You are not logged in.

Friday, April 25th 2014, 9:34am

Dear visitor, welcome to Avira Support Forum. If this is your first visit here, please read the Help. It explains in detail how this page works. To use all features of this page, you should consider registering. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.

  • "Problemoma" started this thread

Date of registration:
Sep 30th 2013

Version:
Avira Free Antivirus

Operating System:
Win7

  • Send private message

1

Monday, September 30th 2013, 4:15pm

Trojanerfund "TR/Matsnu.A.66" mit Bezug auf alte mail - was tun?

Hallo,
ich habe eine email erhalten und dummerweise geöffnet, auch den Anhang. Den enthaltenen exe-File habe ich nicht ausgeführt. Das ist nun schon Anfang August gewesen. Avira hat mir nichts gemeldet, obwohl aktiv. Ich habe das system überprüft und bekam kein Virus. Suche nach Malware ergab: TR/Rogue.1206969. Ich hab dann die durch avira gefundenen Stellen alle in einen separaten Ordner und auch zu Fuß (weil avira bei mails nichts macht) umbenannt mit Kennung qua. Danach habe ich mit avira-Suchlauf nichts weiteres mehr gefunden. Aber Datenverlust hatte ich.
Nun fiel mir auf, dass ich bei mails den Kopf einer anderen mail angezeigt bekam, aber keinen Inhalt. Ich habe dies bis ganz alte mails gecheckt. Also habe ich erneut avira system-check gestartet. DIesmal wurde: TR/Matsnu.A.66 (an anderen Stellen) gefunden, obwohl ich keine verdächtige mail mehr geöffnet habe (glaube auch nicht erhalten). Was tun?
Weiteres habe ich die Fundstellen laut report von avira umbenannt: Inbox nach quaInbos, Trash nach quaTrash. Jetz sehe ich dies nicht mehr im explorer, aber ein anderes Programm findet die umbenannten Dateien - seltsam. Ein erneuter avira-Lauf findet auch die neuen Namen und listet die. Ich habe verschiedene mail-Adressen. Bevor ich die Umbenennung vornahm habe ich via Eigenschaften von Posteingang auf reparieren gedrückt: siehe hardcopy (leider wird der Text zu lang: erhalte Fehlermeldung). Erfasse Teil 2 mit hardcopies als Ergänzung zu dieser.

2

Monday, September 30th 2013, 6:33pm

Du machst gerade alles falsch was man nur falsch machen kann - ebenso diese ganze Posterei. Bitte immer nur einen Thread - hier gehts weiter - die anderen lasse ich schließen.

Ich gehe davon aus, das die Mail lediglich noch in deinem Mailprogramm abgelegt war, wo Antivir sie dann auch fand - sie ist also nicht im System. Bitte poste zuallererst den kompletten Bericht und bitte nix mehr umbenennen - zu verhaust dir dein ganzes Mailprogramm.

  • "Problemoma" started this thread

Date of registration:
Sep 30th 2013

Version:
Avira Free Antivirus

Operating System:
Win7

  • Send private message

3

Monday, September 30th 2013, 7:05pm

Hallo Nighthawk,

den neuen Trojaner habe ich nicht selbst verursacht. Der Rest vielleicht schon, aber das waren Selbsthilfeversuche, weil son Trojaner nur Ünglück bringt. Ich habe dadurch wichtige (WICHTIGE) Infos verloren.
Meine anderen postings waren Ergänzungen. Wenn du sie löschen lässt, so verrate mir bitte wie andere es schaffen mehr Zeichen in ein posting zu packen (z.B. logfiles).
Das letzte posting ist nur bedingt gleich: denn hier wollte ich wissen, wieso emails mit schadhaften Trojanern zugestellt werden...
Eine Antwort habe ich ja sogar erhalten.

Noch eine Bitte: sag mir bitte wie ich Trojaner loswerde, wenn Avira nix tut. Und das ist so. Deshalb ja meine zu-Fuß-Bemühungen.

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

4

Monday, September 30th 2013, 7:06pm

- doppelte threads geschlossen ! -
bis auf diesen hier

Rajo

  • "Problemoma" started this thread

Date of registration:
Sep 30th 2013

Version:
Avira Free Antivirus

Operating System:
Win7

  • Send private message

5

Monday, September 30th 2013, 7:10pm

Ich poste den Report, den zuletzt gespeicherten. Sonst wird es wieder zu viel. Und so ein Lauf dauert jedesmal die ganze Nacht. Tagsüber geht nicht sonst kann ich nix machen.
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 30. September 2013 12:08


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Starter
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : Beate
Computername : MEINER

Versionsinformationen:
BUILD.DAT : 13.0.0.4052 Bytes 29.08.2013 17:56:00
AVSCAN.EXE : 13.6.20.2100 639032 Bytes 20.08.2013 08:28:09
AVSCANRC.DLL : 13.6.20.2174 63032 Bytes 20.08.2013 08:28:10
LUKE.DLL : 13.6.20.2174 65080 Bytes 20.08.2013 08:28:37
AVSCPLR.DLL : 13.6.20.2174 92216 Bytes 20.08.2013 08:28:10
AVREG.DLL : 13.6.20.2174 250424 Bytes 20.08.2013 08:28:08
avlode.dll : 13.6.20.2174 497720 Bytes 20.08.2013 08:28:07
avlode.rdf : 13.0.1.42 26846 Bytes 28.08.2013 13:21:24
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 09:48:26
VBASE001.VDF : 7.11.74.226 2201600 Bytes 30.04.2013 14:03:56
VBASE002.VDF : 7.11.80.60 2751488 Bytes 28.05.2013 15:24:25
VBASE003.VDF : 7.11.85.214 2162688 Bytes 21.06.2013 18:58:10
VBASE004.VDF : 7.11.91.176 3903488 Bytes 23.07.2013 13:20:34
VBASE005.VDF : 7.11.98.186 6822912 Bytes 29.08.2013 14:08:42
VBASE006.VDF : 7.11.103.230 2293248 Bytes 24.09.2013 15:07:41
VBASE007.VDF : 7.11.103.231 2048 Bytes 24.09.2013 15:07:41
VBASE008.VDF : 7.11.103.232 2048 Bytes 24.09.2013 15:07:41
VBASE009.VDF : 7.11.103.233 2048 Bytes 24.09.2013 15:07:41
VBASE010.VDF : 7.11.103.234 2048 Bytes 24.09.2013 15:07:41
VBASE011.VDF : 7.11.103.235 2048 Bytes 24.09.2013 15:07:41
VBASE012.VDF : 7.11.103.236 2048 Bytes 24.09.2013 15:07:42
VBASE013.VDF : 7.11.103.237 2048 Bytes 24.09.2013 15:07:42
VBASE014.VDF : 7.11.104.123 282112 Bytes 26.09.2013 10:00:45
VBASE015.VDF : 7.11.104.237 359424 Bytes 28.09.2013 08:19:27
VBASE016.VDF : 7.11.104.238 2048 Bytes 28.09.2013 08:19:27
VBASE017.VDF : 7.11.104.239 2048 Bytes 28.09.2013 08:19:27
VBASE018.VDF : 7.11.104.240 2048 Bytes 28.09.2013 08:19:27
VBASE019.VDF : 7.11.104.241 2048 Bytes 28.09.2013 08:19:27
VBASE020.VDF : 7.11.104.242 2048 Bytes 28.09.2013 08:19:27
VBASE021.VDF : 7.11.104.243 2048 Bytes 28.09.2013 08:19:27
VBASE022.VDF : 7.11.104.244 2048 Bytes 28.09.2013 08:19:27
VBASE023.VDF : 7.11.104.245 2048 Bytes 28.09.2013 08:19:27
VBASE024.VDF : 7.11.104.246 2048 Bytes 28.09.2013 08:19:28
VBASE025.VDF : 7.11.104.247 2048 Bytes 28.09.2013 08:19:28
VBASE026.VDF : 7.11.104.248 2048 Bytes 28.09.2013 08:19:28
VBASE027.VDF : 7.11.104.249 2048 Bytes 28.09.2013 08:19:28
VBASE028.VDF : 7.11.104.250 2048 Bytes 28.09.2013 08:19:28
VBASE029.VDF : 7.11.104.251 2048 Bytes 28.09.2013 08:19:28
VBASE030.VDF : 7.11.104.252 2048 Bytes 28.09.2013 08:19:28
VBASE031.VDF : 7.11.105.52 107520 Bytes 30.09.2013 09:35:56
Engineversion : 8.2.12.124
AEVDF.DLL : 8.1.3.4 102774 Bytes 14.06.2013 11:26:04
AESCRIPT.DLL : 8.1.4.152 516478 Bytes 27.09.2013 09:03:13
AESCN.DLL : 8.1.10.4 131446 Bytes 28.03.2013 12:02:56
AESBX.DLL : 8.2.16.26 1245560 Bytes 23.08.2013 13:48:15
AERDL.DLL : 8.2.0.128 688504 Bytes 14.06.2013 11:26:00
AEPACK.DLL : 8.3.2.28 749945 Bytes 13.09.2013 08:56:39
AEOFFICE.DLL : 8.1.2.76 205181 Bytes 08.08.2013 14:21:46
AEHEUR.DLL : 8.1.4.664 6156666 Bytes 27.09.2013 09:03:13
AEHELP.DLL : 8.1.27.6 266617 Bytes 27.08.2013 14:12:03
AEGEN.DLL : 8.1.7.14 446839 Bytes 06.09.2013 14:09:32
AEEXP.DLL : 8.4.1.62 328055 Bytes 13.09.2013 08:56:39
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 14:42:56
AECORE.DLL : 8.1.32.0 201081 Bytes 23.08.2013 13:48:07
AEBB.DLL : 8.1.1.4 53619 Bytes 14.11.2012 09:24:12
AVWINLL.DLL : 13.6.20.2174 23608 Bytes 20.08.2013 08:27:59
AVPREF.DLL : 13.6.20.2174 48184 Bytes 20.08.2013 08:28:08
AVREP.DLL : 13.6.20.2174 175672 Bytes 20.08.2013 08:28:09
AVARKT.DLL : 13.6.20.2174 258104 Bytes 20.08.2013 08:28:02
AVEVTLOG.DLL : 13.6.20.2174 165432 Bytes 20.08.2013 08:28:04
SQLITE3.DLL : 3.7.0.1 397704 Bytes 22.05.2013 13:53:47
AVSMTP.DLL : 13.6.20.2174 60472 Bytes 20.08.2013 08:28:10
NETNT.DLL : 13.6.20.2174 13368 Bytes 20.08.2013 08:28:37
RCIMAGE.DLL : 13.6.20.2174 4786744 Bytes 20.08.2013 08:27:59
RCTEXT.DLL : 13.6.20.2174 68152 Bytes 20.08.2013 08:27:59

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\Users\Beate\AppData\Local\Temp\c62a9e66.avp
Protokollierung.......................: standard
Primäre Aktion........................: Quarantäne
Sekundäre Aktion......................: Löschen
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +, +, +, +, +, +, +, +,
Makrovirenheuristik...................: ein
Dateiheuristik........................: Vollständig
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 30. September 2013 12:08

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Beate\AppData\Roaming\Thunderbird\Profiles\gmx.a31'
C:\Users\Beate\AppData\Roaming\Thunderbird\Profiles\gmx.a31\ImapMail\imap.arcor.de\INBOX.sbd\Trash
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[From: "Mahnabteilung Paul Veter" <clemens.i@go4more.d][Subject: Die Buchung von Ihrem Konto konnte nicht erfolg][Message-ID: <0MQpjt-1VV0yl05cb-00U61L@mrelayeu.kundenserver]554.mim
[1] Archivtyp: MIME
--> Rechnung 14.09.2013 der stornierten Lastschrift Ihrer Bestellung.zip
[2] Archivtyp: ZIP
--> Rechnung 14.09.2013 der stornierten Lastschrift Ihrer Bestellung.zip
[3] Archivtyp: ZIP
--> Rechnung 14.09.2013 der stornierten Lastschrift Ihrer Bestellung.com
[FUND] Ist das Trojanische Pferd TR/Matsnu.A.66
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
C:\Users\Beate\AppData\Roaming\Thunderbird\Profiles\gmx.a31\Mail\pop.gmx.de\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[From: "Mahnabteilung Paul Veter" <clemens.i@go4more.d][Subject: Die Buchung von Ihrem Konto konnte nicht erfolg][Message-ID: <0MQpjt-1VV0yl05cb-00U61L@mrelayeu.kundenserver]1316.mim
[1] Archivtyp: MIME
--> Rechnung 14.09.2013 der stornierten Lastschrift Ihrer Bestellung.zip
[2] Archivtyp: ZIP
--> Rechnung 14.09.2013 der stornierten Lastschrift Ihrer Bestellung.zip
[3] Archivtyp: ZIP
--> Rechnung 14.09.2013 der stornierten Lastschrift Ihrer Bestellung.com
[FUND] Ist das Trojanische Pferd TR/Matsnu.A.66
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.


Ende des Suchlaufs: Montag, 30. September 2013 12:21
Benötigte Zeit: 13:03 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

24 Verzeichnisse wurden überprüft
38870 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
38868 Dateien ohne Befall
16765 Archive wurden durchsucht
4 Warnungen
0 Hinweise

  • "Problemoma" started this thread

Date of registration:
Sep 30th 2013

Version:
Avira Free Antivirus

Operating System:
Win7

  • Send private message

6

Monday, September 30th 2013, 7:19pm

Hier noch die ersten Funde zu vorigem Trojaner. Danach habe ich bewußt keine verdächtigen mails erhalten, geöffnet jedenfalls garantiert keine! Insofern kommt mir der im Log zitierte Text fremd vor...
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 25. August 2013 16:30


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Starter
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : Beate
Computername : MEINER

Versionsinformationen:
BUILD.DAT : 13.0.0.4045 Bytes 12.08.2013 12:38:00
AVSCAN.EXE : 13.6.20.2100 639032 Bytes 20.08.2013 08:28:09
AVSCANRC.DLL : 13.6.20.2174 63032 Bytes 20.08.2013 08:28:10
LUKE.DLL : 13.6.20.2174 65080 Bytes 20.08.2013 08:28:37
AVSCPLR.DLL : 13.6.20.2174 92216 Bytes 20.08.2013 08:28:10
AVREG.DLL : 13.6.20.2174 250424 Bytes 20.08.2013 08:28:08
avlode.dll : 13.6.20.2174 497720 Bytes 20.08.2013 08:28:07
avlode.rdf : 13.0.1.40 26825 Bytes 23.08.2013 07:47:59
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 09:48:26
VBASE001.VDF : 7.11.74.226 2201600 Bytes 30.04.2013 14:03:56
VBASE002.VDF : 7.11.80.60 2751488 Bytes 28.05.2013 15:24:25
VBASE003.VDF : 7.11.85.214 2162688 Bytes 21.06.2013 18:58:10
VBASE004.VDF : 7.11.91.176 3903488 Bytes 23.07.2013 13:20:34
VBASE005.VDF : 7.11.91.177 2048 Bytes 23.07.2013 13:20:34
VBASE006.VDF : 7.11.91.178 2048 Bytes 23.07.2013 13:20:34
VBASE007.VDF : 7.11.91.179 2048 Bytes 23.07.2013 13:20:34
VBASE008.VDF : 7.11.91.180 2048 Bytes 23.07.2013 13:20:34
VBASE009.VDF : 7.11.91.181 2048 Bytes 23.07.2013 13:20:34
VBASE010.VDF : 7.11.91.182 2048 Bytes 23.07.2013 13:20:34
VBASE011.VDF : 7.11.91.183 2048 Bytes 23.07.2013 13:20:34
VBASE012.VDF : 7.11.91.184 2048 Bytes 23.07.2013 13:20:34
VBASE013.VDF : 7.11.92.32 156160 Bytes 24.07.2013 13:20:35
VBASE014.VDF : 7.11.92.147 168960 Bytes 25.07.2013 13:20:35
VBASE015.VDF : 7.11.93.93 419328 Bytes 28.07.2013 13:24:44
VBASE016.VDF : 7.11.93.170 1403392 Bytes 29.07.2013 15:46:38
VBASE017.VDF : 7.11.94.31 222208 Bytes 31.07.2013 15:46:39
VBASE018.VDF : 7.11.94.141 273408 Bytes 03.08.2013 09:29:20
VBASE019.VDF : 7.11.94.203 200192 Bytes 04.08.2013 15:04:42
VBASE020.VDF : 7.11.95.8 1925632 Bytes 05.08.2013 19:28:36
VBASE021.VDF : 7.11.95.81 203776 Bytes 06.08.2013 16:22:49
VBASE022.VDF : 7.11.95.175 148480 Bytes 07.08.2013 14:21:38
VBASE023.VDF : 7.11.95.248 1224192 Bytes 09.08.2013 14:52:00
VBASE024.VDF : 7.11.96.43 861184 Bytes 10.08.2013 07:38:15
VBASE025.VDF : 7.11.97.50 1084416 Bytes 19.08.2013 14:01:10
VBASE026.VDF : 7.11.97.133 369664 Bytes 21.08.2013 13:08:55
VBASE027.VDF : 7.11.97.251 274432 Bytes 24.08.2013 14:10:35
VBASE028.VDF : 7.11.97.252 2048 Bytes 24.08.2013 14:10:35
VBASE029.VDF : 7.11.97.253 2048 Bytes 24.08.2013 14:10:35
VBASE030.VDF : 7.11.97.254 2048 Bytes 24.08.2013 14:10:35
VBASE031.VDF : 7.11.98.18 36352 Bytes 24.08.2013 14:10:35
Engineversion : 8.2.12.110
AEVDF.DLL : 8.1.3.4 102774 Bytes 14.06.2013 11:26:04
AESCRIPT.DLL : 8.1.4.144 512382 Bytes 23.08.2013 13:48:14
AESCN.DLL : 8.1.10.4 131446 Bytes 28.03.2013 12:02:56
AESBX.DLL : 8.2.16.26 1245560 Bytes 23.08.2013 13:48:15
AERDL.DLL : 8.2.0.128 688504 Bytes 14.06.2013 11:26:00
AEPACK.DLL : 8.3.2.24 749945 Bytes 21.06.2013 19:03:47
AEOFFICE.DLL : 8.1.2.76 205181 Bytes 08.08.2013 14:21:46
AEHEUR.DLL : 8.1.4.572 6115706 Bytes 23.08.2013 13:48:13
AEHELP.DLL : 8.1.27.4 266617 Bytes 28.06.2013 17:48:25
AEGEN.DLL : 8.1.7.12 442743 Bytes 08.08.2013 14:21:40
AEEXP.DLL : 8.4.1.52 299383 Bytes 23.08.2013 13:48:15
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 14:42:56
AECORE.DLL : 8.1.32.0 201081 Bytes 23.08.2013 13:48:07
AEBB.DLL : 8.1.1.4 53619 Bytes 14.11.2012 09:24:12
AVWINLL.DLL : 13.6.20.2174 23608 Bytes 20.08.2013 08:27:59
AVPREF.DLL : 13.6.20.2174 48184 Bytes 20.08.2013 08:28:08
AVREP.DLL : 13.6.20.2174 175672 Bytes 20.08.2013 08:28:09
AVARKT.DLL : 13.6.20.2174 258104 Bytes 20.08.2013 08:28:02
AVEVTLOG.DLL : 13.6.20.2174 165432 Bytes 20.08.2013 08:28:04
SQLITE3.DLL : 3.7.0.1 397704 Bytes 22.05.2013 13:53:47
AVSMTP.DLL : 13.6.20.2174 60472 Bytes 20.08.2013 08:28:10
NETNT.DLL : 13.6.20.2174 13368 Bytes 20.08.2013 08:28:37
RCIMAGE.DLL : 13.6.20.2174 4786744 Bytes 20.08.2013 08:27:59
RCTEXT.DLL : 13.6.20.2174 68152 Bytes 20.08.2013 08:27:59

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\Users\Beate\AppData\Local\Temp\677869bb.avp
Protokollierung.......................: standard
Primäre Aktion........................: Reparieren
Sekundäre Aktion......................: Löschen
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +, +, +, +, +, +, +, +,
Makrovirenheuristik...................: ein
Dateiheuristik........................: Vollständig
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 25. August 2013 16:30

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Beate\AppData\Roaming\Thunderbird\Profiles\gmx.a31\Mail\pop.gmx.de\Inbox'
C:\Users\Beate\AppData\Roaming\Thunderbird\Profiles\gmx.a31\Mail\pop.gmx.de\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[From: "Inkasso Anwaltschaft Kevin Fugger" <benjamin.s][Subject: =?utf-8?q?Ihre Konto-Lastschrift konnte nicht d][Message-ID: <0MMYTG-1V94lb1rgc-008Fjg@mrelayeu.kundenserver]16578.mim
[1] Archivtyp: MIME
--> Forderung der stornierten Zahlung Ihrer Bestellung 23.08.2013.zip
[2] Archivtyp: ZIP
--> Forderung der stornierten Zahlung Ihrer Bestellung 23.08.2013.zip
[3] Archivtyp: ZIP
--> Ausgleich der stornierten Lastschrift Ihrer Bestellung 23.08.2013.com
[FUND] Ist das Trojanische Pferd TR/Rogue.1206969
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.


Ende des Suchlaufs: Sonntag, 25. August 2013 16:36
Benötigte Zeit: 05:39 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
22159 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
22158 Dateien ohne Befall
10598 Archive wurden durchsucht
2 Warnungen
0 Hinweise

7

Monday, September 30th 2013, 7:31pm

Wie vermutet hat der vermeintliche Trojaner garnix gemacht. Das Problem ist nur folgendes: Wenn du mails im Thunderbird nur löschen lässt aber die Ordner nicht komprimierst, dann findet Antivir sie trotzdem noch, da noch als Abbild vorhanden. Daher regelmäßig die Ordner von TB komprimieren. Auf dein System ist rein garnix gelangt, durch deine unbegründete Panik, hast du dir leider deine Mailkonten verwurstelt und solltest sie entfernen und komplett neu einrichten. Dafür kann weder Antivir etwas noch die schädliche Mail - das warst leider allein du selbst :(.

  • "Problemoma" started this thread

Date of registration:
Sep 30th 2013

Version:
Avira Free Antivirus

Operating System:
Win7

  • Send private message

8

Monday, September 30th 2013, 7:41pm

Irgendwie verstehe ich da wohl was nicht. Ein Trojaner, der mix macht?
Nun gut. Aber wie kommt es dann, dass ich vor zwei Tage mails aufrufen konnte und ansehen bzw. lesen konnte. Gestern aufeinmal nicht mehr. Bei Anklicken einer mail zum Lesen (alte mail) wurde der Kopf von vorher angeschauter angezeigt und Inhalt keiner. Das muss doch eine Ursache haben. Daraufhin habe ich von avira das system prüfen lassen. Erst danach habe ich Änderungen wie beschrieben vorgenommen. Also neu: emails nicht lesbar, und neu: TR/Matsnu.A.66, diesen Fund gab es vorher nicht.
Auch wenn, was ich mir nicht vorstellen kann(ich hab ja Datenverlust vor meinen Aktivitäten!), kein Trojaner Schaden angerichtet hat, so möchte ich sie dennoch loswerden. Wie bitte?

9

Monday, September 30th 2013, 10:04pm

Bitte alle Ordner in Thunderbird komprimieren. Danach Thunderbird neu installieren und die Konten neu einrichten und prüfen ob es funktioniert. Es ist kein Trojaner im System, also kann auch nichts gemacht werden. Als Gegentest:

Malwarebytes Anti - Malware
bitte von hier downloaden : http://www.majorgeeks.com

Nix anderes anklicken !!! Download startet automatisch !!!!

Starte das Programm - bitte unbedingt beachten unter Vista und Windows 7 als Administrator auszuführen !!!
und mache ein online update
überprüfe ob Du die aktuellsten Virendefinitionen hast
schließe ALLE Anwendungen - Auch deinen Browser
Wähle ALLE Laufwerke
Starte den Vollständigen Suchlauf
Warte bis der Scan durchgelaufen ist
Nach dem Scan > Remove selected / Ausgewähltes entfernen - damit geht alles in die Quarantäne

Auch den Antivirguard deaktivieren und während des Scans vom Internet trennen. Nach dem Scan Guard wieder aktivieren und Verbindung wieder herstellen.

Dann show results
1.die bitte hier ins Forum posten

  • "Problemoma" started this thread

Date of registration:
Sep 30th 2013

Version:
Avira Free Antivirus

Operating System:
Win7

  • Send private message

10

Tuesday, October 1st 2013, 6:08pm

Hat länger gedauert. Habe gestern erst noch einmal eine komplette Systemprüfung durchgeführt. Ist das eigentlich normal, dass zunächst nichts gefunden wird und man folgende Meldung erhält?

Nach dem Scan mit MAM hat es nach Aufforderung zu Neustart ewig gedauert: leerer Bildschirm (ohne Sanduhr) für ca. 10 Minuten. Da hab ich ganz schön Angst gehabt.
Hier nun das Protokoll (hab schon entfernt...). Ich versteh das nicht, was da befallen war/ist. Kenn ich gar nicht.

Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.10.01.05

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Beate :: MEINER [Administrator]

Schutz: Aktiviert

01.10.2013 15:39:38
mbam-log-2013-10-01 (15-39-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 333769
Laufzeit: 1 Stunde(n), 25 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKCU\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKCU\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Daten: {AFC09B1A-BEBB-11E1-8B4E-4CEDDE04CA60} -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Daten: {AFC09B1A-BEBB-11E1-8B4E-4CEDDE04CA60} -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 5
C:\Users\Beate\Documents\PCSpeedUp (PUP.Optional.PCSpeedUp.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Beate\Documents\PCSpeedUp\RestorePoints (PUP.Optional.PCSpeedUp.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Beate\Documents\PCSpeedUp\ScanResults (PUP.Optional.PCSpeedUp.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Beate\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Beate\AppData\Roaming\OpenCandy\OpenCandy_461A3D9148CE468CBB013B82C097BB33 (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 3
C:\Users\Beate\Documents\PCSpeedUp\app.log (PUP.Optional.PCSpeedUp.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Beate\AppData\Roaming\OpenCandy\OpenCandy_461A3D9148CE468CBB013B82C097BB33\1600.ico (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Beate\AppData\Roaming\OpenCandy\OpenCandy_461A3D9148CE468CBB013B82C097BB33\pcspeedup.exe (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Michael_Mann

Moderator

Date of registration:
Oct 24th 2005

Version:
Avira Ultimate Protection Suite
Avira Free Unix/Linux
Avira Android Security

Operating System:
AmigaOS 3.9, Ubuntu 13.10+ & Windows XP SP3, win7 HEdit. 64b (sp1)

  • Send private message

11

Tuesday, October 1st 2013, 6:32pm

Da war reichlich AdWare (toolbar oder so) in win drinnen die jetzt eliminiert wurde.

Bei eMail-Programmen gilt:
1. eMail löschen (Papierkorb des eMail-Programms). Dann fehlen die im eMail-Programm, sind aber unsichtbar im Papierkorb weiter drinnen.
2. Papierkorb komprimieren - dann erst sind die eMails tatsächlich weg.

Wenn man die exe-Datei nicht ausführt (gilt in dem Fall von Anhängen die gepackt sind und die man erst selbst öffnen oder ausführen muß) gilt:
Wenn man die Anhänge nicht anrührt kann in win aus nix böses reinschlüpfen.
Meine PCs: Amiga 1200 und WinUAE. Dafür ist Virenfreiheit garantiert.
Links: Tipps & Tricks -- HiJackThis -- Video Anleitungen
I speak german and english only

12

Tuesday, October 1st 2013, 6:48pm

So - jetzt entfernen wir noch die restliche Adware und dann richtest du deine Mailkonten neu ein :).

Lade dir die Software ADW Cleaner von hier: http://www.bleepingcomputer.com/download/adwcleaner/dl/125/
Programm starten und Search wählen
Anschließend Logfile posten

  • "Problemoma" started this thread

Date of registration:
Sep 30th 2013

Version:
Avira Free Antivirus

Operating System:
Win7

  • Send private message

13

Tuesday, October 1st 2013, 6:51pm

Auch wieder alles schließen vor search?

  • "Problemoma" started this thread

Date of registration:
Sep 30th 2013

Version:
Avira Free Antivirus

Operating System:
Win7

  • Send private message

15

Tuesday, October 1st 2013, 8:29pm

Hier der Bericht und Frage

# AdwCleaner v3.006 - Bericht erstellt am 01/10/2013 um 19:32:40
# Updated 01/10/2013 von Xplode
# Betriebssystem : Windows 7 Starter Service Pack 1 (32 bits)
# Benutzername : Beate - MEINER
# Gestartet von : D:\ZW\AdwCleaner.exe
# Option : Löschen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Ordner Gelöscht : C:\ProgramData\Ask
Ordner Gelöscht : C:\ProgramData\Partner
Ordner Gelöscht : C:\ProgramData\Premium
Ordner Gelöscht : C:\Program Files\pdfforge
Ordner Gelöscht : C:\Users\Beate\AppData\Local\OpenCandy
Ordner Gelöscht : C:\Users\Beate\AppData\Local\PackageAware
Ordner Gelöscht : C:\Users\Beate\AppData\Roaming\pdfforge

***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****

Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\askpartnercobrandingtool_rasapi32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\askpartnercobrandingtool_rasmancs
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\AskSLib_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\AskSLib_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\sweetim_rasapi32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\sweetim_rasmancs
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\sweetpacksupdatemanager_rasapi32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\SweetPacksUpdateManager_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\TaskScheduler_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\TaskScheduler_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{6E993643-8FBC-44FE-BC85-D318495C4D96}
Schlüssel Gelöscht : HKCU\Software\Headlight
Schlüssel Gelöscht : HKCU\Software\YahooPartnerToolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}

***** [ Browser ] *****

-\\ Internet Explorer v9.0.8112.16506


-\\ Mozilla Firefox v24.0 (de)

[ Datei : C:\Users\Beate\AppData\Roaming\Mozilla\Firefox\Profiles\ctrzid1t.default\prefs.js ]


-\\ Google Chrome v29.0.1547.76

[ Datei : C:\Users\Beate\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [2564 octets] - [01/10/2013 18:56:57]
AdwCleaner[S0].txt - [2499 octets] - [01/10/2013 19:32:40]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [2559 octets] ##########


Frage: was tun? Ist das schlimm bzw. was bedeutet es?
Habe noch 4 Such läufe gestartet und erhalte immer dieses:


-\\ Mozilla Firefox v24.0 (de)

[ Datei : C:\Users\Beate\AppData\Roaming\Mozilla\Firefox\Profiles\ctrzid1t.default\prefs.js ]


-\\ Google Chrome v29.0.1547.76

[ Datei : C:\Users\Beate\AppData\Local\Google\Chrome\User Data\Default\preferences ]


Weder bei Firefox noch bei Chrome wird Löschen ausgeführt: die Anzeige erscheint nach neuem Lauf, vorher ist nichts nach Systemstart (wird von AdwCleaner gefordert) zu sehen.

  • "Problemoma" started this thread

Date of registration:
Sep 30th 2013

Version:
Avira Free Antivirus

Operating System:
Win7

  • Send private message

16

Tuesday, October 1st 2013, 9:38pm

jetzt funktioniert kein link

Son Schitt,
jetzt kann ich aus emails keinen link mehr in firefox starten
Aber auch bei thunderbird klappt es nicht: wollte via Hilfe was nachlesen: entspricht link... - geht nix.
Ich versuche wohl auch firefox mal neu zu installieren, mal sehen ob es hilft.
Was meint ihr?

17

Tuesday, October 1st 2013, 9:38pm

Das ist ok so - muss so sein :). ADW starten und deinstallieren.

Dein System ist sauber. Solltest du auf den Browserschutz wert legen, musst du Antivir komplett neu installieren und diesen hinzufügen.


Hier noch ein paar Tipps für die Zukunft:

Rüste deine Systeme mit Secunia und Updatechecker von Filehippo aus um deine Software immer auf dem aktuellsten Stand zu halten. Verzichte auf den parallelen Einsatz anderer Antivirenlösungen neben Antivir (z.B. McAffee / AVG / Kaspersky), da diese sich gegenseitig ausbremsen bzw. schlimmstenfalls eleminieren. Wenn du mit dem Firefox surfst, installiere die Addons noscript und Adblock plus. Deaktiviere die Autorunfunktion Autorun deaktivieren. Installiere dir als 2tes Auge auch mal solche Tools wie superantispyware oder Malwarebytes und lasse sie gelegentlich mal scannen - ist ganz hilfreich. Verzichte außerdem auf den Einsatz von Toolbars in den Browsern, denn sie stellen ein Sicherheitsrisiko dar - darauf schauen das du sie bei Programminstallationen abwählst.

  • "Problemoma" started this thread

Date of registration:
Sep 30th 2013

Version:
Avira Free Antivirus

Operating System:
Win7

  • Send private message

18

Wednesday, October 2nd 2013, 9:08am

Ich danke1

Jetzt fühl ich mich besser. Habe gestern abend noch firefox neu installiert. Nun klappt es auch mit link-Aufruf.
Dann habe ich nochmal mit avira gecheckt: alles ok. Nur zwei Fehler hab ich noch (das war vorher auch). Ich poste sie mal hier, weil ich mich frage ob ich mir da evtl. Sorgen machen muss.
Vielen vielen Dank. Die 2 tools sind klasse. Jetzt hoffe ich auch dass ich nicht ständig im Kopf die Meldung sehe: keine Rückmeldung. Das dies bei einem längeren avira-update passiert, ist ja noch nachvollziehbar. Aber auch sonst passierte es oft. Sehr oft.
Nochmals vielen Dank.


C:\Users\Beate\AppData\Local\Microsoft\Windows\Temporary
Internet
Files\Lqa\Content.IE5\6NDGL6HH\Thunderbird%20Setup%203.1.7[1].exe

[WARNUNG] Die Datei konnte nicht
gelesen werden!

C:\Users\Beate\Downloads\Nokia_Ovi_Suite_webinstaller_ALL.exe

[WARNUNG] Die Datei konnte nicht
gelesen werden!

Hier steht zwar Warnung aber das steht bei Fehler.

Michael_Mann

Moderator

Date of registration:
Oct 24th 2005

Version:
Avira Ultimate Protection Suite
Avira Free Unix/Linux
Avira Android Security

Operating System:
AmigaOS 3.9, Ubuntu 13.10+ & Windows XP SP3, win7 HEdit. 64b (sp1)

  • Send private message

19

Wednesday, October 2nd 2013, 2:06pm

Hi, AVir schreibt immer dazu was genau passierte: Hier, die Dateien konnten nicht gelsen werden. Wenn dann bei Funden oder Aktionen eine Null steht dann ist win erstmals nix passiert.

Im ersten Fall hast Du den Thunderbird online über den Internetexplorer installiert (sollte man vermeiden und stattdessen die komplette Installationsdatei downloaden und mit dieser installieren) und im zweiten Fall ist es ein Programm fürs Handy (oder so). Auch hier sollte man eher die komplette Installationsdatei downloaden und mit der installieren.
Meine PCs: Amiga 1200 und WinUAE. Dafür ist Virenfreiheit garantiert.
Links: Tipps & Tricks -- HiJackThis -- Video Anleitungen
I speak german and english only