Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

BKA Trojaner (Version 2.07) im Domänenprofil eingefangen

Frage Microsoft Windows 7

Mitglied: chevron-9

chevron-9 (Level 1) - Jetzt verbinden

19.09.2012 um 08:45 Uhr, 4729 Aufrufe, 6 Kommentare

Hallo Zusammen !

Ich bin grade ein wenig am verzweifeln... Einer meiner Notebookusern hat sich einen BKA Trojaner eingefangen, laut google die Version 2.07. Es handelt sich um ein Windows 7 Notebook an einer Windows 2008 Domain. Es werden Netzlaufwerkanbindung und ein Netzgestützes Profil genutzt.

Das Notebook ist inifiziert, soweit ist das klar. Jedoch hat sich der User bevor er sich bei mir gemeldet hat testweise an anderen PCs in der Umgebung angemeldet, und die BKA Meldung kommt an allen PCs. Wenn sich dort andere User anmelden zeigt sich der Trojaner jedoch nicht...

Da der Trojaner augenscheinlich in dem Profil existiert reicht es nun nicht das Notebook zu killen und neu aufzusetzen. Hat jemand einen Tipp wie ich am sinnvollsten vorgehe ?

Ich habe schon im Domain User folgendes getestet

Netzlaufwerke und Profilpfad entfernt : keine Änderung
Gruppenzugehörigkeiten entfernt : keine Änderung
ein Kollege hat sogar schon einmal das Profil aus einem älteren Backup wiederhergestellt

Wenn ich testweise den User umbenenne von "user" auf zB "user2", so funktioniert einmalig die Anmeldung, wenn der user2 sicher dann ab und wieder anmeldet hat auch dieser dann das Trojanerbild...

*seufz*
Bin für jeden Tipp äußerst dankbar

LG
chevron-9
Mitglied: Ravers
19.09.2012 um 12:09 Uhr
Moin,

Virenscan auf den bereits betroffenen Rechnern machen. Danach würde ich das Profil neu anlegen und die reinen Daten rüberkopieren.
Somit die Registrierung halt säubern und im Profil dürfte dann auch nix mehr sein.

greetz
ravers
Bitte warten ..
Mitglied: Neomatic
19.09.2012 um 12:13 Uhr
Hallo,

starte den Rechner im abgesicherten Modus mit Netzwerktreibern. Melde dich mit dem Benutzer an und lass den Virenscanner mal drüber laufen.

Gute Erfahrungen habe ich mit Windows Offline Defender (Boot CD von Microsoft) gemacht. Wenn der den Virus gefunden hat, dann nochmal im abgesicherten Modus mit Netzwerktreibern starten und TrendMicro Housecall durchlaufen lassen. Danach waren die Systeme immer sauber.

Gruß
Neomatic
Bitte warten ..
Mitglied: kontrast
19.09.2012, aktualisiert um 12:45 Uhr
Hi,

wenn er nicht automatisch erkannt wird, dann kann ich dir dies ans Herz legen. Hat mir erst letztens sehr geholfen einen Trojaner von Hand zu entfernen.

Video zur Verwendung von Sysinternals Suite um Malware zu beseitigen.

http://channel9.msdn.com/Events/TechEd/NorthAmerica/2012/SIA302


Ich wünsche dir viel Glück!
Bitte warten ..
Mitglied: chevron-9
19.09.2012 um 13:03 Uhr
danke für Eure Antworten !

Interessant ist das NUR mit diesem Benutzer das BKA Zeug kommt... Melde ich mich mit einem anderen User oder dem Domain Admin an ist alles Roger (auch im nicht abgesicherten Modus!)

Virenscanner hab ich schon unterschiedliche drübergeschickt. Einige Sachen wurden auch gefunden, jedoch nicht repariert.

Ich habe nun einen neuen Useraccount angelegt, das Exchange Postfach verklinkt und setze grade das Notebook auf einer neuen Festplatte auf...


Ich hoffe das ich beim rüberkopieren der alten Profildaten nichts erneut verseuche...
Bitte warten ..
Mitglied: DerWoWusste
19.09.2012, aktualisiert um 17:28 Uhr
Moin.

Es sieht doch sehr danach aus, dass Du Servergespeicherte Profile einsetzt. So ist erklärbar, was Du beobachtest: an jedem Rechner wird bei diesem Nutzer das verseuchte, servergespeicherte Profil geladen. Das Profil brauchst du also nur zu desinfizieren oder neu anzulegen.
Bitte warten ..
Mitglied: chevron-9
20.09.2012 um 10:47 Uhr
Danke für Eure Antworten.

Desinfizieren hat nicht zum gewünschten Erfolg geführt. Neues Profil angelegt, Exchange Postfach neu eingeklinkt und gut wars. Dennoch danke euch allen für Eure Antworten !
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Petya Virus eingefangen
Frage von FFSephirothViren und Trojaner14 Kommentare

Hallo zusammen, ein Kunde von mir hat den Petya Virus, also sein Laptop. Jetzt habe ich folgende Konstellation: Ich ...

Windows Userverwaltung
Ordner und Dateien in Domänenprofilen ausschließen
gelöst Frage von BleppSatterWindows Userverwaltung8 Kommentare

Hallo Community, mein Unternehmen arbeitet schon lange mit Domänenprofilen, jedoch haben sich einige Profile durch das individuelle Nutzerverhalten so ...

Windows 10
Domänenprofil einrichten unter Windows 10
Frage von ribrobWindows 102 Kommentare

Hallo, ich stehe gerade vor der tollen Aufgabe, ein vernünftiges Profil für den Standard-Domänenbenutzer zu erstellen. Folgendes habe ich ...

Viren und Trojaner
Mischa Trojaner. Was nun
Frage von EdaseinsViren und Trojaner5 Kommentare

Hi Leute, und nun bin ich verzweifelt. Ich habe einen Kunden der hat sich nen Mischa im gesamten Netzwerk ...

Neue Wissensbeiträge
MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 13 StundenMikroTik RouterOS4 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 13 StundenSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Administrator.de Feedback

Entwicklertagebuch: Die Startseite wurde überarbeitet

Information von admtech vor 16 StundenAdministrator.de Feedback9 Kommentare

Hallo Administrator User, mit dem Release 5.7 haben wir unsere Startseite überarbeitet und die Beiträge und Fragen voneinander getrennt. ...

Vmware

VMware Desktopprodukte sind verwundbar

Information von Penny.Cilin vor 20 StundenVmware

Die VMware-Anwendungen zum Umgang mit virtuellen Maschinen Fusion, Horizon Client und Workstation sowie die Plattform NSX sind verwundbar. Davon ...

Heiß diskutierte Inhalte
Visual Studio
Vb.net-Tool zum Erzeugen einer Outlook-E-Mail
Frage von ahstaxVisual Studio24 Kommentare

Hallo, ich möchte gerne ein vb.net-Tool schreiben, das am Ende eine Outlook-E-Mail erzeugt. Grundsätzlich ist mir klar, wie das ...

Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server16 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows Netzwerk
Netzwerk Neustrukturierung
Frage von IT-DreamerWindows Netzwerk16 Kommentare

Hallo verehrte Community und Admins, bei uns im Haus steht eine Neustrukturierung an. Dafür benötige ich von euch ein ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...