Ver-vir-te Beiträge identifizieren

29/10/2008 - 18:09 von Ulrich G. Kliegis | Report spam
Moin,
Der Winter kommt, Zeit, mal wieder ein großes Reinemachen zu
veranstalten. Bei mir wühlt sich gerade avast durch viele Jahre
Pegasus-Archiv, der ist immerhin nicht so ignorant wie Norton, der
jede befallene Datei sofort löscht - bei Pegasus-Ordnern nicht gerade
konstruktiv.
Avast guckt auch in komprimierte Dateien hinein und nennt dann nicht
nur den Dateinamen, sondern auch noch den "Part", wo es einen
Bösewicht (meist Anlagen aus Uralt-Zeiten) gefunden hat. Ich vermute,
daß dieser Partname mit einem Einzelbeitrag in Verbindung zu bringen
ist, den ich dann ja gezielt löschen könnte. Aber wie stelle ich
bitteschön

a) den "Realnamen" des zu dem Filenamen gehörenden Ordners,
b) den darin enthaltenen fraglichen Beitrag, auf den die
"Part"-Bezeichnung weist,

fest? Es geht um schàtzungsweise 20 bis 30 Fundstellen (in einem
wirklich nicht kleinen Archiv), die ich dann manuell entsorgen könnte.
Ha, eben wieder ein Treffer, aber der war einfach, die Datei fing mit
"junk" an :)

Danke vorab und hinterher und überhaupt.

Gruß,
U.
 

Lesen sie die antworten

#1 Christoph Maercker
30/10/2008 - 11:20 | Warnen spam
Ulrich G. Kliegis wrote:
a) den "Realnamen" des zu dem Filenamen gehörenden Ordners,



Ordner in der Liste markieren \ mit rechter Maustaste "Folder
informationen" (= Ordnereigenschaften) auswàhlen
In den *.PMM steht der Ordnername übrigens im Klartext am Dateianfang,
mit einem Fileviewer kann man ihn einsehen.

b) den darin enthaltenen fraglichen Beitrag, auf den die
"Part"-Bezeichnung weist,



Du willst herausfinden, welche Mails innerhalb der Ordner infiziert
sind, oder? Das ist fürwahr nicht einfach, auch mein Virenscanner
(Kasperski AVP) macht dazu nur sehr ungenaue Angaben. Bei sehr großen
Ordnern nicht wirklich hilfreich.

fest? Es geht um schàtzungsweise 20 bis 30 Fundstellen (in einem
wirklich nicht kleinen Archiv), die ich dann manuell entsorgen könnte.



1. Grundregel zur Vermeidung solcher Situationen:
Dateianhànge möglichst vor dem Verschieben einer Mail in einen Ordner
als Dateien entpacken und aus der Originalnachricht löschen. Geht leider
nur im Newmail-Folder zu erledigen. Damit lassen sich die Ordner schlank
und beweglich halten. Spàtestens ab einigen 100MB werden die Ordner sehr
tràge. Suchen oder gar Reindizieren dauert Sekunden|Minuten|Stunden|...
Wenn so ein Ordner inkonsistent wird, hat PegaMail eine gute Weile zu
tun, um das zu reparieren.

2. Wenn es denn doch passiert ist:
Infiziere Ordner zunàchst nach Dateigröße sortieren. Damit bekommst Du
alle Mails mit Anhàngen en bloc aufgelistet. Die allermeisten Schàdlinge
halten sich dort und nur dort versteckt. Erkennbar sind sie vor allem an
den Dateiendungen, z.B. .exe, .pif, .scr, .bat, aber auch .zip. Als
Dateiname werden gern "Rechnung", irgendwas mit "sex", "naked" etc. o.à.
verlockende Bezeichnungen verwendet.

Als Nàchstes den Report des Virenscanners genau ansehen, ob sich
Hinweise auf Datum/Uhrzeit, Dateinamen, Absender u.a.m. der befallenen
Mails finden und die Ordner entsprechend den gefundenen Daten sortieren.
Hàufig sitzt der Schàdling zumindest in der Nàhe des vom Virenscanner
angegebenen Datums.

Falls Du damit nicht fündig wirst, Ordner gründlich ausmisten und falls
das nicht reicht, vorübergehend aufteilen:
Mails mit sehr großen Anhàngen wenigstens vorübergehend in temporàr
angelegte Ordner verschieben, am besten aber entpacken und, falls
notwendig, nur die Textbodies aufheben. Außerdem alles, was auf den
ersten Blick suspekt erscheint (seltsame Absender, verdàchtige
Dateinamen und Dateiendungen, ...) in anderen temporàre Ordner schieben
und den anschließend vom Virenscanner durchsuchen lassen.


CU Christoph Maercker.

Ähnliche fragen