Trojaner - Trojan.JS.Downloader.CVZ gefunden von Antivirusprogramm läßt sich weder desinfizieren, noch in Quarantäne setzen

  • * Thunderbird-Version: 45.5.1
    * Betriebssystem + Version: macOS Sierra 10.12.1
    * Kontenart (POP / IMAP): IMAP
    * Postfach-Anbieter (z.B. GMX): starte
    * Eingesetzte Antiviren-Software: Bitdefender
    * Firewall (Betriebssystem-intern/Externe Software): über Betriebssystem
    * Router-Modellbezeichnung (bei Sende-Problemen): Fritz!box


    Hallo!
    Im März/April 2016 haben wir ein Email einer Firma erhalten, die uns angeblich über Amazon Ware geschickt hatte und dann jetzt die Rechnung präsentieren wollte.
    Dem Email war eine .rar-Datei angehängt und irgendwo auch ein .js-Programm versteckt.
    Diese rar-Datei wurde von uns nie geöffnet, weil wir solches als Phishing-Versuch geglaubt haben zu erkennen.
    Wir versuchten, den Vorfall Amazon zu melden, haben nie eine Antwort erhalten...


    Infolgedessen haben wir diese Email als JUNK bezeichnet und schließlich im TRASH-/Papierkorb gelöscht.


    Das glaubten wir zumindest.
    Das Antivirusprogramm Bitdefender, aber auch das von TrendMicro haben drei Einträge gefunden und zwar im Junk/Trash-Ordner über IMAP.strato.de als Server..
    Bitdefender konnte diese weder löschen, noch desinfizieren, noch in die Quarantäne schicken.
    Auch manuelles Löschen gelingt, jedenfalls uns nicht.
    Diese 3 Messages, wie sie bezeichnet sind hängen mit 97 anderen zusammen.
    Es sind dort mehr als 2.900 Seiten und Message Nr. 1 wir von Nr. 2 und dann weiteren in html-Textmode aneinander gereiht und abgespeichert.


    Als Information hinzuzufügen wäre vielleicht noch, daß wir erst seit kurzem auf MacBook umgestiegen sind, die Malware uns aber mit einem Windows-PC eingefangen haben.


    Bitte, wer kann helfen?


    Wir hängen noch die Pfadmeldungen von Bitdefender an.


    Vielen Dank, Ihr Lieben

    Dateien

    • bitdefender.pdf

      (27,59 kB, 163 Mal heruntergeladen, zuletzt: )

    Einmal editiert, zuletzt von robertschedel ()

  • Hallo Robert!


    Ich gehe davon aus, dass ich dir mit gutem Gewissen Entwarnung geben kann. (Und nicht nur, weil du einen Apfelrechner nutzt.)
    Nach gegenwärtigem Erkenntnisstand kann Schadcode bei einer E-Maill nur als Dateianhang weitergegeben werden, was ja bei euch ja auch der Fall war. Und wirksam werden kann dieser Schadcode auch nur, wenn dieser Dateianhang geöffnet wird.


    Durch die (fast!) kluge Reaktion eurerseits wurde dieses Öffnen der Datei ja auch verhindert, und diese Datei gelöscht.
    Ich verweise an dieser Stelle wiederholt auf die einzig sichere, trotzdem machbare und auch zumutbare Methode, um einen Dateianhang zu öffnen:

    • Niemals direkt aus dem Mailclient heraus starten! (Ich nenne dieses einen "Dummklick"!)
    • Anhang zuerst in einen festgelegten Downloadordner abspeichern (=> dabei kann ein aktiver on-access-Scanner schon anschlagen)
    • Mit einem frisch aktualisierten AV-Scanner den kompletten Downloadordner überprüfen. (Warum den kompletten Ordner? => Damit Schadcode, der vlt. gestern noch nicht erkannt wurde, mit den Signaturdaten von heute erkannt wird, und entsprechende Reaktionen zur Gewährleistung oder Wiederherstellung der Sicherheit des Systems schnell eingeleitet werden können.
    • Und erst jetzt den Dateianhang aus dem Downloadordner heraus starten.
    • Besteht weiterhin (ohne eine Reaktion des AV-Scanners) begründeter Verdacht (wie eben irgend eine Rechnung oder eine "Anklageschrift" oder ähnlicher Müll), dann sollte dieser Anhang an eine geeignete Webseite wie https://www.virustotal.com/ hochgeladen werden. Mehr ist an Sicherheit kaum zu machen bzw. zumutbar.


    Ja, aber warum hat der Scanner eine mit Schadcode befallene Datei gefunden, obwohl ihr diese Mail gelöscht habt (deswegen mein "fast")?
    Durch das Löschen wird eine E-Mail nicht etwa aus ihrer Mbox-Datei gelöscht, sondern nur als gelöscht markiert. Sie wird zwar nicht mehr angezeigt, ist aber weiterhin vorhanden. Und zwar ist sie vorhanden in sämtlichen Ordnern (vom Posteingang über Unterordner bis hin zum Papierkorb) in welchen sie jemals gespeichert war. (Das macht Sinn, weil damit zum Bsp. eine fälchlicherweise gelöschte Mail schnell wiederhergestellt werden kann.)
    Aus einer Mbox-Datei werden die als gelöscht markierten Mails erst dann physisch entfernt, wenn diese Mbox (= "Mailordner") mit der Programmfunktion (!) "Komprimieren" behandelt wurde. Oder anders gesagt, es werden erst dann sämtliche jemals gelöschten Mails aus diesen Dateien entfernt. Dieses Komprimieren, was mit ZIP & Co. nur den Namen gemeinsam hat, ist die wichtigste und keinesfalls zu vernachlässigende Pflegemaßnahme für Mbox-Dateien. Eine Vernachlässigung führt unwiegerlich zum Datenverlust, wenn die Mbox ihre Größenbegrenzung überschreitet.
    Du solltest also am besten sämtliche Mbox-Dateien komprimieren, und damit ist das Problem gelöst.



    Bitdefender konnte diese weder löschen, noch desinfizieren, noch in die Quarantäne schicken.
    Auch manuelles Löschen gelingt, jedenfalls uns nicht.

    Welch ein Glück für euch!!!


    Die von Schadcode befallene Datei ist nicht etwa eine einzige (oder mehrere) E-Mail, sondern eine komplette Mbox, in welcher hintereinander sämtliche Mails dieses Ordners gespeichert werden. Nun rate mal, was passiert, wenn der AV-Scanner "die befallene Datei" löscht? Du solltest auch wissen, dass AV-Scanner richtig löschen, indem sie die befallene Datei shreddern, also mehrfach mit Zufallszeichen überschreiben. Dann hilft dir wirklich niemand mehr!


    Deshalb:

    • Der AV-Scanner ist so zu konfigurieren, dass er niemals das TB-Userprofil überwacht. Dieses muss im Scanner als "Ausnahme" (vom Scannen) eingetragen werden. Und zwar beim on-access-Scan ("Hindergrundwächter") als auch beim on-demand-Scan (bewusste Prüfung). Sonst ist der Datenverlust vorprogrammiert.
    • Wenn in Ausnahmefällen (wie zur Nachkontrolle bei dir) dein TB-Userprofil bewusst gescannt werden soll, dann musst du dessen Ausnahme temporär aufheben und unbedingt darauf achten, dass der Scanner nur den Zugriff verweigert und keinesfalls schreibend wirksam wird! Also kein Löschen oder "Desinfizieren" o.ä.
    • Wenn du so wie ich es oben geschildert habe, alle Mailanhänge öffnest, gehst du auch kein Risiko ein.


    OK?



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Einmal editiert, zuletzt von Peter_Lehmann ()

  • Hallo Peter,
    ganz herzlichen Dank für Deine Erklärungen.
    Sie sind wirklich sehr hilfreich für mein Verständnis der Situation.
    Ich werde dem nachgehen und Dir berichten, was die weiteren Entwicklungen ergeben haben.
    Soweit wünsche ich Dir einen schönen Abend.
    Beste Grüße
    Robert

  • Hallo Peter!
    Nochmals herzlichen Dank! Ich habe ich an Deine Ratschläge gehalten und den neuen Mac wie auch 2 weitere PC-/Windows-Laptops reinigen können.


    Wichtig ist, und dies zum Rat aller anderen, die schon unangenehme Erfahrungen gesammelt haben oder erst garnicht sammeln wollen, die besten Malwareprogramme regelmäßig, eigentlich immer laufen zu lassen.


    Ich habe jetzt sehr gute Erfahrungen mit Bitdefender und Malwarebytes Antimalware gemacht.
    Bitdefender, meiner Erfahrung nach, untersucht wirklich die letzten Winkel, auch den Papierkorb und entdeckt dabei auch, daß gelöschte Dateien, und dabei auch solche, die man als Anhang garnicht geöffnet hatte, eindeutig Malware waren.


    Zu beachten ist jetzt, so die neue Erfahrung, daß, wenn man eine separate Platte eingesetzt hat, auf die man routinemäßig seine Backups speichern läßt, daß sich dorthin immer wieder, also unbeschränkt vielfach Malware ablegen wird, wenn man diese nicht auf dem System erkannt hat.


    Eines noch, was ich oben schon angesprochen hatte: Es ist eine weitere Erfahrung, die einem, wie mir passieren kann, der von einem Windows-PC auf einen Apple umsteigt und dann Rätsel aufwirft.
    Die auf einem Apple erkannte Malware, die als Datei von einem PC übernommen wurde, kann aufgrund der unterschiedlichen Systeme vom Apple aus nicht desinfiziert/gelöscht werden.


    Auf alle Fälle herzlichen Dank für die Hilfestellung und jetzt auch ein gutes NEUES JAHR!
    Beste Grüße
    Robert

  • Hallo Robert,


    Wichtig ist, und dies zum Rat aller anderen, die schon unangenehme Erfahrungen gesammelt haben oder erst garnicht sammeln wollen, die besten Malwareprogramme regelmäßig, eigentlich immer laufen zu lassen.

    Dein Rat trifft es leider nicht ganz und kann andere ganz schön in Schwierigkeiten bringen. Anscheinend hast Du doch nicht vollständig verstanden, was Peter oben geschrieben hatte.
    Im Zusammenhang mit dem TB ist es wichtig, dass die AV-Software keinen schreibenden (Löschen/Quarantäne) Zugriff auf den Profilordner bekommt. Ansonsten droht der Verlust ganzer Mail-Ordner.


    Die auf einem Apple erkannte Malware, die als Datei von einem PC übernommen wurde, kann aufgrund der unterschiedlichen Systeme vom Apple aus nicht desinfiziert/gelöscht werden.

    Das ist so ebenfalls nicht richtig. Mit dem Betriebssystem hat das nichts zu tun. Vorausgesetzt die Rechte stimmen, kann man auf dem Mac natürlich auch alle die Dateien löschen, die man von einem Windows-Rechner übernommen hat.


    Gruß


    Susanne

  • Der AV-Scanner ist so zu konfigurieren, dass er niemals das TB-Userprofil überwacht. Dieses muss im Scanner als "Ausnahme" (vom Scannen) eingetragen werden.

    Prost Neujahr an Alle, insbesondere jetzt Peter, da ich an Ihr direkt eine Frage stelle.


    Bezug nehmend auf dein obiges Zitat, weshalb gibt es dann in den TB Einstellungen unter "Sicherheit > Anti-Virus" die Auswahlmöglichkeit "Anti-Virus ermöglichen, eingehende Nachrichten unter Quarantäne zu stellen"???


    Wenn doch das TB-Userprofil vom Scan ausgeschlossen werden soll, dann wäre doch aus meiner Sicht die von mir genannte, in TB vorhandene, Auswahlmöglichkeit von vornherein überflüssig?

    Viele Grüße


    Michael


    Win 8.1 * 64 & Win 7 * 64 / AV & FW Norton Security 22.12.0.104
    pop.1und1.de:995 SSL/TLS Passwort, normal
    smtp.1und1.de:587 STARTTLS Passwort, normal true

    FRITZ!Box 7490

  • Hallo Michael,


    ich bin zwar nicht Peter, aber ich kann Dir Deine Frage beantworten. Die von Dir genannte Option führt dazu, dass eine eintreffende (POP-) E-Mail zunächst als einzelne Datei in einem temporären Ordner gespeichert wird. Dort kann sie von einem Virenscanner untersucht und ggf. auch gelöscht werden.


    Gruß


    Susanne

  • Die von Dir genannte Option führt dazu, dass eine eintreffende (POP-) E-Mail zunächst als einzelne Datei in einem temporären Ordner gespeichert wird. Dort kann sie von einem Virenscanner untersucht und ggf. auch gelöscht werden.

    Hallo Susanne,


    wie soll das funktionieren, wenn doch das TB-Userprofil vom Scan ausgeschlossen sein soll? Oder anders rum,wo liegt dieser "temporäre Ordner"? Der müsste doch dann außerhalb des TB-Profilordners liegen? Und Wenn Ja, dann müsste ich dem AV-Scanner diesen zu scannenden "temporären" Ordner vorgeben.


    Weiterhin verstehe ich nicht den Zusammenhang zwischen einerseits Scan-Ausschluss des Profils und andererseits "Anti-Virus ermöglichen, eingehende Nachrichten unter Quarantäne zu stellen"

    Viele Grüße


    Michael


    Win 8.1 * 64 & Win 7 * 64 / AV & FW Norton Security 22.12.0.104
    pop.1und1.de:995 SSL/TLS Passwort, normal
    smtp.1und1.de:587 STARTTLS Passwort, normal true

    FRITZ!Box 7490

  • Oder anders rum,wo liegt dieser "temporäre Ordner"? Der müsste doch dann außerhalb des TB-Profilordners liegen?

    Ja genau. Der Ordner liegt außerhalb des Profils, meines Wissens im Temp-Ordner des Betriebssystems, also dort, wohin die Variable %TEMP% zeigt, also vermutlich unter C:\Benutzer\Benutzername\AppData\Local\Temp. Da bin ich mir aber nicht sicher. Windows kennt mehrere temporäre Ordner. Probiere es doch einfach aus.


    Dieser Ordner muss dem AV-Programm natürlich zugänglich sein, was normalerweise auch der Fall ist. Das ist ja gerade Sinn der Sache, dass der Real-Time-Scanner auf diese temporäre Datei zugreifen und sie notfalls sogar löschen kann, ohne dass er Zugriff auf die komplette Mailbox im Profil haben muss.

  • Hallo Susanne!
    Danke Dir mal für Deinen Kommentar!
    Du magst da wohl recht haben, mit dem, auf das Du hinweist und ich noch nicht so recht verstehe.


    Ich werde mir diese Aspekte nochmals durch den Kopf gehen lassen und versuche dann, Dir darauf zu antworten.


    Im Augenblick habe ich halt die Erfahrung gemacht, daß Dateien, die unter Windows einmal geschaffen und nun auf einem Apple aufgerufen waren, um sie zu bearbeiten/damit weiter zu arbeiten, zunächst gesperrt erscheinen. Und erst nachdem man eine Arbeitskopie angefertigt hatte, bearbeitbar und dann unter einem anderen Dateinamen speicherbar
    wurden.


    Parallel dazu hat dann auf dem Apple ein AV-Programm einer unter Windows eingefangenen Schadware diese zwar erkannt, konnte aber nicht mit ebendiesem AV-Programm vom Apple aus desinfiziert/gelöscht werden. Es klappt nur über Umwege.


    Dieselbe Schadware, die sich auch noch auf einem Windows-PC befindet, kann dagegen mit derselben AV-Software problemlos desinfiziert/gelöscht werden.


    Auf diese Erfahrung wollte ich nur hinweisen. Vielleicht habe ich da auch noch was übersehen, aber deshalb habe ich ja auch diese Frage an das Forum gestellt.
    Eure weiteren Anregungen lasse ich mir sicher nochmals durch den Kopf gehen, denn ein paar Momente darin, muß ich noch besser verstehen lernen.


    Vielen Dank allemal!
    Beste Grüße
    Robert

  • Hallo Robert,


    Im Augenblick habe ich halt die Erfahrung gemacht, daß Dateien, die unter Windows einmal geschaffen und nun auf einem Apple aufgerufen waren, um sie zu bearbeiten/damit weiter zu arbeiten, zunächst gesperrt erscheinen.

    Das hängt damit zusammen, wer Besitzer der Dateien ist und wie die Rechte gesetzt sind. Mit dem AV-Programm hat das nichts zu tun.


    Gruß


    Susanne

  • Besitzer der Dateien ist und wie die Rechte gesetzt sind

    Hallo Susanne,


    ja, da magst Du schon recht haben. Da muß ich noch dahinter kommen, wie man solche Rechte bei Mac setzt.
    Und mit letzterem bin ich noch ganz neu.
    Danke Dir. Komme darauf zurück!


    Best Grüße
    Robert

  • Hallo robertschedel,


    Da muß ich noch dahinter kommen, wie man solche Rechte bei Mac setzt.
    Und mit letzterem bin ich noch ganz neu.


    vielleicht wird Mapenzi auf diesen Faden aufmerksam und kann helfen. Er ist einer der wenigen Helfer hier, der mit dem Apfel mehr als vertraut ist.


    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

  • Hallo Feuerdrache,


    im OSX funktionieren chmod und chown ebenso wie unter Linux/Unix.


    Gruß


    Susanne

  • Hallo Susanne,


    im OSX funktionieren chmod und chown ebenso wie unter Linux/Unix.


    habe ich mir fast gedacht; mir ist die unixoide Vergangenheit von OS X, macOS sehr bewusst. Da ich aber selbst bisher noch nie einen Mac-Rechner nutzen konnte, verweise ich gerne auf Helfer, die solche Geräte ihr eigen nennen können oder wenigstens beruflich nutzen.


    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier