PHISH/Bankfrau.BH.2

Dieses Thema im Forum "Sicherheit" wurde erstellt von Klaus Werner, 10. Mai 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Klaus Werner

    Klaus Werner Byte

    Registriert seit:
    7. September 2004
    Beiträge:
    55
    Nach Öffnen von Firefox 1.5.03 meldet Antivirus die Signatur
    PHISH/Bankfrau.BH.2. Unter Doku und Enst. .../../ Firefox...
    Trotz Quarantäne / Löschen etc. erscheint die Meldung immer wieder.
    Wo kann ich den hebel ansetzen, um das Übel mit der Wurzel auszureissen?
    Antivir selbst weiß scheinbar keine Lösung
    Danke für Hilfe
     
  2. TApel

    TApel Megabyte

    Registriert seit:
    29. Dezember 2004
    Beiträge:
    2.335
    moin.
    wie wäre es wenn du mal ein hijack logffile hier posten würdest.
    dann könnte man evtl den grund finden.aer nur die url zum ausgewerteten file nicht das ganze file hier posten.
    hier der link dazu.
    http://www.hijackthis.de/

    mfg
    tom apel
     
  3. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Bitte den kompletten Pfad angeben.
     
  4. Klaus Werner

    Klaus Werner Byte

    Registriert seit:
    7. September 2004
    Beiträge:
    55
    Die genaue Einstellung , wie folgt:

    C:\Dokumente und Einstellungen\Klaus\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\hq7aa94u.default\cache\6c8fe02bd01

    habe inzwischen mit CCleaner den Rechner gereinigt, wobei besonders die "profiles" gelöscht wurden. Dann war auch zunächst Ruhe, aber jetzt beginnt es wieder.
    www.hijackthis.de hat keine Lösung gebracht.
    Pestpatrol gab Auskunft daß unter Mozilla Backup die uninstall.exe einen Trojaner enthielte, Ich habe die uninstall.exe rausgeworfen.

    Jetzt meldet sich das logfile wie folgt:
    C:\Dokumente und Einstellungen\Klaus\Lokale Einstellungen\Temp\goog-black-url.sst.tmp

    Aber wie gesagt auf "PHISH/Bankfrau.BH.2" , diesen Begriff finde ich mit dem explorer nicht.

    Danke für weitere Hilfe
     
  5. sosgermany

    sosgermany ROM

    Registriert seit:
    12. Mai 2006
    Beiträge:
    2
    Hallo, ich hatte seit gestern das gleiche Problem. Nachdem ich die Google-Leiste im Firefox entfernt hatte, ist die Virenmeldung nicht mehr aufgetaucht. Versuchs mal. Gruss Uwe
     
  6. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Könnte sein dass die Blacklist der Google Toolbar eine URL enthält die mit diesem Schädling in Zusammenhang steht. Vom Virenscanner wird das dann fälschlicherweise selbst als Schädling erkannt. Ich würde die Datei mal hier hochladen und prüfen lassen:
    http://virusscan.jotti.org/de/

    Könntest du trotzdem mal den Link zu deiner Log-Auswertung angeben? Dann können wir auch mal drüberschaun, vielleicht wurde von der Automatischen Auswertung etwas übersehn.
     
  7. mkfvb

    mkfvb ROM

    Registriert seit:
    12. Mai 2006
    Beiträge:
    4
    Ich habe den gleichen Virus und in mit AntiVir nicht entfernt bekommen. Google-Leiste entfernen geht auch nicht.
     
  8. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Wo genau (Pfad)?
     
  9. Locke01

    Locke01 ROM

    Registriert seit:
    12. Mai 2006
    Beiträge:
    1
    Auch ich habe seit dem 9.5. diesen Virus in
    C:\Dokumente und Einstellungen\Uwe\Lokale Einstellungen\Temp\goog-black-url.sst.tmp

    Datei kann ich mit dem Explorer nicht finden, Löschen mit AntiVir geht nicht, Google Toolbar nicht installiert.
     
  10. Klaus Werner

    Klaus Werner Byte

    Registriert seit:
    7. September 2004
    Beiträge:
    55
  11. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    kann einer von euch mal den Link zu seinem HijackThis Logfile wie hier beschrieben posten?
    Ich halte das ganze ja für ein false positive(Fehlalarm) von Antivir.

    Edit
    sehe gerade das man im Avira Forum auch von einem false positive ausgeht, siehe hier. ich würde an eurer Stelle die Sache einfach aussitzen und auf das nächste Update warten.


    Grüße Jasager
     
  12. mkfvb

    mkfvb ROM

    Registriert seit:
    12. Mai 2006
    Beiträge:
    4
    C:\Dokumente und Einstellungen\marcus....\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Prof iles\irnoeajv.default \google_safebrowsing\google-black-url.sst
     
  13. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Hat inzwischen jemand die Datei beim online-Scan übrprüfen lassen?

    Ich halte das auch für einen Fehlalarm, aber um sicher zu gehn brauchts den Vergleich mit andere AV-Programmen.
     
  14. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    http://virusscan.jotti.org/de/ ist zur Zeit leider nicht erreichbar. :(

    Ich lass die Datei gerade einzeln prüfen:

    - Kaspersky sagt, die Datei ist OK.
    - Dr. Web sagt, die Datei ist OK.

    Könnte sich also um einen Fehlalarm handeln. Sobald http://virusscan.jotti.org/de/ wieder geht, probier ich's nochmal.
     
  15. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    @Nevok
    Alternative zu jotti gibt es hier.


    Grüße Jasager
     
  16. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
  17. poro

    poro Ganzes Gigabyte

    Registriert seit:
    31. Juli 2003
    Beiträge:
    13.635
  18. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    nicht mit den neusten Versionen, aber mit den aktuellen Signaturen.
    Hier mal ein Zitat aus dem Blog:
    Die Argumentation scheint mir recht schlüssig.


    Grüße Jasager
     
  19. Klaus Werner

    Klaus Werner Byte

    Registriert seit:
    7. September 2004
    Beiträge:
    55
    Nach update des jüngsten updates von ANtivir V6.34.01.73 hat sich der Virenwarner NICHT mehr gemeldet!!
    Danke Allen für ihre Beiträge
    KW
     
  20. ewsch

    ewsch Byte

    Registriert seit:
    29. Juli 2003
    Beiträge:
    12
    Hallo Klaus Werner,
    suche den Ordner google-safebrowsing oder las nach goog-black-url suchen, lösche den Ordner komplet dann sollte wieder ruhe sein. Ich habe beide Meldungen von Antir in Quarantäne genommen , dann auf dem Desktop wiederhergestellt, alle Verbindugen zum Netz zu, Antivir deaktiviert dann läßt sich die Datei mit Wordpad oder einem Editor öffnen und kann sie auch suchen lassen. Bei mir ist jetzt Ruhe.

    MfG ewsch
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen