Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: BKA Virus, jetzt noch Trojan.Agent auf C:\Dokumente und Einstellungen\Administrator\ms.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 31.05.2012, 09:52   #1
Vikse
 
BKA Virus, jetzt noch Trojan.Agent auf C:\Dokumente und Einstellungen\Administrator\ms.exe - Standard

BKA Virus, jetzt noch Trojan.Agent auf C:\Dokumente und Einstellungen\Administrator\ms.exe



Mein Rechner wurde vorgestern, vermutlich vom Besuch einer Webseite mit dem BKA Virus (österreichische Version) infiziert. Habe erstmal eigene Schritte unternommen um den Rechner zu entsperren:

1.Im abgesichterten Modus gestartet Registrierungseintrag explorer_new.exe auf explorer.exe zurückbenannt, die explorer_new.exe Datei gefunden und gelöscht.
2. Von Kaspersky Rescue Disk - per USB gebootet, Virenscan durchgeführt
3. Mit Malwarebytes Quick Scan durchgeführt, hier das Log:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.31.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: VERWALTUNG [Administrator]

Schutz: Aktiviert

31.05.12 09:43:51
mbam-log-2012-05-31 (09-43-51).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 225714
Laufzeit: 8 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\Administrator\ms.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Ich nehme an, daß mein Rechner damit noch nicht sauber ist. Was kann ich in weiterer Folge machen?
Im vorhinein herzlichen Dank für Rat und Hilfe an alle Mitarbeiter des Boards.

Alt 31.05.2012, 10:34   #2
Petra
/// Malwareteam / Visitor
 
BKA Virus, jetzt noch Trojan.Agent auf C:\Dokumente und Einstellungen\Administrator\ms.exe - Standard

BKA Virus, jetzt noch Trojan.Agent auf C:\Dokumente und Einstellungen\Administrator\ms.exe



Hallo Vikse,

bitte beachten: => Die 8 goldenen Regeln im Trojaner-Board

Bitte die folgenden Punkte in der vorgegebenen Reihenfolge abarbeiten:

Schauen wir nach, ob noch Reste vorhanden sind oder es sonst noch etwas zu tun gibt :-)


===== Punkt 1 =====

Systemscan mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.
  • Doppelklick auf die OTL.exe
  • Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Oben findest Du ein Kästchen mit Ausgabe.
    Wähle bitte Standard-Ausgabe
  • Unter Extra-Registrierung wähle bitte Benutze SafeList.
  • Mache Häckchen bei LOP- und Purity-Prüfung.
    Mache hier zusätzlich einen Haken bei "Scanne alle Benutzer".
  • User mit 64Bit-Systemen machen auch einen Haken bei "Include 64Bit-Scan".
  • Klicke nun auf Scan links oben.


  • Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  • Sofern Dein realer Nachname Bestandteil des Benutzernamens ist:
    anonymisiere diesen durch 5 Sternchen *****, am besten im Editor durch "Suchen und Ersetzen".
    Vornamen oder sonstige Usernamen brauchen nicht anonymisiert werden.
    Beispiel: Lieschen Müller - hier Müller durch ***** ersetzen.
    Ist der Benutzername nur Lieschen kann er so bleiben, wie er ist.
    Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
  • Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.
__________________

__________________

Alt 31.05.2012, 18:09   #3
Vikse
 
BKA Virus, jetzt noch Trojan.Agent auf C:\Dokumente und Einstellungen\Administrator\ms.exe - Standard

BKA Virus, jetzt noch Trojan.Agent auf C:\Dokumente und Einstellungen\Administrator\ms.exe



Hallo Petra,
herzlichen Dank für Deine Antwort und Hilfe.
Ich habe OTL über Deinen link runtergeladen und am Desktop gespeichert. Eigenartigerweise ist mein OTL auf Englisch (OTL by OldTimer - Version 3.2.44.0) habe alle Anweisungen wie "Standard output", "LOP Check" und "Purity Check" befolgt, ausser den Haken bei "Scanne alle Benutzer" - etwas entsprechendes finde ich in am englischen OTL leider nicht. Bei file age war "30 Days" voreingestellt, ich habe das so gelassen. Die Logfiles sind im Anhang. Die OTL.txt war zu groß zum hochladen, habe sie in OTL.txt und OTL2.txt aufteilen müssen.
Liebe Grüße.....Vik
__________________

Alt 31.05.2012, 18:22   #4
Vikse
 
BKA Virus, jetzt noch Trojan.Agent auf C:\Dokumente und Einstellungen\Administrator\ms.exe - Standard

BKA Virus, jetzt noch Trojan.Agent auf C:\Dokumente und Einstellungen\Administrator\ms.exe



Nachtrag, habe Vorsichtshalber die OTL.exe auf VirusTotal scannen lassen. 5 Virenbedrohungen werden gemeldet:

ByteHero Trojan.Win32.Heur.087
ClamAV PUA.Packed.PECompact-1
DrWeb Trojan.Siggen4.1897
eSafe Suspicious File
VirusBuster Packed/PECompact

lg
Vik

Alt 01.06.2012, 08:45   #5
Petra
/// Malwareteam / Visitor
 
BKA Virus, jetzt noch Trojan.Agent auf C:\Dokumente und Einstellungen\Administrator\ms.exe - Standard

BKA Virus, jetzt noch Trojan.Agent auf C:\Dokumente und Einstellungen\Administrator\ms.exe



Hallo Vik,

OTL ist sauber, wenn Du es von der angegeben Downloadquelle heruntergeladen hast, da brauchst Du Dir keine Sorgen machen. Dass es bei Dir in Englisch angezeigt wird, könnte an Deiner österreichischen Länderkennung liegen. Wir testen alle Tools, die wir einsetzen auf Herz und Nieren. Removal-Tools werden häufig von Antiviren-Herstellern als suspekt eingestuft. Das hängt damit zusammen, dass sie um die Schädlinge bekämpfen zu können, auf ähnliche Weise arbeiten.

Wie es aussieht, stimmt aber eh etwas mit Deinem Rechner nicht. Dein Adobe CS4 hat sich so installiert, dass es eine Menge "Freiheiten" besitzt und z. B. über offene Ports ungehemmt Daten an der Firewall vorbei austauschen kann:

Code:
ATTFilter
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"5353:TCP" = 5353:TCP:*:Enabled:Adobe CSI CS4
"3703:TCP" = 3703:TCP:*:Enabled:Adobe Version Cue CS4 Server
"3704:TCP" = 3704:TCP:*:Enabled:Adobe Version Cue CS4 Server
"51000:TCP" = 51000:TCP:*:Enabled:Adobe Version Cue CS4 Server
"51001:TCP" = 51001:TCP:*:Enabled:Adobe Version Cue CS4 Server
"21:TCP" = 21:TCP:*:Enabled:ftp
         
Code:
ATTFilter
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" = C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe:*:Enabled:Adobe CSI CS4 -- (Adobe Systems Incorporated)
"C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe" = C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe:*:Enabled:Adobe Version Cue CS4 Server -- (Adobe Systems Incorporated)
"C:\Programme\Adobe\Adobe Dreamweaver CS4\Dreamweaver.exe" = C:\Programme\Adobe\Adobe Dreamweaver CS4\Dreamweaver.exe:*:Enabled:Adobe Dreamweaver CS4 -- (Adobe Systems, Inc.)
         
Da es deutliche Hinweise darauf gibt, dass es sich hier um eine gecrackte CS4-Version handelt, bei welcher oft Backdoors gleich mitinstalliert werden, kann ich Dir nur dazu raten, Windows XP neu zu installieren, alle Deine Passwörter von einem garantiert sauberen Rechner aus zu ändern und in Zukunft auf gecrackte Software zu verzichten.

__________________
[°¿°] Ciao, Petra

Geändert von Petra (01.06.2012 um 08:49 Uhr) Grund: Link hinzugefügt

Alt 06.06.2012, 16:52   #6
Vikse
 
BKA Virus, jetzt noch Trojan.Agent auf C:\Dokumente und Einstellungen\Administrator\ms.exe - Standard

BKA Virus, jetzt noch Trojan.Agent auf C:\Dokumente und Einstellungen\Administrator\ms.exe



Liebe Petra,
die Version CS4 hat mein Schwiegersohn installiert. Ich werde Deinem Rat folgen und windows XP neu installieren. Herzlichen Dank für Deine Hilfe. Liebe Grüße, Vik

Alt 07.06.2012, 08:36   #7
Petra
/// Malwareteam / Visitor
 
BKA Virus, jetzt noch Trojan.Agent auf C:\Dokumente und Einstellungen\Administrator\ms.exe - Standard

BKA Virus, jetzt noch Trojan.Agent auf C:\Dokumente und Einstellungen\Administrator\ms.exe



Hallo Vik,

ja, Neuinstallation (siehe unten Tipps zur Nachsorge) ist die richtige Entscheidung :-)

Falls keine Fragen mehr kommen, lösche ich den Thread in ein paar Tagen als erledigt aus meinen Abos.
__________________
[°¿°] Ciao, Petra

Antwort

Themen zu BKA Virus, jetzt noch Trojan.Agent auf C:\Dokumente und Einstellungen\Administrator\ms.exe
administrator, anti-malware, autostart, bkavirus, dateien, dateisystem, einstellungen, explorer, explorer.exe, heuristiks/extra, heuristiks/shuriken, infiziert., kaspersky, malwarebytes, ms.exe, packed/pecompact, pua.packed.pecompact-1, quarantäne, rechner, service, service pack 3, speicher, trojan.agent, trojanerbefall, ukash trojaner, usb, version, virus, österreichische bkaversion




Ähnliche Themen: BKA Virus, jetzt noch Trojan.Agent auf C:\Dokumente und Einstellungen\Administrator\ms.exe


  1. TR/Injector.gi in C:\Dokumente und Einstellungen\Test\Lokale Einstellungen\Temp\qxtndqxofj.pre
    Log-Analyse und Auswertung - 01.06.2013 (3)
  2. TR/Agent.73728.15 in C:\Dokumente und Einstellungen\Alexander\deadorziwaty.exe und \Lokale Einstellungen\Temp\1463906.exe
    Log-Analyse und Auswertung - 21.12.2012 (27)
  3. EXP/CVE-2010-4452.Q in C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deploym
    Plagegeister aller Art und deren Bekämpfung - 07.10.2012 (3)
  4. Viren,BDS/ZAccess.T,TR/ATRAPS.gen,TR/ATRAPS.gen2 in C:/Dokumente/Einstellungen/Administrator..
    Alles rund um Windows - 22.07.2012 (1)
  5. Trojan.LameShield durch Securtiy Shield in C:\Dokumente und Einstellungen\xy\...iqjeig.exe
    Plagegeister aller Art und deren Bekämpfung - 17.07.2012 (5)
  6. Trojan horse Dropper.Generic5.TDZ in C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Te
    Plagegeister aller Art und deren Bekämpfung - 28.02.2012 (31)
  7. Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme
    Plagegeister aller Art und deren Bekämpfung - 20.06.2011 (80)
  8. Trojan Agent dwm.exe / csrss.exe in C:\Dokumente und Einstellungen\Anwendungsdaten\dwm.exe
    Plagegeister aller Art und deren Bekämpfung - 20.06.2011 (28)
  9. C:\Dokumente und Einstellungen\mein name\Lokale Einstellungen\Temp csrss.exe Win32.FakeAlert.tt
    Plagegeister aller Art und deren Bekämpfung - 11.03.2011 (8)
  10. Virus HTML/Drop.Agent.AB in C:/Dokumente und Einstellungen/Lokale Service
    Antiviren-, Firewall- und andere Schutzprogramme - 10.03.2011 (1)
  11. HTML/Malicious.PDF.Gen in C:\Dokumente und Einstellungen\admin\Lokale Einstellungen gefunden.
    Plagegeister aller Art und deren Bekämpfung - 25.08.2010 (1)
  12. (Trojan.Agent) in "C:\Dokumente und Einstellungen...\SYSTEM32.dll" gefunden !
    Plagegeister aller Art und deren Bekämpfung - 01.06.2010 (13)
  13. TR/Crypt.ZPACK.Gen in C:/Dokumente und Einstellungen/***/Lokale Einstellungen/Temp
    Plagegeister aller Art und deren Bekämpfung - 26.04.2010 (3)
  14. TR/PSW.Kates.CA.7 - C:\Dokumente und Einstellungen\Alle\Lokale Einstellungen\Temp\...
    Log-Analyse und Auswertung - 16.04.2010 (18)
  15. TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\
    Plagegeister aller Art und deren Bekämpfung - 10.04.2010 (17)
  16. Exploit.JS.Pdfka.bvg in C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\temp\
    Plagegeister aller Art und deren Bekämpfung - 19.03.2010 (8)
  17. TR/Agent.vB.jah in C:\Dokumente und Einstellungen\***\yeioz.exe
    Plagegeister aller Art und deren Bekämpfung - 12.02.2010 (1)

Zum Thema BKA Virus, jetzt noch Trojan.Agent auf C:\Dokumente und Einstellungen\Administrator\ms.exe - Mein Rechner wurde vorgestern, vermutlich vom Besuch einer Webseite mit dem BKA Virus (österreichische Version) infiziert. Habe erstmal eigene Schritte unternommen um den Rechner zu entsperren: 1.Im abgesichterten Modus gestartet - BKA Virus, jetzt noch Trojan.Agent auf C:\Dokumente und Einstellungen\Administrator\ms.exe...
Archiv
Du betrachtest: BKA Virus, jetzt noch Trojan.Agent auf C:\Dokumente und Einstellungen\Administrator\ms.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.