|
Plagegeister aller Art und deren Bekämpfung: Trojan.Spy.HTML.Bankfraud.EWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
26.04.2006, 10:25 | #1 |
| Trojan.Spy.HTML.Bankfraud.E Hallo, habe mir den obigen Trojaner eingefangen. Entdeckt wurde der Trojaner von Maximum Protection 2006, das Programm meldet aber, dass der Virus nicht in Quarantäne und auch nicht gelöscht werden konnte. Andere Programme, die ich mir als Testversionen runtergeladen haben melden nichts. Ich nutze Thunderbird als email-Programm. Habe entsprechend Empfehlungen hier im Forum meine email Konten komprimiert, aber die Meldung bleibt. Löschen im abgesicherten Modus durch Ausführen meines Antivirenprogramms funktioniert ebenfalls nicht. Was kann ich jetzt noch tun? Achso: am Ende des vergeblichen Beseitigungsversuchs gibt mein Virenprogramm folgende Meldung aus: Zugriffsverletzung bei Adresse 01826C50. Lesen von Adresse 01826C50 Vielen Dank für Eure Hilfe! |
26.04.2006, 10:33 | #2 |
| Trojan.Spy.HTML.Bankfraud.E bei nem trojaner würde ich lieber formatieren den wer weiss was er schon geändert hat
__________________poste al nen HJ log
__________________ |
26.04.2006, 11:02 | #3 |
| Trojan.Spy.HTML.Bankfraud.E Hallo,
__________________nachfolgend das log Logfile of HijackThis v1.99.1 Scan saved at 11:57:39, on 26.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\DATA BECKER\Internet Security Suite 2006\Firewall\pfs.exe C:\WINDOWS\system32\svchost.exe C:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\WINDOWS\system32\vmnat.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\ATK0100\Hcontrol.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Winamp\Winampa.exe C:\Programme\DATA BECKER\Internet Security Suite 2006\AntiSpam\antispam.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Copernic Desktop Search\CopernicDesktopSearch.exe C:\Programme\DATA BECKER\Internet Security Suite 2006\iss.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Corel\Graphics8\Programs\MFIndexer.exe C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\POP_P.exe C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\avw.exe C:\WISO\Börse3\Bin\dpcontrol.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Programme\Okidata\OKI LPR Utility\okilpr.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\FRITZ!DSL\StCenter.EXE C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\avs6_on.exe C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\avscanwx.exe C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\avscanwy.exe C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\avscanw.exe C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE C:\Programme\DATA BECKER\Internet Security Suite 2006\Firewall\pf.exe C:\Programme\Mozilla Firefox\firefox.exe C:\PROGRA~1\IZArc\IZArc.exe C:\Downloads\Hijack\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.tiscali.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Tiscali O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [SAMSUNG Keydefin] C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Programme\ScanSoft\PDF Converter\RegistryController.exe" O4 - HKLM\..\Run: [DATA BECKER AntiSpam 2006] C:\Programme\DATA BECKER\Internet Security Suite 2006\AntiSpam\antispam.exe O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE" -turbo -aim O4 - HKCU\..\Run: [Copernic Desktop Search] "C:\Programme\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray O4 - HKCU\..\Run: [MPISS] C:\Programme\DATA BECKER\Internet Security Suite 2006\iss.exe /tray O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: DATA BECKER - E-Mail-Schutz.lnk = C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\POP_P.exe O4 - Global Startup: DATA BECKER - Virenwächter.lnk = C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\avw.exe O4 - Global Startup: DP-Control (WISO Börse 3).lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: OKI LPR Utility.lnk = C:\Programme\Okidata\OKI LPR Utility\okilpr.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: PDF in Word öffnen - res://C:\Programme\ScanSoft\PDF Converter\IEShellExt.dll /500 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{C16B0ACF-9E23-4CFE-911E-C5FAEE395D1D}: NameServer = 82.165.40.56,62.225.252.195 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: avs6_off - Unknown owner - C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\avs6_off.exe O23 - Service: avs6_on - Unknown owner - C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\avs6_on.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Traffic Inspector Service (PFS) - MAUS Software - C:\Programme\DATA BECKER\Internet Security Suite 2006\Firewall\pfs.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe Danke für die Unterstützung! |
27.04.2006, 06:20 | #4 |
| Trojan.Spy.HTML.Bankfraud.E Trojan.Spy.HTML.Bankfraud.E Das Teil kam mir gleich bekannt vor.... bei einem meiner e-mail Konten, hier: web.de Da sind mal wieder Phising Mails im Spam Ordner gelandet... ein oder zwei zeigen gleich den "Entfernten" Trojaner " an. Sprich web.de hat den schon gekillt bevor er mein Postfach ereicht. Vieleicht mal ein e-mail Acount nur online nutzen?? Info : Phising:http://www.securityinfo.ch/phising.html |
27.04.2006, 13:57 | #5 |
| Trojan.Spy.HTML.Bankfraud.E Da ich den Rechner beruflich nutze, ist die Nutzung des web-accounts mühsam und nicht wirklich eine Alternative. Danke für Deinen Hinweis. Habe jetzt Bitdefender runtergeladen und über den Rechner laufen lassen. Er erkennt wie mein anderes Antivirenprogramm infizierte Dateien. Ich frage mich aber, ob die Meldungen falsch sind. Wenn ich im inbox-ordner die Datei mit den emails scanne, wird nichts gefunden (bei beiden tools) Trotzdem behaupten beide Programme, dass im inbox-Ordner mehrere Dateien infiziert wären, die sie aber nicht in Quarantäne schieben könnten. Sie geben dabei offenbar die Nummern der infizierten messages an. Die sind aber nicht sichtbar. Ist das eine Eigenschaft von Trojanern, die von ihnen infizierten Dateien unsichtbar zu machen? |
27.04.2006, 14:02 | #6 |
Moderator, a.D. | Trojan.Spy.HTML.Bankfraud.E Konfiguriere den Scanner so, dass Mailverzeichnisse nicht untersucht werden. Beende den Wächter, lösche Spam- und Phishing-Mails, leere den Mailpapierkorb, komprimiere alle Ordner. Das Problem ist weg. Du bist nicht infiziert, sondern hast halt nur eine Phishing-Mail im Mailordner. Da tut sie aber niemandem weh. Ergo: Panikmache des AV-Programms. Gruß Yopie |
27.04.2006, 14:48 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojan.Spy.HTML.Bankfraud.E Von Markus Klaffke gibt es noch weitere Tipps -> Mailwurm-FAQ. Es lohnt das durchzulesen!
__________________ Logfiles bitte immer in CODE-Tags posten |
27.04.2006, 19:49 | #8 | |
| Trojan.Spy.HTML.Bankfraud.EZitat:
Klar, wenn ich das Verzeichnis mit infizierter Datei nicht scanne, gibts auch keine Meldung, aber das ist ja nicht wirklich die Lösung. Deine ratschäge hatte ich schon Anfang der Woche durchgeführt: Papierkorb leeren, Ordner komprimieren. Habe ich übrigens eben nochmal gemacht. Habe sämtliche mails mir angesehen: es gibt keine der üblichen Pishing-mails. Die Meldung bleibt aber. Außerdem: die mails sammelt thunderbird je ordner in einer großen Datei. Die habe ich alle gescannt und es gibt nie eine Meldung. Und jetzt kommt's: vor einigen wochen habe ich auf den Link einer pishing-mail geklickt, weil ich sehen wollte, ob die wirklich so echt aussehen Tun sie nicht, aber der klick hat vermutlich gerreicht, mir den Trojaner einzufangen. Klug ist eben jeder, der eine vorher, der andere nachher. Blöderweise zähle ich jetzt wohl zur zweiten Gruppe. Es bleibt daher die Frage: was kann ich tun? Würde ein löschen aller mails und die Deinstallation vn Thunderbird was bringen oder doch lieber format c:? Für weniger folgenschwere und wirksame methoden wäre ich aufrichtig dankbar |
27.04.2006, 20:06 | #9 |
Moderator, a.D. | Trojan.Spy.HTML.Bankfraud.E Zunächst: Poste mal die genaue Meldung inkl. Pfadangaben! Einen Fehlalarm des AV-Programms ist natürlich auch nie auszuschließen. Vom blossen Klicken auf einen Link mit einem sicheren Browser sollte man sich nichts einfangen. Gruß Yopie |
27.04.2006, 21:04 | #10 |
| Trojan.Spy.HTML.Bankfraud.E Hier die Meldungen von Bitdefender: "Viruscode im geprüften Ziel gefunden!" Die Pfade sind für alle 8 Meldungen gleich, lediglich die message Nummer ist unterschiedlich. Die Pfadangabe lautet z.B. : C.\Dokumente und Einstellungen\Mein Name\Anwendungsdaten\Thunderbird\Profiles\aht9d2sg.default\Mail\Local Folder\Inbox=>(message646) Die Statusangabe hierzu lautet: Infiziert Trojan.Spy.HTML.Bankfraud.E Für die anderen 7 Meldungen gilt das obige nur die message nummern sind andere nämlich (1437) (1647) (1673) (1873) (4507) (4605) (6525) Was sagt denn eigentlich das Protokoll aus, dass ich weiter oben gepostet habe. Steht da irgendwas relevantes? Vielen Dank für Dein Engagement! |
27.04.2006, 21:13 | #11 |
Moderator, a.D. | Trojan.Spy.HTML.Bankfraud.E Dort sind die "Funde" in jedem Fall ungefährlich! Da du sagst, es sind keine Phishing-Mails in der Inbox, tippe ich auf Fehlalarm. Denke immer dran: Du bist schlauer als so ein dummes Stück Software! Dein Log sieht gut aus für mich. Gruß Yopie |
27.04.2006, 21:15 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojan.Spy.HTML.Bankfraud.E Hast Du auch alle Ordner komprimieren lassen? Nicht nur den Papierkorb. Stell es am besten in den Optionen ein, dass der Thunderbird ab X Kilobyte gewinnendem Speicherplatz automatisch alle Ordner komprimiert.
__________________ Logfiles bitte immer in CODE-Tags posten |
27.04.2006, 21:24 | #13 | |
| Trojan.Spy.HTML.Bankfraud.EZitat:
Maximum Protection hat letzte Woche neben dem hier strapazierten Trojaner auch noch zwei oder drei andere Viren u.a. Beagle... (oder hieß das Ding Bagel...) identifiziert und diese problemlos in Quarantäne genommen und anschließend ins Nirwana verabschiedet. Nur den Trojaner nicht. Ich finde es merkwürdig, dass ein Scanner etwas erkennt, was nicht da ist. Noch merkwürdiger finde ich, dass das zwei Scannern passiert. Die Hotline von DataBecker arbeitet übrigens seit einer Woche an dem Problem, ist aber offenbar noch nicht weiter gekommen. Sollten die kollegen, was Neues mitteilen, werde ich es an dieser Stelle posten. Erstmal vielen Dank für Deine Hilfe! |
27.04.2006, 21:26 | #14 | |
| Trojan.Spy.HTML.Bankfraud.EZitat:
Ich habe jeden einzelnen Ordner komprimiert aber ohne sichtbare Reaktion. Das mit der automatischen Einstellung ist ein guter Hinweis. Das werde ich gleich mal machen. Danke! |
27.04.2006, 21:34 | #15 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojan.Spy.HTML.Bankfraud.E Könnte es sein, dass dort mehrere Profilordner sind? Eigentlich sollte keine Phishingmail mehr zu finden sein, wenn alle gelöscht und die Ordner komprimiert sind. Vergleiche die Pfadangaben des Speicherortes vom Thunderbird und der Meldung vom Virenscanner. <edit>Yopis Post gesehen: Fehlalarm kann's nat. auch sein </edit>
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Trojan.Spy.HTML.Bankfraud.E |
abgesicherten, abgesicherten modus, adresse, andere, confused, ebenfalls, folge, folgende, forum, funktioniert, gelöscht, hilfe!, konten, melde, melden, meldet, meldung, modus, programm, programme, protection, quara, quarantäne, thunderbird, trojaner, versionen, virus |