Trojaner-Board - Prorat in Thunderbird

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Prorat in Thunderbird (https://www.trojaner-board.de/26142-prorat-thunderbird.html)

Prorat in Thunderbird

Hi!
Hab gerade mal mit Bitdefender v.9 mein c: gescannt.
Da hat er nen Trojaner gefunden. Prorat. Der is wohl irgendwie in einer Mail in meinem E-Mail Programm Thunderbird versteckt, aber denke mal noch nicht ausgeführt. Ich habe aber keine Mail mit solch einem Anhang!? Hab eben schon gesucht....habe nen account bei googlemail.com

danke

mfg
phil

Code:

C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Thunderbird\Profiles\pt7pkhs5.default\Mail\Local Folders\Inbox=>(message 59)=>[Subject: datei][Date: Thu, 27 Oct 2005 17:30:54 +0200]=>(MIME part)=>ProRat.rar=>ProRat.exe        Infected: Backdoor.Prorat.19.P

C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Thunderbird\Profiles\pt7pkhs5.default\Mail\Local Folders\Inbox=>(message 59)=>[Subject: datei][Date: Thu, 27 Oct 2005 17:30:54 +0200]=>(MIME part)=>ProRat.rar=>ProRat.exe        Deleted

C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Thunderbird\Profiles\pt7pkhs5.default\Mail\Local Folders\Inbox=>(message 59)=>[Subject: datei][Date: Thu, 27 Oct 2005 17:30:54 +0200]=>(MIME part)=>ProRat.rar        Update failed

C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Thunderbird\Profiles\pt7pkhs5.default\Mail\Local Folders\Inbox=>(message 64)=>[Subject: ][Date: Sun, 30 Oct 2005 00:32:13 +0200]=>(MIME part)=>anleitung.rar=>anleitung.exe        Infected: TrojanDropper.Yabinder.2.0

C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Thunderbird\Profiles\pt7pkhs5.default\Mail\Local Folders\Inbox=>(message 64)=>[Subject: ][Date: Sun, 30 Oct 2005 00:32:13 +0200]=>(MIME part)=>anleitung.rar=>anleitung.exe        Deleted

C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Thunderbird\Profiles\pt7pkhs5.default\Mail\Local Folders\Inbox=>(message 64)=>[Subject: ][Date: Sun, 30 Oct 2005 00:32:13 +0200]=>(MIME part)=>anleitung.rar        Update failed

@phil_87_!

Zitat:

Ich habe aber keine Mail mit solch einem Anhang!? Hab eben schon gesucht...

Ist doch DELETED, deswegen nicht auffindbar

Zitat:

C:\Dokumente und Einstellungen\xxxx.....(MIME part)=>ProRat.rar=>ProRat.exe Deleted
C:\Dokumente und Einstellungen\xxxx\....anleitung.exe Deleted

;)
Ein HJT-Log würde ich trotzdem begrüßen.

Habe vergessen dazuzuschreiben, dass, als ich danach nochmal drübergescannt habe, wieder das Selbe Problem angezeigt wurde. Es wurde also leider noch nicht gelöscht.

Hier das HJT-Logfile! danke

Code:

Logfile of HijackThis v1.99.1

Scan saved at 20:25:17, on 23.01.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\WINDOWS\Explorer.EXE

D:\Programme\Softwin\BitDefender9\bdoesrv.exe

D:\progra~1\softwin\bitdef~1\bdnagent.exe

C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe

d:\Programme\BlueSoleil\BTNtService.exe

D:\progra~1\softwin\bitdef~1\bdswitch.exe

D:\Programme\cfos speed\spd.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

d:\Programme\DriveCrypt\DcrServ.exe

d:\Programme\ewido security suite (trojaner suche)\ewidoctrl.exe

D:\Programme\cfos speed\cfosspeed.exe

C:\WINDOWS\System32\nvsvc32.exe

D:\Programme\DriveCrypt\DriveCrypt.exe

C:\WINDOWS\System32\oodag.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

D:\Programme\Trillian\trillian.exe

D:\Programme\OO Software\SafeErase\oorundll.exe

D:\Programme\firefox\firefox.exe

D:\Programme\OO Software\SafeErase\oorundll.exe

C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe

C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe

D:\Programme\Softwin\BitDefender9\vsserv.exe

d:\progra~1\softwin\bitdef~1\bdmcon.exe

d:\Programme\WinRAR\WinRAR.exe

C:\DOKUME~1\xxxx\LOKALE~1\Temp\Rar$EX00.750\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=68.15.62.245:80

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat Reader 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [BDMCon] d:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [BDOESRV] "D:\Programme\Softwin\BitDefender9\bdoesrv.exe"

O4 - HKLM\..\Run: [BDNewsAgent] "d:\progra~1\softwin\bitdef~1\bdnagent.exe"

O4 - HKLM\..\Run: [BDSwitchAgent] "d:\progra~1\softwin\bitdef~1\bdswitch.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKCU\..\Run: [cFosSpeed Window] D:\Programme\cfos speed\cfosspeed.exe

O4 - HKCU\..\Run: [DriveCrypt Startup] d:\Programme\DriveCrypt\DriveCrypt.exe /WS

O4 - Startup: tempweg.bat

O8 - Extra context menu item: &NeoTrace It! - D:\PROGRA~1\NEOTRA~1\NTXcontext.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - D:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (file missing) (HKCU)

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: BlueSoleil Hid Service - Unknown owner - d:\Programme\BlueSoleil\BTNtService.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - D:\Programme\cfos speed\spd.exe" -service (file missing)

O23 - Service: DriveCrypt Service (DriveCryptService) - Unknown owner - d:\Programme\DriveCrypt\DcrServ.exe

O23 - Service: ewido security suite control - ewido networks - d:\Programme\ewido security suite (trojaner suche)\ewidoctrl.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - D:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Zitat:

Zitat von phil_87_!

Habe vergessen dazuzuschreiben, dass, als ich danach nochmal drübergescannt habe, wieder das Selbe Problem angezeigt wurde. Es wurde also leider noch nicht gelöscht.

emails in thunderbird werden nur zum Löschen markiert, sind aber als Text erstmal noch da.
Du musst noch die Ordner aufräumen ("compress folders").

@phil_87_!

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Schon mal vom SP2 gehört :confused:

Zitat:

Zitat von thseeling

emails in thunderbird werden nur zum Löschen markiert, sind aber als Text erstmal noch da.
Du musst noch die Ordner aufräumen ("compress folders").

wie meinst du das genau? sry...versteh das nicht :o

Zitat:

Zitat von Rene-gad

@phil_87_!

Schon mal vom SP2 gehört :confused:

Ja hab ich, aber hab davon nur Schlechtes gehört...pc wird langsamer etc. Hatte es auch schonmal bei mir installiert...irgendwie ging danach gar nix mehr.

Ist mein Rechner nun infiziert oder nicht? Danke für die Hilfe.:knuddel:

Zitat:

Zitat von phil_87_!

wie meinst du das genau? sry...versteh das nicht :o

Er meint damit folgendes:

"Löschen Sie die verseuchte E-Mail in Thunderbird (am besten mit der Tastenkombination Shift+Delete bzw. Umschalt+Entf) und entleeren Sie noch den Papierkorb des Kontos. Dann wählen Sie im Menü Datei > Alle Ordner des Kontos komprimieren. Erst dann (nach dem Komprimieren) ist der Virus endgültig weg. "

Quelle: http://www.thunderbird-mail.de/hilfe/dokumentation1.5/problem_antivirus.php

Zitat:

Ja hab ich, aber hab davon nur Schlechtes gehört...pc wird langsamer etc. Hatte es auch schonmal bei mir installiert...irgendwie ging danach gar nix mehr.

Man soll nicht soviel auf andere Leute hören.Für jeden XP Rechner, der sich im Internet bewegt ist Service Pack 2 Pflicht.

Zitat:

Zitat von cronos

Aber das Problem ist, dass ich die Mail nicht finde. In dem Ordner, wo der Virus gefunden wurde, befindet sich nicht die betroffene Mail und im Postfach ist sie auch nicht.

Ok, werde mir dann mal das Service Pack 2 installieren.
Reicht nicht die Hardware Firewall von meinem Router?

thx for help :heilig:

mfg
phil

*push*

Hat noch jemand eine Lösung ?
Das Problem besteht immernoch....

danke

mfg
phil

Zitat:

Zitat von phil_87_!

Hat noch jemand eine Lösung ?

Hast du

Zitat:

....entleeren Sie noch den Papierkorb des Kontos. Dann wählen Sie im Menü Datei > Alle Ordner des Kontos komprimieren. Erst dann (nach dem Komprimieren) ist der Virus endgültig weg. "

befolgt?

Gruß :daumenhoc
Yopie

hab das mit dem komprimieren versucht, aber danach wird der virus immernoch gefunden :(

mfg
phil

Wo wird er gefunden? In der Inbox? Wenn ja, verschiebe alle unzweifelhaften Mails in einen anderen Ordner, lösche die Inbox-Datei im Profilordner und verschiebe die Mails wieder zurück in die nun leere Inbox....oder so...

Es hat jetzt geklappt....habe das die ganze Zeit falsch gemacht.
Jetzt ist der Trojaner weg.
Also habe die betroffenen Dateien in den Papierkorb verschoben, diesen entleert, und dann alle Ordner komprimiert. Weg is er....
Danke an ALLE.

Bis zum nächsten Problem^^

mfg
phil