Hallo zusammen.

Kann mir jemand sagen welche Version von BKA-Trojaner das ist:

hxxp://www.kielnet.net/home/j.knipphals/Trojanerbild.jpg

Ups, etwas groß geraten

Danke
Jan

Ich noch mal ...

Welche Version das ist weiß ich zwar noch nicht aber ich habe ein paar Info´s dazu:

Ein Kunde stand in meinem Laden und sagte er habe einen BKA-Trojaner. Ich habe den PC dann gestartet und das gezeigte Bild vorgefunden. Der Start im abgesicherten Modus und ein Scan mit Malewarebytes brachte einen Fund den ich löschte. PC Neustart aber wieder das Bild. Dann habe ich noch mal Malewarebytes gestartet aber es wurden keine weiteren Funde gemeldet. Nun per MSCONFIG nachgeschaut. Dort wurde das Element [wdbrbsaxhmmcplludvoj] im Verzeichniss ...\All Users\Anwendungsdaten aufgerufen. Den Eintrag habe ich abgewählt. Neustart des PC aber weiterhin meldet sich der Trojaner. Nun habe ich mir per REGEDIT die Registry angeschaut. Hier war für die Shell [explorer_new.exe] eingetragen. Nachdem ich das auf [explorer.exe] korrogiert habe lief wieder alles normal...

Nun frage ich mich aber folgendes. Im Verzeichniss ...\All Users\Anwendungsdaten liegt noch die Datei [wdbrbsaxhmmcplludvoj] und eine Datei [zecxgsrwiopiumomkappnhzkoziusfyg]. Sollte Malwarebytes diese nicht als Virus erkennen? Oder sind das vielleicht nur die Grafiken vom Trojaner die zurückgeblieben sind?

Gruß
Jan

// Edit cosinus: Ich war mal so frei und hab die Hotverlinkung entfernt, wer das Bild sehen will, kann sich ja den Link kopieren //cosinus

Zitat:

Sollte Malwarebytes diese nicht als Virus erkennen?

Vllt ja vllt nein?
Du schmeißt hier irgendwelche vom Schädling zufällig generierten Zeichenfolgen rein und wir sollen das wissen, ohne das Log von Malwarebytes, ohne zu wissen ob das ein Vollscan oder Qzuickscan war und ohne zu wissen welche Programm- und Signaturversion von Malwarebytes

Hallo.

da hast Du natürlich Recht. Das sollte auch eher eine grundsätzliche Frage und Info sein.

Maleware ist die Version 1.61.0.1400; Datenbankversion v2012.04.20.07 und es war ein Vollscan. Dabei wurde nichts gefunden. Nachdem ich einen Komplettscan mit AVIRA, BitDefender und Kaspersky gemacht habe (mit der aktuellen CD der aktuellen c't Desinfec't 2012) kam folgendes heraus:

Code: Alles auswählenAufklappen

ATTFilter

"Infizierte Datei"                                                                                                  ,"ggf. Datei in Archiv","Fund durch Avira","Fund durch Bitdefender",,"Fund durch Kaspersky"


/media/F6E87185E87144C1/Dokumente und Einstellungen/.../ms.exe                                                      ,                      ,                  , Gen:Variant.Barys.961  ,,
/media/F6E87185E87144C1/WINDOWS/explorer_new.exe                                                                    ,                      ,                  , Gen:Variant.Barys.961  ,,
/media/F6E87185E87144C1/System Volume Information/_restore{2A74ECA5-8EA8-4120-9815-4E508690118E}/RP298/A0065553.exe ,                      ,                  , Gen:Variant.Barys.961  ,,
/media/F6E87185E87144C1/WINDOWS/wdbrbsaxhmmcplludvoj.exe                                                            ,                      ,                  , Gen:Variant.Barys.961  ,,
/media/F6E87185E87144C1/WINDOWS/NetInst.exe                                                                         , data0000.res         ,                  ,                        ,, not-a-virus:Porn-Dialer.Win32.Sexboard.i
/media/F6E87185E87144C1/System Volume Information/_restore{2A74ECA5-8EA8-4120-9815-4E508690118E}/RP298/A0070607.exe ,                      ,                  , Gen:Variant.Barys.961  ,,
         

Schon komisch, dass AVIRA und Kaspersky da nichts finden. Und im Internet finde ich zu diesem Fund so gut wie nichts.

Diese Dateien habe ich nun in einen Ordner kopiert und dann mal Malware drüber laufen lassen. Dabei kam nichts raus:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.20.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Jan :: DAVID [Administrator]

21.04.2012 00:08:01
mbam-log-2012-04-21 (00-08-01).txt

Art des Suchlaufs: Benutzerdefinierter Suchlauf
Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | P2P
Durchsuchte Objekte: 7
Laufzeit: 9 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Das verwirrt mich alles ein wenig

Gruß
Jan

Ein benutzerdefinierter Scan, der "endlose" 9 Sekunden Zeit in Anspruch nahm?
So ein Logfile kann man wohl kaum als Referenz betrachten
Du musst schon einen vollständigen Scan machen und möglichst alle Festplatten (auch externe) und nach Möglichkeit auch USB-Sticks scannen

Weitere Logs von Malwarebytes hast du nicht?

Ich glaube wir reden hier gerade ein wenig aneinander vorbei.

Ich habe einen PC von einem Kunden bekommen der mit einem BKA-Trojaner (siehe Bild in meiner ersten Nachricht) infiziert war. Da ich die Version des Trojaners nicht kannte habe ich hier nachgefragt welche es sein könnte und dann mit der Bereinigung des PCs begonnen. Dabei fand Malware nach dem Start im Abgesicherten Modus auch eine Bedrohung die ich löschte. Nach dem Neustart des PCs landete ich aber wieder in dem BKA-Bildschirm. Ich bereinigte dann per MSCONFIG den Systemstart (hier war der kryptische Dateiname eingetragen) und per REGEDIT die Registry (hier war als Shell explorer_new eingetrage). Nach einem erneuten Neustart war dann soweit wieder alles OK. Ich machte dann ein Update der Datenbank Version von Malware und einen vollen Scan. Bei diesem Scan meldete Malware keine Funde. Um sicher zu gehen startete ich den PC dann noch mit der neuen CD aus der neuen c't (Desinfec't 2012) und scannte den PC mit AVIRA, BitDefender und Kaspersky (immer die neueste Version mit aktuellen Dateien). Dabei fand nur BitDefender die aufgeliesteten Dateien die einen Virus enthalten. Diese habe ich dann in ein Verzeichniss verschoben und dieses dann noch mal per Malware gescannt. Dabei kam der 9 Sekunden Scan ohne Befund raus. Kaspersky findet in dem Verzeichniss lediglich die eine Datei mit dem "not-a-virus:Porn-Dialer.Win32.Sexboard.i". MS Security Essetials wiederum findet in dem Verzeichniss 5 Dateien mit dem Befund Trojaner:Win32/Weelsof.A

Aber es hat sich auf erledigt da ich das ganze auf einer VM 100%tig reproduzieren konnte/kann. Merkwürdig ist nur, dass 5 verschiedene Scanner 5 verschiedene Ergebnisse bringen. Wobei Malware und Kasperky überhaupt nicht auf die Bedrohungen regieren. BitDefender und MS Security finden sie bei einem Scan und AVIRA hat zumindest bei dem Kopieren auf einen USB-Stick angeschlagen...

So... Nun habe ich sicher alle verwirrt

Danke dennoch
Jan

Zitat:

Ich glaube wir reden hier gerade ein wenig aneinander vorbei.

Ja da hast du schon recht denn:
Ich fragte dich, wie du einem Scan, der gerade mal 9 Sekunden gedauert hat, als Referenz nehmen um darauf basierend die Frage stellen kannst, dass Malwarebytes nichts finde
Wenn du schon vorher meintest, malwarebytes hätte was gefunden, dann versteh ich nicht warum ein irrelevantes Log gepostet wird, 9 Sekunden Scandauer und - oh Wunder - keine Funde

Zitat:

Dabei fand Malware nach dem Start im Abgesicherten Modus auch eine Bedrohung die ich löschte.

Ich wette du hast also noch min. ein weiteres Logs von Malwarebytes, die ein Suchvorgang protokollieren, der deutlich länger als 9 Sekunden ging

Zitat:

Kaspersky findet in dem Verzeichniss lediglich die eine Datei mit dem "not-a-virus:Porn-Dialer.Win32.Sexboard.i". MS Security Essetials wiederum findet in dem Verzeichniss 5 Dateien mit dem Befund Trojaner:Win32/Weelsof.A

Ohne die Logs sind die Infos fast wertlos - dürfte dir doch schon aufgefallen sein, dass man alle Logs will

Zitat:

Merkwürdig ist nur, dass 5 verschiedene Scanner 5 verschiedene Ergebnisse bringen.

Komisch, fünf völlig verschiedene Autos haben fünf völlig verschiedene Zeitwerte bei der Beschleunigung von Null auf Hundert, warum nur

Zitat:

Zitat von cosinus

Ja da hast du schon recht denn:
Ich fragte dich, wie du einem Scan, der gerade mal 9 Sekunden gedauert hat, als Referenz nehmen kannst um darauf basierend die Frage zu stellen, das Malwarebytes nichts findet

Dieser Scan dauert nur 9 Sekunden weil ich per Windows-Explorer + rechter Maustaste ein Verzeichniss scannte in dem nur 6 Datein (die 6 mit den Viren die BitDefender fand) waren. Sorry, dass es in dem Fall nicht länger gedauert hat. Ich bitte vielmals um Entschuldigung-

Zitat:

Zitat von cosinus

Ah, und wieso sieht man nichts im Log?

Weil Du mir nicht zuhörst. Ich habe diesen Scan auf dem befallene PC gemacht und davon nie ein Log gespeichert.

Nochmal zusammengefasst:

Ich habe den befallen PC im abegesicherten Modus mit Malwar gescannt und bereiniget (ohne das Log zu speichern)

Dann habe ich auf dem befallenen PC den Systemstart und die Registry per MSCONFIG und REGEDIT bereiniget

Dann habe ich den befallenen und nun bereinigten PC mit AVIRA, BitDefender und Kaspersky gescannt.

Dabei fand BitDefender 5 befallene Dateien die ich dann in ein Verseichniss auf ein USB-Stick verschob

Von diesem Stick habe ich das Verzeichniss dann auf einen meiner Arbeitscomputer verschoben und dort dann noch mal mit Malware gescannt. Dabei kam nichts raus und das dauerte dann 9 Sekunden.

So, nun lass aber gut sein denn ich finde die Art und Weise wie Du hier schreibst nicht angebracht. Es geht mir hier nicht darum wie ich den befallen PC bereinigen kann. Denn das habe ich schon lange fertig. Mir ging es einfach nur darum zu Erfahren welche Version den BKS-Trojaners das ist/war um nicht im Trüben zu fischen und es vielleicht mit der Bereinigung etwas leichter zu haben. Und Dein Vergleich mit 5 verschiedenen Autos hinkt doch sehr. Aber Du hast sicher Recht.

Danke dennoch
Jan

Zitat:

Weil Du mir nicht zuhörst. Ich habe diesen Scan auf dem befallene PC gemacht und davon nie ein Log gespeichert.

Das ist ja nun wieder Oberquatsch, Malwarebytes speichert ganz sicher alle Logs automatisch

Zitat:

So, nun lass aber gut sein denn ich finde die Art und Weise wie Du hier schreibst nicht angebracht

Und ich fand einige Sachen, die du mir hier versuchst aufzutischen, etwas strange

Zitat:

Mir ging es einfach nur darum zu Erfahren welche Version den BKS-Trojaners das ist/war

Und das sieht man mit Sicherheit nur an einem Screenshot oder was
Was bringt es dir genau wenn du weißt es ist BKA in Version x.y oder in x.z

Zitat:

Und Dein Vergleich mit 5 verschiedenen Autos hinkt doch sehr. Aber Du hast sicher Recht.

Nun wenn du dich als Ladenbesitzer siehst, sollte man auch schonmal etwas Ahnung davon haben was man eigentlich verkauft, oder verkaufst du primär Lebensmittel/Marmelade statt Computer, PC-Komponenten, Software und PC-Dienstleistungen?

Nein? Also sollte man schonmal davon gehört haben, dass verschiedene Virenscanner unterschiedliche Ergebnisse liefern können. Sonst könnte man ja auch auf die Idee kommen, man macht nur einen Virenscanner für den Weltmarkt, verpasst diesen aber unterschiedliche aufgebaute und bunte Menüs und vergibt dann nach Farbschema jeweils andere Namen - unter der Haube alle gleich - sind alle Autos unter der Haube gleich (nicht nur unter der Haube?) - also was konkret gibt es an meinem Autobeispiel nun nicht zu verstehen?

Ohne Worte...

Hm, ich hab mir eine etwas ausführlichere Antwort gerade vorgestellt, als ich sah, dass du hier zurückgepostet hast