Windows Offline Defender (Boot CD von Microsoft) gemacht. Wenn der den Virus gefunden hat, dann nochmal im abgesicherten Modus mit Netzwerktreibern starten und TrendMicro Housecall durchlaufen lassen. Danach waren die Systeme immer sauber.

Gruß
Neomatic
Bitte warten ..
Mitglied: kontrast
19.09.2012, aktualisiert um 12:45 Uhr
Hi,

wenn er nicht automatisch erkannt wird, dann kann ich dir dies ans Herz legen. Hat mir erst letztens sehr geholfen einen Trojaner von Hand zu entfernen.

Video zur Verwendung von Sysinternals Suite um Malware zu beseitigen.

http://channel9.msdn.com/Events/TechEd/NorthAmerica/2012/SIA302


Ich wünsche dir viel Glück!
Bitte warten ..
Mitglied: chevron-9
19.09.2012 um 13:03 Uhr
danke für Eure Antworten !

Interessant ist das NUR mit diesem Benutzer das BKA Zeug kommt... Melde ich mich mit einem anderen User oder dem Domain Admin an ist alles Roger (auch im nicht abgesicherten Modus!)

Virenscanner hab ich schon unterschiedliche drübergeschickt. Einige Sachen wurden auch gefunden, jedoch nicht repariert.

Ich habe nun einen neuen Useraccount angelegt, das Exchange Postfach verklinkt und setze grade das Notebook auf einer neuen Festplatte auf...


Ich hoffe das ich beim rüberkopieren der alten Profildaten nichts erneut verseuche...
Bitte warten ..
Mitglied: DerWoWusste
19.09.2012, aktualisiert um 17:28 Uhr
Moin.

Es sieht doch sehr danach aus, dass Du Servergespeicherte Profile einsetzt. So ist erklärbar, was Du beobachtest: an jedem Rechner wird bei diesem Nutzer das verseuchte, servergespeicherte Profil geladen. Das Profil brauchst du also nur zu desinfizieren oder neu anzulegen.
Bitte warten ..
Mitglied: chevron-9
20.09.2012 um 10:47 Uhr
Danke für Eure Antworten.

Desinfizieren hat nicht zum gewünschten Erfolg geführt. Neues Profil angelegt, Exchange Postfach neu eingeklinkt und gut wars. Dennoch danke euch allen für Eure Antworten !
Bitte warten ..
Ähnliche Inhalte
Festplatten, SSD, Raid
Firmware Version 17343 für ICP 5085BL

Frage von Wern2000 zum Thema Festplatten, SSD, Raid ...

Windows XP
SP3 für Windows XP Embedded Version 2002 (4)

Frage von Michael-24 zum Thema Windows XP ...

Windows Systemdateien
gelöst AdobeReader MSI downloaden und verteilen ist am Zielrechner nicht die aktuelle Version (1)

Frage von WinLiCLI zum Thema Windows Systemdateien ...

Viren und Trojaner
gelöst Wanna Cyrpt0r - Patch Windows 10 Version 1703? (9)

Frage von moar70 zum Thema Viren und Trojaner ...

Neue Wissensbeiträge
Windows 10

Windows 8.x oder 10 Lizenz-Key aus dem ROM auslesen mit Linux

(6)

Tipp von Lochkartenstanzer zum Thema Windows 10 ...

Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(38)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Heiß diskutierte Inhalte
Windows 10
gelöst Windows 10 Home "Netzlaufwerk nicht bereit" (19)

Frage von Oggy01 zum Thema Windows 10 ...

Exchange Server
Exchange Postfach leeren - nicht löschen (11)

Frage von AndreasOC zum Thema Exchange Server ...

SAN, NAS, DAS
+100tb Storagelösung (11)

Frage von Data-Fabi zum Thema SAN, NAS, DAS ...

LAN, WAN, Wireless
Cisco W-Lan Controller als Applicance oder Software (11)

Frage von Herbrich19 zum Thema LAN, WAN, Wireless ...