Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   BKA Virus, jetzt noch Trojan.Agent auf C:\Dokumente und Einstellungen\Administrator\ms.exe (https://www.trojaner-board.de/116065-bka-virus-noch-trojan-agent-c-dokumente-einstellungen-administrator-ms-exe.html)

Vikse 31.05.2012 09:52
BKA Virus, jetzt noch Trojan.Agent auf C:\Dokumente und Einstellungen\Administrator\ms.exe
 
Mein Rechner wurde vorgestern, vermutlich vom Besuch einer Webseite mit dem BKA Virus (österreichische Version) infiziert. Habe erstmal eigene Schritte unternommen um den Rechner zu entsperren:

1.Im abgesichterten Modus gestartet Registrierungseintrag explorer_new.exe auf explorer.exe zurückbenannt, die explorer_new.exe Datei gefunden und gelöscht.
2. Von Kaspersky Rescue Disk - per USB gebootet, Virenscan durchgeführt
3. Mit Malwarebytes Quick Scan durchgeführt, hier das Log:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.31.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: VERWALTUNG [Administrator]

Schutz: Aktiviert

31.05.12 09:43:51
mbam-log-2012-05-31 (09-43-51).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 225714
Laufzeit: 8 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\Administrator\ms.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Ich nehme an, daß mein Rechner damit noch nicht sauber ist. Was kann ich in weiterer Folge machen?
Im vorhinein herzlichen Dank für Rat und Hilfe an alle Mitarbeiter des Boards.

Petra 31.05.2012 10:34
Hallo Vikse,

bitte beachten: => Die 8 goldenen Regeln im Trojaner-Board

Bitte die folgenden Punkte in der vorgegebenen Reihenfolge abarbeiten:

Schauen wir nach, ob noch Reste vorhanden sind oder es sonst noch etwas zu tun gibt :-)


===== Punkt 1 =====

Systemscan mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.
  • Doppelklick auf die OTL.exe
  • Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Oben findest Du ein Kästchen mit Ausgabe.
    Wähle bitte Standard-Ausgabe
  • Unter Extra-Registrierung wähle bitte Benutze SafeList.
  • Mache Häckchen bei LOP- und Purity-Prüfung.
    Mache hier zusätzlich einen Haken bei "Scanne alle Benutzer".
  • User mit 64Bit-Systemen machen auch einen Haken bei "Include 64Bit-Scan".
  • Klicke nun auf Scan links oben.


  • Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  • Sofern Dein realer Nachname Bestandteil des Benutzernamens ist:
    anonymisiere diesen durch 5 Sternchen *****, am besten im Editor durch "Suchen und Ersetzen".
    Vornamen oder sonstige Usernamen brauchen nicht anonymisiert werden.
    Beispiel: Lieschen Müller - hier Müller durch ***** ersetzen.
    Ist der Benutzername nur Lieschen kann er so bleiben, wie er ist.
    Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
  • Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

Vikse 31.05.2012 18:09
Hallo Petra,
herzlichen Dank für Deine Antwort und Hilfe.
Ich habe OTL über Deinen link runtergeladen und am Desktop gespeichert. Eigenartigerweise ist mein OTL auf Englisch (OTL by OldTimer - Version 3.2.44.0) habe alle Anweisungen wie "Standard output", "LOP Check" und "Purity Check" befolgt, ausser den Haken bei "Scanne alle Benutzer" - etwas entsprechendes finde ich in am englischen OTL leider nicht. Bei file age war "30 Days" voreingestellt, ich habe das so gelassen. Die Logfiles sind im Anhang. Die OTL.txt war zu groß zum hochladen, habe sie in OTL.txt und OTL2.txt aufteilen müssen.
Liebe Grüße.....Vik

Vikse 31.05.2012 18:22
Nachtrag, habe Vorsichtshalber die OTL.exe auf VirusTotal scannen lassen. 5 Virenbedrohungen werden gemeldet:

ByteHero Trojan.Win32.Heur.087
ClamAV PUA.Packed.PECompact-1
DrWeb Trojan.Siggen4.1897
eSafe Suspicious File
VirusBuster Packed/PECompact

lg
Vik

Petra 01.06.2012 08:45
Hallo Vik,

OTL ist sauber, wenn Du es von der angegeben Downloadquelle heruntergeladen hast, da brauchst Du Dir keine Sorgen machen. Dass es bei Dir in Englisch angezeigt wird, könnte an Deiner österreichischen Länderkennung liegen. Wir testen alle Tools, die wir einsetzen auf Herz und Nieren. Removal-Tools werden häufig von Antiviren-Herstellern als suspekt eingestuft. Das hängt damit zusammen, dass sie um die Schädlinge bekämpfen zu können, auf ähnliche Weise arbeiten.

Wie es aussieht, stimmt aber eh etwas mit Deinem Rechner nicht. Dein Adobe CS4 hat sich so installiert, dass es eine Menge "Freiheiten" besitzt und z. B. über offene Ports ungehemmt Daten an der Firewall vorbei austauschen kann:

Code:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"5353:TCP" = 5353:TCP:*:Enabled:Adobe CSI CS4
"3703:TCP" = 3703:TCP:*:Enabled:Adobe Version Cue CS4 Server
"3704:TCP" = 3704:TCP:*:Enabled:Adobe Version Cue CS4 Server
"51000:TCP" = 51000:TCP:*:Enabled:Adobe Version Cue CS4 Server
"51001:TCP" = 51001:TCP:*:Enabled:Adobe Version Cue CS4 Server
"21:TCP" = 21:TCP:*:Enabled:ftp
Code:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" = C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe:*:Enabled:Adobe CSI CS4 -- (Adobe Systems Incorporated)
"C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe" = C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe:*:Enabled:Adobe Version Cue CS4 Server -- (Adobe Systems Incorporated)
"C:\Programme\Adobe\Adobe Dreamweaver CS4\Dreamweaver.exe" = C:\Programme\Adobe\Adobe Dreamweaver CS4\Dreamweaver.exe:*:Enabled:Adobe Dreamweaver CS4 -- (Adobe Systems, Inc.)
Da es deutliche Hinweise darauf gibt, dass es sich hier um eine gecrackte CS4-Version handelt, bei welcher oft Backdoors gleich mitinstalliert werden, kann ich Dir nur dazu raten, Windows XP neu zu installieren, alle Deine Passwörter von einem garantiert sauberen Rechner aus zu ändern und in Zukunft auf gecrackte Software zu verzichten.

Vikse 06.06.2012 16:52
Liebe Petra,
die Version CS4 hat mein Schwiegersohn installiert. Ich werde Deinem Rat folgen und windows XP neu installieren. Herzlichen Dank für Deine Hilfe. Liebe Grüße, Vik

Petra 07.06.2012 08:36
Hallo Vik,

ja, Neuinstallation (siehe unten Tipps zur Nachsorge) ist die richtige Entscheidung :-)

Falls keine Fragen mehr kommen, lösche ich den Thread in ein paar Tagen als erledigt aus meinen Abos.


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:22 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131