Viren in inbox

  • Nach einem kathastrophalen Absturz meines PCs (nur noch Bluescreen) habe ich mein gesamtes System (Win XP) komplett neu installiert. Meine Mails hatte ich bereits ein paar Tage vorher durch Backup des Profilordners auf CD gesichert.
    Bevor ich die Mails durch Kopieren dieses Profils rekonstruiere, habe ich diesen Profilordner mal von meinem Virenschutzprogramm (G-Data von AOL) scannen lassen. Es fand in der Inbox massenweise Viren und Trojaner.
    Wie in diesem Forum schon öfters beschrieben, führt die Quarantäne zu Datenverlust. Ich traue mich aber nicht, das Profil mit den Viren einfach wieder zu importieren. Wie soll ich vorgehen, um meine Mails zurückzubekommen ohne wieder das Virenproblem zu kriegen?

  • Hi Wecker,


    und willkommen im Forum.
    Hier ist es nicht ganz leicht, dir mir ruhigem Gewissen eine Antwort zu geben.
    Zuerst einmal musst du selbst einschätzen, was du dir zutraust und was dir dein Mailarchiv "wert" ist. Dabei kann dir keiner helfen ... .


    Fakt ist, dass dein Virenscanner deine Maildateien "zerschießen" wird, wenn du nicht aufpasst. Das kann dir auch bereits bei diversen Importversuchen passieren. Also stelle zu allererst deinen AV-Scanner so ein, dass er zwar on-acess scannt, aber nur meldet und keinesfalls (!!) automatisch löscht oder desinfiziert.


    ... geht gleich weiter ...


    "Peter"

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    vielen Dank schon mal für Deine Antwort. Ich hatte mein gesichertes Profil auf einer zweiten Partition meiner Festplatte und habe nach der Virenattacke den ganzen Rechner scannen lassen. dabei wurde natürlich die Inbox aus dem Backup in Quarantäne verschoben und damit sind die Mails zunächst mal weg. Dieses "saubere" Profil habe ich erstmal importiert und damit zumindest alle gesendeten Mails zur Verfügung sowie einen älteren komprimierten Ordner mit empfangenen Mails, der offenbar clean ist.
    Habe aber dieses Profil zuätzlich nochmal komplett auf CD. Könnte es also von dort importieren. Aber wie gefährlich ist das? Ich hätte meine empfangenen Mails schon gerne wieder. Ich habe von einer Möglichkeit gelesen, diese einzeln in einen separaten Ordner zu exportieren um sie dort einzeln scannen zu lassen. ist mir aber nicht ganz klar, wie das geht (man braucht wohl eine Extension).


    Viele Grüße
    Thomas Wecker

  • Hi Thomas,


    jetzt gehts mit vollem Bauch weiter ... .
    Dir ist also genau das passiert, was du unbedingt vermeiden sollst. Also verbiete dem Scanner jegliche Automatismen! Und das für immer. Er soll scannen, melden und diese Datei blockieren - und DU entscheidest.


    Du kannst mit dem Programm "mboximport" versuchen, das Mögliche aus der verseuchten alten inbox herauszuholen.
    Ich würde dazu vorher eine Kopie des gesamten Profiles anlegen und die dortige inbox leeren. Jetzt muss ich aber gestehen, dass ich das Programm mboximport selbst noch nie benutzt bzw. benötigt habe. Kann dir also nicht sagen, ob du damit alle Mails auf einmal importierst oder bei jeder einzelnen gefragt wirst. Letzteres wäre gut ... .


    Das Problem ist, dass du irgendwie erkennen musst, welche der einzelnen Mails denn infiziert ist. Bei Einzelabfrage würde jedesmal der Scanner ein Zeichen geben. Dann unbedingt ignorieren (!) damit nichts kaputt geht und die Mail entweder nicht importieren (wenn das möglich ist) oder zumindest diese Mail aufschreiben zum späteren löschen.
    Nach dem Import die evtl. mit importierten infizierten Mails löschen. Und danach unbedingt den Ordner komprimieren. Erst damit werden die gelöschten Mails erntfernt.
    Danach den TB schließen und noch einmal das gesamte Profil scannen. Ich würde auch zu einem vollständigen Systemscan raten. Ja, ich würde die gesamte Prozedur auch niemals auf einem Produktiv-Rechner durchführen.


    Sollte das mit dem einzelnen Importieren nicht funktionieren, kannst du auch die endungslose inbox-Datei direkt in das Profil kopieren. Aber unbedingt danach den von der CD stammende Schreibschutz entfernen!


    Jetzt kannst du durch Öffnen der einzelnen Mails untersuchen, ob diese bzw. der dort vorhandene Anhang verseucht ist. Aber nicht die Anhänge einfach öffnen (halte ich aus Sicherheitsgründen grundsätzlich für falsch!), sondern diese in ein anderes (leeres) Verzeichnis kopieren. Spätestens dann müsste dir dein aktueller (!) Virenscanner ein deutliches Zeichen geben. Und dann immer gleich die betreffenden Mails löschen und den Mailordner zum Abschluss komprimieren.


    Alles das ist natürlich ein Drahtseilakt. Aber es ist auf jeden Fall möglich, damit alle derzeit bekannten Viren aus der Datenbank zu löschen. Ganz wichtig ist, Ruhe zu bewahren und den Scanner zu beherrschen! Und immer daran denken: Ein Virus ist (normalerweise) so lange ungefährlich, wie er nicht aktiv wird. Allein dessen Existenz in einem Mailanhang ist noch ungefährlich. Du darfst den infizierten Anhang "nur" nicht starten/öffnen.


    Und wie kannst du dich zukünftig schützen?
    - Ich betrachte den Virenscanner "Brain 01" als das wichtigster Mittel! Nicht wild auf jeden Anhang mit interessant klingendem Namen klicken. Anhänge grundsätzlich erst ablösen, scannen und dann erst öffnen. Einen Blick auf die Absender werfen usw.
    - Den AV-Scanner immer aktuell halten
    - Einen Scanner benutzen, welcher auch den eingehenden Mailverkehr überwacht. Der blockt, bevor der Schadcode in der Inbox liegt
    - Und auch regelmäßig den gesamten Rechner scannen lassen ("Es fand in der Inbox massenweise Viren und Trojaner." => das zeugt genau vom Gegenteil!)


    Viel Erfolg!
    Und immer schön sauber bleiben :-)


    MfG "Peter"

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    vielen Dank für diese ausführlichen Ratschläge. Es ist immer wieder beeindruckend, die spontane Hilfsbereitschaft im Internet zu erleben.
    Den Gedanken, das alte Profil mit den verseuchten Mails auf einem anderen Prechner zu bearbeiten hatte ich vorhin auch schon. Ich habe noch einen Win98-PC. Au diesem installiere ich eben Thunderbird. Mal sehen, ob das geht.
    Wie gesagt, von dem Backup des alten Profils habe ich zwei Versionen:
    (1) eine "entseuchte", in der allerdings die inbox vom Virenscanner in Quarantäne verschoben wurde (das habe ich übrigens manuell so entschieden - automatisch hätte der Scanner das nicht gemacht).
    (2) Eine komplette, die offenbar Mails mit Viren enthält.
    Im Moment habe ich das saubere Profil importiert und somit mein Adressbuch, meine versandten Mails und einen Teil der empfangenen. Das ist vorerst schon mal gut so. Ich werde jetzt in aller Ruhe versuchen, die mails aus (2) irgendwie rauszubekommen.
    Ob es überhaupt die Viren aus TB waren, die meinen Rechner so lahmgelegt haben, weiss ich nicht mal sicher. Ich hatte vorher auch einen Virenscanner, der immer aktualisiert wurde. Ich will nur jetzt kein Risiko eingehen, denn den PC komplett neu aufzusetzen, hat doch mit allem Drum und Dran über einen Tag gekostet.


    Viele Grüße aus München
    Thomas

  • > Es ist immer wieder beeindruckend, die spontane Hilfsbereitschaft im Internet zu erleben.


    Danke!
    Hat auch was damit zu tun, WIE die Fragen gestellt werden. Auf "plotzige" Fragen kann ich auch "plotzig" oder gar nicht antworten. Und wenn wir dann eine Erfolgsmeldung oder eine positives Feedback oder gar ein Dankeschön bekommen, dann spornt uns das an - und wir machen weiter ... .


    Die "entseuchte" Datei dürfte wohl hinüber sein. Zumindest beschädigt.
    Ist sie wesentlich kleiner als die "unbehandelte"?


    Was nicht heißen soll, dass man aus einer zerschossenen Datei nicht auch noch was rausholen könnte. Schau dir doch mal eine der kleineren Dateien mit dem Editor an (wenn du das eigentliche Problem gelöst hast). Du wirst ganz schnell eine Systematik erkennen. Und mit etwas Wissen und Erfahrung kannst du da auch noch einiges richten. Bei reinen Textmails - so wie ich sie grundsätzlich nutze - geht das sogar ganz zügig.


    So, die Sonne scheint in der Eifel ...


    MfG "Peter"

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • >Die "entseuchte" Datei dürfte wohl hinüber sein. Zumindest beschädigt.
    Ist sie wesentlich kleiner als die "unbehandelte"?


    Sie lieferte mir zumindest mein Adressbuch und meine versandten Mails und hat das richtige Mailkonto sofort wieder hergestellt. Soweit bin ich ja schon mal zufrieden.


    So, jetzt ab in die Sonne! Und Danke nochmal!

  • Ich habe ein ähnliches Problem hier...


    Der AntiVir meldete(!) mir heute 6 Viren in diverse TB-Boxen; zum Glück 6x den selben Virus aus der selben Mail, da durch diverse Einstellungen bzw. entsprechendes Löschen in verschiedene Ordner abgelegt:
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>


    C:\WINDOWS\Anwendungsdaten\Thunderbird\Profiles\l8q1bfrm.default\Mail\Local Folders\Inbox
    [0] Archivtyp: Netscape/Mozilla Mailbox
    --> Mailbox_[From: serv@phazen.net][Subject: Mail server report.]4806.mim
    [1] Archivtyp: MIME
    --> Update-KB859-x86.exe
    [FUND] Ist das Trojanische Pferd TR/Dldr.Stration.F
    [WARNUNG] Die Datei wurde ignoriert.
    C:\WINDOWS\Anwendungsdaten\Thunderbird\Profiles\l8q1bfrm.default\Mail\Local Folders\Trash
    [0] Archivtyp: Netscape/Mozilla Mailbox
    --> Mailbox_[From: serv@phazen.net][Subject: Mail server report.]408.mim
    [1] Archivtyp: MIME
    --> Update-KB859-x86.exe
    [FUND] Ist das Trojanische Pferd TR/Dldr.Stration.F
    --> Mailbox_[From: "e-komment.de - Handel u. Dienstleistungen, Her][Subject: [Fwd: Mail server report.]]410.mim
    [1] Archivtyp: MIME
    --> file1.mim
    [2] Archivtyp: MIME
    --> Update-KB859-x86.exe
    [FUND] Ist das Trojanische Pferd TR/Dldr.Stration.F
    [WARNUNG] Die Datei wurde ignoriert.
    C:\WINDOWS\Anwendungsdaten\Thunderbird\Profiles\l8q1bfrm.default\Mail\Local Folders\Sent
    [0] Archivtyp: Netscape/Mozilla Mailbox
    --> Mailbox_[From: "e-komment.de - Handel u. Dienstleistungen, Her][Subject: [Fwd: Mail server report.]]2522.mim
    [1] Archivtyp: MIME
    --> file1.mim
    [2] Archivtyp: MIME
    --> Update-KB859-x86.exe
    [FUND] Ist das Trojanische Pferd TR/Dldr.Stration.F
    [WARNUNG] Die Datei wurde ignoriert.
    C:\WINDOWS\Anwendungsdaten\Thunderbird\Profiles\l8q1bfrm.default\Mail\Local Folders\Spam
    [0] Archivtyp: Netscape/Mozilla Mailbox
    --> Mailbox_[From: dave <dave_1976@tjh.com>][Subject: [SPAM?]: picture]414.mim
    [1] Archivtyp: MIME
    --> readme.zip
    [2] Archivtyp: ZIP
    --> readme.msg.bat
    [FUND] Ist das Trojanische Pferd TR/Dldr.Stration.F
    --> Mailbox_[From: serv@phazen.net][Subject: Mail server report.]416.mim
    [1] Archivtyp: MIME
    --> Update-KB859-x86.exe
    [FUND] Ist das Trojanische Pferd TR/Dldr.Stration.F
    [WARNUNG] Die Datei wurde ignoriert.


    <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


    Ich habe die betroffenen Anhänge incl. der .exe-Datei natürlich nicht geöffnet und die Mail(s) aus allen Ordnern gelöscht, dennoch werden sie auch nach dem Hochfahren vom AntiVir noch angezeigt.


    Wie bekomme ich diese Dateien gelöscht/entfernt?



    Danke vorab,
    herr.emm

  • Zitat

    Wie bekomme ich diese Dateien gelöscht/entfernt?


    Komprimiere den Ordner in dem die Mail enthalten war. Gleiches auch für den Papierkorb. Dann sind die Mails erst wirklich gelöscht. Sonst sind die Mails nur markiert als gelöscht.


    schöne Grüße


    Toolman

    aktuellste TB-Version. ESET Smart Security, Windows 10 Pro

  • Hallo Toolman,


    vielen Dank für die schnelle Antwort und die Tipps.



    Bei der Komprimierung der Ordner werden aber natürlich nur die "als gelöschten markierten" Mails gelöscht, oder?!



    :oops:


    herr.emm

  • Gratulation ... .


    Und jetzt noch einmal der wichtige Ratschlag:


    Halte deinen Posteingang klein!!!
    Der Posteingang ist die sensibelste Stelle in deinem Mailprogramm. Wie du ja selbst erfahren musstest. Du solltest empfangene und gelesene Mails gleich in weitere Unterordner kopieren. Das sind wieder einzelne Dateien, die parallel zur Inbox existieren. Wie in einem gut geführten Büro - da ist der Posteingangskorb nach getaner Arbeit auch (meistens) leer.
    Solltest du dir jetzt wieder etwas "einfangen", dann kannst du den Posteingang vollständig löschen. Zumindest ist der Schaden dann sehr gering oder das Risiko auf viele Ordner verteilt und somit beherrschbar.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Vielen Dank für die Tipps - einiges habe ich ja bisher bereits so gehalten; vielleicht bis auf die Unterordner im TB... :roll:


    Sollte ich statt "kopieren" hier nicht lieber gleich "verschieben" - damit nur der Posteingang gefährdet ist und nicht andere Ordner auch noch...oder habe ich da einen Denkfehler?



    Mich wunderte in diesem Falle auch, dass nicht - wir in der Vergangenheit schon einige Mal geschehen - der AntiVir beim Eingang der Mail den Virus sofort meldete und anbot, die Datei gleich zu löschen...was ich dann auch sofort gern annehme; diese Meldung kam aber diesmal nicht.
    Erst beim turnusmäßigen (täglichen!) System-Scan mit dem AntiVir wurde der Fund angezeigt...ohne Option, die betroffenen Dateien gleich zu löschen... :?



    Hmm...



    Gruß von
    herr.emm

  • Hallo herr.emm,



    Zitat

    Mich wunderte in diesem Falle auch, dass nicht - wir in der Vergangenheit schon einige Mal geschehen - der AntiVir beim Eingang der Mail den Virus sofort meldete und anbot, die Datei gleich zu löschen...was ich dann auch sofort gern annehme; diese Meldung kam aber diesmal nicht.


    du hast offenbar, den Profilordner vom Guard ausgeschlossen.
    Das ist also ein völlig korrektes Verhalten.

    Zitat


    Erst beim turnusmäßigen (täglichen!) System-Scan mit dem AntiVir wurde der Fund angezeigt...ohne Option, die betroffenen Dateien gleich zu löschen


    du solltest das auch mit dem Scanner machen. Wenn du einen verseuchten Anhang öffnest wird die Datei in den Temp-ordner geschrieben und dann meckert der Virenscanner ohnehin noch einmal...


    Vergleiche deine Einstellungen mal mit denen hier:
    http://agsm.de/forum/viewtopic.php?p=110#110
    Wenn du das ganze mal testen willst, kannst du das über diese Seite machen...


    http://www.heise.de/security/d…demos/go.shtml?mail=eicar


    etwas ungefährlicher, weil nicht in die mbox-Datei schreibend ist mein AV_scan - Tool, das den Testvirus in dein Profil-Verzeichnis als Datei schreibt. Einen etwas ausführlicheren Beitrag habe ich hier mal veröffentlicht. http://agsm.de/forum/viewtopic.php?p=128#128


    schöne Grüße


    Toolman

    aktuellste TB-Version. ESET Smart Security, Windows 10 Pro

  • "herr.emm" schrieb:


    Mich wunderte in diesem Falle auch, dass nicht - wir in der Vergangenheit schon einige Mal geschehen - der AntiVir beim Eingang der Mail den Virus sofort meldete und anbot, die Datei gleich zu löschen...was ich dann auch sofort gern annehme; diese Meldung kam aber diesmal nicht.
    Erst beim turnusmäßigen (täglichen!) System-Scan mit dem AntiVir wurde der Fund angezeigt...ohne Option, die betroffenen Dateien gleich zu löschen... :?


    das meinen viele:

    "Ein Ungläubiger" schrieb:

    ...Ich meine, dass es auch an meinem Virenscanner eigentlich nicht liegen kann...


    weil es lange Zeit gut geht. Aber irgendwann ist bei den meist automatischen, mehrfach wöchentlichen erstellten Virendefinitionsdaten-Updates der Antivirussoftwarehersteller ein klitzekleiner Ausschnitt dabei, der mit einer Deiner Mails übereinstimmt. Die enthält somit nicht unbedingt einen Virus (oder es ist tatsächlich ein neu entdeckter Virus), aber je nach Virenscannereinstellung ist sie dann trotzdem gelöscht oder in Quarantäne. Also erstmal fort. Und mit Ihr alle anderen Mails dieses Ordners, da der Thunderbird alle Mail eines Ordners "am Stück" speichert. (So will es das MBox-Format) Siehe auch http://www.thunderbird-mail.de…1.5/problem_antivirus.php


    Und deshalb:


    - Virenscannern das scannen der Profile verbieten
    - Mails nicht im Posteingang lagern sondern auf Unterordner verteilen (dafür hat TB einen excellenten, (fast) frei anpassbaren Filter)
    - die regelmässigen Backups gut verstauen (Du machst doch Backups, gell?)