Nach Update auf 78.5.0 schlägt Windows Defender Alarm: PWS:HTML/Phish.QF

    • Thunderbird-Version 78.5.0 (32-Bit)
    • Wurde gerade auf eine neue Versionsreihe aktualisiert, die alte Version war irgendwas mit 68.x.x, evtl auch älter 65.x.x.
    • Betriebssystem + Version: Windows 10 home ver. 1909, Build 18363.1139
    • Kontenart: IMAP
    • Postfach-Anbieter: Web.de
    • Eingesetzte Antiviren-Software: Win 10 Windows Defender / keine externe Antivirensoftware
    • Firewall: intern, Window 10 Defender

    Direkt nach dem Update auf 78.5.0 schlägt Windows Defender Alarm: gefunden wurde eine schwerwiegende Bedrohung namens PWS:HTML/Phish.QF, ein Kennwortstehlprogramm. Laut Microsoft ist das Programm gefährlich und zeichnet Benutzerkennwörter auf. Die betroffene Datei bzw. das betroffene Element (wie Microsoft es nennt) ist scheinbar die Inbox eines meiner Emailkonten: file: C:\Users\Name\AppData\Roaming\Thunderbird\Profiles\uyg9rzpr.default\ImapMail\imap.web.de\INBOX.

    Vor ein bis zwei Wochen hat sich Thunderbird auf meinem Notebook selbstständig aktualisiert und dort hatte ich danach exakt die selbe Warnmeldung.

    Handelt es sich dabei um einen bekannte Fehlalarm oder muss ich aktiv werden?

    Einmal editiert, zuletzt von H1zel (21. November 2020 um 23:48)

  • Thunder 21. November 2020 um 22:42

    Hat das Thema freigeschaltet.

    Hallo!

    Füge den Screenshot bitte per Copy'n'Paste direkt hier in einen Beitrag ein - Danke!

    Eigentlich dürfte die Thunderbird-Version keine besondere Veränderung an der Inbox-Datei verursacht haben. Warum aber auf beiden PCs jeweils direkt nach dem Thunderbird-Update die Warnmeldung aufgetaucht ist, bleibt dann die Frage, auf die ich keine Antwort habe.

    Die INBOX Datei wird ja dank IMAP vermutlich auf allen meinen Geräten synchron gehalten, wenn ich das richtig verstehe. Ich frage mich ob die Datei selbst kontaminiert ist oder ob sich in der Inbox eine Mail befindet, in der ein Schadecode angehängt oder versteckt ist. Wenn die Datei selbst betroffen ist, müsste der Schadecode die INBOX Datei ja gelöscht haben und durch eine veränderte Kopie inkl. Schadcode ersetzt haben.

    Die dritte Option wäre, dass es ein bekanntes Problem mit Web.de Konten ist, also eine Unschärfe in der Antiviresnsoftware, die Fehlalarm schlägt, weil einige Signaturen ähnlich zu eienr Schadcode-Signatur sind. Aber das kann ich wohl abhaken, sonst wäre das hier sicher bekannt.

    Hallo H1zel,

    Zitat von H1zel

    oder ob sich in der Inbox eine Mail befindet, in der ein Schadecode angehängt oder versteckt ist.

    :thumbup: Den Ansatz würde ich mal genauer verfolgen. Es wäre allerdings das erste Mal hier im Forum zu lesen, dass der Windows Defender auf die mbox-Datei 'INBOX' angesprungen ist.

    Zitat von H1zel

    Die dritte Option wäre, dass es ein bekanntes Problem mit Web.de Konten ist

    Nope. Hab hier auch web.de mit IMAP und keine derartige Meldung mit 78.5.0 (64 Bit) sowie nur Windows Defender.

    Gruß

    Sehvornix

    Keyboard not found. Press any key to continue.

    "Woher soll ich wissen, was ich denke, bevor ich lese, was ich schreibe?"

    (Frei nach Edward Forster)

    Hallo,

    Option 1 dürfte zutreffen.

    Option 2 verstehe ich nicht und Option 3 halte ich auch ohne eigenes web.de-Konto für unwahrscheinlich.

    Zu Sehvornix' Bemerkung über den Defender fällt mir eine Frage ein: Hast du dein Profil eventuell per profiles.ini zu einem anderen Speicherplatz verlegt? Oder das Profil zerrissen und einzelne Ordner anderswo abgelegt?

    MfG

    Drachen

  • Community-Bot 3. September 2024 um 20:40

    Hat das Thema geschlossen.