Malware Mails Behandlung

    Hi

    Speziell mails von Volksbanken/Raiffeisenbanken werden mir immer wieder vom Virenscanner als Malware (Phishing Mails) ausgewiesen.

    Prima: TB erkennt diese Mails als Junk und sortiert sie entsprechend in den Junk Ordner.

    Auch gut: Nach xxx Tagen werden sie dort gelöscht und landen im Papierkorb.

    Nicht so gut: Da ich den Papierkorb ein paar Tage erhalten will und nicht bei jedem Schließen des TB löschen will, bleiben die suspekten mails dort, bis ich sie per Hand aus dem Papierkorb lösche.

    Ganz schlecht: Auch dann noch stolpert der Virenscanner drüber, solange, bis ich alle Ordner komprimiert habe. Noch nicht ausprobiert: Komprimieren, wenn Speicherplatzersparnis > 1 kB. Dann müßte bei jedem Neustart komprimiert werden. Was hat das aber mit Speicherplatz zu tun:

    A) Meiner Meinung nach ist das ein (wohl historischer) Konzeptfehler, wenn eine mail, die ich aus dem Papierkorb lösche, physikalisch (ich meine als Dateibestandteil) trotzdem noch vorhanden ist - so daß ein Virenscanner darüber stolpert.

    B) Wie geht Ihr eigentlich damit um?
    Daß ich nicht der einzige mit diesem Problem bin, zeigen mir unzählige Forumsbeiträge im AVP-Forum, die alle fragen, was sie machen sollen, wenn sie die virenbehafteten Dateien gelöscht haben, aber das AV-Programm trotzdem noch meckert - aus Anwendersicht ein unmöglicher Zustand!

    Gibt es ein ein elegantes work-around?

    Gruß
    knicki

    Quote from "knicki"

    A) Meiner Meinung nach ist das ein (wohl historischer) Konzeptfehler, wenn eine mail, die ich aus dem Papierkorb lösche, physikalisch (ich meine als Dateibestandteil) trotzdem noch vorhanden ist - so daß ein Virenscanner darüber stolpert.


    Nein, der Grund ist, dass dadurch die Mboxdatei nicht bei jeder Änderung neu geschrieben werden muss, was sonst das grundsätzliche Risiko für Probleme erhöhe würde.

    Quote

    B) Wie geht Ihr eigentlich damit um?


    1. Mit Rechtsklick auf Papierkorb einstellen, dass Mails nach x tagen gelöscht werden sollen.

    oder

    2. Junk unter Umgehung des Papierkorbes per Rechtsklick löschen:
    http://www.erweiterungen.de/detail/Delete_Junk_Context_Menu/

    Danke allblue,

    Den Menüpunkt für den Papierkorb habe ich noch nicht gekannt.

    Mit diesem Menüpunkt und der Möglichkeit, schon bei minimaler Speicherplatzersparnis zu komprimieren, wäre eigentlich alles in Griff zu bekommen.

    Aber: Ich will TB abschließen und dann den Virenscanner laufen lassen. Das Komprimieren wird aber beim Neustart gemacht - d.h. wenn ich den Virenscanner laufen lasse, ist noch nicht komprimiert und der Scanner meckert.

    Gibt es da einen Tip, wie ich das Komprimieren beim ProgrammENDE durchführen lassen kann (außer von Hand natürlich)?

    Gruß
    knicki

    Ich gehe mal anders an die Angelegenheit heran:
    Du läßt Junk für eine begrenzte Zeit im Junk-Ordner. Ist ok, falls man mal nach einer falsch positiven Erkennung sucht. (Hab ich persönlich mit TB allerdings noch nicht gehabt, mache ich zur Sicherheit aber auch so.)
    Unter diesen Mails befindet sich auch Pishing Mails (sind zwar bei dir im Papierkorb, aber nichtsdestotrotz vorhanden), die dein Virenscanner findet und anmeckert. So weit verstanden.
    Was ich nun nicht verstehe: Wenn das AV-Programm die Kennungen hat, dann sollte doch auch der Hintergrund-Wächter diese Pishing-Mails erkennen und gar nicht erst bis in die Inbox (oder wo auch immer) durchlassen, zumindest nicht ohne den verdächtigen Inhalt zu löschen. Und was nicht da ist, kann auch der Scanner nicht finden. Oder verstehe ich etwas fasch?

    Hi Cosmo,
    danke für Stellungnahme.

    Ich verwende das kostenlose Antivir Personal Edition Classic. Und der Virenwächter checkt zwar bei jedem Datei-Lesen und -Schreiben, aber NICHT beim Laden von Mails.

    Später meckert das AV-Programm dann auch brav jedes Mal, wenn ich die Datei Inbox, Junk oder Trash aufmache - je nachdem, wo der Schmutz drinsteht. Und das ist natürlich recht lästig.

    Die kostenpflichtige Variante checkt angeblich auch die eingehenden Mails.
    Aber so...: Geschenktem Gaul usw.

    Gruß und frohes Fest!
    knicki

    Hier die Lösung, die ich aus mehreren Beiträgen gefunden habe:

    - Einen speziellen Ordner anlegen (bei mir heißt er "vernichten") und in dessen Eigenschaften einstellen, daß er nur 0 mails speichern soll.
    Der Trick daran ist, daß Thunderbird die aufgrund dieser Einstellung gelöschten mails NICHT über den Papierkorb entsorgt!

    - Eine Filterregel definieren, die die betreffenden mails in diesen Ordner schiebt.

    - Häufiges Komprimieren kommt noch dazu, denn (vermutlich) wird zwar der Papierkorb umgangen, aber kein automatisches Komprimieren durchgeführt.

    Das ganze ist damit nichts anderes als eine Filterregel, bei der die fehlende Option 'ohne Umweg über Papierkorb löschen' (im Dialog die Tastenkombination shift+entf) simuliert wird.

    Vorteil: Sowohl Junk-Ordner als auch Papierkorb können beibehalten werden, so daß man die Junks kontrollieren kann und etwas versehentlich Gelöschtes wieder retten kann. Aber die 'giftigen' mails sind bereits beim nächsten Komprimieren echt und wirklich gelöscht, so daß auch der Virenscanner nicht mehr darüber stolpert!

    Gruß knicki

    Hi!

    Quote from "knicki"

    A) Meiner Meinung nach ist das ein (wohl historischer) Konzeptfehler, wenn eine mail, die ich aus dem Papierkorb lösche, physikalisch (ich meine als Dateibestandteil) trotzdem noch vorhanden ist - so daß ein Virenscanner darüber stolpert.


    Warum stolpert der Virenscanner darüber? Weil ihm erlaubt ist, das Profilverzeichnis zu scannen. Das ist aber unnötig und sogar gefährlich (siehe Antivirus-Software - Datenverlust droht!). Eine gute Beschreibung der richtigen Einstellung von Avira AntiVir PE für Thunderbird gibt Toolman auf seiner Seite Avira Konfiguration für Thunderbird.

    Gruß, Sünndogskind_2

    Hi Sünndogskind_2!

    Ich habe den Beitrag gelesen, auf den Du verlinkt hast, und meine, der Schwarze Peter wird da dem Virenscanner zugeschoben, obwohl er beim Mailprogramm liegt.

    - Die pref.js-Datei wird vom AVP bei mir NICHT angemeckert. Und 'Datei automatisch löschen' ist bei mir auch nicht eingestellt, sondern grundsätzlich 'ignorieren', und anhand des Protokolls untersuche ich dann, was los ist. Also das ist alles kein Problem.

    - Wenn eine verseuchte Mail in der Datei Inbox, Junk oder Trash enthalten ist, dann erwarte ich von einem Virenscanner auch, daß er meckert. Wozu ist er sonst da?

    - Daß aber eine mail, die ich aus dem Papierkorb endgültig weggeworfen habe, noch in der Datei steht: das finde ich antiquiert.
    Meiner Meinung nach ist das ein Relikt aus den Anfangszeiten der Mailtools, denn mich erinnert das sehr an das damalige Reorganisieren einer Datenbank. Seinerzeit nötig, weil das furchtbar lange gebraucht hat. Heutztage sind die Rechner aber schneller und die Mailboxdateien auch keine griße Datenbank, so daß nach jedem endgültigen Löschen ein Neu Schreiben der Datei problemlos wäre.

    Gruß knicki

    Quote from "knicki"

    - Wenn eine verseuchte Mail in der Datei Inbox, Junk oder Trash enthalten ist, dann erwarte ich von einem Virenscanner auch, daß er meckert. Wozu ist er sonst da?


    Mein Virenscanner (bei mir NOD32) ist dazu da, beim Eintreffen einer Mail vor dem Speichern der Mail auf der Festplatte zu "meckern". Auf diese Weise sollte eigentlich gar kein Virus z.B. die Inbox-Datei kommen.

    Wenn ein Virenscanner zulässt, dass eine virenverseuchte Datei - egal ob E-Mail oder nicht - auf der Festplatte als bzw. in einer Datei geschrieben werden darf, ist das für mich ein Argument gegen den Anbieter des Virenscanners, das nur nebenbei.

    Quote

    - Daß aber eine mail, die ich aus dem Papierkorb endgültig weggeworfen habe, noch in der Datei steht: das finde ich antiquiert.
    Meiner Meinung nach ist das ein Relikt aus den Anfangszeiten der Mailtools, denn mich erinnert das sehr an das damalige Reorganisieren einer Datenbank.


    Das hat überhaupt nichts mit E-Mail-Programmen an sich zu tun. Der Bezug zu einem E-Mail-Programmen wie Thunderbird ist, dass das Standard-Format Mbox verwendet wird, wo alle Mails in eine einzige Datei geschrieben werden.

    Wichtig ist die Risikominimierung des ständigen "Neuschreibens" einer evtl. großen Mbox-Datei - meiner Meinung nach nicht "antiquiert", es gibt Leute mit riesigen Mbox-Dateien im Gigabyte-Bereich. Thunderbird könnte das, das Risiko liegt aber beim Betriebssystem und der Hardware (Festplatte) - weniger bei Thunderbird.

    Übrigens macht das z.B. Outlook Express ähnlich, da sind es zwar keine Mbox-Dateien, sondern ein anderes Format. Aber auch dort gibt es aus dem genannten Grund ein "Komprimieren" in den Einstellungen.

    Erwiesene Tatsache ist jedenfalls, dass das TB-Profilverzeichnis (warum auch immer) empfindlich auf Virenscanner reagieren kann - bis hin zu irreparablen Schäden.

    Apropos Papierkorb: Ist es nicht so, dass der Papierkorb durch die Funktion "Papierkorb leeren" augenblicklich (und nicht irgendwann später) komprimiert wird? Ich denke, es ist so.

    Danke für die ausführliche Antworten!

    allblue

    Quote from "allblue"

    Mein Virenscanner (bei mir NOD32) ist dazu da, beim Eintreffen einer Mail vor dem Speichern der Mail auf der Festplatte zu "meckern". Auf diese Weise sollte eigentlich gar kein Virus z.B. die Inbox-Datei kommen.

    Wenn ein Virenscanner zulässt, dass eine virenverseuchte Datei - egal ob E-Mail oder nicht - auf der Festplatte als bzw. in einer Datei geschrieben werden darf, ist das für mich ein Argument gegen den Anbieter des Virenscanners, das nur nebenbei.


    Zugegeben - die Gratisvariante des AVP ist da schwach, weil sie beim Laden die mails nicht prüft (die kostenpflichtige Variante tut das angeblich).

    Aber: Vertraust Du Deinem Virenwächter so hundertprozentig, daß Du nie einen Scan machst? Und der MUSS doch meckern, wenn sich etwas eingenistet hat - egal aus welchem Grund. Also egal, ob das Virus dem Virenwächter durchgerutscht ist, weil er das grundsätzlich nicht kann, oder ob er ein neues Virus nicht schnell genug oder nicht korrekt berücksichtigt hat.

    Und daß es heutzutage ein Risiko ist, eine - auch eine große - Datei neu zu schreiben: das kann ich nicht glauben. Wobei ich zugeben muß, kein besonderes Mitgefühl für Leute zu haben, deren Inbox-Datei im Gigabyte-Bereich liegt...

    Deine Links werde ich demnächst anschauen.

    Die Frage von Sünndogskind_2 (Papierkorb Leeren komprimiert gleichzeitig?) würde mich auch interessieren. Ich habe Fehlermeldungen vom AVP auch aus dem trash in Erinnerung - bin aber nicht sicher, ob der Papierkorb da geleert war.

    Gruß knicki

    Wir sind zwar leicht offtopic, aber nicht so sehr .. ;)

    Quote from "knicki"

    Aber: Vertraust Du Deinem Virenwächter so hundertprozentig, daß Du nie einen Scan machst? Und der MUSS doch meckern, wenn sich etwas eingenistet hat - egal aus welchem Grund. Also egal, ob das Virus dem Virenwächter durchgerutscht ist, weil er das grundsätzlich nicht kann, oder ob er ein neues Virus nicht schnell genug oder nicht korrekt berücksichtigt hat.


    Nein, 100% brauche ich nicht zu Vertrauen, es gibt ja zusätzlich noch brain.exe, und die sagt:

    • Thunderbird führt in Standardeinstellung keine Skripte in Mails aus, von daher droht (sehr sehr wahrscheinlich) keine Gefahr.
    • 99% der ankommenden Virenmails sind leicht erkennbar und verschwinden zudem im Junkordner und von da aus im Nirwana. Da ich regelmäßig die Ordner komprimiere, würde eine Virenmail gar nicht mehr gefunden, weil bereits entsorgt.
    • Sollte ein Virus unerkannt als Mail-Anhang durchrutschen, werde ich hoffentlich nicht draufklicken. Wenn ich es doch tun sollte ;), hilft auch ein nachträgliches Scannen mit upgedateten Virusinformationen der Mbox-Datei nichts, weil zu spät.
    • Alle Anhänge an einer E-Mail werden grundsätzlich von mir entfernt, entweder irgendwo abgespeichert oder gelöscht. Schließlich ist mein E-Mailprogramm nicht zur Dateiaufbewahrung (außer E-Mails) da.


    Ein Scannen meines Profilordners ist also relativ sinnlos.

    Und jetzt kommt was, was wohl nicht viele User hier gut finden: Aus Faulheit und den genannten Gründen lasse ich NOD32 ruhig auch mein Profilverzeichnis scannen - denn ich weiß:

    1. Es wird nichts gefunden.
    2. Und wenn doch, werde ich von einem modernen (!) Antivirenprogramm gefragt, was ich tun will. (Und ich würde dann die betroffene Mail ohne Gefahr in Thunderbird manuell löschen und dann komprimieren)
    3. Ich habe immer ein aktuelles Backup des Profilordners.

    Für Anfänger kann das aber leicht ins Auge gehen, daher empfehle ich das nicht.

    Aber es hilft sowieso nichts, wenn das Antivirenprogramm durch das Scannen des Profilordners die Arbeit von Thunderbird behindert.
    (Mein NOD32 macht das netterweise nicht.)

    Daher gilt grundsätzlich: Profilordner vom Scannen ausnehmen.

    Soweit erst mal .. ;)

    Hi allblue,
    danke für die ausführliche Antwort. Genau so etwas wollte ich mit meiner Frage wissen "B) Wie geht Ihr eigentlich damit um?"

    Und klingt sinnvoll bzw. plausibel.

    - Daß Du regelmäßig komprimierst, beruhigt mich. Ich war schon beunruhigt, wenn das regelmäßige Neuschreiben der Dateien irgendwie riskant wäre, daß es das Komprimieren auch ist - ist doch nichts anderes als ein Neuschreiben?
    Und das Komprimieren ist wohl der Schlüssel, um die Verwirrung zu vermeiden, daß irgend etwas noch da ist (aber 'unsichtbar'), obwohl man es gelöscht glaubt.

    - Wenn Du auf einen vergifteten Anhang klickst (habe ich unlängst gemacht :oops: ), rettet Dich glücklicherweise noch der Virenwächter...

    Gruß knicki

    Hallo Knicki,

    Quote from "knicki"

    - Wenn Du auf einen vergifteten Anhang klickst (habe ich unlängst gemacht Embarassed ), rettet Dich glücklicherweise noch der Virenwächter...

    warum das so ist (bei ausgeschlossenem Profilverzeichnis) habe ich vor kurzem mal in meinem Board erläutert. Bei Interesse, guck mal hier:

    http://agsm.de/forum/viewtopic.php?t=33


    schöne Grüße

    Toolman

    TB-Version: 128.3.3esr (64-Bit). ESET Smart Security, Windows 11 Pro

    Hi Toolman,

    ist bei mir viel trivialer, weil ich das Profilverzeichnis eben NICHT ausgenomen habe - weder beim Scan noch beim Virenwächter.

    So werde ich informiert, was da an Schmutz kommt, und kann mir das anschauen - schließlich gibt es ja auch Fehlalarme. Und da ich als Maßnahme nur 'ignorieren' eingestellt habe, ist mir bisher auch kein Datenverlust passiert - toi toi toi (beim avira AntiVir PersonalEdition Classic).

    Gruß knicki

    Hallo Knicki,

    Quote from "Knicki"

    So werde ich informiert, was da an Schmutz kommt, und kann mir das anschauen - schließlich gibt es ja auch Fehlalarme. Und da ich als Maßnahme nur 'ignorieren' eingestellt habe, ist mir bisher auch kein Datenverlust passiert - toi toi toi (beim avira AntiVir PersonalEdition Classic).

    so so, du hast dir also den Eintrag auf meinem Board nicht durchgelesen. Sonst wüsstest du das das Scannen des Profilverzeichnisses wegen des Zwischenspeicherns der Mail in %Temp% relativ überflüssig ist, von der Gefahr, das der Virenscanner dir irgendwas zerschießt mal ganz abgesehen. Manchmal reicht auch schon das verzögerte Schreiben und irgendeine Config-Datei ist nicht mehr ganz in Ordnung.


    schöne Grüße

    Toolman

    TB-Version: 128.3.3esr (64-Bit). ESET Smart Security, Windows 11 Pro

    Quote from "knicki"

    - Daß Du regelmäßig komprimierst, beruhigt mich. Ich war schon beunruhigt, wenn das regelmäßige Neuschreiben der Dateien irgendwie riskant wäre, daß es das Komprimieren auch ist - ist doch nichts anderes als ein Neuschreiben?


    Aber es ist schon ein Unterschied, ob ich alle 2 Tage komprimiere oder das Neuschreiben bei jeder Datenänderung (neue Email kommt, Email wird gelöscht, E-Mail wird beantwortet, E-Mail wird verschoben usw.)

    Das ist ein etwa 300-facher Unterschied bei mir (mal grob geschätzt)

    Hi,

    Toolman,
    doch! habe ich schon gelesen. Aber nicht weiter verfolgt, weil mir die Option im TB (dem AV-Programm irgendeinen Eingriff zu ermöglichen) suspekt ist.
    Scheint naiv, ist es aber nicht: Ich mag es einfach und klar: Das mail tool ist für die mails zuständig, das AV tool ist für die Viren zuständig.
    Daher ist mir diese Option unsympathisch. Was passiert da? Was kann das mail tool tun, damit der AV-Scanner (welcher denn eigentlich, woher weiß TB, welches AV-tool zum Einsatz kommt?) besser arbeitet? Scheint mir irgendwie obsolete! Aber vielleicht müßte ich nur wissen, was da passiert, um es besser zu verstehen.

    allblue
    Faktor 300: kann sein - kann nicht sein: hier muß ich passen. Ich weiß nicht, wie intern die Fortschreibung der inbox-, junk- usw. -Dateien gehandhabt wird. Kann sein, daß über einen Verkettungsmechanismus die Dateien tatsächlich nur fortgeschrieben werden. Kann aber auch sein, daß ohnehin jedes Mal die Datei neu geschrieben wird - wie gesagt: ich weiß es nicht.
    Wenn ich etwas philosophisch werde, dann argumentiere ich: Das ist ja gerade der Vorteil des digitalen Kopierens: Auch die x-te Kopie ist identisch mit dem Original. Und im Endeffekt weiß ich nie, was da auf der Platte wirklich passiert. Es würde mich wirklich interessieren, wie der zitierte Anwender (Gigabyte/Maildatei) das Zeitverhalten beurteilt: geht es bei ihm genauso schnell wie bei jedermann, wenn er nur eine einzige mail manipuliert, oder braucht er das x-fache an Zeit?

    Mein Problem: ich weiß zu wenig! Wo steht, wie TB die Dateien wirklich fortschreibt?

    Gruß knicki

    Quote from "Knicki"

    Daher ist mir diese Option unsympathisch. Was passiert da? Was kann das mail tool tun, damit der AV-Scanner (welcher denn eigentlich, woher weiß TB, welches AV-tool zum Einsatz kommt?) besser arbeitet? Scheint mir irgendwie obsolete! Aber vielleicht müßte ich nur wissen, was da passiert, um es besser zu verstehen.

    Hast du wirklich mein letztes Posting und den Board-Eintrag gelesen?

    Kann ich fast gar nicht glauben.

    Also noch mal ganz langsam zum mitschreiben:

    wenn die Einstellung für den Virenscanner gesetzt ist, erfolgt eine Zwischenspeicherung der Mail in %temp% und keine direkte Speicherung in der Mbox (halt eine Zwischenspeicherung) bevor die Mail dann in den Posteingang verschoben wird. Das soll vor Datenverlust schützen.

    aber das stand ja nur in meinen letzten Postings und noch mal relativ gut dokumentiert in meinem Board.

    schöne Grüße

    Toolman

    TB-Version: 128.3.3esr (64-Bit). ESET Smart Security, Windows 11 Pro