Hallo,

habe mir den obigen Trojaner eingefangen.

Entdeckt wurde der Trojaner von Maximum Protection 2006, das Programm meldet aber, dass der Virus nicht in Quarantäne und auch nicht gelöscht werden konnte. Andere Programme, die ich mir als Testversionen runtergeladen haben melden nichts.

Ich nutze Thunderbird als email-Programm. Habe entsprechend Empfehlungen hier im Forum meine email Konten komprimiert, aber die Meldung bleibt.

Löschen im abgesicherten Modus durch Ausführen meines Antivirenprogramms funktioniert ebenfalls nicht.

Was kann ich jetzt noch tun?

Achso: am Ende des vergeblichen Beseitigungsversuchs gibt mein Virenprogramm folgende Meldung aus:

Zugriffsverletzung bei Adresse 01826C50. Lesen von Adresse 01826C50

Vielen Dank für Eure Hilfe!

bei nem trojaner würde ich lieber formatieren den wer weiss was er schon geändert hat
poste al nen HJ log

Hallo,

nachfolgend das log

Logfile of HijackThis v1.99.1
Scan saved at 11:57:39, on 26.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\DATA BECKER\Internet Security Suite 2006\Firewall\pfs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\DATA BECKER\Internet Security Suite 2006\AntiSpam\antispam.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Copernic Desktop Search\CopernicDesktopSearch.exe
C:\Programme\DATA BECKER\Internet Security Suite 2006\iss.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\POP_P.exe
C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\avw.exe
C:\WISO\Börse3\Bin\dpcontrol.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Okidata\OKI LPR Utility\okilpr.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\avs6_on.exe
C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\avscanwx.exe
C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\avscanwy.exe
C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\avscanw.exe
C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE
C:\Programme\DATA BECKER\Internet Security Suite 2006\Firewall\pf.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\IZArc\IZArc.exe
C:\Downloads\Hijack\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.tiscali.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Tiscali
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SAMSUNG Keydefin] C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Programme\ScanSoft\PDF Converter\RegistryController.exe"
O4 - HKLM\..\Run: [DATA BECKER AntiSpam 2006] C:\Programme\DATA BECKER\Internet Security Suite 2006\AntiSpam\antispam.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE" -turbo -aim
O4 - HKCU\..\Run: [Copernic Desktop Search] "C:\Programme\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray
O4 - HKCU\..\Run: [MPISS] C:\Programme\DATA BECKER\Internet Security Suite 2006\iss.exe /tray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: DATA BECKER - E-Mail-Schutz.lnk = C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\POP_P.exe
O4 - Global Startup: DATA BECKER - Virenwächter.lnk = C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\avw.exe
O4 - Global Startup: DP-Control (WISO Börse 3).lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OKI LPR Utility.lnk = C:\Programme\Okidata\OKI LPR Utility\okilpr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: PDF in Word öffnen - res://C:\Programme\ScanSoft\PDF Converter\IEShellExt.dll /500
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C16B0ACF-9E23-4CFE-911E-C5FAEE395D1D}: NameServer = 82.165.40.56,62.225.252.195
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: avs6_off - Unknown owner - C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\avs6_off.exe
O23 - Service: avs6_on - Unknown owner - C:\Programme\DATA BECKER\Internet Security Suite 2006\Antivirus\avs6_on.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Traffic Inspector Service (PFS) - MAUS Software - C:\Programme\DATA BECKER\Internet Security Suite 2006\Firewall\pfs.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe


Danke für die Unterstützung!

Trojan.Spy.HTML.Bankfraud.E

Das Teil kam mir gleich bekannt vor.... bei einem meiner e-mail Konten, hier: web.de Da sind mal wieder Phising Mails im Spam Ordner gelandet... ein oder zwei zeigen gleich den "Entfernten" Trojaner " an. Sprich web.de hat den schon gekillt bevor er mein Postfach ereicht.

Vieleicht mal ein e-mail Acount nur online nutzen??

Info : Phising:http://www.securityinfo.ch/phising.html

Da ich den Rechner beruflich nutze, ist die Nutzung des web-accounts mühsam und nicht wirklich eine Alternative.

Danke für Deinen Hinweis. Habe jetzt Bitdefender runtergeladen und über den Rechner laufen lassen. Er erkennt wie mein anderes Antivirenprogramm infizierte Dateien.

Ich frage mich aber, ob die Meldungen falsch sind. Wenn ich im inbox-ordner die Datei mit den emails scanne, wird nichts gefunden (bei beiden tools) Trotzdem behaupten beide Programme, dass im inbox-Ordner mehrere Dateien infiziert wären, die sie aber nicht in Quarantäne schieben könnten. Sie geben dabei offenbar die Nummern der infizierten messages an. Die sind aber nicht sichtbar. Ist das eine Eigenschaft von Trojanern, die von ihnen infizierten Dateien unsichtbar zu machen?

Konfiguriere den Scanner so, dass Mailverzeichnisse nicht untersucht werden.

Beende den Wächter, lösche Spam- und Phishing-Mails, leere den Mailpapierkorb, komprimiere alle Ordner. Das Problem ist weg.
Du bist nicht infiziert, sondern hast halt nur eine Phishing-Mail im Mailordner. Da tut sie aber niemandem weh. Ergo: Panikmache des AV-Programms.

Gruß
Yopie

Von Markus Klaffke gibt es noch weitere Tipps -> Mailwurm-FAQ.
Es lohnt das durchzulesen!

Zitat:

Zitat von Yopie

Konfiguriere den Scanner so, dass Mailverzeichnisse nicht untersucht werden.

Beende den Wächter, lösche Spam- und Phishing-Mails, leere den Mailpapierkorb, komprimiere alle Ordner. Das Problem ist weg.
Du bist nicht infiziert, sondern hast halt nur eine Phishing-Mail im Mailordner. Da tut sie aber niemandem weh. Ergo: Panikmache des AV-Programms.

Gruß
Yopie

Sorry Yopie, aber ich glaube das siehst Du nicht richtig.

Klar, wenn ich das Verzeichnis mit infizierter Datei nicht scanne, gibts auch keine Meldung, aber das ist ja nicht wirklich die Lösung.

Deine ratschäge hatte ich schon Anfang der Woche durchgeführt: Papierkorb leeren, Ordner komprimieren. Habe ich übrigens eben nochmal gemacht.
Habe sämtliche mails mir angesehen: es gibt keine der üblichen Pishing-mails.

Die Meldung bleibt aber. Außerdem: die mails sammelt thunderbird je ordner in einer großen Datei. Die habe ich alle gescannt und es gibt nie eine Meldung.

Und jetzt kommt's: vor einigen wochen habe ich auf den Link einer pishing-mail geklickt, weil ich sehen wollte, ob die wirklich so echt aussehen Tun sie nicht, aber der klick hat vermutlich gerreicht, mir den Trojaner einzufangen.

Klug ist eben jeder, der eine vorher, der andere nachher. Blöderweise zähle ich jetzt wohl zur zweiten Gruppe.

Es bleibt daher die Frage: was kann ich tun?
Würde ein löschen aller mails und die Deinstallation vn Thunderbird was bringen oder doch lieber format c:?

Für weniger folgenschwere und wirksame methoden wäre ich aufrichtig dankbar

Zunächst: Poste mal die genaue Meldung inkl. Pfadangaben!

Einen Fehlalarm des AV-Programms ist natürlich auch nie auszuschließen. Vom blossen Klicken auf einen Link mit einem sicheren Browser sollte man sich nichts einfangen.

Gruß
Yopie

Hier die Meldungen von Bitdefender:

"Viruscode im geprüften Ziel gefunden!"

Die Pfade sind für alle 8 Meldungen gleich, lediglich die message Nummer ist unterschiedlich. Die Pfadangabe lautet z.B. :

C.\Dokumente und Einstellungen\Mein Name\Anwendungsdaten\Thunderbird\Profiles\aht9d2sg.default\Mail\Local Folder\Inbox=>(message646)

Die Statusangabe hierzu lautet: Infiziert Trojan.Spy.HTML.Bankfraud.E

Für die anderen 7 Meldungen gilt das obige nur die message nummern sind andere nämlich
(1437)
(1647)
(1673)
(1873)
(4507)
(4605)
(6525)

Was sagt denn eigentlich das Protokoll aus, dass ich weiter oben gepostet habe. Steht da irgendwas relevantes?

Vielen Dank für Dein Engagement!

Dort sind die "Funde" in jedem Fall ungefährlich!

Da du sagst, es sind keine Phishing-Mails in der Inbox, tippe ich auf Fehlalarm. Denke immer dran: Du bist schlauer als so ein dummes Stück Software!

Dein Log sieht gut aus für mich.

Gruß
Yopie

Hast Du auch alle Ordner komprimieren lassen? Nicht nur den Papierkorb. Stell es am besten in den Optionen ein, dass der Thunderbird ab X Kilobyte gewinnendem Speicherplatz automatisch alle Ordner komprimiert.

Zitat:

Zitat von Yopie

Dort sind die "Funde" in jedem Fall ungefährlich!

Da du sagst, es sind keine Phishing-Mails in der Inbox, tippe ich auf Fehlalarm. Denke immer dran: Du bist schlauer als so ein dummes Stück Software!

Dein Log sieht gut aus für mich.

Gruß
Yopie

Deine Worte in Gottes Ohr! Aber ich muss gestehen ich habe immer noch Zweifel. Grisoft, Antivir, Norton Antivirus haben in der Vergangenheit nichts gemeldet und melden jetzt nichts. Das verstehe ich.

Maximum Protection hat letzte Woche neben dem hier strapazierten Trojaner auch noch zwei oder drei andere Viren u.a. Beagle... (oder hieß das Ding Bagel...) identifiziert und diese problemlos in Quarantäne genommen und anschließend ins Nirwana verabschiedet. Nur den Trojaner nicht.

Ich finde es merkwürdig, dass ein Scanner etwas erkennt, was nicht da ist. Noch merkwürdiger finde ich, dass das zwei Scannern passiert.

Die Hotline von DataBecker arbeitet übrigens seit einer Woche an dem Problem, ist aber offenbar noch nicht weiter gekommen. Sollten die kollegen, was Neues mitteilen, werde ich es an dieser Stelle posten.

Erstmal vielen Dank für Deine Hilfe!

Zitat:

Zitat von cosinus

Hast Du auch alle Ordner komprimieren lassen? Nicht nur den Papierkorb. Stell es am besten in den Optionen ein, dass der Thunderbird ab X Kilobyte gewinnendem Speicherplatz automatisch alle Ordner komprimiert.

Ich habe jeden einzelnen Ordner komprimiert aber ohne sichtbare Reaktion.

Das mit der automatischen Einstellung ist ein guter Hinweis. Das werde ich gleich mal machen. Danke!

Könnte es sein, dass dort mehrere Profilordner sind?
Eigentlich sollte keine Phishingmail mehr zu finden sein, wenn alle gelöscht und die Ordner komprimiert sind.
Vergleiche die Pfadangaben des Speicherortes vom Thunderbird und der Meldung vom Virenscanner.

<edit>Yopis Post gesehen: Fehlalarm kann's nat. auch sein </edit>