Wartung unvollständig Grund: Trojan:HTML/Phish!pz Status: Fehler beim Stellen unter Quarantäne Wie eleminiere ich den Trojan?

[K.]

Wie eleminiere ich diesen Trojan vollständig? Ich habe alle Virenscanner durchlaufen lassen: MS Defender Antivirus/MRSET/zusätzlich Malwarebytes u. Adw Cleaner mit dem Ergebnis, dass keine Bedrohungen gefunden wurden.

Trotzdem die Meldung:

Wartung unvollständig

Trojan:HTML/Phish!pz

Status: Fehler beim Stellen unter Quarantäne

Diese Bedrohung oder App wurde möglicher Weise nicht vollständig entfernt.

Details: Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus.

Betroffene Elemente:

am 29.12.2023

file:\Device\HarddiskVolumeShadowCopy30\Users\kleme\AppData\Local\Thunderbird\Profiles\kj88k3bj.default\cache2\entries\2F11CC301EF641E6D1B756876EC2A915DFA07731

am 27.12. und 28.12.2023

file:\Device\HarddiskVolumeShadowCopy29\Users\kleme\AppData\Local\Thunderbird\Profiles\kj88k3bj.default\cache2\entries\16F015C476223ADB0E6ABBCC552F4F69B8F6D78C

Was muß ich tun, damit das Problem aus der Welt geschafft wird?

für jegliche Hilfe schon jetzt vielen Dank!

K. Schäpers

 

[R.]

Hallo,

evtl. hilft es wenn du den Rechner über einen Wiederherstellungspunkt vor dem 27.12.

zurücksetzt. Hast dir wohl über Thunderbird etwas eingefangen.

 

[U.]

Hallo

Dann lösche doch die beiden manuell den Weg dahin siehst du ja

App Data local ist das Stichwort

Du kannst auch den Cache von Thunderbird komplett löschen damit sollte es auch weg sein

Liebe grüße UWE

Edit.

Oder das Terminal als Administrator öffnen

cleangmr

eingeben dort Systemdateien bereinigen Reiter Erweitert und dort dann Systemwiederherstellungspunkte und Schattenkopien löschen

 

[K.]

Vielen Dank für den Tipp. Habe den Rechner vor dem 26.12.23 zurückgesetzt - leider ohne das erwünschte Ergebnis. Heute die Benachrichtigung vom MS Antivirus Defender: Es wurden 6 Bedrohungen gefunden und die aufforderung auf den Button Aktionen zu klicken. Das habe ich gemacht und das Ergebnis folgende Benachrichtigung: 6 Bedrohungen wurden beseitigt. Ich hoffe, dass das auch so ist.

Viele Grüße und einen guten "Rutsch" in´s 2024.

Klemens

 

[K.]

Vielen Dank für den Tipp.

Heute die Benachrichtigung vom MS Antivirus Defender: Es wurden 6 Bedrohungen gefunden und die Aufforderung auf den Button Aktionen zu klicken. Das habe ich gemacht und das Ergebnis folgende Benachrichtigung: 6 Bedrohungen wurden beseitigt. Ich hoffe, dass das auch so ist.

Wenn nicht, dann werde ich Deinen Hinweis befolgen. Allerdings hast du meine Kenntnisse überschätzt. Wie lösche ich manuell diese Throjaner? Mit App data local als Stichwort kann ich nicht viel anfangen und wie lösche ich den Cache von Thunderbird komplett?

Ich bitte um Nachsicht mit einem Laien.

Viele Grüße und einen guten "Rutsch" in´s 2024.

Klemens

 

[U.]

Hallo

Ich kenne Thunderbird nicht aber den Verlauf( Browserdaten löschen) löschen wirst du wohl alleine hinbringen

Und da die Sachen in der Shadow Copy= Schattenkopie sitzen würde es über cleanmgr versuchen wenn sie nicht weg sein sollten

Liebe grüße UWE

 

[0.]

Ich schlage mich seit gestern auch mit dem HTML/Phish!pz rum.

Nur tut mir der Defender leider nicht den Gefallen, anzuzeigen, wo er steckt:

Ausgangspunkt war, dass auf gleich zwei Rechnern "Sichern und Widerherstellen (Windows 7)" sich wegen "Virus oder unerwünschter Software" geweigert hat, das Systemabbild zu erstellen.

Ich habe den Defender, Avira und Malwarewbyte drüber laufen lassen: Ohne Befund.

Den Firefox (einziger von mir benutzter Browser) Cache habe ich gelöscht.

Aber die Warnung kehrt wieder:

Ich habe jetzt mal, wie von Uwe angeraten, über die "Datenträgerbereinigung" (das wäre vermutlich nach NoNerd Syntax das richtige Stichwort für Klemens gewesen ;-) ) die Schattenkopien gelöscht.

Ich werde berichten, ob's geholfen hat.

Grüße,

Moritz

 

[U.]

Hallo Moritz

Was ist an meiner Anleitung zu cleanmgr= Datenträgerbereinigung nicht zu verstehen das ist der schnellste Weg dahin

Liebe grüße UWE

P.S. Und die dürfte auch für absolute Laien verständlich sein

 

[A.]

Du kannst auch den Cache von Thunderbird komplett löschen

das wird wohl schwierig bis unmöglich sein: thunderbird ist ein mail-programm, in dem cache nicht mit windows tools geleert werden kann.

du kannst im thunderbird extras/einstellungen/spreicherplatz aufrufen und jetzt leeren wählen.

 

[A.]

Ich habe den Defender, Avira und Malwarewbyte drüber laufen lassen: Ohne Befund.

das ist keine gute idee, die 3 gliechzeitig einzusetzen. lasse mal avira und malwarebytes komplett entfernen.

 

[0.]

Lieber Uwe, du kannst es vermutlich nicht verstehen, weil du dich einfach nicht (mehr) in jemanden hineinversetzen kannst, der Windwos über die Benutzeroberfläche versteht.

Jetzt gerne zurück zum Thema.

 

[0.]

Ich habe Avira und Malwarebyte alternativ installiert, getestet und danach wieder entfernt.

 

[0.]

Update:

Das Löschen der Schattenkopien über die Datenträgerbereinigung hat nichts gebracht.

Der Windows Defender meldet einen Trojaner, den er beim Scannen selbst nicht findet.

Das ist schon ein wenig beunruhigend - für einen Laien wie mich.

 

[H.]

Guten Morgen

same here. In den englischsprachigen Foren habe ich die selbe Ratlosigkeit gefunden. Cache löschen, Schattenkopien entfernen und sogar die betroffenen Datei im Echtsystem einfach entfernen, etc. hilft -falls überhaupt- einmal und danach ist der HTML/Phish!pz wieder in einem anderen Pfad einer anderen Schattenkopie gesichtet worden.

Die Konstanten bei allen Betroffenen:

- Schattenkopien eines Mozilla Pfades

- Defender findet Bedrohung nie beim aktiven Scan

- Bedrohung wird während normaler Nutzung anderer Programme plötzlich gemeldet

- Im Schutzverlauf steht die "möglicherweise nicht vollständig entfernte Bedrohung"

- Sicherungskopien werden verweigert

Guten Rutsch!

Hier noch der Pfad im Mozilla Forum:

Microsoft Defender reporting Trojan:HTML/Phish!pz threat with Firefox

 

[0.]

Super, danke für den Tipp mit dem Schutzverlauf.

Hier finde ich den Pfad:

Die weiteren (älteren) Meldungen verweisen immer auf das gleiche Element, aber in einer Schattenkopie mit einer anderen Nummer:

Bei YouTube gibt es bereits mehrere Beschreibungen zum Entfernen.

In einer wird ein kostenpflichtiges Programm beworben, was mir suspekt erscheint.

Eine, die mir seriöser erscheint, hatte ich bislang nicht abarbeiten können, weil mir die Adresse gefehlt hat.

Update: Bei dem wird aber auf eine .exe Datei in einem echten Verzeichnis verwiesen.

Das scheint für den hier beschriebenen typischen Fall mit den wechselnden Schattenverzeichnissen nicht zielführend.

Update 2: Ich habe es trotzdem mal nachvollzogen und die Schattenverzeichnisse mit Vssadmin gelöscht.

Ich starte jetzt mal die Datensicherung...

Update 3: Hat alles nichts gebracht :-(

Interessant ist, dass der Windows Defender den Abbruch der Wartung meldet zwar während, aber lange bevor die angestoßene Sicherung (Sichern und Wiederherstellen) tatsächlich abbricht:

Die Sicherung läuft durch bis einschließlich der Meldung "Systemabbild erfolgreich erstellt" bei 97 %, dann kommt die Meldung über den Abbruch.

Denkt ihr, es gibt Hoffnung, dass eines der nächsten Udates des Defenders Abhilfe bringt?

Grüße und allen einen guten Rutsch,

Moritz

 

[0.]

O.K,, in einem anderen Forum habe ich die Lösung gefunden, die meine Sicherung wieder hat problemlos durchlaufen und den Spuk beenden lassen:

Firefox cache Phish!pz

Kurz:

In den Firefox Einstellungen festlegen, dass der Cache beim Verlassen gelöscht wird (Einstellungen -> Datenschutz & Sicherheit ->Chronik -> Haken bei "Cache" setzen; ich habe mir zwischenzeitlich von meiner Tochter erklären lassen, das sei doch ein Muss ) und danach in der Eingabeaufforderung (cmd.exe als Admin) eigeben: Vssadmin delete shadows /for=C: (mit "yes" bestätigen).

Vielleicht war es aber auch Zufall und der wirkliche Grund ist, dass Microsoft und / oder Firefox aufgeräumt haben.

Ich hoffe, es hilft auch anderen.

Grüße,

Moritz

 

[H.]

Moin

theoretisch macht dies das Selbe wie wir seither auch auf anderem Weg machten. Praktisch weiss man das bei Windows halt nie

Ich probiers und werde sehen....

Kurz:In den Firefox Einstellungen festlegen, dass der Cache beim Verlassen gelöscht wird (Einstellungen -> Datenschutz & Sicherheit ->Chronik -> Haken bei "Cache" setzen; ich habe mir zwischenzeitlich von meiner Tochter erklären lassen, das sei doch ein Muss ) und danach in der Eingabeaufforderung (cmd.exe als Admin) eigeben: Vssadmin delete shadows /for=C: (mit "yes" bestätigen).Vielleicht war es aber auch Zufall und der wirkliche Grund ist, dass Microsoft und / oder Firefox aufgeräumt haben.

 

[K.]

Hallo Moritz,

"In den Firefox Einstellungen festlegen..." - und wie geht das bei Mozilla Thunderbird, wenn man Firefox nicht hat?

Dieser Trojaner ist ja mit dem Update von Mozilla Thunderbird am 21.12.23 auf den Rechner gekommen.

Gruß

Klemens

 

[0.]

Hallo Klemens,

ich verwende kein Thunderbird, sondern von Mozilla nur den Firefox.

Ich kann dir das leider nicht beantworten.

Grüße,

Moritz

 

[K.]

Hallo Moritz,

es ist wohl so, dass die Betroffenen - wie auch ich - erst einmal damit leben müssen. Ich habe noch keine Lösung hierfür in diesem Forum und auch überhaupt im Netzt gefunden. Vielleicht wird das Problem beim nächtsten MS-Update behoben (oder auch nicht). Warten wir ab. Vielleicht hat ja noch jemand die zündende Idee.

Gruß

Klemens