Kasperski meldet Trojaner - aber wie finden?

  • Hallo zusammen,


    ich habe ein - für mich zumindest - etwas seltsames Problem.
    Habe dieser Tage online den Kasperski Virenscanner über den PC meines Mannes laufen lassen und dieser hat etliche Trojaner gefunden. Daraufhin wollte ich die Testversion installieren um den "Müll" zu beseitigen, jedoch hieß es: Ich solle andere Virenprogramme etc. vorher entfernen. Jedoch werde ich weder meinen Virenscanner noch meine Firewall entfernen nur um eine Testversion zu installieren.
    Das ist aber nicht das eigentliche Problem. Das Problem ist folgendes:


    Gefunden wurden die Viren u. a. hier:
    C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Thunderbird\Profiles\xq1vvszj.Standard-Benutzer\Mail\mx.freenet-1.de\Inbox/[From service@chase.com][Date 20 Dec 2005 11:20:42][Subj WARNING: Confirm Your Chase OnlineSM]/html


    Das ganze 15mal. So wollte ich dann die betreffenden Mails einfach löschen, denn im TB sind sie nicht mehr vorhanden. Wenn ich jedoch unter C:\Dokumente und Einstellungen....... suche, komme ich bis "....Standard-Benutzer" und dann kommt nichts mehr.
    Im Explorer ist "Alle Dateien anzeigen" aktiviert, jedoch finde ich diese Eintragungen nicht.


    Kann mir jemand weiterhelfen? Es besteht zwar keine akute Bedrohung durch die 15 gefundenen Meldungen, jedoch möchte ich sie gerne weg haben.
    Bin für jede Antwort dankbar.


    Lieben Gruß
    Tina

  • guten Morgen Tina!


    Es ist üblich, dass wenn ein neuer Virenscanner installiert werden soll, ob Demo oder nicht, alle andern zu entfernen sind, weil die mitunter einander in die Quere kommen können und sich gegenseitig dann beschuldigen, Viren zu sein.


    Dazu sollte ein Profilverzeichnis nie von einem Virenscanner verändert werden dürfen, da die Gefahr von Daten- und Mailverlust dann sehr groß ist.


    Ich kann ja beim Virenscanner einstellen, dass die Mails, bevor sie in die Inbox geschrieben werden, abgescannt werden und so verseuchte Mails erst gar nicht in der Inbox landen,
    Hast Du in der Inbox noch Mails, die Du auch aufbewahren willst, sonst würde ich die Datei Inbox entweder völlig löschen oder das Konto komprimieren. Damit sollten dann auch die Trojaner verschwunden sein, naja zumindest keine Fehlermeldungen mehr auftauchen, Übrigens werden beim Komprimieren nur Mails entsorgt, die ohnehin schon durch Löschen nicht entfernt, aber zum Löschen markiert wurden. Durchs Komprimieren werden sie endgültig entfernt.
    Allerdings würde ich bei 14 Trojanern eine Neuaufsetzung des Rechners ernsthaft in Erwägung ziehen, denn ob und welche Schäden die anrichten können, ohne dass man dessen gewahr wird, weiß man nie.


    Und in Zukunft, wenn nicht unbedingt nötig, keine HTML-Mails mehr zulassen, bzw. sie ausschließlich in Reintext anzeigen zu lassen, das verhindert dann auf jeden Fall die Ausführung von Schadcodes, was in Thunderbird vielleicht nicht unmittelbar gefährlich ist, weil der Vogel da sowieso recht vorsichtig damit umgeht, aber das Sicherheitsrisiko von HTml-mAILS wäre mir sowieso zu groß, nur um vielleicht die Mails etwas bunter gestalten zu können.

  • Hi,


    zuerst einmal:
    Wenn du zulässt, dass ein Virenscanner auf dein Mailprofil zugreift und dort eine befallene Datei löscht oder "desinfiziert", dann löscht er im Falle eines Treffers eine komplette mbox-Datei, also einen ganzen Mailordner. Und da es Leute gibt, die keine Unterordner anlegen und alle ihre jemals angekommenen Mails im Posteingang horten, ist der Schaden und das Geschrei vorprogrammiert! Und da viele Virenscanner nicht nur einfach löschen, sondern die befallene Datei mehrfach überschreiben ("shreddern"), ist auch jeder Versuch einer Wiederherstellung vergeblich oder zumindest extrem teuer.


    Und:
    Eine Infektion befindet sich immer in einem Dateianhang, niemals im reinen Mailtext. (Zumindest ist das ggw. noch so.)
     
    Du solltest also garantieren, dass der Scanner nur meldet, und niemals schreibenden Zugriff erhält!!!



    Einzige Lösung zum Entfernen der infizierten Datei aus dem Mailverzeichnis:
    Zuerst einmal benötigt der Nutzer volle Zugriffsrechte für den gesamten Rechner (=> Admin).
    In der Ansicht (Eingangsliste) anzeigen lassen, welche Mail mit einem Anhang versehen ist. (=> Klammer)
    Jetzt Stück für Stück diese Mails öffnen und den Anhang abspeichern. Ein on-access-Scanner ("Virenwächter") müsste im Fall einer Infektion bereits beim Speichen anschlagen. Dann diese Mail löschen und (ganz wichtig!!) diesen Mailordner komprimieren. Erst dann werden die als gelöscht markierten Mails wirklich physich entfernt!
    (Bei dieser Gelegenheit: Vielleicht wurden die infizierten Mails ja bereits gelöscht und es wurde nur noch nicht komprimiert?!?!?)
    Auf diese Weise musst du dann eben Mail für Mail durchgehen. Sicherheitshalber scannst du dann zum Schluss noch einmal den kompletten Ordner mit den gespeicherten Anhängen.


    Das wars "dann schon".



    Und noch einmal (und immer wieder):
    Mailanhänge gehören nicht aus dem Mailprogramm geöffnet, sondern abgelöst (extern gespeichert), gescannt und erst dann geöffnet! Die derzeitigen on-access-Scanner haben nicht unbedingt die gleiche Erkennungsleistung, wie die on-demand-Scanner, man sollte sich also darauf nicht verlassen!
    Aber da das immer etwas "Mühe" macht, glauben mir das immer nur diejenigen, die mit ihrer Vorgehensweise erst einmal so richtig auf die Sch***** gefallen sind.
    Außerdem hättest du im vorliegenden Fall den Virenbefall sofort bemerkt und müsstest jetzt nicht erst suchen ... .


    Zu mehreren Virenscannern auf einem Rechner:
    Es ist nicht unüblich (zum Bsp. in Sicherheitsbereichen) und auch keinesfalls "verboten", auf einem und dem selben Rechner mehrere AV-Programme gleichzeitig zu installieren. Es muss nur garantiert sein, dass niemals mehr als ein "Virenwächter" aktiv ist!
    Wenn die anderen AV-Programme lediglich als reine on-demand-Scanner konfiguriert sind, sind sie nicht aktiv und werden eben nur als ein ganz normales Programm erkannt und gescannt. In ganz seltenen Fällen werden die Virensignaturen des jeweils anderen Programmes als "Viren" erkannt. Dann sollte man den zweiten Scanner entfernen. Das kommt aber heutzutage sehr selten vor, da die Hersteller ihre Signaturdatenbank normalerweise verschlüsseln - um genau dieses zu vermeiden.


    Der Königsweg beim Verdacht auf Infektion: Das Scannen mit einer Knoppicillin-Boot-CD! Da sind mehrere (bis zu 3) Scanner drauf, die sich vor dem Scannen automatisch aktualisieren und (das ist das Wichtigste) das Betriebssystem des Rechners ist dabei nicht gestartet und ein Virus kann sich nicht so gut verstecken.


    Und: Für mich gilt auch die Regel, die rothaut angesprochen hat: Ein einmal befallener Rechner gehört neu aufgesetzt. Basta!


    Genug zum Thema ... .



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    beim Lesen dieses Threads ist mir, da beim TE eine Sicherheitssoftware installiert ist, spontan eingefallen, dass man mittels Online-Scan ja auch einen User manipulieren könnte - man findet etwas (was vielleicht gar nicht so vorhanden oder problematisch ist) und bietet seine eigene Software an. Oder bin ich diesbezüglich zu misstrauisch? :gruebel:

  • Hallo,


    erst einmal danke für Eure Antworten. Doch es ist so: Die Mails sind - wie man ja auch sehen kann - aus dem Jahre 2005. Anhänge wurden und werden niemals geöffnet (ausser es sind bekannte Anhänge oder Anhänge die erwartet wurden. Und die werden zuvor gescannt). D. h., die gefundenen Schädlinge lauern in den Anhängen. Und der PC meines Mannes wurde 2007 neu gekauft und (leider) das Profil vom Thunderbird auf den neuen PC umgezogen.
    Der Mailordner, in dem die "Trojaner" gefunden wurden ist LEER. Und der Online Virenscanner von Kasperski hat nur gescannt und nichts geschrieben oder gelöscht.
    Aber er meldet, dass diese "Trojaner" - wie ja anfangs schon geschrieben - in "C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Thunderbird\Profiles\xq1vvszj.Standard-Benutzer\Mail\mx.freenet-1.de\Inbox/[From service@chase.com][Date 20 Dec 2005 11:20:42][Subj WARNING: Confirm Your Chase OnlineSM]/html" sein sollen. Leider ist dieser Ordner aber auf dem gesamten PC meines Mannes nicht zu finden !!!! Und dies erschwert das Löschen dieser Mails.


    Also es geht einfach darum, den Ordner "Mail\.....\Inbox" zu finden. Und er muss doch irgendwo sein, sonst könnte der OnlineScanner dort keine Schädlinge finden.
    Kann mir hier keiner weiterhelfen?


    Gruß
    Tina

  • Schönen Nachmittag Peter!


    Es ist eigentlich immer so, dass wenn ich einen neuen Virenscanner installiere, der jammert, dass alle andern weg müssen. Und ich habe es eigentlich auch schon einmal erlebt, das ist zugegebenermaßen lange her, dass Antivir und Icarus, ohne Virenwächter sich einfach gegenseitig beschuldigt haben, dass die andere Exe ein Virus ist. Seitdem hab ich lieber nur immer einen Virenscanner gleichzeitig auf meinen Rechnern laufen.


    Bei Onlinescannern habe ich auch schon die Erfahrung gemacht, die Grabs Skepsis bestätigen, denn da bekam ich Aussagen wie, in etwa: Ja, Ihr rechner ist eigentlich in Ordnung, aber mit Sicherheit kann man das erst sagen, wenn sie xxx kaufen unsd installieren.

  • graba :
    Du hast mit deinen Bedenken generell nicht Unrecht.
    Es gibt zwei Methoden bei diesen Onlinescans: Zumindest bei der einen Methode werden aktive Inhalte vom Server geladen und auf deinem Rechner ausgeführt => gefällt mir nicht so recht.
    Die zweite Sache ist das Vertrauen in den Anbieter. Hier gehe ich einfach mal davon aus, dass man einem in Deutschland oder meinetwegen auch Europa ansässigen etablierten und bekannten Anbieter vertrauen darf (nicht muss!). Ich kann mir nicht vorstellen, dass dieser dir etwas unterschiebt. Zumindest nicht, wenn du anhand von zertifikatsgesicherten Verbindungen eindeutig erkennen kannst, dass es sich um diesen Anbieter handelt. Das kann sich hier keiner leisten, der am Markt bleiben will.
    (Ich schließe aber nicht aus, dass auch derartige Anbieter gezwungen werden könnten, von dieser Regel abzuweichen! Aber das trifft ja grundsätzlich für jede Art von Software zu, die du installierst. Es ist jetzt manches möglich, wovon wir früher nicht zu träumen wagten ... .)


    Zwei Vorteile hat so ein Onlinescan auch: Du hast immer die aktuellsten Signaturen - und selbst ein DAU kann damit umgehen ... .


    Trotzdem: Ich nutze diese Dienste nicht. Wenn ich schon ab und an mal meinen (Linux-)Rechner scanne (um meine Windows-Freunde zu schützen und mich selbst vor Peinlichkeiten zu bewahren :-) ), dann nehme ich die Knoppicillin-CD! Aber auch diese hat mit ihren drei Scannern noch nie etwas in meinen Dateien gefunden.


    Tina :
    Wieder grundsätzlich:
    Ein Virus, welcher sich in einer mbox-Datei befindet richtet keinerlei Schaden an! Gleiches trifft zu, wenn du infizierte Dateien auf deinem Rechner gespeichert hast. Erst wenn diese Datei geöffnet/gestartet wird, tritt der "gewünschte" Effekt ein.
    Der Mailordner ist leer. Dies könnte darauf hindeuten, dass die Mails wirklich schon gelöscht, und in den Papierkorb verschoben wurden. Wenn jetzt der geleehrte Papierkob und auch der Mailordner noch nie komprimiert wurden, sind diese Mails dort noch in vollem Umfang drin - nur nicht mehr sichtbar. Also komprimieren! Das schadet auch nichts, wenn das schon gemacht wurde. Komprimieren ist eine wichtige Hygienemaßnahme bei den mbox-Dateien.


    Angezeigt wird dir als Ort der infizierten Datei:
    "C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Thunderbird\Profiles\xq1vvszj.Standard-Benutzer\Mail\mx.freenet-1.de\Inbox"
    Wenn es den Benutzer xxxxx gibt, dann ist das auch exakt der Ort seines Posteinganges bei seinem freenet-Konto.
    Könnte es vielleicht sein, dass du in deinem Explorer eingestellt hast, dass er die so genannte versteckten Dateien nicht anzeigt? Oder: siehst du überhaupt den Ordner "C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\" ?
    Aber immer daran denken: die endungslose Datei ...\Inbox ist eine so genannte mbox-Datei und beinhaltet einen gesamten Mailordner. Wenn du diese Datei einfach löschst, löscht du alle Mails in diesem Ordner!


    Die gute Nachricht: Der nette Virenscanner sagt dir sogar, dass es sich im die Mail mit der Betreffzeile "WARNING: Confirm Your Chase OnlineSM" handelt, und diese mit Datum 20 Dec 2005 vom angeblichen Absender "service@chase.com" versandt wurde.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!