Wartung unvollständig Grund: Trojan:HTML/Phish!pz Status: Fehler beim Stellen unter Quarantäne Wie eleminiere ich den Trojan?

[K.]

Wie eleminiere ich diesen Trojan vollständig? Ich habe alle Virenscanner durchlaufen lassen: MS Defender Antivirus/MRSET/zusätzlich Malwarebytes u. Adw Cleaner mit dem Ergebnis, dass keine Bedrohungen gefunden wurden.

Trotzdem die Meldung:

Wartung unvollständig

Trojan:HTML/Phish!pz

Status: Fehler beim Stellen unter Quarantäne

Diese Bedrohung oder App wurde möglicher Weise nicht vollständig entfernt.

Details: Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus.

Betroffene Elemente:

am 29.12.2023

file:\Device\HarddiskVolumeShadowCopy30\Users\kleme\AppData\Local\Thunderbird\Profiles\kj88k3bj.default\cache2\entries\2F11CC301EF641E6D1B756876EC2A915DFA07731

am 27.12. und 28.12.2023

file:\Device\HarddiskVolumeShadowCopy29\Users\kleme\AppData\Local\Thunderbird\Profiles\kj88k3bj.default\cache2\entries\16F015C476223ADB0E6ABBCC552F4F69B8F6D78C

Was muß ich tun, damit das Problem aus der Welt geschafft wird?

für jegliche Hilfe schon jetzt vielen Dank!

K. Schäpers

 

[r.]

Aus meiner Sicht ist das ein Defender Fehlalarm. Ich kämpfe auch seit Wochen bei Thunderbird mit dem Problem - wird der Cache geleert, ist das Problem bei der Windows Sicherung weg.
Heute (cache nicht erneut geleert), wurde folgender Pfad als befallen mit Name: Trojan:HTML/Phish!pz aufgeführt:

Pfad: file:_\Device\HarddiskVolumeShadowCopy3\Users\ralfw\AppData\Local\Mozilla\Firefox\Profiles\ez54vik9.default-release-1704116896206\cache2\entries\0EA2E1AC3653A248EDE38E975FF2A4ADDA308244

Ich habe aber keine Shadow Copies (vssadmin list shadows zeigt nichts an), ich vermute der Backup legt eine Shadow Copy an, die dann gelöscht wird.
Wenn ich die entsprechende Datei unter C:\Users\ralfw\AppData\Local\Mozilla\Firefox\Profiles\ez54vik9.default-release-1704116896206\cache2\entries\ auf VirusTotal hochlade und dort analysieren lasse, schlägt kein Virus-Scanner an.
LG

 

[r.]

Das Problem ist natürlich in diesem Fall mit Firefox (nicht Thunderbird) wie im Pfadnamen oben ersichtlich.
Die Sicherung unter" Systemsteuerung\System und Sicherheit\Sichern und Wiederherstellen (Windows 7)" legt definitiv eine Shadow Copy an, die beim Beenden aber (vermutlich) wieder gelöscht wird, deshalb wird im Pfad auch VolumeShadowCopy angezeigt.

 

[Y.]

Das Problem besteht immer noch. Shadows werden mir auch nicht angezeigt.

Gibt es derzeit keinen Workaround?

FF löschen evtl.?

 

[F.]

Es handelt sich hierbei mit hoher Wahrscheinlichkeit um eine falsch positive Meldung von Windows Defender in Mozilla-Produkten (Firefox und Thunderbird) in Kombination mit der "Sichern und Wiederherstellen (Windows 7)"-Funktion. Es gibt einen englischsprachigen Thread im Mozilla-Forum dazu: Link.

Hier ein Auszug aus der verlinkten Nachricht mit Lösungsansätzen:

As per everything we have discussed, over and over starting back in mid December, there are 2 ways to work around this Mozilla/Defender false positive.

1. Set Firefox to clear cache when it closes. However, if you always leave your browser open on your. taskbar this will not work. It is recommended by Mozilla that you close your browser when not in use. So, to enable this method, in FF go to Tools/Settings/Privacy & Security - scroll down to History and click on Clear history when Firefox closes. The box to the right is Settings which now becomes available. Click on that and you will see 7 options. Click on Cache. You are done and backup will run as long as FF is closed when Backup runs. Backup may fail on the first instance after doing this because Recovery in Control Panel still contains Restore Points (shadow copies) that has cache2 in it/them. You can delete the restore points if you wish and backup will cause System to set a new Restore point before it runs.

Cache2 in FF regenerates with new entries every time you use the browser. This is why simply deleting the contents of cache2 in your FF Profile will not provide a workaround. You must tell FF to empty this file when it closes as mentioned above.

2. You can exclude cache from your FF backup profile selections. By doing this you do not need to tell FF to clear cache when it closes. This is more work than #1 so I go with #1 because I always close FF (and Thunderbird) when I am done with them.

Ich habe bei mir Workaround #2 umgesetzt, da ich nicht ständig den Cache leeren wollte. Mehr Details dazu hier: Link.

Viele Grüße

Fabian

 

[F.]

Es gibt übrigens auch bereits ein Issue im Windows Feedback Hub:

The Windows Insider Program .