Virenscanner & MozBackup [erledigt]

  • Hallo zusammen,


    ich habe mal ne Frage im Zusammenhang mit meinem Virenscanner von AVG.
    Ich habe MozBackup installiert, um Sicherungen anzulegen von Thunderbird. Beim Virenscan gibt es einen Alarm bei genau diesem Sicherungsverzeichnis. Ist das bekannt und ungefährlich, oder hat mein Virenscanner Recht ???


    Viele Grüße
    Caligula

    2 Mal editiert, zuletzt von Caligula ()

  • Hi Caligula,


    > oder hat mein Virenscanner Recht ???
    Das ist eine gute Frage.
    Darauf wird dir niemand eine verbindliche Antwort geben können. Zumindest nicht per Ferndiagnose.
    Möglich ist es schon, dass du Schadcode an Bord hast.


    Drei Sachen sind jetzt wichtig:
    1. Schadcode ist erst dann gefährlich, wenn er "aktiv" ist, also gestartet wurde.
    2. EIN Virenscanner kann sich immer irren, sowohl positiv, als auch negativ.
    3. Bei allem was du jetzt unternimmst, niemals dem Scanner Schreibvorgänge gestatten (Löschen, "Desinfizieren" usw.)


    Zuerst solltest du unter Beachtung Punkt 3 mit mindestens 2-3 unterschiedlichen Virenscannern dein Mailprofil scannen lassen. Eine Sicherheitskopie des Profiles ist sehr zu empfehlen. Und der TB ist selbstverständlich dabei beendet.
    Je nach Ergebnis des Scans weißt du dann, in welcher Datei (ohne Endung = Mailordner!) eventuell ein Virus zu finden ist.
    Jetzt musst du durch "intelligentes" Durchsehen deiner Mails die Mail finden, in welcher sich der infizierte Anhang befindet. Bei Verdacht hilft auch ein externes Abspeichern des Anhanges und ein Scannen dieser Datei. (Bis jetzt noch keine Gefahr, nur nicht die Datei starten!)
    Hast du eine infizierte Datei gefunden, diese Mail löschen, den Papierkorb vom TB leeren und alle Ordner komprimieren.


    Und jetzt wieder von vorn beginnen, bis die Scanner nichts mehr finden ... .


    Ich hoffe nur, dass du nicht schon vorher, die infizierte Datei - wo möglich schon aus dem Thunderbird heraus - gestartet hast ... . Nicht umsonst empfehle ich bei JEDEM Mailanhang, diesen erst abzulösen, zu scannen und dann - vor Ort - zu öffnen. Aber mir glaubt ja keiner ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo und guten Tag,


    Peter

    Zitat


    Aber mir glaubt ja keiner ...

    das stimmt nicht, ich glaube dir und ich mache es genauso ;)
    Und wenn ich mal den Verdacht habe... dann beende ich TB, mache ich eine Kopie des Profilverzeichnisses, Rechtsklicke auf die Kopie und wähle aus (ist Scanner abhängig) "Ordner nach Viren ..."
    Dann kann ich im Falle des Falles in TB genau den Ordner erst mal komprimieren und gucken, ob eine neue Kopie dieser Datei dann immer noch korrupt ist und dann weiter wie bei Peter, wenn nicht ist gut.

  • Ok, ich korrigiere mich:


    ... mir glauben meist nur diejenigen, die schon mal nach dem schnellen Starten einer Anwendung direkt aus dem Mailprogramm auf die Sch***** gefallen sind.
    Wie heißt es so schön: "Lernen durch Schmerzen" (auch wenn dieser Spruch nicht unbedingt zu meinem Wortschatz gehört).


    Jedenfalls hoffe ich für Caligula, dass er das Problem meistert. Genügend willige Helfer gibt es ja hier.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Zitat von "rum"


    ... das stimmt nicht, ich glaube dir und ich mache es genauso ;)


    :zustimm:
    So "issses"! ;)
    In Anlehnung an den Meister *predige* ich das auch immer wieder!


    Bezügl. Caligula's AV-Alarm. Interessant ist ja, daß scheinbar nur Archive reklamiert werden (und nicht das eigentliche mail-Verzeichnis ~ mögl.w. Konfigurationseinstellung)


    Bedauerlicherweise werden wir nicht mit genauen Angaben "beglückt"!
    Wie heißt der Übeltäter?
    Wo ist er resident?


    Ich empfehle grundsätzlich:
    Jeden Fund zunächst in Quarantäne zu schicken! [ggfs. umzubenennen]
    Der originäre Ort des Fundes muß verifiziert werden.
    Im Bedarfsfall sollten laufende Prozesse, geöffnete Ports, Autoruns .. gecheckt werden!
    Ich bitte darum stets auch an einen Fehlalarm zu denken! - Daher ist ein Gegen-Testen via jotti oder virustotal dringend ratsam!
    Je nach Befund muß konsequent durchgegriffen werden. {auch wenn's weh tut!}


    MfG ... Vic

  • Hallo,
    vielen Dank für die schnellen Antworten.
    Auch ein zweiter Scanner schlägt Alarm. Betroffen sind:


    C:\Programme\Mozilla Thunderbird\Thundersave\Sicherung
    in dem Verzeichnis waren bei mir zwei zip Dateien (Profilverzeichnis.zip und Programmverzeichnis.zip) Ergebnis fünfmal : Trojan horse Dropper.Generic.WBU
    Status: infected,embedded objekt


    Ich habe keine Anhänge aus Mails geöffnet oder gestartet. Ich habe die beiden zip Archive jetzt erstmal in Quarantäne. Danach habe ich noch mal gescannt und alles blieb ruhig.


    Gruß
    Caligula

  • Hi,


    vermutlich hast du den befallenen Anhang bereits nach der erfolgten Sicherung gelöscht. So war die Mail zwar in der Sicherung aber nicht mehr in der Maildatei.


    Erfolg der ganzen Übung:
    du (und bestimmt einige Mitleser) hast verstanden, worauf es bei der Entsorgung von Schadcode in Verbindung mit dem Thunderbird ankommt.


    Noch ein kleiner Hinweis:
    Besorge dir von einem c´t-lesenden Freund (besser: kaufe dir diese Ausgabe, wenn wieder einmal die DVD drin liegt ...) die aktuelle Knoppicillin-DVD. Das ist ein von DVD bootendes Linux mit der einzigen Aufgabe, den Rechner hintereinander mit mehreren aktuellen Virenscannern zu scannen. Dazu holen sich die Programme automatisch (wenn Internet über Router + DHCP) die aktuellen Virensignaturen aus dem Netz. Danach wird der gesamte Rechner (Windows und evtl. Linux-Partitionen) gründlich gescannt.
    Das ist imho zur Zeit die für den privaten Nutzer sicherste Methode, einen Befall mit Schadcode auszuschließen. Der große Vorteil ist neben der Aktualität, dass das Betriebssystem des Rechners inaktiv ist und damit auch der Schadcode. Damit wird vermieden, dass die Schädlinge sich aktiv tarnen können.
    (Ich habe bewusst nicht von absoluter Sicherheit geschrieben, denn die gibt es nicht.)


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • ja, und wie es der Zufall so will

    Zitat von "Vic~"


    Ich bitte darum stets auch an einen Fehlalarm zu denken! - Daher ist ein Gegen-Testen via jotti oder virustotal dringend ratsam!

    hatte ich heute Morgen laut F-Secure angeblich einen Virus auf dem PC meiner Tochter in einem Mini-Flash-Spiel (LineRider), das aber schon >2Jahre auf dem PC ist und zuletzt vor 4-5 Monaten benutzt wurde.
    Erst mal ab in Quarantäne und dann im Büro auch mal geguckt (ja, ich habe das Spielchen auch drauf..), auch ein Virus.
    Same procedure...
    Dann die Datei gezipt und um 11 Uhr an F-Secure geschickt, Antwort um 14:45 Uhr:

    Zitat

    The file you submitted is indeed clean. A database update will be released to resolve this issue.


    For the meantime, you may exclude this file from Real-time Scanning. We apologize for any inconveniences that this may have brought you.


    Deshalb darf mein Scanner auch nur Fragen und nicht einfach handeln!

  • Zitat von "Peter_Lehmann"

    Hi,


    Noch ein kleiner Hinweis:
    Besorge dir von einem c´t-lesenden Freund (besser: kaufe dir diese Ausgabe, wenn wieder einmal die DVD drin liegt ...) die aktuelle Knoppicillin-DVD. Das ist ein von DVD bootendes Linux mit der einzigen Aufgabe, den Rechner hintereinander mit mehreren aktuellen Virenscannern zu scannen. Dazu holen sich die Programme automatisch (wenn Internet über Router + DHCP) die aktuellen Virensignaturen aus dem Netz.
    MfG Peter


    Hallo,
    das hört sich ja gut an mit der c`t - DVD. Werde ich mal drauf achten.
    Vielen Dank nochmal. Das war schnelle Hilfe :D