Trojaner per Email erhalten und gelöscht

Internet Internet Sicherheit
#1

Hallo!

Mein Antivirenprogramm „Avast“ hat mir beim Start von Outlook mitgeteilt, dass es einen Trojaner gefunden hat und mir empfohlen, nicht in Panik auszubrechen :wink:, was nicht ganz leicht ist, da ich erst vor zwei Wochen das Vergnügen hatte und das System komplett neu aufspielen musste.
Das Programm empfahl mir, den Trojaner direkt zu löschen, was ich auch getan habe. Ist das richtig oder hätte ich es doch in den Container verschieben müssen?
Ich habe keine Erfahrung mit Viren etc und will jetzt sicher sein, dass das Pferdchen weg ist…Ich habe den PC jetzt neu gestartet und werde Avast noch einmal komplett durchlaufen lassen.

Über einen Ratschlag würde ich mich sehr freuen! Vielen Dank im Voraus.

#2

Hallo,

viele Experten, viele Meinungen … Hier also nur meine:

Es ist sinnvoll, einen durch einen Schädling infizierte Datei in Quarantäne zu verschieben, wenn man diese weiteren Untersuchungen unterziehen möchte.

z.B. könnte man diese zu http://virustotal.com hochladen, um „sicher“ zu sein, daß es sich nicht um einen Fehlalarm handelt usw.

Ich würde - selbst bei Erfolgmeldung des verwendeten Schutzprogramms - immer noch einmal ein zweites Programm durchlaufen zu lassen.

Hier empfiehlt sich unter anderem Clamwin

http://www.heise.de/software/download/clamwin_antivi…

welches als On-Demand-Scanner (arbeitet nur nach Aufruf oder Zeitplaner) arbeitet und somit normalerweise mit keinen anderen Antiviren-Programmen kollodiert.

Sicher(er) ist immer der Start von einer Live-CD wie z.B.

http://www.free-av.com/de/tools/12/avira_antivir_res…

mfg, tf

#3

Hallo!

Danke für die Einschätzung.
Der Trojaner wurde in einer Spam-Mail gefunden und somit habe ich eigentlich kein weiteres Interesse an einer „Sezierung“…

Ich werde das zweite Programm einmal ausprobieren, schaden kann es ja nicht!

#4

Hallo,

so isses.

mfg, tf

#5

Mein Antivirenprogramm „Avast“ hat mir beim Start von Outlook
mitgeteilt, dass es einen Trojaner gefunden hat und mir
empfohlen, nicht in Panik auszubrechen :wink:,

Hättste den Ratschlag mal befolgt… Dann hättest du nämlich die konkrete Fehlermeldung entweder abfotografieren (per Screenshot) oder wortwörtlich inkl. aller Details abschreiben können. Ich weiss nicht, ob Avast ein Protokoll mitschreibt. Danach solltest du mal schauen und uns, falls du darin fündig wirst, die entspr. Protokolleinträge mitteilen.

Ohne die exakte und vollständige Meldung wird dir niemand verbindlich sagen können, was da genau passiert ist und ob eine Gefahr für deinen Rechner besteht oder bestanden hat.

Ist das richtig oder hätte ich es doch in
den Container verschieben müssen?

Müssen nicht, aber sinnvoll wär’s gewesen. So hast du, wenn die Meldung einer der zahlreichen Fehlalarme war, unnötig möglicherweise wichtige Daten einfach weggeschmissen. Ich gehe davon aus, dass global gesehen die durch Fehlalarme von Antivirenprogrammen angerichteten Schäden den mit ihner Hilfe erzielten Nutzen übersteigen. Dadurch, dass du zweifelhafte Objekte (auch erst nach eingehender Prüfung der Meldung) in Quarantäne schiebst, statt sie zu löschen, kannst du diese Schäden zumindest minimieren.

Gruß

#6

Hallo!

Jetzt meldet Avast schon wieder, er hätte einen Trojaner gefunden: clamav…tmp, ein Fehlalarm durch das neue Antiviren-Programm?

Was tun?

#7

Jetzt meldet Avast schon wieder, er hätte einen Trojaner
gefunden: clamav…tmp, ein Fehlalarm durch das neue
Antiviren-Programm?

Avast wegschmeißen und gegen ein anderes Programm tauschen, das etwas aussagekräftigere und detailliertere Meldungen macht, als dieses Gestammele.

HTH

#8

Hallo,

höchstwahrscheinlich… Deaktivire mal Avast während des Clamwin-Durchlaufes.

Dann wieder aktivieren.

mfg, tf

#9

Hallo!

Das habe ich nun gemacht und erhalte folgenden Report:

Scan Started Tue Feb 02 13:37:53 2010

C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Temp\nsl38.tmp: Permission denied

C:\pagefile.sys: Permission denied

C:\WINDOWS\system32\config\default: Permission denied

C:\WINDOWS\system32\config\SAM: Permission denied

C:\WINDOWS\system32\config\SECURITY: Permission denied

C:\WINDOWS\system32\config\software: Permission denied

C:\WINDOWS\system32\config\system: Permission denied

Completed

Was hat das nun zu bedeuten?

#10

Hallo,

dies bedeutet, daß das Antvirenprogramm während des suchlaufes nicht auf die angegeben DateiEN zugreifen konnte, da diese (meist) vom System besonders geschützt werden.

Du wirst den Suchlauf als Benutzer mit eingeschränkten Rechten durchgeführt haben. Insofern ergibt das alles einen Sinn.

Warum das Programm allerdings nicht auf die Datei \nsl38.tmp zugreifen kann, weiß ich nicht.

Wenn Du nach einem Neustart, Anmeldung als Admin und erneutem Durchlauf wieder ein ähnlich LOG bekommst, melde dich bitte noch einmal.

mfg, tf

#11

Hallo!

Beide am Rechner angemeldeten Benutzer haben meines Wissens die gleichen Rechte. Ich habe den Suchlauf jetzt noch einmal von dem anderen Account aus (nach einem Neustart) gestartet und ClamWin sagt folgendes:

Scan Started Tue Feb 02 15:57:59 2010

C:\Dokumente und Einstellungen\Christine\Lokale Einstellungen\Temp\nsz2.tmp: Permission denied

C:\pagefile.sys: Permission denied

C:\WINDOWS\system32\config\default: Permission denied

C:\WINDOWS\system32\config\SAM: Permission denied

C:\WINDOWS\system32\config\SECURITY: Permission denied

C:\WINDOWS\system32\config\software: Permission denied

C:\WINDOWS\system32\config\system: Permission denied

----------- SCAN SUMMARY -----------

Known viruses: 646463

Engine version: 0.95.3

Scanned directories: 4724

Scanned files: 36850

Infected files: 0

Data scanned: 11152.87 MB

Data read: 12621.89 MB (ratio 0.88:1)

Time: 2144.218 sec (35 m 44 s)

Completed

Hier jetzt auch mal das Protokoll von Avast:

02.02.2010 11:05:02 SYSTEM 1504 Sign of „Win32:Trojan-gen“ has been found in „Mail\Inbox\UPS_document_Nr23841.zip\UPS_document_Nr47211.exe“ file.

02.02.2010 12:34:01 SYSTEM 1400 Sign of „Win32:Malware-gen“ has been found in „C:\dokume~1\jan\lokale~1\temp\clamav-969fb3e98608c4f11ef81adf9756a305.00000d34.clamtmp“ file.

02.02.2010 12:56:36 SYSTEM 1400 Sign of „Win32:Malware-gen“ has been found in „C:\dokume~1\jan\lokale~1\temp\clamav-3afd9c68a443ae6aff57c4c4f0c2573d.00000d34.clamtmp“ file.

02.02.2010 13:03:20 SYSTEM 1400 Sign of „Win32:Malware-gen“ has been found in „C:\dokume~1\jan\lokale~1\temp\clamav-d0f9d3dcdcd7d5c36cc88ca6733faacf.00000d34.clamtmp“ file.

02.02.2010 13:03:34 SYSTEM 1400 Sign of „Win32:Malware-gen“ has been found in „C:\dokume~1\jan\lokale~1\temp\clamav-bb657fb2ca66c8c805d1d6eb03f5aeec.00000d34.clamtmp“ file.

02.02.2010 13:03:37 SYSTEM 1400 Sign of „Win32:Malware-gen“ has been found in „C:\dokume~1\jan\lokale~1\temp\clamav-4cc6a094220c90e9f624b105979b6812.00000d34.clamtmp“ file.

02.02.2010 13:03:39 SYSTEM 1400 Sign of „Win32:Malware-gen“ has been found in „C:\dokume~1\jan\lokale~1\temp\clamav-36b8f98043dd6ad2f1f8d5d17acec9c7.00000d34.clamtmp“ file.

02.02.2010 13:03:49 SYSTEM 1400 Sign of „Win32:Malware-gen“ has been found in „C:\dokume~1\jan\lokale~1\temp\clamav-0aaee851287b99e9dedcb9f08c732b3b.00000d34.clamtmp“ file.

02.02.2010 13:03:50 SYSTEM 1400 Sign of „Win32:Malware-gen“ has been found in „C:\dokume~1\jan\lokale~1\temp\clamav-94fee376f9eb2e4303229742c9da81d6.00000d34.clamtmp“ file.

02.02.2010 13:03:51 SYSTEM 1400 Sign of „Win32:Malware-gen“ has been found in „C:\dokume~1\jan\lokale~1\temp\clamav-ff3ee86522f5effc8c3c72beb4f431c9.00000d34.clamtmp“ file.

02.02.2010 13:03:52 SYSTEM 1400 Sign of „Win32:Malware-gen“ has been found in „C:\dokume~1\jan\lokale~1\temp\clamav-49e9715163d6947ad1c4400204ed4a92.00000d34.clamtmp“ file.

02.02.2010 13:03:52 SYSTEM 1400 Sign of „Win32:Malware-gen“ has been found in „C:\dokume~1\jan\lokale~1\temp\clamav-2b7fed6bf92a6ef8dfe37e314cfdcc3b.00000d34.clamtmp“ file.

02.02.2010 13:03:55 SYSTEM 1400 Sign of „Win32:Malware-gen“ has been found in „C:\dokume~1\jan\lokale~1\temp\clamav-f7470318d601fed52bbb52e0996085cb.00000d34.clamtmp“ file.

02.02.2010 15:58:05 Christine 1404 Sign of „JS:ScriptSH-inf [Trj]“ has been found in „C:\dokume~1\christ~1\lokale~1\temp\clamav-32e8fca0df455706b83dcadb4a092c37.000006a4.clamtmp\main.ndb“ file.

02.02.2010 16:10:21 Christine 1404 Sign of „Win32:Malware-gen“ has been found in „C:\dokume~1\christ~1\lokale~1\temp\clamav-6015550b1241239d143ffa7d890849b4.000006a4.clamtmp“ file.

02.02.2010 16:10:53 Christine 1404 Sign of „Win32:Malware-gen“ has been found in „C:\dokume~1\christ~1\lokale~1\temp\clamav-01e79f35b40bcaeeec5148eb282a3e15.000006a4.clamtmp“ file.

Ich habe keine Ahnung, was das jetzt alles bedeutet, ob sich beide Programme gegenseitig verdächtigen? Die Email mit dem infizierten Anhang wurde jedenfalls nie geöffnet, da die Meldung bereits beim Start von Outlook kam. Wie soll man sich denn sonst überhaupt vor einem Trojaner schützen? Ich dachte, es reicht, verdächtige Emails sofort zu löschen und das Vorschaufenster zu deaktivieren.
Och Mensch, so macht das keinen Spaß mit dem Computer, ganz abgesehen davon, dass mein kleiner Sohn sich bestimmt schon fragt, warum ich den ganzen Tag vor dieser Kiste hänge…

#12

und ClamWin sagt folgendes:

An dem, was Clamwin sagt, ist nichts verdächtiges. Der kann auf verschiedene Dateien nicht zugreifen, weil sie vom System gesperrt sind, das ist OK. Lediglich

C:\Dokumente und Einstellungen\Christine\Lokale
Einstellungen\Temp\nsz2.tmp: Permission denied

von dieser Datei wäre interessant, zu welchem Prozess sie gehört. Grund zur Sorge gibt die Meldung aber nicht den geringsten.

02.02.2010 11:05:02 SYSTEM 1504 Sign of „Win32:Trojan-gen“ has
been found in „Mail\Inbox\UPS_document_Nr23841.zip\UPS_document_Nr47211.exe“
file.

Da sieht’s schon anders aus. Hier würde ich klar von einem Schädling ausgehen ABER: Grund zur Sorge gibt’s deswegen noch lange nicht. Im Eingang von Outlook liegt eine virenverseuchte Mail. Die kannst du zwar löschen, darum ist sie aber noch nicht weg (löschen bedeutet zunächst nur, dass der belegte Platz als ‚frei‘ gekennzeichnet wird).

Du kannst dein Postfach aber ‚komprimieren‘. Dann wird die Mail tatsächlich gelöscht und die Meldung sollte nicht mehr erscheinen. Wie das komprimieren geht, kann je nach Outlook-Version unterschiedlich sein. Ich öffne dafür das Mail-Icon in der Systemsteuerung, klicke auf ‚Datendateien‘, wähle den ‚Persönlichen Ordner‘ aus, klicke auf ‚Einstellungen‘ und schließlich auf ‚komprimieren‘.

Alles weitere

02.02.2010 12:34:01 SYSTEM 1400 Sign of „Win32:Malware-gen“
has been found in
„C:\dokume~1\jan\lokale~1\temp\clamav-969fb3e98608c4f11ef81adf9756a305.00000d34.clamtmp“
file.

[…]
ist hingegen harmlos.

ob sich beide Programme gegenseitig verdächtigen?

Genau!

HTH

#13

Ich öffne dafür das

Mail-Icon in der Systemsteuerung, klicke auf ‚Datendateien‘,
wähle den ‚Persönlichen Ordner‘ aus, klicke auf
‚Einstellungen‘ und schließlich auf ‚komprimieren‘.

So habe ich es getan und auf „jetzt komprimieren“ geklickt, was dann nur wenige Sekunden gedauert hat. War das schon der ganze Spuk?
Bei dem Email-Konto handelt es sich um ein imap-Account, wobei die Emails beim Löschen zunächst in Outlook nur durchgestrichen erscheinen und dann erst verschwinden, wenn man auf „gelöschte Nachrichten permanent löschen“ klickt, was ich anfangs direkt getan habe.

Vielen Dank für die Hilfe! :smile:

#14

Scannen sollte man von einer sogenannten LIVE-CD. In der vorletzten c’t war eine - nannte sich Desinfec’t - gehe mal davon aus, das man die im Netz finden kann; die Virenscanner darauf aktualieren sich zuerst und dann geht’s los.

Gruß
Diemo