Trojaner: TR/Dropper:MSIL.128219

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version: 31.5.0
    * Betriebssystem + Version: Windows 7
    * Kontenart (POP / IMAP):
    * Postfachanbieter (z.B. GMX): web.de
    * Antivirus-Software: AVAST


    Der AVIRA EU-Cleaner Scan bringt einen Trojaner zum Vorschein.
    In der Inbox: TR/Dropper.MSIL.128219. Wie kann der entfernt werden?


    Mit den Cleaner Werkzeug läßt er sich nicht löschen, habe auch den Posteingangs- und den Papierkorb komprimiert und gelöscht. Der wiederholte Scan zeigt ihn immer noch als vorhanden an.
    Hier ist der Cleaner Report:


    Einmal editiert, zuletzt von graba () aus folgendem Grund: Code-Tags gesetzt

  • Guten Tag wif15,
    und willkommen im Forum!
    (<= Ja, so viel Zeit nehmen wir uns hier!)


    Du solltest froh sein, dass sich die befallene Datei nicht mit dem Cleaner-Werkzeug hat löschen lassen!
    Diese Datei ist nämlich deine INBOX, also dein gesamter Posteingang. Und AV-Scanner löschen richtig, indem sie die Datei "shreddern", also mehrfach überschreiben.
    Du solltest unbedingt dafür sorgen, dass der AV-Scanner niemals Schreibzugriff auf dein TB-Userprofil bekommt. Am besten, dieses überhaupt nicht von diesem Programm berühren lassen.
    (Näheres in unserem "alten Wiki" und in vielen Forenbeiträgen => Suchfunktion.)


    Wichtig ist die Antwort auf die Frage, ob der mit Schadcode befallene Dateianhang bereits gestartet wurde, oder noch nicht. Wurde er gestartet, kannst du deinen Rechner als infiziert betrachten. In diesem Fall solltest du auf Reparaturversuche verzichten und das System neu aufsetzen. So viel sollte dir die Integrität deines Rechners wert sein.


    Wie gehts weiter:
    1.) die betreffende Mail mit dem befallenen Anhang löschen.
    2.) den Papierkorb leeren
    3.) sämtliche Ordner, in denen diese Mail jemals gespeichert war (also zumindest der Posteingang und der Papierkorb, besser gleich alle) komprimieren.


    Wenn du das richtig gemacht hast, und der Anhang nie geöffnet wurde (!!), dürfte das Problem beseitigt sein.
    Ich empfehle dringlich, jetzt deinen gesamten Rechner von einer bootfähigen DVD (desinfec´t von Heise) zu booten und mit allen vier AV-Scannern untersuchen zu lassen. Erst dann kannst du recht sicher sein, dass keine Infektion vorliegt. Das Ergebnis eines Scans durch einen auf dem gestarteten Betriebssystem (Win) laufenden AV-Scanner kannst du vergessen. Moderne Schadsoftware ist locker in der Lage, sich in diesem Fall vor dem Scanner zu verstekcen bzw, diesen sogar zu blenden.


    Du solltest dir angewöhnen:
    1.) Wie oben schon geschrieben, dein TB-Userprofil von der Überwachung durch den Scanner auszunehmen. Der Scan des Traffics zum Posteingangsserver ist zulässig.
    2.) Einen erhaltenen Dateianhang erst in einen Downloadordner abzuspeichern, dann dort bewusst zu scannen und erst dann dort vor Ort zu öffnen.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo,


    Peter hat ja schon vieles ge-/beschrieben. Ich möchte diesen einen Punkt verdeutlichen:

    Zitat

    1.) die betreffende Mail mit dem befallenen Anhang löschen.


    Die E-Mail findest du in deinem Posteingang.
    Sie hat den Betreff "Offene Rechnung: Nummer 17209105"
    Vom Absender: "Abrechnung Online Pay AG"
    und mindestens drei Anhänge.


    Grüße, Ulrich

  • Hallo,


    vielen Dank für die Tipps. Ich habe die Posteingangsordner bereits mehrfach komprimiert und gelöscht.
    Trotzdem findet der Avira EU-Cloaner immer noch den Trojaner und ich weiß nicht, wo er sich versteckt haben könnte.

  • Hallo,


    das könnte daran liegen, dass es du in einem anderen Posteingang löscht, als der Scanner den Trojaner findet.
    Mit Rechtsklick auf den Posteingang => "Eigenschaften" findest du unter "Adresse" der Pfad, wo der Posteingeang gespeichert ist. Da steht entweder
    "mailbox:///<Der Pfad>"
    oder
    "imap://<...>"
    vergleiche mal den Pfad mit dem Pfad der Mailbox in der dein Scanner den Trojaner findet (L:\Daten\PC\Thunderbird\Profil 20.01.12\1j1t9629.default\Mail\pop3.web-4.de\Inbox)


    Was steht bei dir in den Posteingangseigenschaften unter "Adresse"?


    Grüße, Ulrich

  • Hallo,


    ich habe die Nachricht mit den kryptischen Zeichen und Ziffern in der Inbox aufgespürt:


    Kann ich das alles markieren und löschen ??


    Ist da überhaupt der Trojaner drin? Oder erst in den sich anschließenden Symbolen ??


    Edit: Ich habe E-Mail-Adressen und Namen anonymisiert.  S-Mod. graba

    Einmal editiert, zuletzt von graba ()

  • Anonymisiere bitte mal ganz schnell deine Mailadresse und weitere persönliche Daten!


    Mod. Pe_Le

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • So, und jetzt die Antwort auf deine Frage:


    Du musst mit dem Thunderbird aus dem Ordner (das ist die mbox-Datei, in welcher du diesen Quelltext gefunden hast) die betreffende E-Mail löschen. Falls du diese E-Mail in keinem deiner "Mailordner" mehr siehst, dann ist diese bereits gelöscht. Aber bitte vorher in allen Ordnern prüfen, in denen diese Mail mal gelegen haben kann. Also der Posteingang und alle Ordner, in welche du vlt. deine Mails verschiebst. Und natürlich auch den Papierkorb nicht vergessen.


    Wie du ja sicherlich weißt, wird beim Löschen nichts gelöscht, sondern lediglich als gelöscht markiert. Der Unterschied ist, dass diese Mails zwar in der mbox immer noch vorhanden sind (dafür gibt es gute Gründe!), aber wegen der "gelöscht"-Kennzeichnung nicht mehr angezeigt werden. Das physische Löschen geschieht mit dem so genannten "Komprimieren".


    Also: führe diese wichtige Hygienemaßnahme (!) jetzt zumindest bei den o.g. Ordnern - besser noch bei allen Ordnern durch. Damit muss diese E-Mail wirklich verschwunden (gelöscht) sein.
    Auch sonst, also ohne den Befall mit Schadcode, musst du dieses Komprimieren regelmäßig durchführen! Sonst erreichen die mbox-Dateien schnell ihre kritische Größe, was zumindest zu Problemen, wenn nicht gar zu Datenverlust führt.


    Und: die binären Anhänge werden im Quellcode automatisch zu ASCII-Zeichen umcodiert, und befinden sich in den vollständig darstellbaren, aber natürlich unverständlichen exakten rechteckigen Blöchen im Quellcode.


    OK?



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Welche persönlichen Daten sollen anonymisiert werden? Hier auf der Seite von Thunderbird Mail DE ? Wie lassen sie sich anonymisieren?

  • Indem du, bevor du einen Beitrag absendest, diesen noch einmal durchliest und Namen sowie Mailadressen verfremdest (also genau so, wie es graba für dich gemacht hast). Ich habe das nicht selbst gemacht, da du ja noch angemeldet warst.


    Und wenn, wie in diesem Fall, der Beitrag bereits abgesendet ist, kannst du jeden eigenen Beitrag auch bearbeiten.

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Vielen Dank für das Anonymisieren. Habe zwischenzeitlich auch herausgefunden, dass ich das in dem ursprünglichen Quelltext machen kann.
    Habe nochmals alle Posteingänge komprimiert und gelöscht. Werde jetzt nochmal den Virenscanner durchlaufen lassen. Habe mir auch die empfohlene CD zur Virensuche bestellt.
    Gruß
    Wilfried