| |
| |||||||
Diskussionsforum: BKA Trojaner FunktionsweiseWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
03.12.2011, 14:48
| #1 |
| |  BKA Trojaner Funktionsweise Hi, nachdem ich vor paar Tagen zum ersten mal IExplorer benutzt habe (davor nur firefox), weil ich was ausprobieren wollte und dafür für cookies die niedrigste Sicherheitstufe, also gar keine  benutzt habe und dann noch vergessen habe alles zurückzustellen, hatte ich das Glück auch den berüchtigten BKA-Trojaner einzufangen. (Glaube zu mindest, dass es an den cookies liegt)TLDR: Bin doof, hab den BKA-Trojaner ^^ Auf jeden Fall hab ich mich auf die Spurensuche gemacht und wollte mal nachfragen, ob jemand einen Plan hat wo er sich einnistet was er alles mach usw. Hab dafür auch ca 30 minuten vergebens nach ähnlichen Themen gesucht. Da meistens nur beschrieben wird wie man ihn los wird. Aber theoretisch find ich den nicht so aufdringlich: Nach dem Start habe ich einfach über einen beliebigen Ordner (bei mir Medienbibliothek) den explorer Manuell gestartet, da sowohl taskmgr als auch run nicht funktionieren. hab also eigentlich alle Programme über den Ordner aufgerufen. Und über alt+f4 die 2 "Warnungen" geschlossen (ka warum sich das bei mir 2 mal geöffnet hat) So nun zum eigentlichen: hab erstmal die Adresse ausfindig gemacht, die der IExplorer öffnet "hxxp://91.217.90.50/" d.h. die wunderschöne Seite mit Rechtschreibfehlern. Dann die ganzen Windows ordner mit Sortierung "Änderungsdatum" durchstöbert. Hat aber nicht so viel gebracht Und schließlich im Ordner "Autostart" eine sehr verdächtige Verknüpung gefunden "0.9571018951447361.exe" Hab mir die dann mal genauer angeschaut: - Erstelldatum stimmt mit heute überein - Ort: C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup - Ziel C:\Windows\System32\rundll32.exe C:\Users\***\AppData\Local\Temp\0.9571018951447361.exe,SuppS So weiter bin ich noch nicht gekommen. Was ich jetzt noch weiter machen will: Mit einem DisAssembler mir die .exe Datei genauer anschauen. (Mit dem Editor hat es mir nicht so viel gebracht )Hab aber noch ne Frage zum Ziel, da ich micht nicht so gut mit cmd auskenne. C:\Windows\System32\rundll32.exe C:\Users\***\AppData\Local\Temp\0.9571018951447361.exe,SuppS: Heißt das, dass rundll32.exe den Trojaner mit dem Kommandozeilenparameter SuppS ausführt ? P.s. Hoffe, dass hier ein paar Antworten reinkommen. So lange lebe ich erstmal mit dem Trojaner -.- |
| Themen zu BKA Trojaner Funktionsweise |
| antworten, appdata, autostart, c:\windows, c:\windows\system32\rundll32.exe, cmd, datei, dll, einfach, firefox, iexplorer, microsoft, ordner, programme, roaming, rundll, rundll32.exe, schreibfehler, seite, start, suche, system, system32, temp, trojaner, verdächtige, warum, windows |
Baum-Darstellung