Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
* Thunderbird-Version: 31.5
* Betriebssystem + Version: xp
* Kontenart (POP / IMAP): imap
* Postfachanbieter (z.B. GMX): web.de
Mein Virenscanner hat schon mehrmals Risiken in den komprimierten Dateien Trash und ibox gefunden. Er hat diese isoliert. Kann ich da vorbeugend was tun ? Danke.fra-wa
trash und inbox
-
fra-wa -
1. März 2015 um 18:47 -
Geschlossen -
Unerledigt
-
Hallo fra-wa,
kennst Du diesen WIKI Eintrag Antivirus-Software - Datenverlust droht!
Gruß
EDV-Oldi -
Das ist wohl kein Fall für's Forum sondern für einen Anwalt.
Und erstmal nix bezahlen. -
Hallo edvoldi, dieser Link hat mir bisher nicht weitergeholfen.
Hallo fra-wa,
dieser TextCodeDas Mbox-Format, das Thunderbird benutzt, speichert die E-Mails in einer großen Textdatei - gut lesbar für alle, auch für den Virenscanner. Wer hat schon mal in einer 600 MB großen Textdatei einen Rechtschreibfehler gesucht? So ähnlich geht der Virenscanner vor - er sucht nach bekannten Mustern anhand einer ihm bekannten Vorlage. Findet er einen Virus, so wird zuerst der Zugriff auf die Datei blockiert. Danach wird je nach Konfiguration und Virenscanner die Datei entweder gelöscht, verschoben oder es erscheint eine Warnmeldung auf dem Bildschirm ("Datei xyz ist mit dem Virus x infiziert") und man muss die Entscheidung selbst treffen. Leider kann auch schon beim Blockieren des Zugriffs auf die Datei die Mbox irreparabel beschädigt werden.
sagt doch eindeutig das jeder Virenscanner nicht das Thunderbird Profil Scannen darf. Beim löschen des Problems kann Dein gesamter Mail Inhalt gelöscht werden.Er hat diese isoliert. Kann ich da vorbeugend was tun ?
Erst einmal nicht im Admin Modus arbeiten, dann immer alle Software auf dem aktuellen Stand halten.
Und besonders wichtig nicht auf alles klicken was bunt und blinkt.
Auch niemals auf eine Spam antworten.
Alles andere hat Dir TussiMusterfrau schon geschrieben.
Gruß
EDV-Oldi -
Trojan.Zbot
Aufgrund des Befalls mit Trojan.Zbot ist der Rechner nicht mehr vertrauenswürdig. Und sollte daher nicht mehr benutzt werden.Das einzige, was ansteht, wäre eine saubere Neuinstallation des Betriebssystems, also ein Neuaufsetzen des Rechners.
Da der Beweis (Trojan.Zbot, E-Mail) für einen nachstehenden möglichen Rechtsstreit gesichert werden sollte, würde ich den Rechner unangetastet lassen.
Da nicht sicher ist, was Trojan.Zbot bisher angerichtet hat, würde ich -falls Internetbanking betrieben wird- die Bank informieren.
Ferner steht an, alle benutzten Passwörter zu ändern, dies sollte aber von einem anderen sauberen Rechner erfolgen. -
Das ist richtig, Mental, da hätte ich auch drauf hinweisen sollen.
Wenn fra-wa ein Image des Betriebssystems _vor_ dem Befall hat, dann könnte man das zurückspielen; würde eine Neuinstallation erübrigen.
Vorher aber die fragliche Mail als Beweis exportieren und vielleicht auf CD sichern. -
Hallo fra-wa,
wenn Du den Anhang wirklich nicht geöffnet hast, sehe ich die Sache etwas entspannter. Ein Trojaner in einer E-Mail ist harmlos, solange er nicht zur Ausführung kommt.
Um den Schädling los zu werden, genügt es in solchen Fällen, die betreffende E-Mail von der Festplatte zu löschen. Im TB musst Du dazu den zugehörigen Ordner nach dem Löschen noch komprimieren, weil gelöschte E-Mails erst dadurch wirklich gelöscht werden. Zuvor werden sie nur als gelöscht markiert und befinden sich nach wie vor in der Mailbox. Deshalb werden sie auch immer noch von der AV-Software gefunden.
Grundsätzlich bedenke aber den obigen Hinweis vom Oldi: Stelle Deine AV-Software so ein, dass sie auf keinen Fall E-Mails löschen darf.
Auch Beweise musst Du eher nicht sichern. Es ist doch ziemlich offensichtlich, dass das ein Betrugsversuch war. Besser wäre gewesen, auf diese E-Mail überhaupt nicht zu reagieren. Siehe dazu auch http://www.polizei-praevention.de/aktuelles/aktu…ag-in-mail.html
Gruß
Susanne
-
Hallo,
ich sehe das so:
Mein Virenscanner hat schon mehrmals Risiken in den komprimierten Dateien Trash und ibox gefunden. Er hat diese isoliert.
fra-wa hat also irgendwann eine verseuchte Mail erhalten und die auch gelöscht, aber die Ordner nicht komprimiert. Die Mail ist also noch in der Maildatei vorhanden und wird nur nicht mehr angezeigt, der Scanner findet sie natürlich dort noch.Dateiname: rechnung abo vom 12.05.2014 portal.com
die Mail war also wohl schon vom Mai letzten Jahres.
Ich öffne keine Anhänge und keinen link, schon gar nichts mit zip.
Aber was heißt hier inbox?damit wäre der PC dann auch nicht durch den Trojaner befallen. Die inbox ist der Posteingang, trash der Papierkorb.
kein Fall für's Forum sondern für einen Anwalt. Und erstmal nix bezahlen.
jein, der Fall mit der Rechnung gehört wohl zum Anwalt, wobei das hier m.E. nicht um die Pseudo-Rechnung ging, sondern der User damit dazu verführt werden soll, die Rechnungsdatei mit dem integrierten Trojaner zu öffnen.
Aufgrund des Befalls mit Trojan.Zbot ist der Rechner nicht mehr vertrauenswürdig. Und sollte daher nicht mehr benutzt werden.
Wenn fra-wa sich an seine oben zitierten Vorgaben gehalten hat, ist der PC vermutlich noch clean, ähm, na ja, zumindest dieser Trojaner wurde nicht aktiviert...fra-wa: Ich würde also zunächst mal ein komplettes Image machen und danach den Rechner mit einer Knopix (?) CD starten und scannen lassen. Es macht absolut keinen Sinn, den Rechner von der evtl. kompromittierten Festplatte aus zu starten oder das auf der Platte vorhandene Virenscanprog zu nutzen!
Siehe dazu z.B.Als nächstes solltest du deinen Rechner mit mehreren Scannern untersuchen, welche NICHT von deinem laufenden Windows aus gestartet werden.
Hintergrund: Moderne, gut programmierte Schadsoftware ist problemlos in der Lage, sich vor einem auf der WinDOSe installierten AV-Scanner zu verstecken bzw. diesen zu deaktivieren. Auch ist der Aussage eines einzigen AV-Scanners niemals zu trauen. Vor allem nicht, wenn es bereits Anzeichen einer Infektion gibt.Dazu besorgst du dir (bei einem Kollegen oder direkt durch Kauf beim Heise-Verlag) die ggw. aktuelle DVD mit dem "desinfec´t 2014". Es handelt sich dabei um die Beilage zur Zeitschrift c´t 12/2014.
Von dieser DVD wird dann der Rechner gebootet. Es startet dann ein Linux, welches vier unterschiedliche AV-Scanner automatisch aktualisiert und den Rechner damit untersucht. Dies wird viele Stunden dauern!Wenn das Ergebnis der Untersuchung negativ ist (= kein Fund), kannst du davon ausgehen, dass dieses auch der Tatsache entspricht, dein System also sauber ist.
Beim kleinsten Verdacht auf Befall gibt es nur eine Lösung: Alle Daten (auch dein TB-Userprofil) auf einen externen Datenträger auslagern, Platte formatieren und System neu aufsetzen.Edit: ups, da hat Susanne bereits geschrieben, ich war zu langsam, aber ich lasse es stehen
-
Hallo fra-wa,
bitte geh in einer anderen Reihenfolge vor:
- Virenscanner so einstellen, dass der nie mehr automatisch an den Thunderbird-Profilordner geht.
- (Thunderbird starten) alle Ordner komprimieren
- Backup machen
- Jetzt erst nach Viren scannen (auch den Profilordner, dabei den Virenscanner immer so konfigurieren, dass er nicht ohne Nachfrage löscht.)
Grund für die Reihenfolge: beim Komprimieren greifst du auf die Datei zu, die den Virus noch enthält (Posteingang=Inbox). Der Virenscanner schlägt also wieder zu. Deswegen zuerst Virenscanner richtig konfigurieren, dann komprimieren, dann scannen.
Grüße Ulrich
-
Hallo,
es fällt mir schwer darauf zu antworten, denn ich kenne die Software nicht.
Bei den "Antivirenprogrammen", die ich kenne, gibt es immer zwei Betriebsarten: Den "On Access Scan" und den von dir bewusst eingeleiteten Scan.
Der "On Access Scan" (kann auch anders heißen) scannt Dateien automatisch, wenn sie geöffnet, geschlossen oder verschoben/umbenannt werden. Und genau dieses automatische Scannen der Dateien im Thunderbird-Profilordner solltest du verhindern.
In der Regel kann man dazu in der Taskleiste auf das Symbol des Scanners klicken und "Einstellungen, Optionen, Controlpanel oder ähnliches aufrufen" (auch mal Rechtsklick ausprobieren).
Dann öffnet sich in der Regel das Fenster der Antiviren-Software und du kämpfst dich im Menü irgendwie zu den Optionen/Einstellungen/Konfiguration des "On Access Scanners" durch.
Dort kann man meistens "Ausnahmen" hinzufügen. Und du erstellst die Ausnahme, dass der "On Access Scanner" nicht im Ordner
c:\dokumente und einstellungen\wanke\anwendungsdaten\thunderbird\profiles\9y1fk3oo.default\
scannen darf.Alles weitere muss jemand beantworten, der die eingesetzte Software kennt (evtl. anderes Forum).
Grüße, Ulrich -
Hallo,
ZitatLetzteres ist doch der Profilordner. Also soll er diese Bedrohng ignorieren und da nichts entfernen?
Ja, der Ordner
c:\dokumente und einstellungen\wanke\anwendungsdaten\thunderbird\profiles\9y1fk3oo.default
ist der Profilordner.
Meine Meinung:
Ja, in dem Profilordner soll nicht unaufgefordert gescant und auch nichts gelöscht werden. edvoldi ist da auch meiner Meinung (wie er ja bereits mehrfach geäußert hat).Das Problem ist, dass "trash" eine Datei ist. Sie enthält alle E-Mails, die im Ordner "Papierkorb" sind (mbox!).
Ich beschreibe mal grob wie das abläuft, wenn du eine E-Mail mit einem Worddokument als Anhang bekommst (im Virenscanner ist der Profilordner vom Scannen ausgeschlossen):
Du benutzt IMAP => Thunderbird zeigt dir eine neue E-Mail in der E-Mailliste an. Jetzt klickst du auf die E-Mail um sie zu öffnen. Thunderbird läd die E-Mail (je nach Einstellung) komplett runter und speichert sie (je nach Einstellung) in einer mbox-Datei zusammen mit anderen E-Mails im Profilordner ab 1*) und zeigt dir auf dem Bildschirm die Nachricht der E-Mail an.
Hier musst du wissen, dass in einer E-Mail ausschließlich Text (Buchstaben) versendet werden können. Das ist historisch so gewachsen. Dann wollte man auch Dateien versenden können doch eine Datei sind keine Buchstaben. Also ging das zunächst nicht. Aber eine Lösung war schnell gefunden: man kam auf die Idee, Dateien vor dem Versenden in Buchstabensalat umzuwandeln. Der Empfänger kann ja aus dem Buchstabensalat wieder eine Datei erstellen. Das machen alle E-Mailprogramme und Webmaildienste für uns ohne dass wir es mitbekommen. Dieser Buchstabensalat ist Teil der E-Mail und wird daher auch in der mbox-Datei abgelegt.
Du klickst nun auf den Anhang und erklärst Thunderbird, er soll ihn direkt öffnen (nicht empfehlenswert, aber "worst case scenario"). Jetzt muss Thunderbird Word, das die Datei öffnen soll, ja irgendwie die Datei übergeben, es gibt im Augenblick aber nur Buchstabensalat. Also erstellt Thunderbird aus dem Buchstabensalat eine Datei und speichert sie in dem Temporären-Verzeichnis von Windows. Hier scannt der Virenscanner und lässt - egal was passiert - ein anderes Programm erst dann wieder an die Datei, wenn er keine Gefahr erkennen kann.
Thunderbird ruft schon Word auf da es die Datei öffnen soll, und sagt ihm, wo Word die Datei findet (im temporären Verzeichnis). Word versucht die Datei zu öffnen, doch es muss noch warten bis der Scanner fertig ist. Der Scanner sagt "keine Gefahr" und gibt die Datei frei. Jetzt erst öffnet Word die Datei/den Anhang.Ein "Virus" / "Trojaner" kann erst dann "aktiv" werden, wenn er geöffnet / ausgeführt wird. Als Anhang einer E-Mail ist er also noch völlig ungefährlich. Erst das Öffnen "erweckt ihn zum Leben".
Wo ist das Problem:
Antivirenprogramme sind wie eben dargestellt unter anderem dafür da, den Zugriff auf Dateien zu unterbinden und diese evtl. zu löschen / in Quarantäne zu stellen. Das Problem ist, dass Thunderbird mehrere (bei mir oft weit über tausend) E-Mails in einer Datei speichert. Löscht ein Antivirenprogramm eine solche mbox-Datei, so gehen mir wegen einem als schädlich eingestuften Anhang alle E-Mails dieser mbox-Datei verloren.
Daher darf mein Scanner im Profilverzeichnis nicht scannen. Findet mein Scanner etwas (er findet das ja dann im temporären Verzeichnis), dann weiß ich doch aus welcher E-Mail das stammt. Ich lösche also die entsprechende E-Mail in Thunderbird und komprimiere danach den Ordner. Dann lösche ich im temporären Verzeichnis die Datei (sofern ich das nicht dem Scanner überlassen habe). Damit ist der Virus/Trojaner nicht mehr auf meiner Festplatte und stellt keine Gefahr mehr da.Übrigens besteht nicht nur die Gefahr, dass die ganze mbox gelöscht wird, sondern hier wird auch gesagt, dass auch schon das Blockieren einer mbox Datenverlust nach sich ziehen kann.
Ich hoffe, ich konnte mich verständlich ausdrücken.
Grüße, Ulrich1*) Hier greift der Virenscanner zu, wenn er den Profilordner scannen darf.
PS: wenn ich meine Festplatte routinemäßig nach Viren scanne, dann schließe ich vorher Thunderbird und lass selbstverständlich auch den Profilordner scannen. Wenn mir dabei ein Fund angezeigt wird, schreibe ich mir das auf und befehle dem Virenscanner, die Hände von meinen E-Mails zu lassen. Ist der Scan abgeschlossen lösche ich die entsprechende E-Mail mit Thunderbird, komprimiere den Ordner, schließe Thunderbird und vergewissere mich durch einen erneuten Scan, dass ich die richtige E-Mail entfernt habe.
-
Hallo,
Zitat1.und speichert sie (je nach Einstellung) in einer mbox-Datei zusammen mit anderen E-Mails im Profilordner ab 1*) da mache ich gar keinen Scan ( ich weiß gar nicht wie )
Das ist der "On AccessScan" / "Guard" / "Wächter" (oder wie das vom jeweiligen Hersteller auch immer genannt wird): Alle Dateien, die nicht ausgenommen sind, werden beim Öffnen, Speichern und Umbenennen gescannt. Hast du also dein Profil nicht ausgeschlossen, wird die mbox gescannt, sobald eine E-Mail hineingeschrieben wird (Speichern!).
Zitat2.wenn ich meine Festplatte routinemäßig nach Viren scanne, dann schließe ich vorher Thunderbird und lass selbstverständlich auch den Profilordner scannen.
das mache ich wöchentlich, aber wozu TB schließen ?Findet der Scanner etwas in einer mbox, blockiert er (jeh nach Einstellung) den Zugriff auf die Datei. Will Thunderbird jetzt auf die Datei zugreifen (z.B. eine einkommende E-Mail hinzufügen), gibt es ein "Problem". Um dieses zu vermeiden, schließe ich vor einem Scan den Thunderbird.
Grüße, Ulrich
-
Community-Bot
3. September 2024 um 20:20 Hat das Thema geschlossen.
