Nach Aufspielen von Virensoftware alle mails weg! [erl.]

  • Hallo,
    ich benutze Thunderbird 2.0.0.21 auf XP SP3. Gestern habe ich die neue Computerbild Virensoftware Kaspersky Security Suite CBE aufgespielt.Vorher hatte ich die aktuelle Computerbild Version drauf,sowie zusätzlich Spybod S&D. Der Computer war sauber. Nach der Installation der neuen Software hat er mir 69 Troyaner angezeigt.Diese habe ich dann gemäß Empfehlung voll Verwunderung gelöscht. Heute musste ich feststellen das Thunderbird zwar noch alle mails die ich hatte samt Anhang anzeigt, wenn ich die mail öffne ist der Inhalt jedoch weg. Lediglich die mails im Papierkorb, gesendete mails und mails auf einem anderen Konto werden angezeigt. Nun vermute ich das die "Trojaner" einfach meine mails waren.
    Frage: Wie kann ich feststellen ob der Inhalt noch irgendwo gespeichert vorliegt? Wie würden sich die mails wiederherstellen lassen?
    Bitte dringend um Hilfe da diese mails für mich sehr wichtig waren.

  • Zitat von "kuhtreiber"

    Bitte dringend um Hilfe da diese mails für mich sehr wichtig waren.


    Hallo kuhtreiber,


    und Willkommen im Thunderbird-Forum! ;)


    Und da hast Du *keine* Sicherung Deiner e-mails :?:
    Lies Dir mal den Eintrag in unserem Wiki durch bezüglich Viren-Scanner und Zugriff auf die mail-Konten.


    Hast Du die vermeintlichen Schädlinge (blindwütig) gelöscht oder nur in Quarantäne verschoben?
    Kaspersky arbeitet in der Regel äußerst gründlich - sprich wenn, dann befürchte ich ein *schmerzhaftes* Lernerlebnis. :gruebel:


    Werden denn die mails auch nach einem Komprimieren noch in der Liste angezeigt?


    MfG ... Vic

  • Hi kuhtreiber,


    und willkommen im Forum.
    Ja, so etwas nenne ich "Lernen durch Schmerzen".
    Du solltest jetzt schnellstens das machen, was du hättest zuallererst machen sollen: Unsere Anleitung genau studieren! Dann weißt du nämlich, wo deine Mails gespeichert werden, dass Thunderbird sauber zwischen dem Programm und den eigentlichen Daten trennt, und wie die Daten in deinem eigenen Thunderbird-Profil heißen und was sie beinhalten. Du weißt dann auch, warum du unbedingt einem Virenscanner untersagen musst, schreibend auf dein Mailprofil zuzugreifen. Aber das weißt du ja jetzt auch schon ... .


    Als nächstes machst du ein komplettes Backup deines Profilordners. Kopiere dazu den Profilordner /Thunderbird mit allem was drin ist, an einen "sicheren Ort". Dann vergleiche mit Hilfe der Anleitung, was von deinen Profildaten noch übrig ist. Schau dazu auch mit einem Texteditor in die endungslosen mbox-Dateien wie "inbox" usw. Wenn du viel Glück hast, sind da noch Mails zu erkennen. Wie groß sind bei dir diese Dateien? Die Namen dieser Dateien werden dir bekannt vorkommen - es sind die Namen deiner "Mailordner".


    Je nach Ergebnis deiner Untersuchung ist vielleicht noch etwas zu retten - oder auch nicht. Wichtig sind vor allem jetzt eindeutige Ergebnisse deiner Untersuchung.


    Was ist passiert?
    Du hattet dir Malware eingefangen. Diese hat der Scanner in den Mboxdateien erkannt - und diese gleich gelöscht. Und da alle Mails eines Ordners in Wirklichkeit in einer einzigen Datei gespeichert werden, wurde die gesamte Datei als infiziert erkannt und beseitigt. 2 Punkte für den Virenscanner ... .


    Viel Glück!


    MfG Peter (zu spät, aber trotzdem ... . Nach Sicherung frage ich gar nicht erst.)

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Zuerst mal vielen Dank für Eure Infos. Also so richtig blicke ich da noch nicht.Im Ordner Thunderbird befinden 3 Unterordner.Wir haben 3 Konten. Gut. 2 kann ich zuordnen einer nicht. In diesen Unterordnern befindet sich eine Menge Zeug. Darunter auch die Ordner "Chrome"- "Extension" - "mail" Der Ordner "mail" hat in meinem Konto 551MB. Darunter befinden der Ordner "Local Folders" Mail. Posteingang.de und 7 Pop . xxx.de Ordner. Diese Ordner zeigen unterschiedliche Werte. Von wenigen KB bis mehrere MB. In diesen wiedeum findet man wieder 6 Ordner.Unter anderem die Inbox. Alle diese Ordner sind leer. Ich könnte also davon ausgehen das die Daten weg sind. Jedoch habe ich mein erstes Konto und das meiner Frau auf dieselbe Art untersucht. Auch diese Ordner sind leer. Aber bei den letztgenannten Konten sind die mails noch zu lesen. Hä???
    So, jetzt brauche ich nochmal Hilfe. Wie geht es weiter.
    Übrigens habe ich das Programm PC Inspector File Recovery. Wenn ich wüsste wo genau zu suchen ist und wie die Endungen heisen .txt? könnte ich evtl. noch was retten.
    Euer Handbuch habe ich durchgelesen. Uff. Ich möchte nicht behaupten das ich nun den Durchblick hätte. :redface:

  • Ich habe noch etwas herausgefunden. Es gibt die Datei "Inbox.msf" diese enthält noch die meisten mails. Wie kann ich die umwandeln das Sie bei Thunderbird wieder erscheinen?

  • Zitat von "Peter_Lehmann"

    Du solltest jetzt schnellstens das machen, was du hättest zuallererst machen sollen: Unsere Anleitung genau studieren! Dann weißt du nämlich, wo deine Mails gespeichert werden, dass Thunderbird sauber zwischen dem Programm und den eigentlichen Daten trennt, und wie die Daten in deinem eigenen Thunderbird-Profil heißen und was sie beinhalten.
    ...
    Dann vergleiche mit Hilfe der Anleitung, was von deinen Profildaten noch übrig ist. Schau dazu auch mit einem Texteditor in die endungslosen mbox-Dateien wie "inbox" usw.


    Ergänzung: ... dann wüsstest du auch, dass die *.msf-Datei relativ wertlose Indexdateien sind, welche lediglich eine Art Inhaltsverzeichnis deiner (gewesenen ?) endungslosen mbox-Dateien darstellen. Diese kannst du bedenkenlos löschen, sie werden automatisch neu erstellt. Es sei denn. du möchtest sie als Erinnerung an deine Mails behalten.


    NB: Noch einmal schreibe ich das alles nicht. Es geht, wenn überhaupt, erst weiter, wenn du das o.g. beherzigst.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • @ Peter_Lehmann
    diese Kritik kann ich nicht richtig nachvollziehen.
    1) Habe ich das durchgelesen und signalisiert das es mir als Laie Probleme macht alles zu verstehen.
    2) Habe ich ja die Datei gefunden in der vermutlich die mails waren. Der Ordner ist leer. Er ist übrigens immer noch leer, obwohl ich zwischenzeitlich mails empfangen und abgesendet habe.
    3) Hätte ja sein können das es eine Möglichkeit gibt mit der msf. Datei etwas anzufangen.
    Mir ist schon klar das Ihr versuchen wollt Hilfe zur Selbsthilfe zu üben. Ist ja auch nicht dagegen einzuwenden. Aber ich denke schon das man erkennen sollte das ich mich bemühe und viel Zeit investiere. :(

  • Hallo und guten Morgen,


    Peter ist unterwegs und hat mich deshalb um MIthilfe gebeten.


    Du hast eine Datei inbox.msf gefunden, die deine Mails auflistet. Genau in dem Ordner müsste eine Datei inbox (also ohne Endung) liegen, die deine Mails hat, die *.msf enthält leider wirklich nur die Liste. Wenn die endungslose Datei inbox leer ist, sind deine Mails weg.
    Einzige Chance wenn du kein Backup hast: schaue im Kaspersky nach, ob die Dateien evtl. in einen Quarantäne-Bereich geschoben wurden.


    Hast du inzwischen ein Backup des Anwendungsordners ..\thunderbird\.. gemacht? Zur Erinnerung: kopiere dazu den gesamten Ordner auf z.B. eine andere Festplatte/Partiton oder einen Stick.
    Pfad: bzw. siehe

    Zitat von "Punkt 11 der Anleitung (ist auf dieser Seite oben per Button oder links unter Navigation per Link erreichbar) "

    Windows 2000, XP Dokumente und Einstellungen\%Benutzername%\Anwendungsdaten\Thunderbird


    Und dann gehe in die Einstellungen des Kaspersky und schließe genau diesen Pfad vom Scanning aus, siehe auch die Beschreibung bei Toolman in diesem Artikel unter "Vermeidung von.." Antivirus-Software - Datenverlust droht!
    Bevor du kein Backup hast und Kaspersky nicht ausgeschlossen wurde, machen alle weiteren Maßnahmen keinen Sinn!
    Aber wenn ich dich richtig verstehe, funktioniert sonst ja alles wie gehabt, "nur" die Mails im Posteingang sind weg? Oder was geht sonst nicht?

    Zitat von "kuhtreiber"

    Im Ordner Thunderbird befinden 3 Unterordner.Wir haben 3 Konten. Gut. 2 kann ich zuordnen einer nicht. In diesen Unterordnern befindet sich eine Menge Zeug.

    wie genau heißen die 3 Unterordner?

    Zitat

    Jedoch habe ich mein erstes Konto und das meiner Frau auf dieselbe Art untersucht. Auch diese Ordner sind leer.

    die Mails können im lokalen Konto (=> local Folders) liegen.
    Mit PC Inspector File Recovery müsstest du nach endungslosen Dateien wie inbox, trash oder halt dem von dir vergebenen Unterordnernamen suchen. Jeder Unterordner in TB ist im Profil einfach eine Datei mit dem gleichem Namen, einmal ohne Endung (=>Mails), einmal mit *.msf (Index).

  • rum ,


    vielen Dank, dass du dich des Problems angenommen hast. Nun bin ich wieder zu Hause und erfreue mich meiner dicken DSL-Leitung bzw. muss mich nicht mehr mit GPRS quälen.


    kuhtreiber :
    wir werden die Sache schon sauber zu Ende führen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Eigentlich wollte ich ja nicht mehr antworten. Aber da sich der Ton deutlich entspannt hat, möchte ich gerne weiter berichten. Also, ja ich habe ein Backup gemacht. Ja, ich habe die mails von der Suche ausgeschlossen. Der Ordner Inbox ohne Endung ist leer. Habe ich aber schon öfters mitgeteilt. Kaspersky hat das nicht in Quarantäne verschoben. Und nein, Kaspersky macht mir momentan jeden Tag Ärger. Es stürzt ab, Updatet nicht sauber usw. Inzwischen habe ich es dreimal neu aufgespielt. Wie ich inzwischen herausgefunden habe, bin ich da nicht der einzige.
    Nun, ich hatte das nun alles schon einmal erklärt, aber ich mache es gere nochmals ausführlicher.
    Im Ordner mail finde ich die Unterordner Local Folder, mail.posteingang.de, pop.gmx-1.net, pop.gmx-2.net, bis -5.net, pop.gmx.de, pop.gmx.de.
    Im Local Folder findet sich unter 4 andere Ordner, einer davon Inbox.sbd. Weiterhin eine Datei Inbox ohne Endung. Wenn ich diese mit einem Editor lese, kann ich vereinzelte Sätze entziffern, das meiste sind endlose Buchstabenkolonnen. Dann noch die Inbox msf, welche uns ja aber nicht weiterbringt.Wenn ich die Inbox ohne Endung nun mit der Maus anzeige, kommt die Meldung " Letze Änderung 18.01.2006. Ob das so alt ist? Im Ordner pop.gmx-2.net befindet sich wieder eine Inbox ohne Endung. Dort wird 02.07.02005 angezeigt.In pop. gmx-4.net befindet sich wieder eine Inbox mit dem gleichen Datum.In Ordner pop.gmx.de finden wir wieder eine mit dem Datum 03.06.2009. Ich hoffe das ich das nun ausführlich erklärt habe. Bringt uns das weiter? :cry:

  • Hi Kuhtreiber!


    Zitat von "kuhtreiber"

    Eigentlich wollte ich ja nicht mehr antworten. Aber da sich der Ton deutlich entspannt hat, möchte ich gerne weiter berichten.


    Das ist gut so. Wollen wir mal sehen, was da noch zu retten ist.
    Da du eine Sicherung deines Profiles hast, kann ja gar nichts passieren. Notfalls kannst du diese ja wieder zurück kopieren und alles ist so wie jetzt.


    Du hast also die endungslosen mbox-Dateien gefunden und auch mal hinein gesehen. Wenn zumindest Teile davon noch lesbar sind, können wir davon evtl. auch noch etwas wiederherstellen. Wenn du mit einem Editor die endungslosen Dateien ansiehst, dann kannst du auch deutlich Überschriften, Absender, Sendedatum usw. sehen. Dann ist die Chance groß und das dient auch schon zur Orientierung, was evtl. noch zu retten ist. Siehst du exakt ausgerichtete Blöcke sichtbarer Zeichen, dann sind das umcodierte Anhänge - auch gut. Nur wenn du nur "sinnlosen binären Müll" siehst, brauchst du nicht weitermachen. Ist die mboxdatei allerdings leer (Größe=0) wird daraus nichts mehr zu holen sein.


    Installiere dir jetzt die Erweiterung "ImportExportTools". Dann starte diese und versuche einen Import aus dem gesicherten Profil. Springe also dort von "Ordner zu Ordner" und versuche zu importieren. Wenn noch was zu finden ist, dann holt es das Tool schon raus und importiert es in dein aktives Profil. Um das Sortieren der Funde kannst du dich später kümmern.


    Unabhängig, ob du Erfolg hast oder nicht, hier ein paar Regeln die dir zwar jetzt nicht mehr, aber später Frust ersparen können:
    1. Der Posteingang hat leer zu sein. Gelesene Mails gehören in (beliebig viele) Unterordner.
    2. Halte den Virenscanner und -Wächter fern von deinem Mailprofil. Vor allem niemals schreibenden Zugriff (Löschen/Desinfizieren) !
    3. Mache regelmäßig eine Sicherung deines kompletten Profils. Und wenn es auf einen billigen USB-Stick ist.
    4. Führe regelmäßig die üblichen "Hygienemaßnahmen" (Komprimieren und Indizieren) durch. Zumindest das Komprimieren.


    Ich wünsche dir viel Erfolg.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Zitat von "kuhtreiber"

    ... habe ich das Programm PC Inspector File Recovery. Wenn ich wüsste wo genau zu suchen ist und wie die Endungen heisen .txt?


    Hallo kuhtreiber,


    lese das erst jetzt (war im Urlaub).
    Nun wo Du suchen mußt weißt Du ja jetzt nun. Und auch nach was: inbox
    IMHO wirst Du schon etwas wiederherstellen können, ob sich das aber auch öffnen und auslesen läßt kann ich dir nicht garantieren.
    [[Scheitert es mit 'PC Inspector' so hast Du IMHO mit weiteren gängigen Programmen (Recuva, etc. ...) auch keine besseren Chancen!]]


    Wie mir scheint schickst Du erkannte (Maleware-)Files nicht *zuerst* in Quarantäne (was absolut sicher ist) sondern bügelst sie gleich ratzeputz von der Platte.
    Auch dies ist nicht sonderlich geschickt!
    So kann jeder Fehlalarm von Kaspersky {auch das passiert durchaus einmal!} Dein System zerschießen :!:
    Denk mal darüber nach. ;)


    MfG ... Vic

  • Guten Morgen Vic!


    Ich finde, dass Kaspersky neben seinen sicher vielen Qualitäten auch seine Eigenheiten hat. Ich würde ihn nur so einstellen, dass er mich wirklich bei jeder Aktion fragen muss, ob er sie durchführen darf oder nicht, und das Fatale ist, dass er oft gar nicht lange fragt, sonder beispielsweise meinen Screenreader als Keylogger einfach gesperrt hat, ohne vorher irgendwelche Fragen zu stellen, ob ich ihm das erlaube oder nicht. Ausnahmen definieren konnte ich nachher, besser gesagt, ich natürlich nicht mehr, sondern musste warten, bis sich ein auskennendes Sehauge meines Rechners annahm, der natürlich für mich bis dahin unbrauchbar war. Seitdem mißtraue ich der Kaspersky-Security aufs Schärfste und könnte mir durchaus vorstellen, dass das Ding Sachen in Quarantäne schickt oder sonst Veränderungen vornimmt, ohne lange viel zu fragen :-(

  • Hallo Rothaut,


    ja seine Eigenheiten hat er schon! :)
    Der interaktive Modus ist nicht recht ausgeprägt.
    Bei neuartigen oder seltenen Programmen empfehle ich einen Probe-Scan.
    Er mault auch ständig meine selbstverfassten Python-Scripte an.


    Ich habe diesen Monat einen PC "verarztet" bei dem Kaspersky eine ganze Partition weggeputzt hatte. - Du kannst Dir das Erwachen des Betreffenden vorstellen, als plötzlich ein ganzer Laufwerksbuchstabe leer war.
    (Es gab zwar ein Image ~ aber 1½ Jahre alt ...)


    Was also absolut nicht zu empfehlen ist ist *gleich* direkt löschen!
    ((Daher mag ich auch das Microsoft Windows-Tool zur Entfernung bösartiger Software nicht. Wird da was gefunden, dann ist es auch ~ schwupps ~ weg! Und es gibt keine Möglichkeit zu Überprüfen was das war und ob es nicht evtl. doch ein Fehlalarm gewesen ist.))


    MfG ... Vic

  • Hallo,
    Ich wollte mich von meiner Seite aus nochmals zurückmelden, und allen Danken, welche versucht haben mir zu helfen. :zustimm:
    Ich werde es zeitlich nicht schaffen mich um dieses Thema zu kümmern und habe die mails abgeschrieben.
    Gruß Kuhtreiber