NetSky.D.3

Oligitim · 23.11.2009, 19:39

Hallo,
bitte um Eure Hilfe:

Beim Importieren von E-Mail-Dateien aus Outlook 2003 in T-Online 6.0 E-Mail meldete Antivir Personal (Free) eine Infektion der Datei "att8.tmp" im Ordner "TEMP" mit dem Erkennungsmusters des Wurms "WORM/NetSky.D.3".

Habe diese Datei in die Quarantäne geschickt und bei VirusTotal hochgeladen. Alle 41 Scanner haben den Befall bestätigt.
Ein Suchlauf bei Antivir und Malwarebytes hat keine weitere Infektion gemeldet.

Was tun?

Es dankt für Hilfe

Oligitim

Oligitim · 23.11.2009, 20:24

(editiert).....

Oligitim · 24.11.2009, 13:31

Hat keiner einen Tipp für mich ?

Danke
Oligitim

Oligitim · 25.11.2009, 13:44

Immer noch keiner eine Idee für mich?

Gruß
Oligitim

cosinus · 25.11.2009, 13:47

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Oligitim · 25.11.2009, 17:41

Hier zunächst das Protokoll von MalwareBytes:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3228
Windows 5.1.2600 Service Pack 3

25.11.2009 14:59:11
mbam-log-2009-11-25 (14-59-11).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 154092
Laufzeit: 39 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Oligitim · 25.11.2009, 18:58

Ich nutze eigentlich immer die T-Online Software, die taugt zwar auch nichts, aber da ich seit 10 Jahren mein gechäftl. Onlinebanking damit mache und die Daten (die ich immer mal wieder brauche) nicht in eine andere Bankingsoftware kopierbar sind, bin ich an dieses Programm gebunden.
Auf einem neuen Rechner hatte ich nun T-Online 6.0 wieder installiert und die E-mail Daten aus Outlook (was ich ein paar Tage übergangsweise genutzt hatte) in T-Online importiert.
Ich selbst öffne natürlich keine verdächtigen E-Mail-Anhänge, beim Importieren kam nun besagte antivir-Meldung.
Ich nehme mal an, dass der Scanner beim Importieren des verseuchten Anhangs Alarm hat geschlagen und dass die Importfunktion nicht einfach Anhänge ausführt, aber wer weiss.
Bitte schaue doch noch in meine Files, ob Du was erkennen kanst.

Danke
Oligitim

Oligitim · 27.11.2009, 13:16

Will keinesfalls drängeln, aber wenn vielleicht noch mal ein Kundiger einen Blick in die logfiles werfen könnte ?

Vielen Dank
Oligitim

Oligitim · 27.11.2009, 14:13

Sorry verstehe nicht ganz:

Ordner kompaktieren ?

Habe die befallene E-Mail natürlich gelöscht, die infizierte tmp-Datei ruht in der Antivir-Quarantäne.

Habe wie angewiesen nach entsprechender Konfiguartion die Antivir-Software laufen lassen und das Protokoll hier eingestellt (so wie ich es sehe kein Befund).

Ebenso Malwarebytes ohne erkennbaren Befund für mich.

Die log. bzw. info.txt-Datei von HijackThis ebenfalls hier eingestellt (hab das mit dem zippen, hochladen und verlinken nicht getan, weil die Protokolle problemlos hier reinpassten), bin jedoch in der Auswertung von HijackThis-Protokollen völlig ahnungslos und dachte ein Kundiger könnte mir ohne allzu große Belästigung seinerseits sagen, ob alles o.k. ist.

Nochmals: ich habe den inkriminierten E-Mail-Anhang nicht selbst geöffnet (soviel verstehe ich dann auch von PC-Sicherheit, dass eine .pif-Datei mit dem Vermerk Re: Your Documents zugesandt nicht koscher ist).
Habe sogar bei der T-Online Hotline für teuer Geld angerufen, um zu fragen, ob die T-Online Software beim E-mail-Import Anhänge nur kopiert oder auch ausführt: die Aussagekraft/Sicherheit der Antwort könnt Ihr euch vielleicht vorstellen ("äh.. kopieren... öffnen .. ausführen...äh...was ist pif ..???.").

Ich will alles gerne tun was nötig ist zur Beantwortung meines Problems (ist alles gut gegangen oder steckt das Biest jetzt in meinem System ?) und niemanden über Gebühr belästigen, sorry, wenn ich zu dösig bin

.

Liebe Grüße und Danke
Oligitim

cosinus · 29.11.2009, 15:30

Nochmal ausführlich, ich hab Dir den Link dazu gegeben. Anklicken und lesen musst Du es aber eigentlich selber. Nun gut, dann direkt als Zitat was ich mit dem Link ausdrücken wollte:

Zitat:

Zitat von sicher-ins-netz.info (Markus Klaffke)

Frage: Mein Virenscanner hat im Profilordner bzw. in einer Mailbox-Datei meines eMail-Programmes einen Schädling entdeckt. Wie muss ich vorgehen?

Antwort: Nicht selten melden einige Virenscanner Schädlinge innerhalb von Mailbox-Dateien, z.B. bei Nutzung der eMailprogramme Mozilla (Thunderbird) oder Netscape, aber auch Outlook bzw. Outlook Express. Dies bedeutet zunächst einmal keine Gefahr, solange ein Schädling in einer Mail nicht durch den Nutzer selbst ausgeführt wird.

Der Schädling ist hierbei also nicht aktiv, er liegt vielmehr inaktiv in der Mailbox.

Einige Virenscanner bieten hier die Löschung der Datei an, was Sie jedoch nicht bestätigen sollten. Der Grund: Mehrere eMails eines Ordners, z.B. des Posteingangsordners ihres Mailrogrammes, werden innerhalb einer Datei abgelegt. Stimmen Sie nun der Löschung zu, würden mit ihr auch alle anderen eMails Ihres Posteingangs verlorengehen.

Es macht also prinzipiell keinen Sinn, Mailbox-Dateien durch einen Virenscanner überwachen zu lassen. Löschen Sie besser suspekte Mails sofort, und wählen von Zeit zu Zeit in Ihrem Mailprogramm "Datei >Ordner komprimieren". Damit werden auch alte, bereits nicht mehr offensichtliche Mails, endgültig aus der Mailbox-Datei entfernt.

Ausführlichere Erläuterungen zu dieser Problemstellung finden Sie hier.

cosinus · 27.11.2009, 13:22

Du musst die Ordner kompaktieren, steht doch da alles.
Die virulenten Mails vorher löschen.

Erst wenn noch woanders Viren gefunden werden (also nicht nur im Postfach bzw. in den Mailboxdateien) lohnt sich da ein genauerer Blick noch drauf.

27.11.2009, 13:22	#11
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	NetSky.D.3 Du musst die Ordner kompaktieren, steht doch da alles. Die virulenten Mails vorher löschen. Erst wenn noch woanders Viren gefunden werden (also nicht nur im Postfach bzw. in den Mailboxdateien) lohnt sich da ein genauerer Blick noch drauf. __________________ Logfiles bitte immer in CODE-Tags posten

NetSky.D.3

Plagegeister aller Art und deren Bekämpfung: NetSky.D.3

NetSky.D.3

NetSky.D.3

NetSky.D.3

NetSky.D.3

NetSky.D.3

NetSky.D.3

NetSky.D.3

NetSky.D.3

NetSky.D.3

NetSky.D.3

NetSky.D.3

Ähnliche Themen: NetSky.D.3

23.11.2009, 20:24	#2
Oligitim	NetSky.D.3 (editiert)..... __________________

24.11.2009, 13:31	#3
Oligitim	NetSky.D.3 Hat keiner einen Tipp für mich ? Danke Oligitim __________________

25.11.2009, 13:44	#4
Oligitim	NetSky.D.3 Immer noch keiner eine Idee für mich? Gruß Oligitim

27.11.2009, 13:16	#8
Oligitim	NetSky.D.3 Will keinesfalls drängeln, aber wenn vielleicht noch mal ein Kundiger einen Blick in die logfiles werfen könnte ? Vielen Dank Oligitim