Datum: 29.12.2005 Uhrzeit: 10:52:04 Jö¶rg Fi-Ja Hallo, Der Scan mit Bitdefender 8 Standard hat einen Virus gefunden, Meldung: Rechnung.pdf.exe Infiziert mit: Trojan.Downloader.Agent.ZM“ Ich habe vor ca. 1 Monat eine Mail mit diesem Anhang bekommen und diese natürlich nicht gelö¶scht das AV-Programm hat auch den Virus gemeldet und ich habe die Mail samt Anhang auch sofort gelö¶scht. Trotzdem hat sich der Schädling eingenistet (warum auch immer?) Nun bekomme ich ihn nicht mit Bitdefender gelö¶scht. Hat jemand hier hauptberuflich mit so einem Schei** zu tun und kann mir einen Tipp geben wie ich das wieder hinbekomme ohne die Festplatte radikal zu putzen und Alles neu installieren zu müssen? Vielleicht bleibt mir die Mühe dank eines ultimativen Tipps erspart schö¶n wär´s verseuchte Grüße Jö¶rg Hier der wichtige Crop 😉 aus dem Scan-Bericht: C:\Dokumente und Einstellungen\Jorgos\Anwendungsdaten\Thunderbird\Profiles\tydipoyz.default\Mail\Local Folders\Inbox=>(message 1067)=>[Subject: Telekom Rechnung Online Monat Oktober ][Date: Sun 04 Dec 2005 00:58:55 -0500]=>(MIME part)=>Rechnung.pdf.exe Infiziert mit: Trojan.Downloader.Agent.ZM C:\Dokumente und Einstellungen\Jorgos\Anwendungsdaten\Thunderbird\Profiles\tydipoyz.default\Mail\Local Folders\Inbox=>(message 1067)=>[Subject: Telekom Rechnung Online Monat Oktober ][Date: Sun 04 Dec 2005 00:58:55 -0500]=>(MIME part)=>Rechnung.pdf.exe Gelö¶scht C:\Dokumente und Einstellungen\Jorgos\Anwendungsdaten\Thunderbird\Profiles\tydipoyz.default\Mail\Local Folders\Inbox=>(message 1067)=>[Subject: Telekom Rechnung Online Monat Oktober ][Date: Sun 04 Dec 2005 00:58:55 -0500]=>(MIME part) Update C:\Dokumente und Einstellungen\Jorgos\Anwendungsdaten\Thunderbird\Profiles\tydipoyz.default\Mail\Local Folders\Inbox=>(message 1067) Update C:\Dokumente und Einstellungen\Jorgos\Anwendungsdaten\Thunderbird\Profiles\tydipoyz.default\Mail\Local Folders\Inbox Update fehlgschlagen“ —————————————————————————————————————————————— Datum: 29.12.2005 Uhrzeit: 11:32:36 Marcel Baer Lieber Jö¶rg Jö¶rg Fi-Ja schrieb: > Hallo, > Der Scan mit Bitdefender 8 Standard hat einen Virus gefunden, > Meldung: Rechnung.pdf.exe Infiziert mit: > Trojan.Downloader.Agent.ZM“ Ich habe vor ca. 1 Monat eine Mail mit > diesem Anhang bekommen und diese natürlich nicht gelö¶scht das > AV-Programm hat auch den Virus gemeldet und ich habe die Mail samt > Anhang auch sofort gelö¶scht. Trotzdem hat sich der Schädling > eingenistet (warum auch immer?) Nun bekomme ich ihn nicht mit > Bitdefender gelö¶scht. Hat jemand hier hauptberuflich mit so einem > Schei** zu tun und kann mir einen Tipp geben wie ich das wieder > hinbekomme ohne die Festplatte radikal zu putzen und Alles neu > installieren zu müssen? Vielleicht bleibt mir die Mühe dank eines > ultimativen Tipps erspart schö¶n wär´s verseuchte Grüße > Jö¶rg Hier mal einige Ideen: Hast du das Removal-Tool von Microsoft-Update schon mal laufen lassen? Hast du den Scan schon mal im abgesicherten Modus laufen lassen? Wenn du genau weisst wenn der Trojaner ausgebrochen ist ist wohl die einfachste Methode die windowseigene Systemwiederherstellung zu verwenden und so den Zusatnd deines Systems zum „sauberen“ Zeitpunkt zu reaktivieren. Hat den Nachteil dass zwischenzeitliche Änderungen/Installationen nicht mehr vorhanden sind resp. nicht mehr sauber installiert sind. Ansonsten würde ich mal mit einem speziellen Removaltool arbeiten. Hier mal den Link zu Norman: http://www.norman.com/Virus/Virus_removal_tools/en Diese Tools arbeiten immer im abgesicherten Modus (beim Starten von Windows F8 drücken). Hier mal eine Liste wie dieser Trojaner bei den AV-Softies heisst: http://www.tu-berlin.de/www/software/showtxt.shtml?tcom011205av Gruss Marcel —————————————————————————————————————————————— Datum: 29.12.2005 Uhrzeit: 13:05:18 Rolf Hengel Hallo Jö¶rg, ich denke, Du solltest Dir da keine grauen Haare wachsen lassen. Thunderbir5d speichert alle Nachrichten in der Inbox. Und zwar im Klartext. Kannst Du mit einem Text-Editor lesen. Das kann kein AV-Programm lö¶schen. Sehr wohl erkennt es aber eine MIME-Codierter Virensignatur da drin. Die ist da aber vö¶llig harmlos. Beim Lö¶schen der E-Mail wird nur der entsprechende Verweis auf die Textstelle gelö¶scht. Wahrscheinlich verschwindet der Virus, wenn Du die Funktion Datei Ordner komprimieren aufrufst. Bei Outlook würde es zumindest das Problem lö¶sen. Habe das schon ö¶fter gesehen. Mit freundlichen Grüßen Rolf — posted via https://oly-e.de —————————————————————————————————————————————— Datum: 29.12.2005 Uhrzeit: 13:50:57 Marcus Schmigelski Hallo Jö¶rg, das gleiche Problem hatte ich mal mit TR/ Rootkit. Ein wiederliches Vieh… Im abgesicherten Modus musste ich die infizierte Datei lö¶schen und eine leere Word-Datei an dessen Stelle (mit dem selben Namen) installieren. Das ganze wurde dann schreibgeschützt in den Ordner System 32 gepackt. Diesen Tip hatte ich aus dem www – hat bei mir aber leider nichts gebracht. Bei anderen soll es angeblich funktioniert haben. Ich hoffe, das hilft dir weiter. Viele Grüße Marcus — posted via https://oly-e.de —————————————————————————————————————————————— Datum: 29.12.2005 Uhrzeit: 15:01:41 Jö¶rg Fi-Ja Am Thu, 29 Dec 2005 12:42:25 +0100 schrieb Hans Wein: Hallo Hans (et alt.) > Eine Bemerkung vorweg: Wenn du die gleiche Frage in einem der > einschlägigen Foren oder Newsgroups stellst, wird dir mit > tö¶dlicher Sicherheit ein vielstimmiger Chor mit dem Lied System > ist korrumpiert und gehorcht dir nicht mehr – Plattmachen!“ > entgegenschallen. Ob das die einzig wahre Lö¶sung ist lasse ich mal > dahingestellt. der Chor hat sicher recht … aber 😉 > So wie dein Scan-Bericht aussieht steckt der Trojaner auf jeden > Fall noch im Mailboxarchiv vom Thunderbird. Wenn du > hundertprozentig sicher bist dass du *niemals* dieses Exefile > ausgeführt hast wird es auch bei diesem einen Vorkommen geblieben > sein. Zur Verfizierung kö¶nntest du prüfen ob folgende Dateien > existieren: Ich bin mir ABSOLUT sicher! Ganz so blö¶d bin ich zum Glück doch nicht *ggg* > c:\windows\system32\ipwf.exe > c:\windows\system32\drivers\winut.dat die beiden Dateien gibt´s zum Glück nicht auf meinem System nicht. > Auch eine Kontrolle der Registry auf folgende Einträge wäre nicht > verkehrt: > HKLM\Software\Microsoft\Windows\CurrentVersion\Run > IPFW = c:\windows\system32\ipwf.exe Sorry aber ich habe diese HKLM´s nicht in meiner Registry. Meine „Oberordner“ beginnen alle mit HKEY … Hast Du vielleicht ein anderes Windoof? oder hab ich was nicht verstanden? > Anscheinend hat der Bitdefender ö¶fters Probleme mit dem Putzen der > Inbox von Thunderbird Google liefert hierzu jede Menge Treffer. Das habe ich auch schon gefunden. @ Marcel: Danke für deine schnellen Tipps. Ich habe im abges. Modus das Tool von Norman suchen lassen hat nichts gefunden. Was kann ich mit der Liste der „AV-Softies“ (da bin ich ja froh dass es doch noch Softies gibt ich dachte schon ich wäre einer der Letzten *ggg*) anfangen? @Alle: Danke für die Tipps und Ratschläge ich hoffe mal dass ich mir den Virus doch nur auf die Platte geholt habe und er noch nicht angefangen hat zu krabbeln. Eben habe ich Rolfs Vorschlag ausprobiert … und was soll ich sagen: KEIN VIRUS GEFUNDEN :-)))) Also danke noch mal an Euch Alle hier wird man echt geholfen Passt gut auf Euch auf und kommt gut ins neue Jahr LG Jö¶rg P.S. Ich wundere mich dass noch niemand nach den Einstellungen der E-x(xx) bei Feuerwerk gefragt hat *LOL*. Das kommt bestimmt noch“ —————————————————————————————————————————————— Datum: 29.12.2005 Uhrzeit: 15:30:49 Micha Micha schrieb: > Falls jemenad C-5050 Fotos aus dem verregneten Budapest sehen > mö¶chte: > http://www.humbert-online.de/html/deu/budapest.html > Sorry, aber http://www.humbert-online.de/html/deu/pic_budapest1.html ist der korrekte Link Micha — posted via https://oly-e.de —————————————————————————————————————————————— Datum: 29.12.2005 Uhrzeit: 22:47:03 Stefan Bühner Hallo, bei der Mozilla Suite hilft es, den Papierkorb zu lehren. Dann muß man aber noch diesen Ordner Komprimieren“ ausführen da erst damit die Mails wirklich gelö¶scht werden. Unter Umständen muß man bei dieser Aktion das Antivirenprogramm ausschalten bzw. deaktivieren das das Antivirprogramm oft den Zugriff und damit auch das Lö¶chen von infizierten Dateien blockiert. Sollte bei thunderbird genauso funktionieren. Gruß Stefan posted via https://oly-e.de“ —————————————————————————————————————————————— Datum: 16.12.2005 Uhrzeit: 20:06:58 Jürgen Danker Hans Wein schrieb: > > Eine Bemerkung vorweg: Bei solchen Hilferufen ist es immer > sinnvoll, einige Angaben zum verwendeten Betriebssystem zu machen. > Gerne trage ich folgende Daten nach: Betriebssystem: Windows XP Home SP2 Grafikkarte: RADEON 9600 Schrift: 120 DPI — posted via https://oly-e.de —————————————————————————————————————————————— Datum: 16.12.2005 Uhrzeit: 23:24:36 Hans Wein Jürgen Danker schrieb: > Gerne trage ich folgende Daten nach: > > Betriebssystem: Windows XP Home SP2 Das sollte keine Fehlerquelle sein (wenn das System sauber“ ist). > Schrift: 120 DPI Ich würde zuerst verschiedene Designs probieren und wenn das nichts hilft die Auflö¶sung auf 96 dpi umstellen. Ist die Schrift dann zu klein (was zu erwarten ist) anschließend die Fontgrö¶ßen unter Bildschirmeigenschaften/Darstellung/Erweitert hö¶her setzen. HTH Hans“ ——————————————————————————————————————————————
