GData findet Trojan.Doc.DropperA in gelöschter Mail
 

Hallo zusammen,

während eines Leerlaufscans wurde obiger Trojaner unter (ich kürze ab):
...Appdata\Roaming\Thunderbird\Profiles\....\LocalFolders gefunden, und zwar in der Datei INBOX.

Der Trojaner soll sich in einer Mail vom 18.12.2014 befinden, die ich aber schon lange gelöscht habe und die auch nicht mehr im Ordner "Gelöscht" vorhanden ist. Der Betreff der alten Mail ist zu lesen und ich nehme an, dass es sich um die Rechnungsmail meines Internetanbieters handelt, die ich jeden Monat bekomme.

Ich habe die gesamte Inbox-Datei in der Größe von 108 MB zu Virustotal hochgeladen. Dort wurden von "lediglich" 6 von 56 Scannern der genannte Trojaner gefunden. Es handelte sich um Bitdefender, Dr.Web, Kaspersky, McAffee, Microsoft und "mein" GData.

Da ich regelmäßig GData und auch andere Pgrogramme über meinen PC laufen lasse, bin ich erstaunt, dass erst jetzt nach 5 Monaten dieser Trojaner gefunden wird. Ist es eventuell ein Fehlalarm ?

Viele Grüße

Rod

Hi,
hast Du vielleicht den Link vom virustotal-Resultat noch?

Ja, hier ist er:

https://www.virustotal.com/de/file/11a009a7e8e475223112e8bd2b7e91790342d4702ab610fb182be0bbda5d9990/analysis/1433237474/

Könnte es sich nicht auch um eine Spam-Mail handeln mit Malware-Anhang?
Glaube nicht, dass Dein Provider infizierte Sachen verschickt. Zudem handelt es sich wohl um eine MS-Word-Datei. Dein Provider verschickt bestimmt PDF.

Ja, die Rechnung kommt als pdf. Leider habe ich die letzte Rechnung schon wieder gelöscht, sonst könnte ich mal den Betreff vergleichen. Die vom Virenprogramm gefundene Mail nannte sich ungefähr: Message 2047 Rechnungsnummer 24112014 Thu 18122014.doc. Ist eventuell möglich, dass es ein solcher Malware-Anhang war. Ich kann mich schwach an derartige Meldungen des Virenprogramms erinnern.

Ich glaube, wenn ich den Ordner INBOX komprimiere, müsste das ja alles verschwunden sein. Nur, wenn es doch ein Trojaner war, hätte ich ihn ja damit eventuell nicht "ordentlich" bekämpft. Und die Frage bleibt trotzdem: Warum kommt erst nach 5 Monaten eine Meldung ? Und warum soll sich diese Mail noch in INBOX befinden ? Ist schon seltsam.

Wieso?

Naja, Du hast vielleicht ein präpariertes Dokument bekommen. Hast Du es denn mit Word geöffnet?


Z.B. weil erst jetzt ein Eintrag in die Signaturendatenbank des Antivirusprogramms stattgefunden hat. Das ist schon ein etwas längerer Zeitraum, aber bis heute erkennen nur wenige Programme hier Schadcode.

Das kann ich aus der Entfernung schlecht beurteilen. :)

Wenn Du Anhänge von unbekannten oder dubiosen Emails nicht anklickst bzw. öffnest, kann Dir praktisch nichts passieren.

Sag Bescheid, wenn ich den Rechner mal anschauen soll.

Hallo,

nein, Anhänge in dubiosen Mails öffne ich grundsätzlich nicht. Zusätzlich vorsichtig wäre ich erst recht bei so einer Mail, die sich "Rechnung" o.ä. nennt. So kann es nur so sein, dass es sich um eine aussortierte dubiose Mail handelt, die aber noch irgendwo existiert. Ich erinnere mich schwach, dass ich vor längerer Zeit meiner Tochter schrieb, sie solle nicht auf den Anhang in einer seltsamen Mail klicken, die gerade wieder im Internet unterwegs war. Vielleicht handelt es sich genau um diese Mail (siehe mein nächster Antwortsatz).

In einem anderen Forum bat ich mal um Hilfe, da es immer länger dauerte meine Mails aus den Ordnern herauszulöschen. Mir wurde mitgeteilt, dass ich ab und zu komprimieren müsse, da sonst die alten gelöschten Mails immer noch existieren und die MBox-Datei unnötig vergrößern, siehe auch hier (erster Absatz): https://www.thunderbird-mail.de/wiki/Ordner_komprimieren

Ich tat das und es funktionierte wieder. Ich habe nun lange nicht komprimiert und möglicherweise ist dies nun so eine gelöschte Mail, die ich ansonsten im "normalen" INBOX-Ordner und im Papierkorb-Ordner nicht finde. Aber wenn ich sie damals von selbst gelöscht habe, dürfte sie ja nicht mehr schädlich sein. Aber wenn sie gelöscht ist, wie kann dann das Virenprogramm einen Trojaner finden ? Suchen Virenprogramme in bereits gelöschten Mails, die sich auch im Papierkorb nicht mehr befinden ? Das verstehe ich nicht mehr.

Schade, dass ich nicht noch mal einen Blick in die monierte Mail werfen kann. Die von mir genannte 108 MB große Datei INBOX in ...Appdata\Roaming\Thunderbird\Profiles\....\LocalFolders ist nur eine Datei und kein Ordner. Ich will da nicht draufklicken, weil ich nicht weiß, was passiert.


Hm, das ist ungewohnt für mich. Da ist einiges Privates drauf, seit kurzem etliche Fotos, die ich noch auf Papier bringen will. Was müssten wir denn machen ?

-

Soeben habe ich Beiträge im Internet über genau diese Mail gefunden:
bits-meet-bytes.de/spam-rechnungsnr-24112014-278/

Ja, das war vermutlich die Mail, vor der ich auch meine Tochter warnte. Ich hatte sie sofort gelöscht und auch aus dem Papierkorb entfernt. Offensichtlich ist sie aber noch in der beschriebenen MBox. Also einfach jetzt komprimieren und sie wäre dahin ?

Gruß
Rod

Ich habe mit Thunderbird keine Erfahrung. Nur soviel, wenn Du den Anhang nicht mit Word öffnest, dann kann auch nichts passieren.

Dann lasse ich es jetzt am besten von GData desinfizieren oder ich komprimiere den Ordner. Beide Male müsste es ja wieder o.k. sein.

Danke für Dein Engagement
Rod

Genau.

Gerne. Alles Gute.