6
BKA Trojaner (Version 2.07) im Domänenprofil eingefangen
Hallo Zusammen !
Ich bin grade ein wenig am verzweifeln... Einer meiner Notebookusern hat sich einen BKA Trojaner eingefangen, laut google die Version 2.07. Es handelt sich um ein Windows 7 Notebook an einer Windows 2008 Domain. Es werden Netzlaufwerkanbindung und ein Netzgestützes Profil genutzt.
Das Notebook ist inifiziert, soweit ist das klar. Jedoch hat sich der User bevor er sich bei mir gemeldet hat testweise an anderen PCs in der Umgebung angemeldet, und die BKA Meldung kommt an allen PCs. Wenn sich dort andere User anmelden zeigt sich der Trojaner jedoch nicht...
Da der Trojaner augenscheinlich in dem Profil existiert reicht es nun nicht das Notebook zu killen und neu aufzusetzen. Hat jemand einen Tipp wie ich am sinnvollsten vorgehe ?
Ich habe schon im Domain User folgendes getestet
Netzlaufwerke und Profilpfad entfernt : keine Änderung
Gruppenzugehörigkeiten entfernt : keine Änderung
ein Kollege hat sogar schon einmal das Profil aus einem älteren Backup wiederhergestellt
Wenn ich testweise den User umbenenne von "user" auf zB "user2", so funktioniert einmalig die Anmeldung, wenn der user2 sicher dann ab und wieder anmeldet hat auch dieser dann das Trojanerbild...
*seufz*
Bin für jeden Tipp äußerst dankbar
LG
chevron-9
Ich bin grade ein wenig am verzweifeln... Einer meiner Notebookusern hat sich einen BKA Trojaner eingefangen, laut google die Version 2.07. Es handelt sich um ein Windows 7 Notebook an einer Windows 2008 Domain. Es werden Netzlaufwerkanbindung und ein Netzgestützes Profil genutzt.
Das Notebook ist inifiziert, soweit ist das klar. Jedoch hat sich der User bevor er sich bei mir gemeldet hat testweise an anderen PCs in der Umgebung angemeldet, und die BKA Meldung kommt an allen PCs. Wenn sich dort andere User anmelden zeigt sich der Trojaner jedoch nicht...
Da der Trojaner augenscheinlich in dem Profil existiert reicht es nun nicht das Notebook zu killen und neu aufzusetzen. Hat jemand einen Tipp wie ich am sinnvollsten vorgehe ?
Ich habe schon im Domain User folgendes getestet
Netzlaufwerke und Profilpfad entfernt : keine Änderung
Gruppenzugehörigkeiten entfernt : keine Änderung
ein Kollege hat sogar schon einmal das Profil aus einem älteren Backup wiederhergestellt
Wenn ich testweise den User umbenenne von "user" auf zB "user2", so funktioniert einmalig die Anmeldung, wenn der user2 sicher dann ab und wieder anmeldet hat auch dieser dann das Trojanerbild...
*seufz*
Bin für jeden Tipp äußerst dankbar
LG
chevron-9
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 191442
Url: https://administrator.de/forum/bka-trojaner-version-2-07-im-domaenenprofil-eingefangen-191442.html
Ausgedruckt am: 23.12.2024 um 20:12 Uhr
6 Kommentare
Neuester Kommentar
Moin,
Virenscan auf den bereits betroffenen Rechnern machen. Danach würde ich das Profil neu anlegen und die reinen Daten rüberkopieren.
Somit die Registrierung halt säubern und im Profil dürfte dann auch nix mehr sein.
greetz
ravers
Virenscan auf den bereits betroffenen Rechnern machen. Danach würde ich das Profil neu anlegen und die reinen Daten rüberkopieren.
Somit die Registrierung halt säubern und im Profil dürfte dann auch nix mehr sein.
greetz
ravers
Hallo,
starte den Rechner im abgesicherten Modus mit Netzwerktreibern. Melde dich mit dem Benutzer an und lass den Virenscanner mal drüber laufen.
Gute Erfahrungen habe ich mit Windows Offline Defender (Boot CD von Microsoft) gemacht. Wenn der den Virus gefunden hat, dann nochmal im abgesicherten Modus mit Netzwerktreibern starten und TrendMicro Housecall durchlaufen lassen. Danach waren die Systeme immer sauber.
Gruß
Neomatic
starte den Rechner im abgesicherten Modus mit Netzwerktreibern. Melde dich mit dem Benutzer an und lass den Virenscanner mal drüber laufen.
Gute Erfahrungen habe ich mit Windows Offline Defender (Boot CD von Microsoft) gemacht. Wenn der den Virus gefunden hat, dann nochmal im abgesicherten Modus mit Netzwerktreibern starten und TrendMicro Housecall durchlaufen lassen. Danach waren die Systeme immer sauber.
Gruß
Neomatic
Hi,
wenn er nicht automatisch erkannt wird, dann kann ich dir dies ans Herz legen. Hat mir erst letztens sehr geholfen einen Trojaner von Hand zu entfernen.
Video zur Verwendung von Sysinternals Suite um Malware zu beseitigen.
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2012/SIA302
Ich wünsche dir viel Glück!
wenn er nicht automatisch erkannt wird, dann kann ich dir dies ans Herz legen. Hat mir erst letztens sehr geholfen einen Trojaner von Hand zu entfernen.
Video zur Verwendung von Sysinternals Suite um Malware zu beseitigen.
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2012/SIA302
Ich wünsche dir viel Glück!
danke für Eure Antworten !
Interessant ist das NUR mit diesem Benutzer das BKA Zeug kommt... Melde ich mich mit einem anderen User oder dem Domain Admin an ist alles Roger (auch im nicht abgesicherten Modus!)
Virenscanner hab ich schon unterschiedliche drübergeschickt. Einige Sachen wurden auch gefunden, jedoch nicht repariert.
Ich habe nun einen neuen Useraccount angelegt, das Exchange Postfach verklinkt und setze grade das Notebook auf einer neuen Festplatte auf...
Ich hoffe das ich beim rüberkopieren der alten Profildaten nichts erneut verseuche...
Interessant ist das NUR mit diesem Benutzer das BKA Zeug kommt... Melde ich mich mit einem anderen User oder dem Domain Admin an ist alles Roger (auch im nicht abgesicherten Modus!)
Virenscanner hab ich schon unterschiedliche drübergeschickt. Einige Sachen wurden auch gefunden, jedoch nicht repariert.
Ich habe nun einen neuen Useraccount angelegt, das Exchange Postfach verklinkt und setze grade das Notebook auf einer neuen Festplatte auf...
Ich hoffe das ich beim rüberkopieren der alten Profildaten nichts erneut verseuche...
Moin.
Es sieht doch sehr danach aus, dass Du Servergespeicherte Profile einsetzt. So ist erklärbar, was Du beobachtest: an jedem Rechner wird bei diesem Nutzer das verseuchte, servergespeicherte Profil geladen. Das Profil brauchst du also nur zu desinfizieren oder neu anzulegen.
Es sieht doch sehr danach aus, dass Du Servergespeicherte Profile einsetzt. So ist erklärbar, was Du beobachtest: an jedem Rechner wird bei diesem Nutzer das verseuchte, servergespeicherte Profil geladen. Das Profil brauchst du also nur zu desinfizieren oder neu anzulegen.
Danke für Eure Antworten.
Desinfizieren hat nicht zum gewünschten Erfolg geführt. Neues Profil angelegt, Exchange Postfach neu eingeklinkt und gut wars. Dennoch danke euch allen für Eure Antworten !
Desinfizieren hat nicht zum gewünschten Erfolg geführt. Neues Profil angelegt, Exchange Postfach neu eingeklinkt und gut wars. Dennoch danke euch allen für Eure Antworten !
