Hi Caligula,
> oder hat mein Virenscanner Recht ???
Das ist eine gute Frage.
Darauf wird dir niemand eine verbindliche Antwort geben können. Zumindest nicht per Ferndiagnose.
Möglich ist es schon, dass du Schadcode an Bord hast.
Drei Sachen sind jetzt wichtig:
1. Schadcode ist erst dann gefährlich, wenn er "aktiv" ist, also gestartet wurde.
2. EIN Virenscanner kann sich immer irren, sowohl positiv, als auch negativ.
3. Bei allem was du jetzt unternimmst, niemals dem Scanner Schreibvorgänge gestatten (Löschen, "Desinfizieren" usw.)
Zuerst solltest du unter Beachtung Punkt 3 mit mindestens 2-3 unterschiedlichen Virenscannern dein Mailprofil scannen lassen. Eine Sicherheitskopie des Profiles ist sehr zu empfehlen. Und der TB ist selbstverständlich dabei beendet.
Je nach Ergebnis des Scans weißt du dann, in welcher Datei (ohne Endung = Mailordner!) eventuell ein Virus zu finden ist.
Jetzt musst du durch "intelligentes" Durchsehen deiner Mails die Mail finden, in welcher sich der infizierte Anhang befindet. Bei Verdacht hilft auch ein externes Abspeichern des Anhanges und ein Scannen dieser Datei. (Bis jetzt noch keine Gefahr, nur nicht die Datei starten!)
Hast du eine infizierte Datei gefunden, diese Mail löschen, den Papierkorb vom TB leeren und alle Ordner komprimieren.
Und jetzt wieder von vorn beginnen, bis die Scanner nichts mehr finden ... .
Ich hoffe nur, dass du nicht schon vorher, die infizierte Datei - wo möglich schon aus dem Thunderbird heraus - gestartet hast ... . Nicht umsonst empfehle ich bei JEDEM Mailanhang, diesen erst abzulösen, zu scannen und dann - vor Ort - zu öffnen. Aber mir glaubt ja keiner ... .
MfG Peter
Hallo und guten Tag,
Aber mir glaubt ja keiner ...
das stimmt nicht, ich glaube dir und ich mache es genauso 
Und wenn ich mal den Verdacht habe... dann beende ich TB, mache ich eine Kopie des Profilverzeichnisses, Rechtsklicke auf die Kopie und wähle aus (ist Scanner abhängig) "Ordner nach Viren ..."
Dann kann ich im Falle des Falles in TB genau den Ordner erst mal komprimieren und gucken, ob eine neue Kopie dieser Datei dann immer noch korrupt ist und dann weiter wie bei Peter, wenn nicht ist gut.
Ok, ich korrigiere mich:
... mir glauben meist nur diejenigen, die schon mal nach dem schnellen Starten einer Anwendung direkt aus dem Mailprogramm auf die Sch***** gefallen sind.
Wie heißt es so schön: "Lernen durch Schmerzen" (auch wenn dieser Spruch nicht unbedingt zu meinem Wortschatz gehört).
Jedenfalls hoffe ich für Caligula, dass er das Problem meistert. Genügend willige Helfer gibt es ja hier.
MfG Peter
... das stimmt nicht, ich glaube dir und ich mache es genauso
:zustimm:
So "issses"!
In Anlehnung an den Meister *predige* ich das auch immer wieder!
Bezügl. Caligula's AV-Alarm. Interessant ist ja, daß scheinbar nur Archive reklamiert werden (und nicht das eigentliche mail-Verzeichnis ~ mögl.w. Konfigurationseinstellung)
Bedauerlicherweise werden wir nicht mit genauen Angaben "beglückt"!
Wie heißt der Übeltäter?
Wo ist er resident?
Ich empfehle grundsätzlich:
Jeden Fund zunächst in Quarantäne zu schicken! [ggfs. umzubenennen]
Der originäre Ort des Fundes muß verifiziert werden.
Im Bedarfsfall sollten laufende Prozesse, geöffnete Ports, Autoruns .. gecheckt werden!
Ich bitte darum stets auch an einen Fehlalarm zu denken! - Daher ist ein Gegen-Testen via jotti oder virustotal dringend ratsam!
Je nach Befund muß konsequent durchgegriffen werden. {auch wenn's weh tut!}
MfG ... Vic
Hi,
vermutlich hast du den befallenen Anhang bereits nach der erfolgten Sicherung gelöscht. So war die Mail zwar in der Sicherung aber nicht mehr in der Maildatei.
Erfolg der ganzen Übung:
du (und bestimmt einige Mitleser) hast verstanden, worauf es bei der Entsorgung von Schadcode in Verbindung mit dem Thunderbird ankommt.
Noch ein kleiner Hinweis:
Besorge dir von einem c´t-lesenden Freund (besser: kaufe dir diese Ausgabe, wenn wieder einmal die DVD drin liegt ...) die aktuelle Knoppicillin-DVD. Das ist ein von DVD bootendes Linux mit der einzigen Aufgabe, den Rechner hintereinander mit mehreren aktuellen Virenscannern zu scannen. Dazu holen sich die Programme automatisch (wenn Internet über Router + DHCP) die aktuellen Virensignaturen aus dem Netz. Danach wird der gesamte Rechner (Windows und evtl. Linux-Partitionen) gründlich gescannt.
Das ist imho zur Zeit die für den privaten Nutzer sicherste Methode, einen Befall mit Schadcode auszuschließen. Der große Vorteil ist neben der Aktualität, dass das Betriebssystem des Rechners inaktiv ist und damit auch der Schadcode. Damit wird vermieden, dass die Schädlinge sich aktiv tarnen können.
(Ich habe bewusst nicht von absoluter Sicherheit geschrieben, denn die gibt es nicht.)
MfG Peter
ja, und wie es der Zufall so will
Ich bitte darum stets auch an einen Fehlalarm zu denken! - Daher ist ein Gegen-Testen via jotti oder virustotal dringend ratsam!
hatte ich heute Morgen laut F-Secure angeblich einen Virus auf dem PC meiner Tochter in einem Mini-Flash-Spiel (LineRider), das aber schon >2Jahre auf dem PC ist und zuletzt vor 4-5 Monaten benutzt wurde.
Erst mal ab in Quarantäne und dann im Büro auch mal geguckt (ja, ich habe das Spielchen auch drauf..), auch ein Virus.
Same procedure...
Dann die Datei gezipt und um 11 Uhr an F-Secure geschickt, Antwort um 14:45 Uhr:
The file you submitted is indeed clean. A database update will be released to resolve this issue.
For the meantime, you may exclude this file from Real-time Scanning. We apologize for any inconveniences that this may have brought you.
Deshalb darf mein Scanner auch nur Fragen und nicht einfach handeln!
Hi,
Noch ein kleiner Hinweis:
Besorge dir von einem c´t-lesenden Freund (besser: kaufe dir diese Ausgabe, wenn wieder einmal die DVD drin liegt ...) die aktuelle Knoppicillin-DVD. Das ist ein von DVD bootendes Linux mit der einzigen Aufgabe, den Rechner hintereinander mit mehreren aktuellen Virenscannern zu scannen. Dazu holen sich die Programme automatisch (wenn Internet über Router + DHCP) die aktuellen Virensignaturen aus dem Netz.
MfG Peter
Hallo,
das hört sich ja gut an mit der c`t - DVD. Werde ich mal drauf achten.
Vielen Dank nochmal. Das war schnelle Hilfe 
Antiprunning-Push
mittlerweile heist das Desinfec't
http://www.heise.de/software/download/desinfect/71642
schöne Grüße
Toolman
