*argh* Alle Mails weg nach W32.Sober.I@mm!enc

Hallo

In letzter Zeit wird der Computer hier (Win XP Pro) öfters durch den W32.Sober Wurm belästigt.
Mailclient ist Mozilla Thunderbird und die Virendef. von Norton Antivirus werden auch regelmäßig aktualisiert.

Nun löscht NAV aber immer den kompletten Inhalt des infizierten Ordners wenn Mails vom Server geladen werden und nicht nur die infizierte Datei allein (wie üblich [wurden sonst nur vom W32.Beagle belästigt]).
(Leider filtert der Server nicht vor)

Also der Wurm direkt wird gleich gelöscht.
Ein Virenscan zeigt auch keine Infektion an.

Nun hat’s diesmal den Posteingang erwischt (die letzten beiden Male wars nur der Papierkorb und der Junkordner)

Vom NAV Protokoll:
Quelle: C:\Dokumente und Einstellungen\Marlies\Anwendungsdaten\Thunderbird\Profiles\zjhl1459.default\Mail\mail.infosys.de\Inbox
Klicken Sie hier, um weitere Informationen über diesen Virus zu erhalten: W32.Sober.I@mm!enc

Wenn ich mir die ‚Isolierten Elemente‘ vom NAV anzeigen lasse, sehe ich auch bei ‚Gespeicherte Elemente‘ die Inbox.
die könnte ich wieder herstellen.
Aber ich weiß nicht ob der Wurm entfernt wurde und das wieder herstellen sicher ist

Gibt’s einen Weg den Posteingang zu retten?

MfG
Lilly

Hallo Lilly

Dein Problem ist bekannt. Wie soll es denn auch ein Scanner machen, wenn du deine Mail herunter lädst und der Client sie aus Gründen der Sicherheit sofort archiviert.

Kein Scanner kann die geschützten Archive auspacken, die Malware löschen und wieder einpacken, also löscht er, wenn er kann (manchmal geht nicht mal das) das ganze Archiv und damit sind alle Post im Ofen.

Gehe mal zu deinem Briefkasten beim Provider, ob in den Optionen von HotMail die Möglichkeit besteht, das ankommende Mails geprüft werden und bei Befall eine Sonderbehandlung erfahren können.

Ich bin kostenlos bei Freenet und habe in den dortigen Optionen festgelegt, das verseuchte Mails nach Eintreffen gelöscht werden. Eine andere Lösung gibt es ja doch nicht. Keiner meiner Freunde schickt mir absichtlich Spam und Viren.

Eine zweite Lösung ist die Verwendung von MozBackup. Das erhälst du hier: http://www.mozbackup.de/ Damit wird es dir möglich, auch deine Mails zu sichern und bei Bedarf (verseuchtes Archiv) das Backup wieder zurück zu spielen.

der Hinterwäldler

Hallo,

Dein Problem ist bekannt. Wie soll es denn auch ein Scanner
machen, wenn du deine Mail herunter lädst und der Client sie
aus Gründen der Sicherheit sofort archiviert.

na der Scanner soll die Mails in den Speicher laden, prüfen und erst dann auf die Platte schreiben. Verseuchte Mails soll er sofort verwerfen und nicht schreiben. Was ist da so schwer?

Gruß, Rainer

Hallo Rainer

na der Scanner soll die Mails in den Speicher laden, prüfen
und erst dann auf die Platte schreiben. Verseuchte Mails soll
er sofort verwerfen und nicht schreiben. Was ist da so schwer?

Offensichtlich ja! Nenne mir den, der das perfekt beherrscht. Vorher aber mal hier ein wenig umsehen und auch mal googlen.

der hinterwäldler

Hallo hinterwäldler,

na der Scanner soll die Mails in den Speicher laden, prüfen
und erst dann auf die Platte schreiben. Verseuchte Mails soll
er sofort verwerfen und nicht schreiben. Was ist da so schwer?

Offensichtlich ja! Nenne mir den, der das perfekt beherrscht.

TREND MICRO® InterScan® Messaging Security Suite.

Vorher aber mal hier ein wenig umsehen

hab’ ich hier noch nichts d’rüber gelesen.

und auch mal googlen.

Auch mit Google findet sich da nicht viel, da geht es meist um Preise und um Programme für den Hausgebrauch. Das Ding hat aber einen kleinen Bruder, der die selbe Engine und die selben Patternfiles verwendet. …

Gruß, Rainer

Hallo,
Virenscanner schön und gut, aber besser das Zeug gar nicht erst vom Server holen. Den Thunderbird so einstellen, daß er nur die Kopfzeilen holt, und da sieht man ja eigentlich, was man abholen kann und was Schrott ist. Leider kann man die Mails nicht selektiv direkt auf dem Server löschen, wie es andere Mailprogramme behrrschen.
Den Posteingang wiederherstellen dürfte ungefährlich sein (wenn es denn geht), solange die Schädlinge im Posteingang sind, passiert nichts. Und da kann man sie löschen, falls dabei nicht schon wieder der Virenscanner zuschlägt.
Gruß, Uwe

Hallo Hinterwäldler,

Dein Problem ist bekannt. Wie soll es denn auch ein Scanner
machen, wenn du deine Mail herunter lädst und der Client sie
aus Gründen der Sicherheit sofort archiviert.

Kein Scanner kann die geschützten Archive auspacken, die
Malware löschen und wieder einpacken, also löscht er, wenn er
kann (manchmal geht nicht mal das) das ganze Archiv und damit
sind alle Post im Ofen.

Was heisst da „die geschützten Archive auspacken“? Thunderbird verwendet das (uralte) mbox-Format. Hast Du Dir schon einmal so eine mbox-Datei mit einem 08/15-Editor angesehen? Da stehen der Reihe nach die emails im Klartext drinnen - es ist kein Problem, darin händisch den Header oder den Content der Mails zu manipulieren - man kann sogar ganz mails einfach so raus löschen.

Nein, nein, das Problem ist nicht das Archiv, sondern der Umstand, dass der Norton mit diesem (offenen) Standard-Format nichts anfangen kann - wahrscheinlich wussten die von Symantec nicht, wohin sie die Lizenzzahlungen schicken sollen Dafür werden AFAIK die (IMHO wesentlich komplizierteren) Formate von Outlook und OE unterstützt…

Just my 2 cents,
Pürsti

Hi Hinterwälder

Dein Problem ist bekannt. Wie soll es denn auch ein Scanner
machen, wenn du deine Mail herunter lädst und der Client sie
aus Gründen der Sicherheit sofort archiviert.

Normalerweise die Mail oder zumindest den Anhang löschen aber nicht den kompletten Posteingang mit allen Mails (selbst die harmlosen). Hatta bei noch keinem anderen Wurm/Virus gemacht.

Gehe mal zu deinem Briefkasten beim Provider, ob in den
Optionen von HotMail die Möglichkeit besteht, das ankommende
Mails geprüft werden und bei Befall eine Sonderbehandlung
erfahren können.

Der bietet kein Webinterface und es ist auch kein bekannter öffentlicher Provider.
Hatte denen aber ne Mail geschrieben ob die nicht im Stande sind n simplen Filter zu installieren der eindeutige virus-/wurmverseuchte Mail gleich löscht.
Aber die ham noch nicht geantwortet.

Ich bin kostenlos bei Freenet und habe in den dortigen
Optionen festgelegt, das verseuchte Mails nach Eintreffen
gelöscht werden.

Ich frag mich ob es funzen würde wenn ich nun statt Thunderbird GMX die Mail abholen liesse. Wirkt da der GMX Filter?
Oder Web.de, die filtern auch vor und beide können Mails von anderen Providern abholen.

Eine zweite Lösung ist die Verwendung von MozBackup. Das
erhälst du hier: http://www.mozbackup.de/ Damit wird es dir
möglich, auch deine Mails zu sichern und bei Bedarf
(verseuchtes Archiv) das Backup wieder zurück zu spielen.

Kann kein Mailklient die Mails vorm runterladen anzeigen (nur Betreff und Absender)? Und nur ausgewählte Mails herunterladen?

MfG
Lilly

IMAP statt POP3

Kann kein Mailklient die Mails vorm runterladen anzeigen (nur
Betreff und Absender)? Und nur ausgewählte Mails
herunterladen?

Ja, das geht. Der Provider muss nur das IMAP Protokoll unterstützen (kann GMX nicht aber Web.de und Freenet AFAIK). Dass musst du dann in deinem Emailprogramm statt POP3 einstellen.