|
Welche Version von BKA-Trojaner? Hallo zusammen. Kann mir jemand sagen welche Version von BKA-Trojaner das ist: hxxp://www.kielnet.net/home/j.knipphals/Trojanerbild.jpg Ups, etwas groß geraten :pfeiff: Danke Jan Ich noch mal ... Welche Version das ist weiß ich zwar noch nicht aber ich habe ein paar Info´s dazu: Ein Kunde stand in meinem Laden und sagte er habe einen BKA-Trojaner. Ich habe den PC dann gestartet und das gezeigte Bild vorgefunden. Der Start im abgesicherten Modus und ein Scan mit Malewarebytes brachte einen Fund den ich löschte. PC Neustart aber wieder das Bild. Dann habe ich noch mal Malewarebytes gestartet aber es wurden keine weiteren Funde gemeldet. Nun per MSCONFIG nachgeschaut. Dort wurde das Element [wdbrbsaxhmmcplludvoj] im Verzeichniss ...\All Users\Anwendungsdaten aufgerufen. Den Eintrag habe ich abgewählt. Neustart des PC aber weiterhin meldet sich der Trojaner. Nun habe ich mir per REGEDIT die Registry angeschaut. Hier war für die Shell [explorer_new.exe] eingetragen. Nachdem ich das auf [explorer.exe] korrogiert habe lief wieder alles normal... Nun frage ich mich aber folgendes. Im Verzeichniss ...\All Users\Anwendungsdaten liegt noch die Datei [wdbrbsaxhmmcplludvoj] und eine Datei [zecxgsrwiopiumomkappnhzkoziusfyg]. Sollte Malwarebytes diese nicht als Virus erkennen? Oder sind das vielleicht nur die Grafiken vom Trojaner die zurückgeblieben sind? Gruß Jan // Edit cosinus: Ich war mal so frei und hab die Hotverlinkung entfernt, wer das Bild sehen will, kann sich ja den Link kopieren //cosinus |
Zitat:
Du schmeißt hier irgendwelche vom Schädling zufällig generierten Zeichenfolgen rein und wir sollen das wissen, ohne das Log von Malwarebytes, ohne zu wissen ob das ein Vollscan oder Qzuickscan war und ohne zu wissen welche Programm- und Signaturversion von Malwarebytes |
Hallo. da hast Du natürlich Recht. Das sollte auch eher eine grundsätzliche Frage und Info sein. Maleware ist die Version 1.61.0.1400; Datenbankversion v2012.04.20.07 und es war ein Vollscan. Dabei wurde nichts gefunden. Nachdem ich einen Komplettscan mit AVIRA, BitDefender und Kaspersky gemacht habe (mit der aktuellen CD der aktuellen c't Desinfec't 2012) kam folgendes heraus: Code: "Infizierte Datei" ,"ggf. Datei in Archiv","Fund durch Avira","Fund durch Bitdefender",,"Fund durch Kaspersky"Diese Dateien habe ich nun in einen Ordner kopiert und dann mal Malware drüber laufen lassen. Dabei kam nichts raus: Code: Malwarebytes Anti-Malware 1.61.0.1400Gruß Jan |
Ein benutzerdefinierter Scan, der "endlose" 9 Sekunden Zeit in Anspruch nahm? :wtf: So ein Logfile kann man wohl kaum als Referenz betrachten :D Du musst schon einen vollständigen Scan machen und möglichst alle Festplatten (auch externe) und nach Möglichkeit auch USB-Sticks scannen Weitere Logs von Malwarebytes hast du nicht? |
Ich glaube wir reden hier gerade ein wenig aneinander vorbei. Ich habe einen PC von einem Kunden bekommen der mit einem BKA-Trojaner (siehe Bild in meiner ersten Nachricht) infiziert war. Da ich die Version des Trojaners nicht kannte habe ich hier nachgefragt welche es sein könnte und dann mit der Bereinigung des PCs begonnen. Dabei fand Malware nach dem Start im Abgesicherten Modus auch eine Bedrohung die ich löschte. Nach dem Neustart des PCs landete ich aber wieder in dem BKA-Bildschirm. Ich bereinigte dann per MSCONFIG den Systemstart (hier war der kryptische Dateiname eingetragen) und per REGEDIT die Registry (hier war als Shell explorer_new eingetrage). Nach einem erneuten Neustart war dann soweit wieder alles OK. Ich machte dann ein Update der Datenbank Version von Malware und einen vollen Scan. Bei diesem Scan meldete Malware keine Funde. Um sicher zu gehen startete ich den PC dann noch mit der neuen CD aus der neuen c't (Desinfec't 2012) und scannte den PC mit AVIRA, BitDefender und Kaspersky (immer die neueste Version mit aktuellen Dateien). Dabei fand nur BitDefender die aufgeliesteten Dateien die einen Virus enthalten. Diese habe ich dann in ein Verzeichniss verschoben und dieses dann noch mal per Malware gescannt. Dabei kam der 9 Sekunden Scan ohne Befund raus. Kaspersky findet in dem Verzeichniss lediglich die eine Datei mit dem "not-a-virus:Porn-Dialer.Win32.Sexboard.i". MS Security Essetials wiederum findet in dem Verzeichniss 5 Dateien mit dem Befund Trojaner:Win32/Weelsof.A Aber es hat sich auf erledigt da ich das ganze auf einer VM 100%tig reproduzieren konnte/kann. Merkwürdig ist nur, dass 5 verschiedene Scanner 5 verschiedene Ergebnisse bringen. Wobei Malware und Kasperky überhaupt nicht auf die Bedrohungen regieren. BitDefender und MS Security finden sie bei einem Scan und AVIRA hat zumindest bei dem Kopieren auf einen USB-Stick angeschlagen... So... Nun habe ich sicher alle verwirrt :crazy: Danke dennoch Jan |
Zitat:
Ich fragte dich, wie du einem Scan, der gerade mal 9 Sekunden gedauert hat, als Referenz nehmen um darauf basierend die Frage stellen kannst, dass Malwarebytes nichts finde :confused: Wenn du schon vorher meintest, malwarebytes hätte was gefunden, dann versteh ich nicht warum ein irrelevantes Log gepostet wird, 9 Sekunden Scandauer und - oh Wunder - keine Funde :rofl: Zitat:
Zitat:
Zitat:
|
Zitat:
Zitat:
Nochmal zusammengefasst: Ich habe den befallen PC im abegesicherten Modus mit Malwar gescannt und bereiniget (ohne das Log zu speichern) Dann habe ich auf dem befallenen PC den Systemstart und die Registry per MSCONFIG und REGEDIT bereiniget Dann habe ich den befallenen und nun bereinigten PC mit AVIRA, BitDefender und Kaspersky gescannt. Dabei fand BitDefender 5 befallene Dateien die ich dann in ein Verseichniss auf ein USB-Stick verschob Von diesem Stick habe ich das Verzeichniss dann auf einen meiner Arbeitscomputer verschoben und dort dann noch mal mit Malware gescannt. Dabei kam nichts raus und das dauerte dann 9 Sekunden. So, nun lass aber gut sein denn ich finde die Art und Weise wie Du hier schreibst nicht angebracht. Es geht mir hier nicht darum wie ich den befallen PC bereinigen kann. Denn das habe ich schon lange fertig. Mir ging es einfach nur darum zu Erfahren welche Version den BKS-Trojaners das ist/war um nicht im Trüben zu fischen und es vielleicht mit der Bereinigung etwas leichter zu haben. Und Dein Vergleich mit 5 verschiedenen Autos hinkt doch sehr. Aber Du hast sicher Recht. Danke dennoch Jan |
Zitat:
Zitat:
Zitat:
Was bringt es dir genau wenn du weißt es ist BKA in Version x.y oder in x.z Zitat:
Nein? Also sollte man schonmal davon gehört haben, dass verschiedene Virenscanner unterschiedliche Ergebnisse liefern können. Sonst könnte man ja auch auf die Idee kommen, man macht nur einen Virenscanner für den Weltmarkt, verpasst diesen aber unterschiedliche aufgebaute und bunte Menüs und vergibt dann nach Farbschema jeweils andere Namen - unter der Haube alle gleich - sind alle Autos unter der Haube gleich (nicht nur unter der Haube?) - also was konkret gibt es an meinem Autobeispiel nun nicht zu verstehen? |
Ohne Worte... |
Hm, ich hab mir eine etwas ausführlichere Antwort gerade vorgestellt, als ich sah, dass du hier zurückgepostet hast |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:26 Uhr. |
Copyright ©2000-2025, Trojaner-Board