Hi!
Hab gerade mal mit Bitdefender v.9 mein c: gescannt.
Da hat er nen Trojaner gefunden. Prorat. Der is wohl irgendwie in einer Mail in meinem E-Mail Programm Thunderbird versteckt, aber denke mal noch nicht ausgeführt. Ich habe aber keine Mail mit solch einem Anhang!? Hab eben schon gesucht....habe nen account bei googlemail.com

danke

mfg
phil

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Thunderbird\Profiles\pt7pkhs5.default\Mail\Local Folders\Inbox=>(message 59)=>[Subject: datei][Date: Thu, 27 Oct 2005 17:30:54 +0200]=>(MIME part)=>ProRat.rar=>ProRat.exe	Infected: Backdoor.Prorat.19.P
C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Thunderbird\Profiles\pt7pkhs5.default\Mail\Local Folders\Inbox=>(message 59)=>[Subject: datei][Date: Thu, 27 Oct 2005 17:30:54 +0200]=>(MIME part)=>ProRat.rar=>ProRat.exe	Deleted
C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Thunderbird\Profiles\pt7pkhs5.default\Mail\Local Folders\Inbox=>(message 59)=>[Subject: datei][Date: Thu, 27 Oct 2005 17:30:54 +0200]=>(MIME part)=>ProRat.rar	Update failed
C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Thunderbird\Profiles\pt7pkhs5.default\Mail\Local Folders\Inbox=>(message 64)=>[Subject: ][Date: Sun, 30 Oct 2005 00:32:13 +0200]=>(MIME part)=>anleitung.rar=>anleitung.exe	Infected: TrojanDropper.Yabinder.2.0
C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Thunderbird\Profiles\pt7pkhs5.default\Mail\Local Folders\Inbox=>(message 64)=>[Subject: ][Date: Sun, 30 Oct 2005 00:32:13 +0200]=>(MIME part)=>anleitung.rar=>anleitung.exe	Deleted
C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Thunderbird\Profiles\pt7pkhs5.default\Mail\Local Folders\Inbox=>(message 64)=>[Subject: ][Date: Sun, 30 Oct 2005 00:32:13 +0200]=>(MIME part)=>anleitung.rar	Update failed
         

@phil_87_!

Zitat:

Ich habe aber keine Mail mit solch einem Anhang!? Hab eben schon gesucht...

Ist doch DELETED, deswegen nicht auffindbar

Zitat:

C:\Dokumente und Einstellungen\xxxx.....(MIME part)=>ProRat.rar=>ProRat.exe Deleted
C:\Dokumente und Einstellungen\xxxx\....anleitung.exe Deleted

Ein HJT-Log würde ich trotzdem begrüßen.

Habe vergessen dazuzuschreiben, dass, als ich danach nochmal drübergescannt habe, wieder das Selbe Problem angezeigt wurde. Es wurde also leider noch nicht gelöscht.

Hier das HJT-Logfile! danke

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 20:25:17, on 23.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Softwin\BitDefender9\bdoesrv.exe
D:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
d:\Programme\BlueSoleil\BTNtService.exe
D:\progra~1\softwin\bitdef~1\bdswitch.exe
D:\Programme\cfos speed\spd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
d:\Programme\DriveCrypt\DcrServ.exe
d:\Programme\ewido security suite (trojaner suche)\ewidoctrl.exe
D:\Programme\cfos speed\cfosspeed.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Programme\DriveCrypt\DriveCrypt.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
D:\Programme\Trillian\trillian.exe
D:\Programme\OO Software\SafeErase\oorundll.exe
D:\Programme\firefox\firefox.exe
D:\Programme\OO Software\SafeErase\oorundll.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
D:\Programme\Softwin\BitDefender9\vsserv.exe
d:\progra~1\softwin\bitdef~1\bdmcon.exe
d:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\xxxx\LOKALE~1\Temp\Rar$EX00.750\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=68.15.62.245:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat Reader 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BDMCon] d:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "D:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "d:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "d:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [cFosSpeed Window] D:\Programme\cfos speed\cfosspeed.exe
O4 - HKCU\..\Run: [DriveCrypt Startup] d:\Programme\DriveCrypt\DriveCrypt.exe /WS
O4 - Startup: tempweg.bat
O8 - Extra context menu item: &NeoTrace It! - D:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - D:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (file missing) (HKCU)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - d:\Programme\BlueSoleil\BTNtService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - D:\Programme\cfos speed\spd.exe" -service (file missing)
O23 - Service: DriveCrypt Service (DriveCryptService) - Unknown owner - d:\Programme\DriveCrypt\DcrServ.exe
O23 - Service: ewido security suite control - ewido networks - d:\Programme\ewido security suite (trojaner suche)\ewidoctrl.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - D:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
         

Zitat:

Zitat von phil_87_!

Habe vergessen dazuzuschreiben, dass, als ich danach nochmal drübergescannt habe, wieder das Selbe Problem angezeigt wurde. Es wurde also leider noch nicht gelöscht.

emails in thunderbird werden nur zum Löschen markiert, sind aber als Text erstmal noch da.
Du musst noch die Ordner aufräumen ("compress folders").

Zitat:

Zitat von thseeling

emails in thunderbird werden nur zum Löschen markiert, sind aber als Text erstmal noch da.
Du musst noch die Ordner aufräumen ("compress folders").

wie meinst du das genau? sry...versteh das nicht

Zitat:

Zitat von Rene-gad

@phil_87_!

Schon mal vom SP2 gehört

Ja hab ich, aber hab davon nur Schlechtes gehört...pc wird langsamer etc. Hatte es auch schonmal bei mir installiert...irgendwie ging danach gar nix mehr.

Ist mein Rechner nun infiziert oder nicht? Danke für die Hilfe.

Zitat:

Zitat von phil_87_!

wie meinst du das genau? sry...versteh das nicht

Er meint damit folgendes:

"Löschen Sie die verseuchte E-Mail in Thunderbird (am besten mit der Tastenkombination Shift+Delete bzw. Umschalt+Entf) und entleeren Sie noch den Papierkorb des Kontos. Dann wählen Sie im Menü Datei > Alle Ordner des Kontos komprimieren. Erst dann (nach dem Komprimieren) ist der Virus endgültig weg. "

Quelle: http://www.thunderbird-mail.de/hilfe/dokumentation1.5/problem_antivirus.php

Zitat:

Ja hab ich, aber hab davon nur Schlechtes gehört...pc wird langsamer etc. Hatte es auch schonmal bei mir installiert...irgendwie ging danach gar nix mehr.

Man soll nicht soviel auf andere Leute hören.Für jeden XP Rechner, der sich im Internet bewegt ist Service Pack 2 Pflicht.

@phil_87_!

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Schon mal vom SP2 gehört