Trojaner: TR/Dropper:MSIL.128219

wif15

Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
* Thunderbird-Version: 31.5.0
* Betriebssystem + Version: Windows 7
* Kontenart (POP / IMAP):
* Postfachanbieter (z.B. GMX): web.de
* Antivirus-Software: AVAST

Der AVIRA EU-Cleaner Scan bringt einen Trojaner zum Vorschein.
In der Inbox: TR/Dropper.MSIL.128219. Wie kann der entfernt werden?

Mit den Cleaner Werkzeug läßt er sich nicht löschen, habe auch den Posteingangs- und den Papierkorb komprimiert und gelöscht. Der wiederholte Scan zeigt ihn immer noch als vorhanden an.
Hier ist der Cleaner Report:

Code

Avira EU-Cleaner
Erstellungsdatum der Reportdatei: Donnerstag, 19. März 2015 09:51










Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '0' Dateien ).




Der Suchlauf über die ausgewählten Dateien wird begonnen:




Beginne mit der Suche in 'C:\'
C:\Windows\System32\drivers\sptd.sys
 [WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'L:\' <Volume>
L:\Daten\PC\Thunderbird\Profil 20.01.12\1j1t9629.default\Mail\pop3.web-4.de\Inbox
 [0] Archivtyp: Netscape/Mozilla Mailbox
 --> Mailbox_[From: "Abrechnung Online Pay AG" <[email=v98g30q@gmx.com]v98g30q@gmx.com[/email]>][Subject: Offene Rechnung: Nummer 17209105][Message-ID: <014d3633.3dfd543952cbb347@Porse-PC>]14.mim
 [1] Archivtyp: MIME
 --> Rechnung an Wilfried Rufert 03.03.2015 - Abrechnung Online Pay AG.zip
 [2] Archivtyp: ZIP
 --> Forderung nicht gedeckten Buchung Ihrer Bestellung Online Pay AG vom 03.03.2015.zip
 [3] Archivtyp: ZIP
 --> Wilfried Rufert Rechnung 03.03.2015 - Abrechnung Online Pay AG.com
 [FUND] Ist das Trojanische Pferd TR/Dropper.MSIL.128219
 [WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
Beginne mit der Suche in 'O:\'
Der zu durchsuchende Pfad O:\ konnte nicht geöffnet werden!
Systemfehler [3]: Das System kann den angegebenen Pfad nicht finden.




Beginne mit der Desinfektion:
L:\Daten\PC\Thunderbird\Profil 20.01.12\1j1t9629.default\Mail\pop3.web-4.de\Inbox
 [FUND] Ist das Trojanische Pferd TR/Dropper.MSIL.128219
 [WARNUNG] Die Datei wurde ignoriert.




Ende des Suchlaufs: Donnerstag, 19. März 2015 12:51
Benötigte Zeit: 1:40:54 Stunde(n)




Der Suchlauf wurde vollständig durchgeführt.




 25037 Verzeichnisse wurden überprüft
 473982 Dateien wurden geprüft
 1 Viren bzw. unerwünschte Programme wurden gefunden
 0 Dateien wurden als verdächtig eingestuft
 0 Dateien wurden gelöscht
 0 Viren bzw. unerwünschte Programme wurden repariert
 0 Dateien wurden in die Quarantäne verschoben
 0 Dateien wurden umbenannt
 1 Dateien konnten nicht durchsucht werden
 473980 Dateien ohne Befall
 5776 Archive wurden durchsucht
 2 Warnungen
 0 Hinweise

Alles anzeigen

edvoldi

Hallo wif15
Hier ist ein Vorschlag.
http://www.computerhilfen.de/hilfen-17-423049-0.html

Gruß
EDV-Oldi

Peter_Lehmann

Guten Tag wif15,
und willkommen im Forum! (<= Ja, so viel Zeit nehmen wir uns hier!)

Du solltest froh sein, dass sich die befallene Datei nicht mit dem Cleaner-Werkzeug hat löschen lassen!
Diese Datei ist nämlich deine INBOX, also dein gesamter Posteingang. Und AV-Scanner löschen richtig, indem sie die Datei "shreddern", also mehrfach überschreiben.
Du solltest unbedingt dafür sorgen, dass der AV-Scanner niemals Schreibzugriff auf dein TB-Userprofil bekommt. Am besten, dieses überhaupt nicht von diesem Programm berühren lassen.
(Näheres in unserem "alten Wiki" und in vielen Forenbeiträgen => Suchfunktion.)

Wichtig ist die Antwort auf die Frage, ob der mit Schadcode befallene Dateianhang bereits gestartet wurde, oder noch nicht. Wurde er gestartet, kannst du deinen Rechner als infiziert betrachten. In diesem Fall solltest du auf Reparaturversuche verzichten und das System neu aufsetzen. So viel sollte dir die Integrität deines Rechners wert sein.

Wie gehts weiter:
1.) die betreffende Mail mit dem befallenen Anhang löschen.
2.) den Papierkorb leeren
3.) sämtliche Ordner, in denen diese Mail jemals gespeichert war (also zumindest der Posteingang und der Papierkorb, besser gleich alle) komprimieren.

Wenn du das richtig gemacht hast, und der Anhang nie geöffnet wurde (!!), dürfte das Problem beseitigt sein.
Ich empfehle dringlich, jetzt deinen gesamten Rechner von einer bootfähigen DVD (desinfec´t von Heise) zu booten und mit allen vier AV-Scannern untersuchen zu lassen. Erst dann kannst du recht sicher sein, dass keine Infektion vorliegt. Das Ergebnis eines Scans durch einen auf dem gestarteten Betriebssystem (Win) laufenden AV-Scanner kannst du vergessen. Moderne Schadsoftware ist locker in der Lage, sich in diesem Fall vor dem Scanner zu verstekcen bzw, diesen sogar zu blenden.

Du solltest dir angewöhnen:
1.) Wie oben schon geschrieben, dein TB-Userprofil von der Überwachung durch den Scanner auszunehmen. Der Scan des Traffics zum Posteingangsserver ist zulässig.
2.) Einen erhaltenen Dateianhang erst in einen Downloadordner abzuspeichern, dann dort bewusst zu scannen und erst dann dort vor Ort zu öffnen.

MfG Peter

losgehts

Hallo,

Peter hat ja schon vieles ge-/beschrieben. Ich möchte diesen einen Punkt verdeutlichen:

Zitat

1.) die betreffende Mail mit dem befallenen Anhang löschen.

Die E-Mail findest du in deinem Posteingang.
Sie hat den Betreff "Offene Rechnung: Nummer 17209105"
Vom Absender: "Abrechnung Online Pay AG"
und mindestens drei Anhänge.

Grüße, Ulrich

wif15

Hallo,

vielen Dank für die Tipps. Ich habe die Posteingangsordner bereits mehrfach komprimiert und gelöscht.
Trotzdem findet der Avira EU-Cloaner immer noch den Trojaner und ich weiß nicht, wo er sich versteckt haben könnte.

losgehts

Hallo,

das könnte daran liegen, dass es du in einem anderen Posteingang löscht, als der Scanner den Trojaner findet.
Mit Rechtsklick auf den Posteingang => "Eigenschaften" findest du unter "Adresse" der Pfad, wo der Posteingeang gespeichert ist. Da steht entweder
"mailbox:///<Der Pfad>"
oder
"imap://<...>"
vergleiche mal den Pfad mit dem Pfad der Mailbox in der dein Scanner den Trojaner findet (L:\Daten\PC\Thunderbird\Profil 20.01.12\1j1t9629.default\Mail\pop3.web-4.de\Inbox)

Was steht bei dir in den Posteingangseigenschaften unter "Adresse"?

Grüße, Ulrich

wif15

Hallo,

ich habe die Nachricht mit den kryptischen Zeichen und Ziffern in der Inbox aufgespürt:

Code

Received: from Porse-PC ([85.181.89.172]) by mail.gmx.com (mrgmx002) with
 ESMTPSA (Nemesis) id 0LuxG5-1XTljr47iz-0102cS for <[email=xxxx@web.de]xxxxx@web.de[/email]>; Tue, 03 Mar
 2015 23:10:13 +0100
From: "Abrechnung Online Pay AG" <[email=v98g30q@gmx.com]v98g30q@gmx.com[/email]>
To: "Wxxxxxx Rxxxx" <[email=xxxx@web.de]xxxx@web.de[/email]>
Subject: Offene Rechnung: Nummer 17209105
Date: Tue, 3 Mar 2015 22:09:53 GMT
Message-ID: <014d3633.3dfd543952cbb347@Porse-PC>
Mime-Version: 1.0
Content-Type: multipart/mixed;
    boundary="----=_NextPart_000_00B9_58840703.70115EE5"
X-Provags-ID:  V03:K0:9cEksTeR801GpYBAqTgNscZjJRFjlSbM85J912lojNc8RNDD2xF
 Y9Nv7+20MqPupjw1mUnlxPmapVNi6Zjecq+yqEvQpUhvlqidfW1dIMt0jWeUAS1q2RKqh3Q
 Jk8YhdwfelxiO7YYYWO6sASmXX158K4ADNjGL8nmftzgo3WiqXNDloPRL8jfI2osN2xnwdS
 xn7kH3Fw5if5D7wDDKy1Q==
X-UI-Out-Filterresults: notjunk:1;
Envelope-To: <[email=xxxx@web.de]xxxxx@web.de[/email]>
X-UI-Filterresults: unknown:5;V01:K0:hBCfafh/PU0=:w2+GXAqmbbwP27EFQ3P9pk/Dv9
 et8k8fXjeJwX5Mc2MPx+N1r6n6/VT98QpEwXg36zz3AoiJejQ3lwXkxdIt22zDJYTA1JIaBCa
 3hHdNX+26kKOVurbyLz1yZmWshUfbjDL3zAW1x2bbf7gxUtvQIsZ+oGsfE+BF7cCHEQrTRGTA
 zKLs03MHsaJHtpVUBc+rzB/LoKKIEhjE3cX4RO3pIQMFpF7WQkr6UdEBmiOnoUqBekBWGsrWk
 WpuPzGTYa8ihxYtX6Y06QSQeXrlXjJYQryKPEn/qXfU0hVGpyi/nYDmNi2IYBko4wzu3sdB/D
 WMn1fbbG/iKgrcNg6pKjN46JQx7nLHG+z4pQUrj9vpKfPSyRR21qMRTHnNS1pHL/da/WE4GwM
 5V9F8DqfBABfsUD2ccRwuWmsMt/GTkrxsDsCPak4CURS4gFgpzDvanRU/kF0EXXMPxP8ALsq1
 D634kZrviFoqgrKlLpaE4MKY0fJW2N99ya6RkBvndAebOYXoSIOSfK7RtSMHB+D4OfwQfo0kZ
 u10ejTGhXhcMlVLojV0+Le3207nIZyCjne7Tj8b/wMFYJuzl2xmEDG7jpZShCuFnZ1ebZYBJ8
 U4GGDd6fjVha6gFTMHQmuZhrWTqMkttR5m0f0bS3nUN/koLVgt2+Qn7UwY9YJqiZLvDWef/W/
 H+n8vSv6smyORgtfz6E7JHTA/sU62AzFfp6KV0z/LWq0sBVL8bD2vHjpCRWZLPn5m78xjmBW2
 CsgPktl/LEz+K/tJmBvtpAFooduiffc/fAFrg5L7pKQNeZuGPSw+GxenUaAPa6UgyQav/UQyL
 rlBqNJNsQEqTG86CDVrn+zTKFgCm69ptWq9jRAdSjrKCTYTkHZWYhmHYQ/6S//jtaSg1oLq+y
 thi90LjJG9lLVJ+E1iU2jQg4SmLG5ALwAH+cq71D+hOyq/OvNdvox5UHqmEm6NzYpPhgNw7qF
 Ep6qKOBKsN2esGzfabPKg11/rPaw8zW1DFgbFPP4v9ShDI9cN0Dj/pjAps+G6wEbArOcb3xqk
 oQVvN7mCrrHL3dP1024SvWWPlloBuI5yCRdaYKmCLgD+0Vmzd5pAKaVqjkx3CrN/yfxSQPRK7
 E9FcKRgLhe7DnIxyvUz65uJQJV3Swk+x9aie2UiEPfLazqkdAKNe6w9B2+Gp1XqWansehVC8u
 RCnd4aO4/9zwqxVsWdJ5Vc2ME2D63yTeb3tUJBIQkowVerZNSq+KiYZdyKgmYHV7hnbTrHQar
 mIMNQdXMNbmpXXLiZhJpLO0bdjnX5/smyg0pp2WlHYR0dN7iZVERPS9j1mYDVeoBgd03+2cBI
 ngZfe7/SB2WgE0ioBS3d6HRbIDqthgCbxoGTy3ajfYl2avmvEMLNRpOh5Xg0Me1FlJAGswmq6
 edJL3U+MAIhW53Y7rDspXbb8KSnebx0Uh3YyeTXJZy4fzNAt6Lb2dWMv5asoEZvFTSNVku7Ap
 MtzPyygAidHFnkglvweMWsAErahfM=
X-Antivirus: avast! (VPS 150303-1, 03.03.2015), Inbound message
X-Antivirus-Status: Clean




------=_NextPart_000_00B9_58840703.70115EE5
Content-Type: text/plain;
    charset="utf-8"
Content-Transfer-Encoding: quoted-printable




Sehr geehrter Kunde Wxxxx Rxxxxx,




das von Ihnen vorliegende Girokonto wurde im Moment der Abbuchung nicht aus=
reichend gedeckt um die Lastschrift auszuf=C3=BChren. Sie haben eine offene=
 Forderung bei unseren Mandanten Online Pay AG.=20




Aufgrund des andauernden Zahlungsr=C3=BCckstands sind Sie gezwungen zuz=C3=
=BCglich, die durch unsere Beauftragung entstandenen Geb=C3=BChren von 30,2=
8 Euro zu bezahlen. Wir erwarten die Zahlung bis zum 05.03.2015 auf unser G=
irokonto.=20




Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ablauf der Fri=
st wird die Akte dem Gericht und der Schufa =C3=BCbergeben. Die detailliert=
e Kostenaufstellung, der Sie alle Einzelpositionen entnehmen k=C3=B6nnen, f=
=C3=BCgen wir bei. F=C3=BCr R=C3=BCckfragen oder Reklamationen erwarten wir=
 eine Kontaktaufnahme innerhalb des selben Zeitraums.=20




In Vollmacht unseren Mandanten ordnen wir Ihnen an, die offene Gesamtforder=
ung sofort zu bezahlen.=20




Mit freundlichen Gr=C3=BC=C3=9Fen




Abrechnung Sxxx Jxxxxx




------=_NextPart_000_00B9_58840703.70115EE5
Content-Type: application/octet-stream;
    name="Rechnung an Wxxxx Rxxxx 03.03.2015 - Abrechnung Online Pay AG.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
    filename="Rechnung an Wxxxxx Rxxxx 03.03.2015 - Abrechnung Online Pay AG.zip"

Alles anzeigen

Kann ich das alles markieren und löschen ??

Ist da überhaupt der Trojaner drin? Oder erst in den sich anschließenden Symbolen ??

Edit: Ich habe E-Mail-Adressen und Namen anonymisiert. S-Mod. graba

Peter_Lehmann

Anonymisiere bitte mal ganz schnell deine Mailadresse und weitere persönliche Daten!

Mod. Pe_Le

Peter_Lehmann

So, und jetzt die Antwort auf deine Frage:

Du musst mit dem Thunderbird aus dem Ordner (das ist die mbox-Datei, in welcher du diesen Quelltext gefunden hast) die betreffende E-Mail löschen. Falls du diese E-Mail in keinem deiner "Mailordner" mehr siehst, dann ist diese bereits gelöscht. Aber bitte vorher in allen Ordnern prüfen, in denen diese Mail mal gelegen haben kann. Also der Posteingang und alle Ordner, in welche du vlt. deine Mails verschiebst. Und natürlich auch den Papierkorb nicht vergessen.

Wie du ja sicherlich weißt, wird beim Löschen nichts gelöscht, sondern lediglich als gelöscht markiert. Der Unterschied ist, dass diese Mails zwar in der mbox immer noch vorhanden sind (dafür gibt es gute Gründe!), aber wegen der "gelöscht"-Kennzeichnung nicht mehr angezeigt werden. Das physische Löschen geschieht mit dem so genannten "Komprimieren".

Also: führe diese wichtige Hygienemaßnahme (!) jetzt zumindest bei den o.g. Ordnern - besser noch bei allen Ordnern durch. Damit muss diese E-Mail wirklich verschwunden (gelöscht) sein.
Auch sonst, also ohne den Befall mit Schadcode, musst du dieses Komprimieren regelmäßig durchführen! Sonst erreichen die mbox-Dateien schnell ihre kritische Größe, was zumindest zu Problemen, wenn nicht gar zu Datenverlust führt.

Und: die binären Anhänge werden im Quellcode automatisch zu ASCII-Zeichen umcodiert, und befinden sich in den vollständig darstellbaren, aber natürlich unverständlichen exakten rechteckigen Blöchen im Quellcode.

OK?

MfG Peter

wif15

Welche persönlichen Daten sollen anonymisiert werden? Hier auf der Seite von Thunderbird Mail DE ? Wie lassen sie sich anonymisieren?

graba

Hallo,

Zitat von wif15

Welche persönlichen Daten sollen anonymisiert werden?

ich habe dies inzwischen in deinem obigen Beitrag 7 durchgeführt.

Peter_Lehmann

Indem du, bevor du einen Beitrag absendest, diesen noch einmal durchliest und Namen sowie Mailadressen verfremdest (also genau so, wie es graba für dich gemacht hast). Ich habe das nicht selbst gemacht, da du ja noch angemeldet warst.

Und wenn, wie in diesem Fall, der Beitrag bereits abgesendet ist, kannst du jeden eigenen Beitrag auch bearbeiten.

wif15

Vielen Dank für das Anonymisieren. Habe zwischenzeitlich auch herausgefunden, dass ich das in dem ursprünglichen Quelltext machen kann.
Habe nochmals alle Posteingänge komprimiert und gelöscht. Werde jetzt nochmal den Virenscanner durchlaufen lassen. Habe mir auch die empfohlene CD zur Virensuche bestellt.
Gruß
Wilfried

Trojaner: TR/Dropper:MSIL.128219

Community-Bot 3. September 2024 um 20:20

Thunderbird 139.0.2 veröffentlicht

Thunderbird 128.11.1 ESR veröffentlicht