Trojaner-Board - Phish.BankFr.eml

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Phish.BankFr.eml (https://www.trojaner-board.de/9768-phish-bankfr-eml.html)

Phish.BankFr.eml

Hallo zusammen !

Nach Aktualisierung von AV und Zonelab bekomme ich beim Anklicken jeder mail in meiner Inbox des Netscape Communicators von AV die Meldung, dass es sich bei "TR/Phish.BankFr.eml" um einen Trojaner handelt, dieser aber nicht gelöscht werden kann, da es sich um einen mail-Ordner handelt.

Hab` ich da tatsächlich einen Trojaner drauf, oder sieht da AV die Inbox als "Feind" ? Was kann ich tun ?

Bin für Vorschläge sehr dankbar

Steff

steph@wipeout.de

@ stefwo,

vermutlich ist eine Deiner Mails verseucht. Liegt die Inbox auf Deinem Computer-System?

Erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

AntiVir Personal Edition hat mit vielen Viren Probleme und erkennt nicht die einzelne Mail sondern das ganze Verzeichnis als verseucht und löscht dieses Verzeichnis ganz, wenn auf Mail löschen geklickt wird.

Ich beseitige diese manuell, indem ich das verseuchte Verzeichsnis mit Wordpad öffne und meistens ist es die letzte Datei im Verzeichnis, lösche.

Dieses kannst du herausfinden indem du diese kopierst, in ein leeres Dokument einfügst und du versuchst diese unter einem beliebigen Namen zu speichern.

Wird dann AV aktiv hast du die richtige Mail erwischt und kannst diese endgültig aus der Inbox oder wo sie sich auch gerade befindet löschen.

Ist sehr mühsam, aber besser als alles löschen allemal.

Viel Erfolg

ich hab seit gestern genau das gleiche problem...

immer wenn ich the bat starte wird im tmp ordner ne datei erstellt die dann mit dem trojaner "TR/Phish.BankFr.eml" infiziert is dann kann ich die zwar mit antivir loeschen aber sobald the bat wieder mails abrufen will kommt die meldung wieder... sprich ich dreh mich im kreis ;/

weis einer abhilfe?

[edit] hier noch die logfile [/edit]

Logfile of HijackThis v1.98.2
Scan saved at 21:42:39, on 29.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\CTsvcCDA.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\system32\devldr32.exe
C:\Programme\ASUS\Probe\AsusProb.exe
C:\programme\powerstrip\pstrip.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Programme\mIRC\mirc.exe
D:\Steam\Steam.exe
C:\WINNT\system32\wisptis.exe
C:\Programme\psybnc\psybnc.exe
C:\Programme\StealthBot\StealthBot v2.5.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\The Bat!\thebat.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis1982\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\Programme\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\Programme\FMV5\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ASUS Probe] C:\Programme\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Picture Package Menu.lnk = C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
O4 - Global Startup: VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm (file missing)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20619313...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/de/wowbeta/Si.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A06F71B8-0B81-4032-AF3A-2C4E84C0EBC1}: NameServer = 192.168.0.1

Hallo orco,

bitte überprüfe mit virusscan.jotti.dhs.org:

C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Programme\psybnc\psybnc.exe

teile uns das Ergebnis der Überprüfung mit.

Boote in den abgesicherten Modus/VGA-Modus und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm (file missing)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm (file missing)
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52...meInstaller.exe

boote in den normalen Modus.

Lade das ClearProg runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Erstelle ein neues Hijack This Logfile und poste es.

SD

hier die ueberpruefung:

File: Residence.exe
Status:
OK
Packers detected:
None

AntiVir
No viruses found (0.14 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.34 seconds taken)
ClamAV
No viruses found (0.34 seconds taken)
Dr.Web
No viruses found (0.51 seconds taken)
F-Prot Antivirus
No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus
No viruses found (0.59 seconds taken)
mks_vir
No viruses found (0.21 seconds taken)
NOD32
No viruses found (0.38 seconds taken)
Norman Virus Control
No viruses found (0.53 seconds taken)

und:

File: psybnc.exe
Status:
INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected:
None

AntiVir
No viruses found (0.14 seconds taken)
Avast
No viruses found (1.63 seconds taken)
BitDefender
No viruses found (1.06 seconds taken)
ClamAV
No viruses found (1.05 seconds taken)
Dr.Web
No viruses found (1.62 seconds taken)
F-Prot Antivirus
No viruses found (0.28 seconds taken)
Kaspersky Anti-Virus
not-a-virus:NetTool.IRC.psyBNC.231 (2.01 seconds taken)
mks_vir
No viruses found (0.20 seconds taken)
NOD32
No viruses found (0.42 seconds taken)
Norman Virus Control
No viruses found (0.40 seconds taken)

des mim abgesicherten modus mach ich nun gleich

so nachdem ich im abgesichertenmodus die 3 datein gefixt hab und im normalen modus mit dem clearprog die ordner geloescht hab kommt hier nun die neue log:

Logfile of HijackThis v1.98.2
Scan saved at 23:46:29, on 29.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\CTsvcCDA.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\system32\regsvc.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\system32\devldr32.exe
C:\Programme\ASUS\Probe\AsusProb.exe
C:\programme\powerstrip\pstrip.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\steam\steam.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis1982\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\Programme\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\Programme\FMV5\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ASUS Probe] C:\Programme\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Picture Package Menu.lnk = C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
O4 - Global Startup: VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20619313...dxIE601_de.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/de/wowbeta/Si.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A06F71B8-0B81-4032-AF3A-2C4E84C0EBC1}: NameServer = 192.168.0.1

Hallo orco,

sieht gut aus, schau mal selbst: automatische Auswertung

und hier noch ein bißchen was zum lesen:

- Vorbeugende Maßnahmen
- IE sicher konfigurieren und Browser-Sicherheit
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- Entfernung von Schädlingen und Kompromittierung unvermeidbar?
- faq.underflow.de
- Hijacker-Entfernung

naja nachdem ich the bat wieder gestartet hab sprang antivir wieder an :(

gleiche meldung wie davor auch...

ich denk ich werd um en format nicht rumkommen oder?

antivir bringt dann folgene meldung:

C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMP\BATF.TMP

Ist das Trojanische Pferd TR/Phish.BankFr.eml

hm ok ich habs nun so gemacht: ich hab mich bei gmx eingelogt und von dort die mail geloescht nun bringt antivir keine fehlermeldung mehr ^^ ich hoff das es damit dann erledigt is :DDD

Hi, habe seit einigen Tagen dasselbe Problem wie Orco:

beim abrufen der mails über thebat! meldet sich antivir mit folgendem Fehler "TR/Phish.BankFr.eml"
die meldung kommt auch, wenn gar keine mails zum abrufen vorhanden sind.
alle emails in meiner inbox sind "seriös" und haben keine dateianhänge.

bei web.de kann ich keine emails manuell löschen, weil gar keine da sind!

Über Antivir ist nichts zu finden,
habe ebenso Adaware, Spybot und ClearProg durchgeführt. Die Meldung tritt immer noch auf :pfui:

Nun habe ich es mit HijackThis versucht und die log.datei ausgewertet. Fast alles wird als "safe" angezeigt, die gelben Einträge sind gewollt.

Poste die log.datei doch nochmal hier, vielleicht könnt ihr damit was anfangen und helfen ???

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\spoolsv.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\atiptaxx.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Windows\System32\Ati2evxx.exe
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\Programme\Juris\cvpnd.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Windows\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\unzipped\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: Trennen (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://www.allgaeu-sonne.de/plugin/mssurvid.cab
O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - http://217.17.197.101/scripts/WDU_1251.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.co...889.0204976852
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{26DBB9B9-6B87-431F-B3DA-A3AD44498144}: NameServer = 192.168.122.253,192.168.122.252
O17 - HKLM\System\CCS\Services\Tcpip\..\{47BF1D67-AF91-4EF0-9ABB-DEE30B86118A}: NameServer = 217.237.149.225 217.237.151.97
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = urz.uni-heidelberg.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{26DBB9B9-6B87-431F-B3DA-A3AD44498144}: NameServer = 192.168.122.253,192.168.122.252
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = urz.uni-heidelberg.de
O17 - HKLM\System\CS2\Services\Tcpip\..\{26DBB9B9-6B87-431F-B3DA-A3AD44498144}: NameServer = 192.168.122.253,192.168.122.252
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = urz.uni-heidelberg.de

kurzer Nachtrach: e-scan hat den Trojaner gefunden, aber um weiteres tun zu können, erscheint die Meldung "buy escan"...

muss ich nun wirklich kaufen oder kann man den Trojaner noch sonstwie abhängen :cool:

wenn du deine emails von gmx ueber thebat abrufst, log dich direkt bei gmx ein und loesch da die ungelesene mail dann sollte die trojanermeldung nicht mehr kommen. weil thebat laedt die mails und speichert die glaub im tmp ab wenn du dann die meldung bekommst vom antivir und die datei loeschst is die datei beim naechsten abfragen der mails ja wieder da ,weil sie noch aufm gmx acc is. ich hoff du verstehst was ich meine ^^

Mein Vorschlag ist:
AV-Wächter deaktivieren, die Mail vom Server laden, im Mail-Client löschen, evtl. (bei Mozilla) die Ordner komprimieren, AV-Wächter wieder aktivieren.

Gruß :daumenhoc
Yopie

dankesehr, hat geklappt. die meldung erscheint nicht wieder. komischerweise war aber gar keine mail von suntrust in meinem web.de account, sondern erst wieder nach ein paar minuten, komisch.

jedenfalls ist die meldung von antivir weg :D

dennoch erkennt e-scan den trojaner, also ist er doch noch auf meinem PC. wie krieg ich den nun wesch? :teufel1: