Ordner "Papierkorb" verschwunden, E-Mails lassen sich nicht mehr löschen

    Hallo feuerfelix,

    Zitat von feuerfelix

    Die in der Meldung genannte Datei ydbpcoji.exe existiert auf meinem Rechner nicht.

    Woher stammt diese Gewissheit?

    Hast du mal versucht, dein Inhalt deines Ordner %AppData%\Microsoft\ in der Konsole aufzulisten, ob dort dann der Unterordner Atuoegp auftaucht? Man kann dort auch versuchen, mit dem cd-Kommando (change directory) direkt in den Ordner zu wechseln .... es ist durchaus möglich, dass der Windows Explorer den Ordner und dessen Inhalt nicht anzeigt, auf der Konsole müsste es doch aber ggf. gehen, sofern der Ordner existiert ...

    Ich weiß nicht, ob sich so ein Ordner ggf. auch selber vor Konsolenzugriffen unsichtbar machen könnte, aber ein Verzeichniswechsel in den namentlich bekannten Ordner müsste dennoch möglich sein (eigentlich sogar in Windows Explorer, aber der Konsole traue ich hier noch einen Tick mehr. Kann falsch sein, bin nun auch nicht der Security-Hacker oder so.

    Nur wenn da wirklich nichts ist, würde ich den Rat von Ulrich durcharbeiten und das Mailprofil aus dem Backup restaurieren. Was dort in den Mailboxen an Malware liegt, tut erstmal nicht weh, da es sich dort nicht selber ausführen kann. Mail(s) identifizieren, die die beanstandete Malware enthält/enthalten, diese Mails löschen und dann TB-Ordner komprimieren, dasselbe ggf. nochmal mit dem jeweils verwendeten Papierkorb.

    Wenn jedoch dieser Ordner Atuoegp und darin diese ydbpoci.exe existieren, muss man den Rechner wohl als verseucht einstufen und möglichst zügig plattmachen und neu installieren (nicht aufsetzen, ist ja kein Hut :-P). Sofern noch nicht passiert, Nutzerdaten vorher sichern, also Dokumente, Bilder, Mails etc und natürlich die Profile von Programmen wie Firefox und Thunderbird.

    MfG

    Drachen

    Hallo,

    also ich war da vielleicht etwas zu vorschnell. Ich bin davon ausgegangen, dass das System bereits sauber ist (zu sein scheint).

    Spaßeshalber würde ich die Dateien im Ordner Autoegp mal bei virustotal.com oder jotti.org hochladen. Doch selbst wenn diese Dateien "unerwünschte" sind, dann ist ja noch nicht klar, dass es die einzigen sind. Auch wenn sie (noch) keinen bekannten Virus enthalten, lässt das auch keinen Schluss zu. Wie gesagt: spaßeshalber - die Info bringt dich wahrscheinlich nicht wirklich weiter.

    Also mein Ratschlag bezog / bezieht sich auf ein System, dem du vertraust. Ich bin da ganz bei Drachen!

    Solche Sicherheitsfragen kann ich nicht einschätzen. Früher habe ich ab und an im TrojanerBoard gelesen. Da könnte es Hilfe geben. Insbesondere hat mir gefallen, dass dort manche Schädlinge schon so bekannt waren, dass eine Neuinstallation nicht immer von Nöten war (angeblich - wenn man denen vertraut). Zum Glück war ich noch nie in der Lage, auf ihre Hilfe angewiesen zu sein.

    Grüße, Ulrich

    Hallo, Ulrich,

    ich habe alle vier fragwürdigen Dateien von virustotal und jotti überprüfen lassen, es ergab sich kein Befund.

    Ich konnte inzwischen die E-Mail, die mir die Dateien eingebrockt hat, identifizieren. Das E-Mail-Konto des angeblichen Absenders ist gehackt worden und es wurden dann E-Mails verschickt mit einem Link "Anhang zum Dokument", den ich leider angeklickt habe. Ich vermute, die Hacker habe auf diese Weise E-Mail-Adressen erbeutet, die sie dann verkaufen wollen.

    Ich denke, ich sollte die E-Mail löschen und auch den Ordner "Atuoegp". Was meinst du?

    Gruß feuerfelix

    Mache vielleicht zur Überprüfung einen Scan mit Malwarebytes

    https://www.malwarebytes.com//

    Der Download sollte nach Klick auf FREE Download starten.

    Installiere das Programm und starte einen Suchlauf.

    Poste den Inhalt des Logfiles in der Klammer CODE in deiner nächsten Antwort.

    Hallo,

    da du mich direkt angesprochen hast: Die betreffende E-Mail löschen, sie auch im Papierkorb löschen und alle Thunderbird-Ordner komprimieren ist ichtig. Ich bin mir nur nicht sicher, ob nicht noch etwsa kaputt gegangen ist durch den Eingriff des Virenscanners?

    Durch den Klick auf den Link kann alles mögliche passiert sein. Im Worst-case hatte/hat jemand oder ein anderer Computer Vollzugriff auf dein System, das ist gar nicht so schwierig (jeh nach Browser-/Systemeinstellungen). Vielleicht darfst du dich jetzt stolzes Mitglied eines Bot-Netzes nennen :-).

    Daher kann und will ich nicht einschätzen, ob dein Windows-System jetzt wieder vertrauenswürdig ist.

    Grüße, Ulrich

    Hallo, Ulrich,

    hier kann ich Entwarnung geben. Erstens habe ich den TB völlig neu per Download von Mozilla installiert. Zweitens habe ich ein altes Profil, das kurz vor dem Eingriff des Avira Rescue Systems gesichert wurde, mit neuem Benutzer aktiviert und habe die fehlenden E-Mails einfach nochmals von den Servern heruntergeladen, da ich alle meine E-Mails vom TB erst nach 30 Tagen auf den E-Mail-Servern löschen lasse. Ich musste zwar im Kalender noch zwei Termine nachtragen, aber jetzt funktioniert wieder alles normal. Es fehlen nur noch die beiden Sprachpakete Deutsch und Englisch, die sich mit Extras--->Add-ons--->Sprachen--->Sprachen verwalten nicht aktivieren lassen, obwohl sie in deaktiviertem Zustand vorhanden sind. Hier habe ich einen Fehler bei der Neuinstallation vom TB gemacht, als ich die entsprechende Frage mit "nein" beantwortet habe. Aber die Aktivierung werde ich auch noch schaffen.

    Übrigens habe ich mit Personal Backup (PB) mein neues TB-Profil wieder auf einer externen Festplatte gesichert. Dabei konnte als einzige die Datei "parent.lock" nicht geöffnet und damit wohl auch nicht gesichert werden (Protokoll des PB: "Die Auftrags-Datei konnte nicht aktualisiert werden."). Ist dies von Belang?

    Gruß feuerfelix

    Hallo feuerfelix und @all,

    das Problem hat sich ja prächtig entwickelt ... :/

    Alles in allem teile ich die Einschätzung, dass Dein PC als infiziert zu betrachten ist und von Grund auf neu installiert werden sollte. Jedenfalls wäre noch wesentlich mehr erforderlich, als nur das Avira Rescue System drüber laufen zu lassen, bevor man begründet von einem sauberen System ausgehen könnte. Das ist für einen unerfahrenen Anwender nicht machbar.

    Irgendwer schrieb was von 'Hijackthis'. Da habe ich ernsthafte Zweifel, ob das noch eine gute Adresse für Hilfe ist. Es gibt kein Impressum. Das Adminteam stellt sich tot. Andere Kontaktmöglichkeiten sind nicht gegeben. Helfer kann irgendwer ohne irgendwelche Reputation sein. Weit weg von den guten Tagen, die das Forum mal hatte.

    Boersenfeger , #15, Avira Rescue 'pfuscht' dem Windows Defender nicht dazwischen. Das ist ein Live-System, was den PC z. B. von CD bootet und so die Festplatte im inaktiven Zustand einer Infektion scannen kann. Das ist durchaus sehr sinnvoll und hier für den OP auch ausgesprochen angebracht. Allerdings kann man damit auch nachhaltig Schaden anrichten, wenn man mit so einem System nicht vertraut ist. Siehe vorliegender Fall.

    MSFreak , das kommt schon vor, dass der Windows Defener für solche Schadsoftware blind ist. Habe inzwischen auch eine solche Mail hier, die vor ein paar Wochen bereits von mehr als 20 Scannern auf virustotal.com als infiziert erkannt wurde, aber vom Windows Defender völlig unbehelligt blieb (bis heute). Die Gründe dafür habe ich mir noch nicht vollständig erarbeitet, aber es hat einen nachhaltig unguten Eindruck von der hier viel gepriesenen Schutzwirkung des Windows Defender hinterlassen. Ich schicke euch nach Absprache per PN gerne eine Mail mit dem fraglichen Anhang zu, wenn ihr das nachvollziehen wollt :)

    #23, Drachen , bei einer aktiven Infektion weiß sich Schadsoftware komplett unsichtbar zu machen. Auch mit dir & Co in der Konsole oder im Taskmanager. Nur mit einem Live-System, wie zum Beispiel dem Avira Rescue System oder dem auch schon zitierten desinfec't hat man eine Chance, die fragliche Datei sichtbar zu machen.

    feuerfelix , #26 ist ziemlich zweckfrei, da es sich bei den Datein mit hoher Wahrscheinlichkeit um verschlüsselte Objekte handelt. Einzig die .exe wäre interessant gewesen für virustotal.com. Andererseits könnte auch der Befund des Avira Rescue Systems weiterhelfen. Der muss explizit Treffer mit Namen der Schadsoftware ausgewiesen haben. Das hätte sicher weiterhelfen können für eine Einschätzung, womit Du es zu tun hast.

    Boersenfeger , welches Malwarebytes meinst Du? AdwCleaner oder deren AV-Scanner? AdwCleaner ist ein gutes Instrument um nach einer anderweitig erfolgten Bereinigung des Systems die Reste abzuräumen, aber nicht, um einen aktiven Virus zu eleminieren. Und die Installation einer AV-Software auf ein infiziertes System ist auch nicht zielführend. Letztlich stellt sich dann nur die Frage, ob Malwarebytes auch ein Live-System zur Verfügung hat.

    Zitat von feuerfelix

    Ich werde meinen Rechner natürlich jetzt aufmerksam beobachten, auch den TB.

    Das genügt IMHO nicht. Es gibt so viele Möglichkeiten, von denen Du gar nichts mitbekommst, die im Hintergrund weiter Schaden anrichten können. Auch für andere. Du selber hast ja oben schon einen Punkt mit dem Ausspähen von Mailadressen und deren Missbrauch thematisiert. Privat-PC hin oder her, so eine unklare Situation stehen zu lassen geht aus meiner Sicht gar nicht.

    Ohne zuverlässig bereinigtes PC-System wird es mMn ziemlich erratisch, noch an Thunderbird rumzudoktorn wohingegen Hilfestellung für die Virusbereinigung eines PCs in diesem Forum eigentlich Off Topic ist.

    Edit: Zu Deinem letzten Post, der entstand als ich meinen Beitrag schrieb: ich wäre da nicht beruhigt und würde nicht von Entwarnung sprechen. Eine aktiver Virus hat sich nur noch nicht so in das neue Profil gefressen, dass wieder Störungen auftreten. parent.lock sollte kein Problem bei der Sicherung darstellen. Spätestens wenn Thunderbird geschlossen ist, muss sich die Datei sichern lassen. Andernfalls ist schon irgendwas faul im Staate Dänemark. Sprachpakete: Brauchst Du die Oberfläche von Thunderbird in Englisch oder geht es Dir um Wörterbücher und Rechtschreibkorrektur? Wenn letzteres, dann schau mal über die Suche nach dem üblichen Missverständnis in diesem Punkt.

    Gruß

    Sehvornix

    Keyboard not found. Press any key to continue.

    "Woher soll ich wissen, was ich denke, bevor ich lese, was ich schreibe?"

    (Frei nach Edward Forster)

    Danke Sehvornix :-)

    Test mit Desinfec't o.ä., also einem von einem anderen Medium startenden Live-System, ist tatsächlich besser.

    feuerfelix: der ausgeführte Anhang hat sonstwas angestellt, dein PC muss leider als kompromittiert betrachtet werden. Da du sicher auch keine Computer von Familienmitgliedern oder Kommilitonen oder Kollegen oder oder oder infizieren willst, solltest du dich zügig um eine komplette Neuinstallation kümmern (ich mag "Aufsetzen" nicht, PCs sind keine Hüte ;-)). Sehr ärgerlich und zeitraubend, verbuche es als Lehrgeld - so schnell wirst du nicht mehr leichtfertig Anhänge von fragwürdigen Mails öffnen ....

    MfG

    Drachen

    Hallo feuerfelix,

    da du mich ausdrücklich angesprochen hast:

    TB-technisch hast du das super gemacht.

    Richtig gut finde ich, dass du eine Backupstrategie hast.

    Es wundert mich, dass parent.lock nicht gesichert werden konnte, denn ich hätte gedacht, dass PersonalBackup lesend auf diese Datei zugreifen darf.

    Grundsätzlich ist diese Datei für eine Sicherung nicht wichtig. Thunderbird erstellt sie beim Öffnen eines Profils. Sie enthält keine Daten. Sie ist einfach nur da um durch ihre Anwesenheit zu zeigen: "Finger weg: dieses Profil ist gerade geöffnet". Hat jemand z.B. zwei Thunderbirds auf seinem Computer weiß der zweite jetzt "ok, das Profil öffne ich nicht, sonst geht vielleicht etwas schief".

    Wird Thunderbird wieder geschlossen, wird normalerweise die Datei parent.lock aus dem Profiil auch wieder gelöscht.

    Grundsätzlich solltest du deine Backups machen, wenn Thunderbird nicht läuft. Ich meine irgendwo gelesen zu haben, dass man PersonalBackup so einstellen kann, dass es kontrolliert, ob Thunderbird gerade läuft - da habe ich keine Erfahrung, da ich was anderes für Backups benutze.

    Ist Thunderbird geschlossen, kann man die Datei parent.lock (sofern sie zB wegen eines Systemabsturzes noch im Profil ist) bedenkenlos löschen.


    Ich würde auf jeden Fall das alte Backup vom Thunderbird aufbewahren. Also das Backup, das du jetzt zur Wiederherstellung benutzt hast. Denn ich kann nicht bewerten, ob dein System vertrauenserweckend ist. Ich bin mit meiner Skeptik ganz bei Drachen und Sehvornix, kann aber keine Antivirenmaßnahmen vorschlagen/bewerten. Das wäre in meinem Fall unverantwortlich.

    Grüße, Ulrich

    Zitat von Sehvornix

    Boersenfeger , welches Malwarebytes meinst Du?

    Malwarebytes Free.... kein Antivirenprogramm und auch nicht die Dauersoftwareversion Premium sondern eine einmalige Durchsuchung. Wenn ich AdwCleaner gemeint hätte, wäre der entsprechende Downloadlink von mir gepostet worden... :)

    @ All: Ich bezweifle stark, das das System derzeit vertrauenswürdig ist und empfehle ebenfalls eine Neuinstallation nach vorheriger Datensicherung und Formatierung der Festplatte.

  • Community-Bot 3. September 2024 um 20:40

    Hat das Thema geschlossen.