Wartung unvollständig Grund: Trojan:HTML/Phish!pz Status: Fehler beim Stellen unter Quarantäne Wie eleminiere ich den Trojan?

[K.]

Wie eleminiere ich diesen Trojan vollständig? Ich habe alle Virenscanner durchlaufen lassen: MS Defender Antivirus/MRSET/zusätzlich Malwarebytes u. Adw Cleaner mit dem Ergebnis, dass keine Bedrohungen gefunden wurden.

Trotzdem die Meldung:

Wartung unvollständig

Trojan:HTML/Phish!pz

Status: Fehler beim Stellen unter Quarantäne

Diese Bedrohung oder App wurde möglicher Weise nicht vollständig entfernt.

Details: Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus.

Betroffene Elemente:

am 29.12.2023

file:\Device\HarddiskVolumeShadowCopy30\Users\kleme\AppData\Local\Thunderbird\Profiles\kj88k3bj.default\cache2\entries\2F11CC301EF641E6D1B756876EC2A915DFA07731

am 27.12. und 28.12.2023

file:\Device\HarddiskVolumeShadowCopy29\Users\kleme\AppData\Local\Thunderbird\Profiles\kj88k3bj.default\cache2\entries\16F015C476223ADB0E6ABBCC552F4F69B8F6D78C

Was muß ich tun, damit das Problem aus der Welt geschafft wird?

für jegliche Hilfe schon jetzt vielen Dank!

K. Schäpers

 

[m.]

Ich habe das gleiche Problem seit 4.1.24 mit Phish!pz. Es taucht immer wieder in den Schattenkopien auf. Habe heute erstmal hinbekommen einen Fullscan mit Defender ohne den Eintrag mit dem phish!pz durchlaufen zu lassen. Und das wäre im Moment auch mein Workaround.
Habe folgendes gemacht.
1 ) Anmeldung per cmd als Admin
2) löschen der Schattenkopien per vssadmin delete shadows /for=c:
3) löschen der angelegten aktuellen Windowssicherungen auf externem Laufwerk Windowsimagebackup und Ordner mit der CD, die bei mir PC...home heisst. 1
4) per msconfig in der Befehlszeile die Dienste "Schattenkopien" disablen, so dass keine Schattenkopien mehr angelegt werden können. Logischerweise läuft dann erst mal die Windowssicherung nicht mehr.
5) reboot des Rechners.
6) fullscan per defender
7) Aufruf Windows Ereignisanzeige/Anwendungs und Dienstprotokolle/Microsoft/Windows/Windows defender/Operational. Hier könnt ihr alle Events des defenders ansehen mit Zeitstempel und den Ort des Phish!pz bei mir die volumeshadowcopies.
8) Virus taucht nicht mehr auf
9) Sobald ihr eine Sicherung fahren wollt, müsst ihr die Shadowdienste wieder per msconfig starten. Danach taucht der Virus wieder im Eventlog auf, wenn ihr die Sicherung laufen lasst und sie bricht wieder zum Schluss ab, weil der Virus vom defender gefunden wurde. Von daher nur ein Workaround, bis das Problem gefixt ist.

Gerne eure Erfahrungen

I have had the same problem with Phish!pz since 4.1.24. It keeps popping up in the shadow copies. Today I managed to run a full scan with Defender without the phish!pz entry. And that would be my workaround at the moment.

I did the following.

1) Log in via cmd as admin

2) delete the shadow copies via vssadmin delete shadows /for=c:

3) delete the current Windows backups on the external drive Windowsimagebackup and folder with the CD, which I call PC...home. 1

4) Disable the "Shadow copies" services via msconfig in the command line so that no more shadow copies can be created. Logically, the Windows backup will then no longer run.

5) Reboot the computer.

6) fullscan via defender

7) Call Windows Event Viewer/Application and Service Logs/Microsoft/Windows/Windows defender/Operational. Here you can see all events of the defender with timestamp and the location of the Phish!pz in my case the volumeshadowcopies.

8) Virus no longer appears

9) As soon as you want to run a backup, you have to start the shadow services again via msconfig. After that, the virus appears again in the event log when you run the backup and it aborts again at the end because the virus was found by the defender. So this is just a workaround until the problem is fixed.



Gladly your experiences

 

[m.]

Habe gestern Abend eine benutzerdefinierte Windows Sicherung gefahren ohne den Cache von Firefox und Thunderbird und die Sicherung ist ohne Fehler durchgelaufen erstmalig. Und die Windowsereignisanzeige hat im Defenderbereich auch keinen Phish!pz gemeldet.
I ran a custom Windows backup last night without the Firefox and Thunderbird cache directories and the backup went through without error for the first time. And the Windows Event log did not report any Phish!pz in the Defender area either.

 

[K.]

Ich habe das Problem gelöst.

Es hat zwar lange gedauert, bis ich dahinter kam.

Folgende Schritte haben zum Erfolg geführt:

1. auf Start klicken – mit der rechten Maustaste
   
2. auf Ausführen klicken
   
3. C:\Users\benutzer\AppData\Local eingeben
   
4. im Ordner local auf Thunderbird klicken
   
5. auf Profiles klicken
   
6. auf kj88k3bj.default klicken
   
7. auf Cache 2 klicken (kann auch eine andere Zahl sein
   
8. den Inhalt des Ordners entries komplett löschen.
   

Die Datensicherung lief dann ohne Probleme voll durch. Ich habe auch den Zeitplan wieder aktiviert und es hat am folgenden Tag funktioniert.

Ich hoffe, das es so bleibt. Wenn sich der Trojaner wider Erwarten nochmals einschleicht, muss man diese Prozedur wiederholen. Dann ist er wieder weg.

 

[0.]

Prima, das freut mich

 

[T.]

Bei mir kommt der Trojaner immer wieder nachdem ich die angegebene Datei im Cache (Firefox und Thunderbird) gelöscht habe...

 

[R.]

Wartet mal ab. Heute im Laufe des Tages oder morgen kommt eine Update ( 121.01) für Firefox.

 

[K.]

Hallo Thorsten,

bei mir das Gleiche. Bis auf Weiteres empfehle ich die von mir genannte Prozedur vor jeder Datensicherung. Dann wird der Prozess auch erfolgreich abgeschlossen. Ist zwar etwas lästig, aber mir fällt im Moment nichts ein.

Vielleicht weiß jemand, wie der Cache automatisch gelöscht werden kann - oder hat noch eine bessere Idee.

Grüße

Klemens

 

[T.]

Wartet mal ab. Heute im Laufe des Tages oder morgen kommt eine Update ( 121.01) für Firefox.

Alles klar, hoffe dann auch für Thunderbird, denn es betrifft beide Programme.

 

[R.]

Firefox 121.0.1 korrigiert mehrere Fehler - Deskmodder.de

 

[K.]

Habe heute Updates von Windows11 u. Thunderbird bekommen. Mal sehen, wie sich das auf das Problem auswirkt.

Klemens

 

[H.]

Guten Morgen

bei mir scheint der Spuk seit dem FF Update vorbei zu sein (zeitlich gesehen).

Parellel gab es auch WIN Updates und hatte ich nochmals Cache gelöscht, Schattenkopien gelöscht und im Firefox nun eingestellt dass Cache & Cookies beim Beenden nur für Seiten behalten werden, die mir wichtig sind.

Obs auch für Thunderbird hilft, kann ich nicht sagen.

 

[K.]

Ja, das Problem scheint durch die Updates von Windows u. Thunderbird gelöst zu sein. Es läuft alles wieder normal.

 

[T.]

dem kann ich mich anschließen, scheint mit den Updates behoben worden zu sein!

Danke, für die Hilfe und Vorschläge!

 

[H.]

Zu früh gefreut - nach 6 Tagen Ruhe heute wieder da....

 

[0.]

Bei mir nicht, alles friedlich.

 

[T.]

beimir ist er auch wieder da....kurz nachdem ich hier geschrieben hatte, meldete sich der Defender... :-(

 

[K.]

Dürfte nach ordnungsgemäßen Updates von Windows u. Thunderbird eigentlich behoben sein. Ich habe seit dem kein Problem mehr mit der Fehlermeldung.

 

[T.]

bei mir kommt der Trojaner nicht mehr von Thunderbird, sondern nur noch von Firefox. Da gab es auch ein Update, ist aber scheinbar nicht ausreichend gewesen.

 

[E.]

Hallo,

ich habe das gleiche Problem mit Firefox und verfolge eure Diskussion schon einige Zeit.

Bei mir war dann auch 6 Tage Ruhe, als ich im cache 2 die entries gelöscht habe und die Sicherung ging wieder. Firefox löscht das jetzt auch beim Schließen.

Nach 6 Tagen die gleiche schwerwiegende Fehlermeldung beim Defender wie oben nur diesmal beim Admin User, nicht mehr bei meinem täglichen User.

Habe den cache 2 dann dort auch gelöscht.

Auch scheint der PC beim Starten nochmals neu zu starten. Weiß aber nicht, ob das etwas damit zu tun hat.

Aber was richtet dieser Trojaner eigentlich an?

Sollte man dann Firefox einstweilen nicht mehr nutzen oder ist der PC dann eh schon verseucht?

Kann man da selbst noch etwas tun oder braucht es einen Fachmann?

LG und Danke

 

[R.]

Firefox 121.0.1 korrigiert mehrere Fehler - Deskmodder.de