Hallo! Auch ich hatte solch einen angeblichen Abbuchungsauftrag, der von Spamihilator als Spam in den Papierkorb befördert wurde. Ich habe mir die Textversion bei Spamihilator angeschaut, diesen Text zeitweilig auf Word gespeichert, den Text mit Antivir geprüft: kein Virus nachgewiesen und wollte die Textdatei zu Paypal schicken. Die nehmen aber nur weitergeleitete Spam-Mails. Also habe ich die Textdatei gelöscht, mir die Spam-Mail wieder in meinen Briefkasten verschoben, von dort weitergeleitet nach Paypal und dann wieder gelöscht, ohne den Anhang zu öffnen. Um so erstaunter war ich, daß mir Antivir drei Versionen von TR/Buzus in meinem Mail-Archiv meldete:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 9. Juni 2008 21:41

Es wird nach 1316364 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows 2000
Windowsversion: (Service Pack 4) [5.0.2195]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: XYZ-123

Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.05.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 13:08:58
ANTIVIR2.VDF : 7.0.4.120 2206720 Bytes 01.06.2008 04:58:51
ANTIVIR3.VDF : 7.0.4.158 182784 Bytes 08.06.2008 05:05:02
Engineversion : 8.1.0.55
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.40 266618 Bytes 07.06.2008 05:55:39
AESCN.DLL : 8.1.0.21 119156 Bytes 07.06.2008 05:55:38
AERDL.DLL : 8.1.0.20 418165 Bytes 27.04.2008 06:55:22
AEPACK.DLL : 8.1.1.5 364918 Bytes 16.05.2008 05:45:04
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 19.04.2008 05:54:09
AEHEUR.DLL : 8.1.0.30 1253750 Bytes 07.06.2008 05:55:37
AEHELP.DLL : 8.1.0.15 115063 Bytes 30.05.2008 05:28:34
AEGEN.DLL : 8.1.0.28 307572 Bytes 07.06.2008 05:55:34
AEEMU.DLL : 8.1.0.6 430451 Bytes 08.05.2008 05:18:48
AECORE.DLL : 8.1.0.31 168310 Bytes 07.06.2008 05:55:33
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:25:52
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: Montag, 9. Juni 2008 21:41

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '26391' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'privoxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spamihilator.ex' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SiteAdv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Amoumain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mspmspsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinMgmt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SAService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mstask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'regsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Smc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '25' Prozesse mit '25' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '14' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\1x7smsuy.default\Mail\Local Folders\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[From: "Mina nicklas " <tej@q-00-p.com>][Message-ID: <635753029.62390286156205@q-00-p.com>][Subject: Abbuchungsvertrag]498.mim
[1] Archivtyp: MIME
--> Rechnung.rar
[2] Archivtyp: RAR
--> Rechnung.exe
[FUND] Ist das Trojanische Pferd TR/Buzus.hrp
[WARNUNG] Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\1x7smsuy.default\Mail\Local Folders\Sent
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <48496998.2010605@.de>][From: "L.de>][Subject: [Fwd: Abbuchungsvertrag]]60.mim
[1] Archivtyp: MIME
--> file1.mim
[2] Archivtyp: MIME
--> Rechnung.rar
[3] Archivtyp: RAR
--> Rechnung.exe
[FUND] Ist das Trojanische Pferd TR/Buzus.hrp
[WARNUNG] Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\1x7smsuy.default\Mail\Local Folders\Trash
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[From: "Mina nicklas " <tej@q-00-p.com>][Message-ID: <635753029.62390286156205@q-00-p.com>][Subject: Abbuchungsvertrag]118.mim
[1] Archivtyp: MIME
--> Rechnung.rar
[2] Archivtyp: RAR
--> Rechnung.exe
[FUND] Ist das Trojanische Pferd TR/Buzus.hrp
[WARNUNG] Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!
Beginne mit der Suche in 'D:\'
D:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'E:\'


Ende des Suchlaufs: Montag, 9. Juni 2008 23:35
Benötigte Zeit: 1:54:03 min

Der Suchlauf wurde vollständig durchgeführt.

2531 Verzeichnisse wurden überprüft
185625 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
185622 Dateien ohne Befall
1274 Archive wurden durchsucht
5 Warnungen
0 Hinweise
26391 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Bei Hijack This kam folgendes heraus:
Logfile of Trend Micro HijackThis v2.0.2
[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]




Laut automatischer Auswertung sei das unauffällig.
Ich würde am liebsten das gesamte Thunderbird deinstallieren und dann wieder neu laden damit alle damit verbundenen Dateien auch weg sind und keine wichtigen fehlen.
Meine Frage: Ist mein Computer jetzt geknackt? (Diese Anfrage schreibe ich auf einem anderen Rechner).
Vielen Dank für Eure Hilfe harlud

Du musst in thunderbird alle Ordner kompriemieren. Danach sind die Meldungen verschwunden.

Hallo Ralf! Nachdem ich die Thunderbirdordner komprimiert habe gibt es noch eine Meldung über TR/Buzus. Hier der Scanbericht:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 10. Juni 2008 21:15

Es wird nach 1316364 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows 2000
Windowsversion: (Service Pack 4) [5.0.2195]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: xyz-123

Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.05.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 13:08:58
ANTIVIR2.VDF : 7.0.4.120 2206720 Bytes 01.06.2008 04:58:51
ANTIVIR3.VDF : 7.0.4.158 182784 Bytes 08.06.2008 05:05:02
Engineversion : 8.1.0.55
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.40 266618 Bytes 07.06.2008 05:55:39
AESCN.DLL : 8.1.0.21 119156 Bytes 07.06.2008 05:55:38
AERDL.DLL : 8.1.0.20 418165 Bytes 27.04.2008 06:55:22
AEPACK.DLL : 8.1.1.5 364918 Bytes 16.05.2008 05:45:04
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 19.04.2008 05:54:09
AEHEUR.DLL : 8.1.0.30 1253750 Bytes 07.06.2008 05:55:37
AEHELP.DLL : 8.1.0.15 115063 Bytes 30.05.2008 05:28:34
AEGEN.DLL : 8.1.0.28 307572 Bytes 07.06.2008 05:55:34
AEEMU.DLL : 8.1.0.6 430451 Bytes 08.05.2008 05:18:48
AECORE.DLL : 8.1.0.31 168310 Bytes 07.06.2008 05:55:33
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:25:52
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: Dienstag, 10. Juni 2008 21:15

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '26386' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'privoxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spamihilator.ex' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SiteAdv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Amoumain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mspmspsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinMgmt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SAService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mstask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'regsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Smc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '25' Prozesse mit '25' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '14' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\1x7smsuy.default\Mail\Local Folders\Trash
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <48496998.2010605@.de>][From: "r@.de>][Subject: [Fwd: Abbuchungsvertrag]]54.mim
[1] Archivtyp: MIME
--> file1.mim
[2] Archivtyp: MIME
--> Rechnung.rar
[3] Archivtyp: RAR
--> Rechnung.exe
[FUND] Ist das Trojanische Pferd TR/Buzus.hrp
[WARNUNG] Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!
Beginne mit der Suche in 'D:\'
D:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'E:\'


Ende des Suchlaufs: Dienstag, 10. Juni 2008 22:10
Benötigte Zeit: 55:06 min

Der Suchlauf wurde vollständig durchgeführt.

2520 Verzeichnisse wurden überprüft
184446 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
184445 Dateien ohne Befall
895 Archive wurden durchsucht
3 Warnungen
0 Hinweise
26386 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Meine Fragen:
1.) Sollte man nicht die Datei
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\1x7smsuy.default\Mail\Local Folders\Trash
direkt löschen?
2.) Was mache ich mit den beiden anderen Exemplaren, die jetzt in den komprimierten Ordnern sind?
3.) Ist mein Computer jetzt kompromittiert- gibt es eine Backdoor-war der Trojaner aktiv? Viele Grüße harlud

Hi,

da fehlte der Hinweis vor dem Komprimieren der Ordner den Papierkorb zu leeren (den von Thunderbird).

Gruß, Karl

Hallo! Ja, jetzt ist der "Fund" weg.Vielen Dank harlud