![]() |
|
Plagegeister aller Art und deren Bekämpfung: Phish.BankFr.emlWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
| ![]() Phish.BankFr.eml Hallo zusammen ! Nach Aktualisierung von AV und Zonelab bekomme ich beim Anklicken jeder mail in meiner Inbox des Netscape Communicators von AV die Meldung, dass es sich bei "TR/Phish.BankFr.eml" um einen Trojaner handelt, dieser aber nicht gelöscht werden kann, da es sich um einen mail-Ordner handelt. Hab` ich da tatsächlich einen Trojaner drauf, oder sieht da AV die Inbox als "Feind" ? Was kann ich tun ? Bin für Vorschläge sehr dankbar Steff steph@wipeout.de |
![]() | #2 |
![]() ![]() ![]() | ![]() Phish.BankFr.eml @ stefwo,
__________________vermutlich ist eine Deiner Mails verseucht. Liegt die Inbox auf Deinem Computer-System? Erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html. SD |
![]() | #3 |
| ![]() Phish.BankFr.eml AntiVir Personal Edition hat mit vielen Viren Probleme und erkennt nicht die einzelne Mail sondern das ganze Verzeichnis als verseucht und löscht dieses Verzeichnis ganz, wenn auf Mail löschen geklickt wird.
__________________Ich beseitige diese manuell, indem ich das verseuchte Verzeichsnis mit Wordpad öffne und meistens ist es die letzte Datei im Verzeichnis, lösche. Dieses kannst du herausfinden indem du diese kopierst, in ein leeres Dokument einfügst und du versuchst diese unter einem beliebigen Namen zu speichern. Wird dann AV aktiv hast du die richtige Mail erwischt und kannst diese endgültig aus der Inbox oder wo sie sich auch gerade befindet löschen. Ist sehr mühsam, aber besser als alles löschen allemal. Viel Erfolg |
![]() | #4 |
| ![]() Phish.BankFr.eml ich hab seit gestern genau das gleiche problem... immer wenn ich the bat starte wird im tmp ordner ne datei erstellt die dann mit dem trojaner "TR/Phish.BankFr.eml" infiziert is dann kann ich die zwar mit antivir loeschen aber sobald the bat wieder mails abrufen will kommt die meldung wieder... sprich ich dreh mich im kreis ;/ weis einer abhilfe? [edit] hier noch die logfile [/edit] Logfile of HijackThis v1.98.2 Scan saved at 21:42:39, on 29.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\system32\CTsvcCDA.EXE C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINNT\System32\svchost.exe C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\MsPMSPSv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINNT\system32\devldr32.exe C:\Programme\ASUS\Probe\AsusProb.exe C:\programme\powerstrip\pstrip.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\D-Tools\daemon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\WINNT\System32\svchost.exe C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe C:\Programme\mIRC\mirc.exe D:\Steam\Steam.exe C:\WINNT\system32\wisptis.exe C:\Programme\psybnc\psybnc.exe C:\Programme\StealthBot\StealthBot v2.5.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\The Bat!\thebat.exe C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis1982\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\Programme\FlashGet\jccatch.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\Programme\FMV5\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ASUS Probe] C:\Programme\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: Picture Package Menu.lnk = C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe O4 - Global Startup: VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm (file missing) O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm (file missing) O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20619313...dxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/de/wowbeta/Si.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A06F71B8-0B81-4032-AF3A-2C4E84C0EBC1}: NameServer = 192.168.0.1 |
![]() | #5 |
![]() ![]() ![]() | ![]() Phish.BankFr.eml Hallo orco, bitte überprüfe mit virusscan.jotti.dhs.org: C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe C:\Programme\psybnc\psybnc.exe teile uns das Ergebnis der Überprüfung mit. Boote in den abgesicherten Modus/VGA-Modus und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken): O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm (file missing) O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm (file missing) O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52...meInstaller.exe boote in den normalen Modus. Lade das ClearProg runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf. Erstelle ein neues Hijack This Logfile und poste es. SD |
![]() | #6 |
| ![]() Phish.BankFr.eml hier die ueberpruefung: File: Residence.exe Status: OK Packers detected: None AntiVir No viruses found (0.14 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender No viruses found (0.34 seconds taken) ClamAV No viruses found (0.34 seconds taken) Dr.Web No viruses found (0.51 seconds taken) F-Prot Antivirus No viruses found (0.06 seconds taken) Kaspersky Anti-Virus No viruses found (0.59 seconds taken) mks_vir No viruses found (0.21 seconds taken) NOD32 No viruses found (0.38 seconds taken) Norman Virus Control No viruses found (0.53 seconds taken) und: File: psybnc.exe Status: INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.) Packers detected: None AntiVir No viruses found (0.14 seconds taken) Avast No viruses found (1.63 seconds taken) BitDefender No viruses found (1.06 seconds taken) ClamAV No viruses found (1.05 seconds taken) Dr.Web No viruses found (1.62 seconds taken) F-Prot Antivirus No viruses found (0.28 seconds taken) Kaspersky Anti-Virus not-a-virus:NetTool.IRC.psyBNC.231 (2.01 seconds taken) mks_vir No viruses found (0.20 seconds taken) NOD32 No viruses found (0.42 seconds taken) Norman Virus Control No viruses found (0.40 seconds taken) des mim abgesicherten modus mach ich nun gleich |
![]() | #7 |
| ![]() Phish.BankFr.eml so nachdem ich im abgesichertenmodus die 3 datein gefixt hab und im normalen modus mit dem clearprog die ordner geloescht hab kommt hier nun die neue log: Logfile of HijackThis v1.98.2 Scan saved at 23:46:29, on 29.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\system32\CTsvcCDA.EXE C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINNT\System32\svchost.exe C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINNT\system32\regsvc.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\MsPMSPSv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINNT\system32\devldr32.exe C:\Programme\ASUS\Probe\AsusProb.exe C:\programme\powerstrip\pstrip.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE D:\steam\steam.exe C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis1982\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\Programme\FlashGet\jccatch.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\Programme\FMV5\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ASUS Probe] C:\Programme\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: Picture Package Menu.lnk = C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe O4 - Global Startup: VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20619313...dxIE601_de.cab O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/de/wowbeta/Si.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A06F71B8-0B81-4032-AF3A-2C4E84C0EBC1}: NameServer = 192.168.0.1 |
![]() | #8 |
![]() ![]() ![]() | ![]() Phish.BankFr.eml Hallo orco, sieht gut aus, schau mal selbst: automatische Auswertung und hier noch ein bißchen was zum lesen: - Vorbeugende Maßnahmen - IE sicher konfigurieren und Browser-Sicherheit - Einschränktes Benutzerkonto: www.ntsvcfg.de. - Entfernung von Schädlingen und Kompromittierung unvermeidbar? - faq.underflow.de - Hijacker-Entfernung |
![]() | #9 |
| ![]() Phish.BankFr.eml Hallo, ich hatte das Problem mit dem immerwiederkehrenden Trojaner : TR/phish.BankFr.eml (oder auch trojan-spy.html.sunfraud.c genannt) Jedesmal, wenn ich eine E-mail mit meinem E-mail Client herunterladen wollte, bekam ich von AntiVir die Warnung, dass diese Trojaner vorhanden sei und, ob ich ihn löschen wolle. Die Löschung hatte keine Wirkung nachhaltige Wirkung. Beim nächsten Abruf der Mails, war es wieder da (siehe andere Beiträge). Erst als ich über Webmail diese Trojaner-Email auf dem Server löschte, hörte der Spuk auf. Auch andere Virenscanner konnten auf meinem PC keinerlei infizierte Dateien erkennen. Ich empfehle andere Betroffene diese Methode. MfG Cutoff |
![]() |
Themen zu Phish.BankFr.eml |
aktualisierung, anklicken, email, feind, gelöscht, hallo zusammen, handel, inbox, klicke, klicken, mail, meldung, netscape, troja, trojaner, vorschläge, zonelab, zusammen |