Malware in .pst identifizeren

Wo klemmt es in Outlook? AddIn gesucht? Wer kann helfen?
Antworten
ToFi
Beiträge: 3
Registriert: Sonntag, 26. Januar 2014 - 18:02 Uhr

Malware in .pst identifizeren

Beitrag von ToFi »

Hallo,
im Zuge der deutschlandweiten Botnet-Sache habe ich meinen Rechner mit DESINFEC´T gescannt und dabei wurde in einer meiner ***.pst-Dateien Malware entdeckt.

Die Zeile im Scan (gefunden von Avira) lautet:
/media/8A307E45307E3871/Users/***/Documents/Outlook-Dateien/POST.pst (O)
JS/Agent.GC

JS/Agent.GC ist der Schadcode.


Problem:
Ich finde die entsprechende Mail nicht, in der diese Malware enthalten ist. Zumindes nicht über die Suche im Konto "POST".
Und scanne ich die POST.pst nochmals mit AVIRA, wird keine Malware gefunden.

Frage:
Was könnte ich tun, um die entsprechende Mail zu finden?

Jemand eine Idee?

Salve
Heiko Schröder
Site Admin
Beiträge: 2457
Registriert: Sonntag, 01. Mai 2005 - 14:55 Uhr
Wohnort: Leipzig
Kontaktdaten:

Re: Malware in .pst identifizeren

Beitrag von Heiko Schröder »

Hallo,

das Problem wird sein, dass Avira die pst-Datei, aber nicht die einzelnen Mails überprüft hat. Die pst-Datei wird also zufälligerweise an einer Stelle die Struktur der genannten Malware aufweisen.

Denn wenn Avira einen Schadcode in Outlook entdecken würde, würde die Software diesen auch gleich aus der Mail entfernen und die Mail entsprechend im Betreff kennzeichnen, z.B.: *** VIRUS ***
Heiko Schröder Softwareentwicklung
Passwortverwaltung 1PW für Windows, Android und iOS
ToFi
Beiträge: 3
Registriert: Sonntag, 26. Januar 2014 - 18:02 Uhr

Re: Malware in .pst identifizeren

Beitrag von ToFi »

Ich habe das anders auf dem Schirm: Avira bzw. Avira aus Desinfect kennzeichnet keine Mails als .virus, sondern die .pst-Datei wird in .virus umbenannt. Und die wegzuschmeissen, und damit das Kind mit dem Bade ausschütten, ist Blödsinn.
Und vielmehr ist es Desinfect, welches die Umbenennung vornimmt. Es sind ja vier Virusprogramme, die da über den Rechner drüberlaufen und dann wird bei einem Fund, egal welchen Scanners, die Umbenennung vorgenommen.

Scant man die befallene .pst außerhalb von Desinfect mit Avira im normalen RechnerBetrieb, und nicht vom Desinfect-USB-Boot aus, wird kein Schadbefall angezeigt. Was für mich bedeutet, das die Mails in der .pst abgekapselt sind.
Überlegung: Nun müsste man mglw. die Anlagen auslesen und dann auf Schadbestandteile scannen.

Es gibt Software, was die Anlagen komplett auslesen kann. Aber soweit ich gesehen habe nicht für Win 8.1 und Outlook 2013. Auslesen der Anlagen aus Outlook ist meines Wissens nur pro Einzelner Mail möglich, nicht aber aus Alle Anlagen eines Kontos. Oder täusche ich mich da?

Mobackup kann keine Anlagen extrahieren, oder legt diese außerhalb der *.pst ab?!
Heiko Schröder
Site Admin
Beiträge: 2457
Registriert: Sonntag, 01. Mai 2005 - 14:55 Uhr
Wohnort: Leipzig
Kontaktdaten:

Re: Malware in .pst identifizeren

Beitrag von Heiko Schröder »

ToFi hat geschrieben:Mobackup kann keine Anlagen extrahieren, oder legt diese außerhalb der *.pst ab?!
Korrekt, MOBackup ist eine Backupsoftware, kein Datenexport.
ToFi hat geschrieben:Es gibt Software, was die Anlagen komplett auslesen kann.
Ich kenne da, das Tool AutoSave: http://www.add-in-world.com/katalog/ol-autosave-pro/

Ich an Ihrer Stelle, würde die E-Mail ruhen lassen. Sie "schlummert" einfach nur in der pst-Datei. Solange Sie die Mail nicht öffnen, wird sie auch nicht aktiv. Und wenn, dann wird Sie Antivir entsprechend warnen.
Heiko Schröder Softwareentwicklung
Passwortverwaltung 1PW für Windows, Android und iOS
ToFi
Beiträge: 3
Registriert: Sonntag, 26. Januar 2014 - 18:02 Uhr

Re: Malware in .pst identifizeren

Beitrag von ToFi »

Danke für den konstruktiven Vorschlag. Ich denke, das werde ich tun.
Salu T.
Antworten