|
Trojan.Spy.HTML.Bankfraud.E Hallo, habe mir den obigen Trojaner eingefangen. Entdeckt wurde der Trojaner von Maximum Protection 2006, das Programm meldet aber, dass der Virus nicht in Quarantäne und auch nicht gelöscht werden konnte. Andere Programme, die ich mir als Testversionen runtergeladen haben melden nichts. Ich nutze Thunderbird als email-Programm. Habe entsprechend Empfehlungen hier im Forum meine email Konten komprimiert, aber die Meldung bleibt. Löschen im abgesicherten Modus durch Ausführen meines Antivirenprogramms funktioniert ebenfalls nicht. Was kann ich jetzt noch tun? :confused: Achso: am Ende des vergeblichen Beseitigungsversuchs gibt mein Virenprogramm folgende Meldung aus: Zugriffsverletzung bei Adresse 01826C50. Lesen von Adresse 01826C50 Vielen Dank für Eure Hilfe! |
bei nem trojaner würde ich lieber formatieren den wer weiss was er schon geändert hat poste al nen HJ log |
Hallo, nachfolgend das log Logfile of HijackThis v1.99.1 Scan saved at 11:57:39, on 26.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\DATA BECKER\Internet Security Suite 2006\Firewall\pfs.exe C:\WINDOWS\system32\svchost.exe C:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\WINDOWS\system32\vmnat.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\ATK0100\Hcontrol.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Winamp\Winampa.exe C:\Programme\DATA BECKER\Internet Security Suite 2006\AntiSpam\antispam.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Copernic Desktop Search\CopernicDesktopSearch.exe C:\Programme\DATA BECKER\Internet Security Suite 2006\iss.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Corel\Graphics8\Programs\MFIndexer.exe C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\POP_P.exe C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\avw.exe C:\WISO\Börse3\Bin\dpcontrol.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Programme\Okidata\OKI LPR Utility\okilpr.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\FRITZ!DSL\StCenter.EXE C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\avs6_on.exe C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\avscanwx.exe C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\avscanwy.exe C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\avscanw.exe C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE C:\Programme\DATA BECKER\Internet Security Suite 2006\Firewall\pf.exe C:\Programme\Mozilla Firefox\firefox.exe C:\PROGRA~1\IZArc\IZArc.exe C:\Downloads\Hijack\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.tiscali.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Tiscali O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [SAMSUNG Keydefin] C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Programme\ScanSoft\PDF Converter\RegistryController.exe" O4 - HKLM\..\Run: [DATA BECKER AntiSpam 2006] C:\Programme\DATA BECKER\Internet Security Suite 2006\AntiSpam\antispam.exe O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE" -turbo -aim O4 - HKCU\..\Run: [Copernic Desktop Search] "C:\Programme\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray O4 - HKCU\..\Run: [MPISS] C:\Programme\DATA BECKER\Internet Security Suite 2006\iss.exe /tray O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: DATA BECKER - E-Mail-Schutz.lnk = C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\POP_P.exe O4 - Global Startup: DATA BECKER - Virenwächter.lnk = C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\avw.exe O4 - Global Startup: DP-Control (WISO Börse 3).lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: OKI LPR Utility.lnk = C:\Programme\Okidata\OKI LPR Utility\okilpr.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: PDF in Word öffnen - res://C:\Programme\ScanSoft\PDF Converter\IEShellExt.dll /500 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{C16B0ACF-9E23-4CFE-911E-C5FAEE395D1D}: NameServer = 82.165.40.56,62.225.252.195 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: avs6_off - Unknown owner - C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\avs6_off.exe O23 - Service: avs6_on - Unknown owner - C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\avs6_on.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Traffic Inspector Service (PFS) - MAUS Software - C:\Programme\DATA BECKER\Internet Security Suite 2006\Firewall\pfs.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe Danke für die Unterstützung! :) |
Trojan.Spy.HTML.Bankfraud.E Das Teil kam mir gleich bekannt vor.... bei einem meiner e-mail Konten, hier: web.de Da sind mal wieder Phising Mails im Spam Ordner gelandet... ein oder zwei zeigen gleich den "Entfernten" Trojaner " an. Sprich web.de hat den schon gekillt bevor er mein Postfach ereicht. Vieleicht mal ein e-mail Acount nur online nutzen?? Info : Phising:http://www.securityinfo.ch/phising.html |
Da ich den Rechner beruflich nutze, ist die Nutzung des web-accounts mühsam und nicht wirklich eine Alternative. Danke für Deinen Hinweis. Habe jetzt Bitdefender runtergeladen und über den Rechner laufen lassen. Er erkennt wie mein anderes Antivirenprogramm infizierte Dateien. Ich frage mich aber, ob die Meldungen falsch sind. Wenn ich im inbox-ordner die Datei mit den emails scanne, wird nichts gefunden (bei beiden tools) Trotzdem behaupten beide Programme, dass im inbox-Ordner mehrere Dateien infiziert wären, die sie aber nicht in Quarantäne schieben könnten. Sie geben dabei offenbar die Nummern der infizierten messages an. Die sind aber nicht sichtbar. Ist das eine Eigenschaft von Trojanern, die von ihnen infizierten Dateien unsichtbar zu machen? |
Konfiguriere den Scanner so, dass Mailverzeichnisse nicht untersucht werden. Beende den Wächter, lösche Spam- und Phishing-Mails, leere den Mailpapierkorb, komprimiere alle Ordner. Das Problem ist weg. Du bist nicht infiziert, sondern hast halt nur eine Phishing-Mail im Mailordner. Da tut sie aber niemandem weh. Ergo: Panikmache des AV-Programms. Gruß :daumenhoc Yopie |
Von Markus Klaffke gibt es noch weitere Tipps -> Mailwurm-FAQ. Es lohnt das durchzulesen! :daumenhoc |
Zitat:
Klar, wenn ich das Verzeichnis mit infizierter Datei nicht scanne, gibts auch keine Meldung, aber das ist ja nicht wirklich die Lösung. Deine ratschäge hatte ich schon Anfang der Woche durchgeführt: Papierkorb leeren, Ordner komprimieren. Habe ich übrigens eben nochmal gemacht. Habe sämtliche mails mir angesehen: es gibt keine der üblichen Pishing-mails. Die Meldung bleibt aber. Außerdem: die mails sammelt thunderbird je ordner in einer großen Datei. Die habe ich alle gescannt und es gibt nie eine Meldung. Und jetzt kommt's: vor einigen wochen habe ich auf den Link einer pishing-mail geklickt, weil ich sehen wollte, ob die wirklich so echt aussehen Tun sie nicht, aber der klick hat vermutlich gerreicht, mir den Trojaner einzufangen. Klug ist eben jeder, der eine vorher, der andere nachher. Blöderweise zähle ich jetzt wohl zur zweiten Gruppe. Es bleibt daher die Frage: was kann ich tun? Würde ein löschen aller mails und die Deinstallation vn Thunderbird was bringen oder doch lieber format c:? Für weniger folgenschwere und wirksame methoden wäre ich aufrichtig dankbar |
Zunächst: Poste mal die genaue Meldung inkl. Pfadangaben! Einen Fehlalarm des AV-Programms ist natürlich auch nie auszuschließen. ;) Vom blossen Klicken auf einen Link mit einem sicheren Browser sollte man sich nichts einfangen. Gruß :daumenhoc Yopie |
Hier die Meldungen von Bitdefender: "Viruscode im geprüften Ziel gefunden!" Die Pfade sind für alle 8 Meldungen gleich, lediglich die message Nummer ist unterschiedlich. Die Pfadangabe lautet z.B. : C.\Dokumente und Einstellungen\Mein Name\Anwendungsdaten\Thunderbird\Profiles\aht9d2sg.default\Mail\Local Folder\Inbox=>(message646) Die Statusangabe hierzu lautet: Infiziert Trojan.Spy.HTML.Bankfraud.E Für die anderen 7 Meldungen gilt das obige nur die message nummern sind andere nämlich (1437) (1647) (1673) (1873) (4507) (4605) (6525) Was sagt denn eigentlich das Protokoll aus, dass ich weiter oben gepostet habe. Steht da irgendwas relevantes? Vielen Dank für Dein Engagement! |
Dort sind die "Funde" in jedem Fall ungefährlich! Da du sagst, es sind keine Phishing-Mails in der Inbox, tippe ich auf Fehlalarm. Denke immer dran: Du bist schlauer als so ein dummes Stück Software! Dein Log sieht gut aus für mich. Gruß :daumenhoc Yopie |
Hast Du auch alle Ordner komprimieren lassen? Nicht nur den Papierkorb. Stell es am besten in den Optionen ein, dass der Thunderbird ab X Kilobyte gewinnendem Speicherplatz automatisch alle Ordner komprimiert. |
Zitat:
Maximum Protection hat letzte Woche neben dem hier strapazierten Trojaner auch noch zwei oder drei andere Viren u.a. Beagle... (oder hieß das Ding Bagel...) identifiziert und diese problemlos in Quarantäne genommen und anschließend ins Nirwana verabschiedet. Nur den Trojaner nicht. Ich finde es merkwürdig, dass ein Scanner etwas erkennt, was nicht da ist. Noch merkwürdiger finde ich, dass das zwei Scannern passiert. Die Hotline von DataBecker arbeitet übrigens seit einer Woche an dem Problem, ist aber offenbar noch nicht weiter gekommen. Sollten die kollegen, was Neues mitteilen, werde ich es an dieser Stelle posten. Erstmal vielen Dank für Deine Hilfe! |
Zitat:
Ich habe jeden einzelnen Ordner komprimiert aber ohne sichtbare Reaktion. Das mit der automatischen Einstellung ist ein guter Hinweis. Das werde ich gleich mal machen. Danke! |
Könnte es sein, dass dort mehrere Profilordner sind? :confused: Eigentlich sollte keine Phishingmail mehr zu finden sein, wenn alle gelöscht und die Ordner komprimiert sind. Vergleiche die Pfadangaben des Speicherortes vom Thunderbird und der Meldung vom Virenscanner. <edit>Yopis Post gesehen: Fehlalarm kann's nat. auch sein :D</edit> |
Beim Einsatz von Thunderbird solltest du auch dies beachten: Antivirus-Software - Datenverlust droht! Zitat:
Du kennst den Unterschied Trojaner zu Backdoor? (falls du dieses meintest) Diese Malware hier (Trojan.Spy.HTML.Bankfraud.E) hat ihren langen Namen weil: Trojan => Tojanisches Pferd (Trojaner), weil die Mail(!) mit der die Malware verbreitet wird, was anderes vorgaukelt als es ist. (die Mail ist das Trojanische Pferd, und beinhält =>) Spy => Spyware, da es zum Ausspionieren, hier der Bankdaten, dient HTML => Weil die Mail im HTML-Format kommt und die Malware mithilfe von HTML arbeitet. Bankfraud => übersetzt "Bank-Betrug" (sollte selbsterklärend sein E => weils A bis D schon gab (leider schaue ich "meine" Bankfrauds nie an und habe schon alle gelöscht) |
|
Zitat:
Ich habe "Lokale Ordner" und darunter mehrere Unterordner, Z.b. privatpost, Geschäftspost etc. Jeden dieser Ordner habe ich komprimiert. Der Thunderbird Pfad lautet: C:\Dokumente und Einstellungen\Mein Name\Anwendungsdaten\Thunderbird\Profiles\aht9d2sg.default\Mail\Local Folders Die Virenscannermeldung geht noch etwas tiefer nämlich auf den Ordner Inbox(.sbd) In diesem befinden sich wiederum einige meiner Unterordner. In jedem dieser Ordner gibts dann u.a. die Datei, in der alle mails gesammelt werden. Die habe ich alle ohne Ergebnis gescannt. |
Zitat:
Was heißt hier leider nie angeschaut und gelöscht. Da hab ich einen guten Rat für Dich: lass es auch in Zukunft. Sonst gehts Dir wie mir :pukeface: |
Zitat:
"Zudem hält man den neugierigen Klickfinger im Zaum." Die Frage lautet: wenn man so neugierig ist, den link einer pishing mail anzuklicken aktiviert das schon den in der mail versteckten Virus? Ich hatte geglaubt, ein solcher Virus würde meine vom Absender erhofften Eingaben von Kontonummer und Tan-Nummern aufzeichnen und an den Urheber des Virus schicken. Wenn das anklicken des links den Virus bereits aktiviert, dann werde ich ihn wohl haben. Was sind eigentlich "Virenkörper"? (siehe Bitdefender-Meldung) |
Eben fällt mir noch was ein. Neben den Thunderbird Ordnern, die ich selbst angelegt habe, gibt es seit kurzem einen Ordner, den ich definitiv nicht angelegt habe, der leer zu sein scheint und sich jedem Löschversuch erfolgreich widersetzt. Sein Name: AVGuard_4504a3d2. Klingt für mich wie die Reste der temporären AntiVir-Installation. Weiß jemand von Euch wie man diesen anhänglichen Ordner dauerhaft verabschiedet? |
Zitat:
Versuch mal im abgesicherten Modus den Ordner zu löschen. |
Zitat:
Gruß :daumenhoc Yopie |
Zitat:
|
Zitat:
|
Zitat:
Hallo Cosinus, bin seit mehreren Tagen heute das erstemal wieder im Netz. Deine obige Nachricht verstehe ich nicht. Ich kann Dir sagen, dass sich im obigen Ordner aht9d2sg.default drei Unterordner befinden: 1. chrome 2. extension 3. mail im Mail Ordner gibts dann 1. Local Folders, 2. pop.1und1.com Im Local folders folgen dann alle Ordner, die ich in THunderbird angelegt und mehrfach komprimiert habe. |
Ich wollte damit eigentlich nur erfragen, ob sich das von AntiVir beanstandete Verzeichnis mit dem Speicherordner der E-Mails im Thunderbird gleicht. Wenn ja, hast Du nicht alle Ordner komprimieren lassen. Wenn nicht, könnte der angebliche Schädling in einem anderen Profil- bzw. Mail-Verzeichnis liegen. Es macht aber prinzipiell keinen Sinn, die Mailboxdatei von Thunderbird zu prüfen, siehe Mailwürmer-FAQ von Markus Klaffke. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:58 Uhr. |
Copyright ©2000-2025, Trojaner-Board