Kasperski meldet Trojaner - aber wie finden?

guten Morgen Tina!

Es ist üblich, dass wenn ein neuer Virenscanner installiert werden soll, ob Demo oder nicht, alle andern zu entfernen sind, weil die mitunter einander in die Quere kommen können und sich gegenseitig dann beschuldigen, Viren zu sein.

Dazu sollte ein Profilverzeichnis nie von einem Virenscanner verändert werden dürfen, da die Gefahr von Daten- und Mailverlust dann sehr groß ist.

Ich kann ja beim Virenscanner einstellen, dass die Mails, bevor sie in die Inbox geschrieben werden, abgescannt werden und so verseuchte Mails erst gar nicht in der Inbox landen,
Hast Du in der Inbox noch Mails, die Du auch aufbewahren willst, sonst würde ich die Datei Inbox entweder völlig löschen oder das Konto komprimieren. Damit sollten dann auch die Trojaner verschwunden sein, naja zumindest keine Fehlermeldungen mehr auftauchen, Übrigens werden beim Komprimieren nur Mails entsorgt, die ohnehin schon durch Löschen nicht entfernt, aber zum Löschen markiert wurden. Durchs Komprimieren werden sie endgültig entfernt.
Allerdings würde ich bei 14 Trojanern eine Neuaufsetzung des Rechners ernsthaft in Erwägung ziehen, denn ob und welche Schäden die anrichten können, ohne dass man dessen gewahr wird, weiß man nie.

Und in Zukunft, wenn nicht unbedingt nötig, keine HTML-Mails mehr zulassen, bzw. sie ausschließlich in Reintext anzeigen zu lassen, das verhindert dann auf jeden Fall die Ausführung von Schadcodes, was in Thunderbird vielleicht nicht unmittelbar gefährlich ist, weil der Vogel da sowieso recht vorsichtig damit umgeht, aber das Sicherheitsrisiko von HTml-mAILS wäre mir sowieso zu groß, nur um vielleicht die Mails etwas bunter gestalten zu können.

Hi,

zuerst einmal:
Wenn du zulässt, dass ein Virenscanner auf dein Mailprofil zugreift und dort eine befallene Datei löscht oder "desinfiziert", dann löscht er im Falle eines Treffers eine komplette mbox-Datei, also einen ganzen Mailordner. Und da es Leute gibt, die keine Unterordner anlegen und alle ihre jemals angekommenen Mails im Posteingang horten, ist der Schaden und das Geschrei vorprogrammiert! Und da viele Virenscanner nicht nur einfach löschen, sondern die befallene Datei mehrfach überschreiben ("shreddern"), ist auch jeder Versuch einer Wiederherstellung vergeblich oder zumindest extrem teuer.

Und:
Eine Infektion befindet sich immer in einem Dateianhang, niemals im reinen Mailtext. (Zumindest ist das ggw. noch so.)

Du solltest also garantieren, dass der Scanner nur meldet, und niemals schreibenden Zugriff erhält!!!

Einzige Lösung zum Entfernen der infizierten Datei aus dem Mailverzeichnis:
Zuerst einmal benötigt der Nutzer volle Zugriffsrechte für den gesamten Rechner (=> Admin).
In der Ansicht (Eingangsliste) anzeigen lassen, welche Mail mit einem Anhang versehen ist. (=> Klammer)
Jetzt Stück für Stück diese Mails öffnen und den Anhang abspeichern. Ein on-access-Scanner ("Virenwächter") müsste im Fall einer Infektion bereits beim Speichen anschlagen. Dann diese Mail löschen und (ganz wichtig!!) diesen Mailordner komprimieren. Erst dann werden die als gelöscht markierten Mails wirklich physich entfernt!
(Bei dieser Gelegenheit: Vielleicht wurden die infizierten Mails ja bereits gelöscht und es wurde nur noch nicht komprimiert?!?!?)
Auf diese Weise musst du dann eben Mail für Mail durchgehen. Sicherheitshalber scannst du dann zum Schluss noch einmal den kompletten Ordner mit den gespeicherten Anhängen.

Das wars "dann schon".

Und noch einmal (und immer wieder):
Mailanhänge gehören nicht aus dem Mailprogramm geöffnet, sondern abgelöst (extern gespeichert), gescannt und erst dann geöffnet! Die derzeitigen on-access-Scanner haben nicht unbedingt die gleiche Erkennungsleistung, wie die on-demand-Scanner, man sollte sich also darauf nicht verlassen!
Aber da das immer etwas "Mühe" macht, glauben mir das immer nur diejenigen, die mit ihrer Vorgehensweise erst einmal so richtig auf die Sch***** gefallen sind.
Außerdem hättest du im vorliegenden Fall den Virenbefall sofort bemerkt und müsstest jetzt nicht erst suchen ... .

Zu mehreren Virenscannern auf einem Rechner:
Es ist nicht unüblich (zum Bsp. in Sicherheitsbereichen) und auch keinesfalls "verboten", auf einem und dem selben Rechner mehrere AV-Programme gleichzeitig zu installieren. Es muss nur garantiert sein, dass niemals mehr als ein "Virenwächter" aktiv ist!
Wenn die anderen AV-Programme lediglich als reine on-demand-Scanner konfiguriert sind, sind sie nicht aktiv und werden eben nur als ein ganz normales Programm erkannt und gescannt. In ganz seltenen Fällen werden die Virensignaturen des jeweils anderen Programmes als "Viren" erkannt. Dann sollte man den zweiten Scanner entfernen. Das kommt aber heutzutage sehr selten vor, da die Hersteller ihre Signaturdatenbank normalerweise verschlüsseln - um genau dieses zu vermeiden.

Der Königsweg beim Verdacht auf Infektion: Das Scannen mit einer Knoppicillin-Boot-CD! Da sind mehrere (bis zu 3) Scanner drauf, die sich vor dem Scannen automatisch aktualisieren und (das ist das Wichtigste) das Betriebssystem des Rechners ist dabei nicht gestartet und ein Virus kann sich nicht so gut verstecken.

Und: Für mich gilt auch die Regel, die rothaut angesprochen hat: Ein einmal befallener Rechner gehört neu aufgesetzt. Basta!

Genug zum Thema ... .

MfG Peter

Hallo Peter,

beim Lesen dieses Threads ist mir, da beim TE eine Sicherheitssoftware installiert ist, spontan eingefallen, dass man mittels Online-Scan ja auch einen User manipulieren könnte - man findet etwas (was vielleicht gar nicht so vorhanden oder problematisch ist) und bietet seine eigene Software an. Oder bin ich diesbezüglich zu misstrauisch? :gruebel:

Schönen Nachmittag Peter!

Es ist eigentlich immer so, dass wenn ich einen neuen Virenscanner installiere, der jammert, dass alle andern weg müssen. Und ich habe es eigentlich auch schon einmal erlebt, das ist zugegebenermaßen lange her, dass Antivir und Icarus, ohne Virenwächter sich einfach gegenseitig beschuldigt haben, dass die andere Exe ein Virus ist. Seitdem hab ich lieber nur immer einen Virenscanner gleichzeitig auf meinen Rechnern laufen.

Bei Onlinescannern habe ich auch schon die Erfahrung gemacht, die Grabs Skepsis bestätigen, denn da bekam ich Aussagen wie, in etwa: Ja, Ihr rechner ist eigentlich in Ordnung, aber mit Sicherheit kann man das erst sagen, wenn sie xxx kaufen unsd installieren.

Hallo,

Zitat von "sonnenschein112002"

Leider ist dieser Ordner aber auf dem gesamten PC meines Mannes nicht zu finden !!!! Und dies erschwert das Löschen dieser Mails.

vielleicht hilft es, versteckte Ordner sichtbar zu machen:
http://freenet-homepage.de/rene-gad/invisible.html

graba:
Du hast mit deinen Bedenken generell nicht Unrecht.
Es gibt zwei Methoden bei diesen Onlinescans: Zumindest bei der einen Methode werden aktive Inhalte vom Server geladen und auf deinem Rechner ausgeführt => gefällt mir nicht so recht.
Die zweite Sache ist das Vertrauen in den Anbieter. Hier gehe ich einfach mal davon aus, dass man einem in Deutschland oder meinetwegen auch Europa ansässigen etablierten und bekannten Anbieter vertrauen darf (nicht muss!). Ich kann mir nicht vorstellen, dass dieser dir etwas unterschiebt. Zumindest nicht, wenn du anhand von zertifikatsgesicherten Verbindungen eindeutig erkennen kannst, dass es sich um diesen Anbieter handelt. Das kann sich hier keiner leisten, der am Markt bleiben will.
(Ich schließe aber nicht aus, dass auch derartige Anbieter gezwungen werden könnten, von dieser Regel abzuweichen! Aber das trifft ja grundsätzlich für jede Art von Software zu, die du installierst. Es ist jetzt manches möglich, wovon wir früher nicht zu träumen wagten ... .)

Zwei Vorteile hat so ein Onlinescan auch: Du hast immer die aktuellsten Signaturen - und selbst ein DAU kann damit umgehen ... .

Trotzdem: Ich nutze diese Dienste nicht. Wenn ich schon ab und an mal meinen (Linux-)Rechner scanne (um meine Windows-Freunde zu schützen und mich selbst vor Peinlichkeiten zu bewahren ), dann nehme ich die Knoppicillin-CD! Aber auch diese hat mit ihren drei Scannern noch nie etwas in meinen Dateien gefunden.

@Tina:
Wieder grundsätzlich:
Ein Virus, welcher sich in einer mbox-Datei befindet richtet keinerlei Schaden an! Gleiches trifft zu, wenn du infizierte Dateien auf deinem Rechner gespeichert hast. Erst wenn diese Datei geöffnet/gestartet wird, tritt der "gewünschte" Effekt ein.
Der Mailordner ist leer. Dies könnte darauf hindeuten, dass die Mails wirklich schon gelöscht, und in den Papierkorb verschoben wurden. Wenn jetzt der geleehrte Papierkob und auch der Mailordner noch nie komprimiert wurden, sind diese Mails dort noch in vollem Umfang drin - nur nicht mehr sichtbar. Also komprimieren! Das schadet auch nichts, wenn das schon gemacht wurde. Komprimieren ist eine wichtige Hygienemaßnahme bei den mbox-Dateien.

Angezeigt wird dir als Ort der infizierten Datei:
"C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Thunderbird\Profiles\xq1vvszj.Standard-Benutzer\Mail\mx.freenet-1.de\Inbox"
Wenn es den Benutzer xxxxx gibt, dann ist das auch exakt der Ort seines Posteinganges bei seinem freenet-Konto.
Könnte es vielleicht sein, dass du in deinem Explorer eingestellt hast, dass er die so genannte versteckten Dateien nicht anzeigt? Oder: siehst du überhaupt den Ordner "C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\" ?
Aber immer daran denken: die endungslose Datei ...\Inbox ist eine so genannte mbox-Datei und beinhaltet einen gesamten Mailordner. Wenn du diese Datei einfach löschst, löscht du alle Mails in diesem Ordner!

Die gute Nachricht: Der nette Virenscanner sagt dir sogar, dass es sich im die Mail mit der Betreffzeile "WARNING: Confirm Your Chase OnlineSM" handelt, und diese mit Datum 20 Dec 2005 vom angeblichen Absender "service@chase.com" versandt wurde.

MfG Peter