Hallo,
im Zuge der deutschlandweiten Botnet-Sache habe ich meinen Rechner mit DESINFEC´T gescannt und dabei wurde in einer meiner ***.pst-Dateien Malware entdeckt.
Die Zeile im Scan (gefunden von Avira) lautet:
/media/8A307E45307E3871/Users/***/Documents/Outlook-Dateien/POST.pst (O)
JS/Agent.GC
JS/Agent.GC ist der Schadcode.
Problem:
Ich finde die entsprechende Mail nicht, in der diese Malware enthalten ist. Zumindes nicht über die Suche im Konto "POST".
Und scanne ich die POST.pst nochmals mit AVIRA, wird keine Malware gefunden.
Frage:
Was könnte ich tun, um die entsprechende Mail zu finden?
Jemand eine Idee?
Salve
Malware in .pst identifizeren
-
- Site Admin
- Beiträge: 2464
- Registriert: Sonntag, 01. Mai 2005 - 14:55 Uhr
- Wohnort: Leipzig
- Kontaktdaten:
Re: Malware in .pst identifizeren
Hallo,
das Problem wird sein, dass Avira die pst-Datei, aber nicht die einzelnen Mails überprüft hat. Die pst-Datei wird also zufälligerweise an einer Stelle die Struktur der genannten Malware aufweisen.
Denn wenn Avira einen Schadcode in Outlook entdecken würde, würde die Software diesen auch gleich aus der Mail entfernen und die Mail entsprechend im Betreff kennzeichnen, z.B.: *** VIRUS ***
das Problem wird sein, dass Avira die pst-Datei, aber nicht die einzelnen Mails überprüft hat. Die pst-Datei wird also zufälligerweise an einer Stelle die Struktur der genannten Malware aufweisen.
Denn wenn Avira einen Schadcode in Outlook entdecken würde, würde die Software diesen auch gleich aus der Mail entfernen und die Mail entsprechend im Betreff kennzeichnen, z.B.: *** VIRUS ***
Re: Malware in .pst identifizeren
Ich habe das anders auf dem Schirm: Avira bzw. Avira aus Desinfect kennzeichnet keine Mails als .virus, sondern die .pst-Datei wird in .virus umbenannt. Und die wegzuschmeissen, und damit das Kind mit dem Bade ausschütten, ist Blödsinn.
Und vielmehr ist es Desinfect, welches die Umbenennung vornimmt. Es sind ja vier Virusprogramme, die da über den Rechner drüberlaufen und dann wird bei einem Fund, egal welchen Scanners, die Umbenennung vorgenommen.
Scant man die befallene .pst außerhalb von Desinfect mit Avira im normalen RechnerBetrieb, und nicht vom Desinfect-USB-Boot aus, wird kein Schadbefall angezeigt. Was für mich bedeutet, das die Mails in der .pst abgekapselt sind.
Überlegung: Nun müsste man mglw. die Anlagen auslesen und dann auf Schadbestandteile scannen.
Es gibt Software, was die Anlagen komplett auslesen kann. Aber soweit ich gesehen habe nicht für Win 8.1 und Outlook 2013. Auslesen der Anlagen aus Outlook ist meines Wissens nur pro Einzelner Mail möglich, nicht aber aus Alle Anlagen eines Kontos. Oder täusche ich mich da?
Mobackup kann keine Anlagen extrahieren, oder legt diese außerhalb der *.pst ab?!
Und vielmehr ist es Desinfect, welches die Umbenennung vornimmt. Es sind ja vier Virusprogramme, die da über den Rechner drüberlaufen und dann wird bei einem Fund, egal welchen Scanners, die Umbenennung vorgenommen.
Scant man die befallene .pst außerhalb von Desinfect mit Avira im normalen RechnerBetrieb, und nicht vom Desinfect-USB-Boot aus, wird kein Schadbefall angezeigt. Was für mich bedeutet, das die Mails in der .pst abgekapselt sind.
Überlegung: Nun müsste man mglw. die Anlagen auslesen und dann auf Schadbestandteile scannen.
Es gibt Software, was die Anlagen komplett auslesen kann. Aber soweit ich gesehen habe nicht für Win 8.1 und Outlook 2013. Auslesen der Anlagen aus Outlook ist meines Wissens nur pro Einzelner Mail möglich, nicht aber aus Alle Anlagen eines Kontos. Oder täusche ich mich da?
Mobackup kann keine Anlagen extrahieren, oder legt diese außerhalb der *.pst ab?!
-
- Site Admin
- Beiträge: 2464
- Registriert: Sonntag, 01. Mai 2005 - 14:55 Uhr
- Wohnort: Leipzig
- Kontaktdaten:
Re: Malware in .pst identifizeren
Korrekt, MOBackup ist eine Backupsoftware, kein Datenexport.ToFi hat geschrieben:Mobackup kann keine Anlagen extrahieren, oder legt diese außerhalb der *.pst ab?!
Ich kenne da, das Tool AutoSave: http://www.add-in-world.com/katalog/ol-autosave-pro/ToFi hat geschrieben:Es gibt Software, was die Anlagen komplett auslesen kann.
Ich an Ihrer Stelle, würde die E-Mail ruhen lassen. Sie "schlummert" einfach nur in der pst-Datei. Solange Sie die Mail nicht öffnen, wird sie auch nicht aktiv. Und wenn, dann wird Sie Antivir entsprechend warnen.
Re: Malware in .pst identifizeren
Danke für den konstruktiven Vorschlag. Ich denke, das werde ich tun.
Salu T.
Salu T.