Thunderbird und Avira -> Eicar Virus wird nicht gefunden

  • Hi,


    ich habe Thunderbird 2.0.0.14 und Avira Antivir Personal 8.1.00.296 installiert,
    in TB die Option der Virenscannung in der Temp-Datei aktiviert und in
    Antivir das Profilverzeichnis ausgeschlossen wie hier beschrieben.


    Das Problem ist: wenn ich mir über heise.de eine Mail mit der Eicar Signatur zusenden lasse,
    wird die Mail ganz normal abgerufen und der Anhang bleibt erhalten.
    Erst beim Doppelklick auf die Datei springt Antivir an, dies passiert aber auch
    wenn ich die Virenprüfoption im TB deaktiviere,
    sie scheint also nciht zu funktionieren, hat da jemand ne Idee ?


    Danke und Gruß


    Roland

  • "AnonymousUser" schrieb:

    Erst beim Doppelklick auf die Datei springt Antivir an, dies passiert aber auch wenn ich die Virenprüfoption im TB deaktiviere, sie scheint also nciht zu funktionieren, ...


    Hi Roland,


    und willkommen im Forum!
    Das sehe ich etwas anders ... .
    Zuerst einmal finde ich es total gut, dass du deinen Virenschutz auf diese Art testest. Wenn das mal alle machen würden ... .
    Dass der on-access-Scanner den "Virus" weder beim Download noch beim Schreiben des "Schadcodes" in codierter Form in die mbox-Datei nicht findet, ist völlig in Ordnung. Du hast ja vernünftigerweise dem Scanner das Scannen des TB-Profils verboten. (Wenn du das nicht gemacht hättest, dann würde ein falsch konfigurierter Scanner [Reaktion:=> Löschen] gleich die ganze Datei mit sämtlichen Mails ins Jenseits befördern ... .)
    Wenn du die eicar.com dann startest, dann erkennt der Scanner den "Virus" ordnungsgemäß.


    Im Endeffekt hast du den "Virus" jetzt in deiner mbox-Datei gespeichert. Dort würde er auch bei einem Scan dieser Datei gefunden werden. Das kannst du auch problemlos machen, aber niemals (!!!) dem Scanner das Löschen oder "desinfizieren" gestatten. Das kann und wird mit gewisser Sicherheit zur Zerstörung der mbox-Datei führen. Zumindest macht die Rettung viel Arbeit.
    Aber: allein dass jetzt ein Virus auf deinem Rechner gespeichert ist, bedeutet keinerlei Gefahr! Du darfst ihn eben nicht starten. Und selbst wenn, springt ja der Scanner an.


    Und wie bekommst du ihn (den Virus) wieder weg?
    - die infizierte Mail löschen
    - den Papierkorb leeren
    - zumindest den Posteingang und den Papierkorb (besser alle Ordner) komprimieren.
    - und weg ist er.


    Bei einem echten Virus kannst du unter Beachtung der obigen Warnung (!) das Profil mit 1-2 guten und aktuellen Scannern scannen lassen, um sicher zu gehen.

    Es gibt Virenscanner, welche es gestatten, den eingehenden Traffic zu scannen. Das nennt sich "Überwachung des ein- und/oder ausgehenden Mailverkehrs" oder so ähnlich. Hier wird der Datenstrom VOR dem Schreiben in die mbox-Datei in den temp-Ordner geschrieben und gescannt. Das bietet lediglich den Vorteil, dass der Schadcode nicht erst in die mbox geschrieben wird und nicht manuell entfernt werden muss. Aber: das führt, besonders bei größeren Mailanhängen, immer wieder zu anderen Problemen (timeout usw.). Zumindest beim ausgehenden Traffic sollte man das untersagen. Ein verantwortungsbewusster Mensch scannt ja Anhänge so wie so noch einmal mit einem aktuellen Scanner, bevor er sie verschickt. Und der on-access-Scanner macht es ja ebenso.


    Du sollst auch wissen, dass (lt. Aussage vieler AV-Produzenten) der on-access-Scanner oftmals nicht ganz so gute Ergebnise zeigt, wie der on-demand-Scanner des gleichen Herstellers. Also das "bewusste Scannen".
    Aus diesem Grunde empfehle ich immer wieder, einen Anhang erst abzuspeichern, dort zu scannen und erst dann zu öffnen. Also niemals einen Anhang direkt aus einem Mailprogramm zu starten. Aber das glaubt mir eh niemand - oder zumindest nur diejenigen, die einmal deswegen reingefallen sind. Die Menschen sind halt (zu) bequem ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    danke für die ausführliche Antwort, einer Frage bleibt aber für mich offen:


    - welche Funktion hat dann die Option "Antivirus-Software ermöglichen,
    eingehende Nachrichten und Quarantäne zu stellen" ? Ich kann / konnte
    dort keine Verhaltensänderung des Scanners feststellen.


    - noch was: warum den Ordner nach dem Löschen der Datei komprimieren ?


    Gruß Roland

  • Nun, auch da eine Antwort:


    Deine erste Frage habe ich doch beantwortet ... .
    Und zu deiner zweiten Frage empfehle ich dir dringlich unsere => Dokumentation :-)
    Du kannst auch beide Fragen ("Antivirus-Software ermöglichen,
    eingehende Nachrichten" und "komprimieren") in unsere Forensuche eingeben. Ich will dir nur so viel verraten: komprimieren hat nichts mit zip & Co. zu tun!


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    also aus meiner Sicht ist die erste Frage nicht beantwortet.
    Die Forensuche ergab einen Thread mit dem Titel:
    "Antivirus-Software ermöglichen, ... wie geht das richtig"
    der aber leider auch damit endet, dass dem User keiner erklären kann, WAS diese
    Option bewirkt denn ob an oder aus, auch bei ihm ändert sich am Verhalten von TB nichts.


    Ich verstehe dass du meinst es geht ja auch so, aber meine Frage ist wozu dann die Option,
    wenn sie doch nichts verändert ?


    Gruß Roland

  • Hallo Roland,


    also, wenn der Virenscanner auch dann nicht anspringt, wenn du die Option "Antivirus-Software ermöglichen eingehende Nachrichten unter Quarantäne zu stellen" aktivierst, ist da was faul. Das passiert eigentlich nur, wenn du (vielleicht aus einem anderen Grund) auch den Temp-Ordner aus der Überwachung genommen hast. Ist die Option aktiviert, wird die Mail erst dorthin gepackt und nicht gleich in den Mailordner - so hat die Antivirus-Software die Möglichkeit die empfangene Mail (newmsg-x) zu scannen und ggf. zu beanstanden. Prüfe daher noch mal die Ausschlüsse - evtl. ist der %Temp%-Ordner ja darunter.


    schöne Grüße


    Toolman

    aktuellste TB-Version. ESET Smart Security, Windows 10 Pro

  • Hallo Toolman,


    das habe ich gemacht, da ist sonst nichts drin,
    es gibt hier im Forum ja auch noch jemanden der das gleiche Problem hat,
    aber wie ich per PM erfahren habe leider auch immer noch keine Lösung.


    Wäre schön wenn jemand der auch die Kombination mit Avira nutzt
    mal genau schildern könnte, wie GENAU diese Option im TB das
    Verhalten von Avira beeinflusst.


    Danke & Gruß Roland

  • Hallo Roland,


    ich habe, als ich die Anleitung für Avira gemacht habe, genau dieses Verhalten untersucht. Starte doch einfach mal den Explorer und wechsel in den %temp% ordner... z.B. über Start>Ausführen>>


    Code
    1. Explorer %temp%


    lasse das Fenster dann einfach offen (ggf. dort erst mal aufräumen wegen der Übersicht). Schicke dir dann eine Mail - und rufe diese dann ab. Bei aktivierter AV-Option sollte zumindest kurzzeitig die newmsg-x - Datei dort auftauchen. Springt der Virenscanner nicht an, kopiere den Virus aus der Mail nach %temp%. Springt der Virenscanner auch dann nicht an, funktioniert die Ordnerüberwachung des Antivirusprogramms nicht (evtl. ist diese ja deaktiviert) oder aber der Ordner ist innerhalb der Ausschlüsse. Was passiert denn, wenn du den Virus in einen beliebigen anderen Ordner kopierst? Der Virenscanner müsste in jedem Fall dann anspringen. Siehe dazu auch mal bei mir auf der Seite in der Anleitung.


    speziell hier gehe ich noch mal auf die genaue Funktion ein:
    http://agsm.de/forum/viewtopic.php?t=33


    Die Anleitung für Avira habe ich hier - dort steht allerdings nicht, was die Option in Tb genau bewirkt.
    http://agsm.de/forum/viewtopic.php?f=14&t=44


    schöne Grüße


    Toolman

    aktuellste TB-Version. ESET Smart Security, Windows 10 Pro

  • Hallo Toolman,


    habe leider erst jetzt Zeit gehabt mich wieder darum zu kümmern.


    ich habe das ganze mal wie von dir beschrieben probiert:


    Also in mehreren Versuchen kann ich das Auftreten der temp-Datei im Temp-Dir nicht feststellen.


    Zu Avira: Ich ahbe die Zeichenkette für Eicar in einer Datei gespeichert, dabei, also beim Zugriff auf die Datei,
    meckert Avira. Sage ich dann ignorieren, dann liegt meine Eicar Datei auf der Platte. Explorer wieder zu.
    Nun gehe ich mit dem Exlporer ins Tempverzeichnis, es passiert aber nichts erst wenn ich die Datei anklicke,
    dann springt Avira an. Es scheint also die von dir angesprochene Ordnerüberwachung nicht zu funktionieren,
    aber wo genau geht dieses Feature an und aus ?


    Danke schon mal für die Hilfe & Gruß


    Roland

  • Hallo Roland,


    schau doch einfach mal in den Links meines letzten Postings... dort ist auch die Konfiguration für Avira beschrieben. Mittlerweile gibt es zwar schon eine aktuellere Version, aber so viel Unterschiede wird es dort wohl nicht geben. Evtl. erstelle ich für die aktuelle Version mal ein paar neuere Screenshots (Kaspersky hat ja auch schon länger eine neuere Version - da werde ich das bei Gelegenheit auch noch machen).


    Ach ja, in der Vergangenheit konnte man erst ab Windows 2000 die Ordnerüberwachung in Avira konfigurieren - wenn du also noch Win9x als Betriebssystem verwendest, kannst du die Ordnerüberwachung in Avira nicht konfigurieren.


    schöne Grüße


    Toolman

    aktuellste TB-Version. ESET Smart Security, Windows 10 Pro

  • Hallo,


    nur ganz kurz:
    Hier - Win XP - neueste Avira AntiVir Version und Thunderbird funktioniert ordnungsgemäß. Sprich es sollte also allgemein gehen.
    (Temp-Ordner werden erfolgreich gescannt / nur eben das Profil [und dessen Inhalt] nicht! ~ logisch?!)
    Außer dem Haken unter Anti-Virus fällt mir bei TB nichts ein.


    IMHO solltest Du auch mal Deine Einstellungen bei Avira überprüfen!


    MfG ... Vic

  • @Vic und Toolman


    diese Standard-Hinweise wie "schau mal in Tut xy" oder "bei mir gehts, prüf mal deine einstellungen" bringen mich
    leider nicht viel weiter. Ich habe das Tut gelesen, warum kann man nicht einfach die Frage beantworten, wo ich die Ordnerüberwachung explizit an und aus schalte? Das OS ist übringens WinXP, es sollte demnach also gehen.


    Nachtrag:
    Test mit einem zweiten PC schlägt ebenso fehl.
    Daher meine Bitte: geht mal auf
    http://www.heise.de/security/d…demos/go.shtml?mail=eicar
    und lasst euch die Eicar Datei zusenden und sagt mir, WANN dann genau Avira anspringt, Danke!


    Gruß Roland

  • "AnonymousUser" schrieb:

    ... warum kann man nicht einfach die Frage beantworten, wo ich die Ordnerüberwachung explizit an und aus schalte ...


    Hallo Roland,


    nun *nicht* aus Bosheit, Arroganz etc. ... sondern, weil es im Grunde recht simpel sein sollte UND weil ich [zumindest - mir fehlt die Zeit!] unmöglich die detaillierten Einstellungen aus TB und AntiVir hier alle posten kann. :eek:


    Ich habe (hatte es schon vor langem öfters) mir erneut den *eicar*-Testvirus schicken lassen.


    Bei allen meinen e-mail-Clients {auch bei TB} wird sofort mit dem Erhalt der mail der Avira - Guard aktiv und meldet einen Fund.
    ( ... Hakerl bei: Lesen & Schreiben-Einstellung b. Avira | Anti-Virus-Software ermöglichen,eingehende Nachrichten ... b. TB!)


    Spätestens beim 'Öffnen' der mail muß AntiVir anspringen!
    IMCO ist Malware im Posteingang bei Thunderbird *zunächst* mal nicht problematisch, da sie dort nicht aktiv werden kann - außer in HTML-mails {versteckte Inframes, Java-Skript ...} da ist ALLEM Tür & Tor geöffnet!
    Daher logischerweise CAVE! ;)


    Überlege / überprüfe mal folgendes: Wie gehts Du ins Internet? Besteht eine Routerfirewall | -AV-Software? Entfernt evtl. Dein Provider schon Malware (oder benennt sie um; macht sie unschädlich ...)? Nutzt Du einen Proxy? Ist bei AntiVir TB etwa *insgesamt* als Ausnahme eingetragen? ...


    greetings ... Vic

  • Zitat


    Mittlerweile gibt es zwar schon eine aktuellere Version, aber so viel Unterschiede wird es dort wohl nicht geben. Evtl. erstelle ich für die aktuelle Version mal ein paar neuere Screenshots (...)
    schöne Grüße
    Toolman


    Bei der aktuellen AntiVir Personal (Gratis-) Version sieht der Bildschirm etwas anders aus als in deiner schönen bebilderten Konfigurations-Anleitung:


    Beim Ausschließen der Dateierweiterungen (Scanner/Suche) zum Löschen der -INI Dateien gibt es jetzt fünf statt drei Einstellungsmöglichkeiten (detailliertere Beschreibungen per Mauszeiger abrufbar):
    - Bootsektor Suchlaufwerke
    - Masterbootsektoren durchsuchen
    - Offline Dateien ignorieren
    - Symbolischen Verknüpfungen folgen
    - Rootkit-Suche bei Suchstart


    standardmäßig ist bei den ersten dreien ein Häkchen - Änderung erforderlich?


    Außerdem ist standardmäßig ein Häkchen bei "Stoppen zulassen" und die
    Scanner-Priorität ist auf "mittel" voreingestellt - so lassen?