Nach Virenscan mit Norton: TB blendet sämtliche Ordner aus

  • Thunderbird-Version: 17.0.8
    Betriebssystem + Version: Windows 8
    Kontenart (POP / IMAP): POP
    Postfachanbieter (z.B. GMX): T-Online
    Antivirus-Software: Norton Internet Security


    Norton Internet Security hat den Virus "Bloodhound.Malautoit" entdeckt, der in einer Mail als Anhang namens invoice.exe ankam. Die Mail und der Anhang wurden, ohne dass ich sie gesehen hatte, von Norton isoliert. Anschließend waren in Thunderbird sämtliche Ordner ausgeblendet. Es waren zwar alle Ordner erkennbar, aber der Inhalt wurde nicht angezeigt, im Fenster war nur eine rot-weiß gestreifte Schraffur zu sehen. Ich kann zwar Mails abrufen, aber ihr Inhalt wird nicht angezeigt. Das Senden von Mails funktioniert, aber nach dem Senden ist im Ordner Gesendet nichts außer den rot-weißen Linien.
    Ich bin mir sicher, dass Norton der Problemverursacher ist, weiß aber nicht, wie ich das Problem lösen kann.
    Weiß jemand Rat? Ich würde mich sehr freuen!

  • Hallo BeateS,


    willkommen im Thunderbird-Forum.


    Gut, dass Du selbst die Problemursache schon vermutest:


    Zitat

    ...Ich bin mir sicher, dass Norton der Problemverursacher ist, weiß aber nicht, wie ich das Problem lösen kann.


    Bitte mal dies lesen. Hier wird Dir unter anderem erklärt, warum das passieren kann, was Dir jetzt widerfahren ist.


    Hast Du eine aktuelle Datensicherung Deines Thunderbirdprofils?


    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

  • Hallo Beate,


    und willkommen im Forum!
    Ich weiß nicht, wie oft wir hier noch posten sollten, dass ein Antivirenscanner NIEMALS das TB-Userprofil überwachen darf, bis es dann wirklich der letze User mitbekommen und verstanden hat.


    Warum?


    Ganz einfach:
    Der Scanner vermutet in einer Datei Schadcode und löscht, weil falsch konfiguriert, diese Datei. Soweit so gut.
    Dumm ist nur, dass es sich bei eben dieser Datei um die Datei mit Namen "INBOX" handelt, und das ist jene mbox-Datei, in welcher sich dein gesamter Posteingang befindet.
    Dumm gelaufen!
    1. und wichtigste Aufgabe ist jetzt den "Norton" richtig zu konfigurieren:
    - Verbiete ihm, das Thunderbird-Userprofil zu überwachen. Dazu richte dieses als Ausnahme ein!
    - Gestatte ihm, wenn möglich, den ankommenden Mailtraffic zu überwachen. Für Windowsnutzer ist das "Lebenswichtig"!
    - In diesem Zusammenhang entscheide dich, ob du den ankommenden Mailtraffic verschlüsselst (SSL/TLS) oder ob du diesen Traffic überwachen lässt. Beides geht nicht.
    - Verbiete ihm, den ausgehenden Mailtraffic zu überwachen. Das bringt nur Probleme!


    3 Möglichkeiten für die Wiederherstellung deines TB-Userprofils:

    • Die beste Lösung: Du nimmst dir deine Datensicherung von gestern und spielst diese zurück. Schaden behoben.
      Was, du hast keine Datensicherung? Dumm gelaufen ... .
    • Du versuchst, bei beendeten Thunderbird (!!) die in Quarantäne verschobene Datei zurück zu holen. Wenn der "Norton" dieses schafft, könnte dein TB auch wieder wie üblich funktionieren. Und wenn du diesen Anhang auch vorher noch nicht gestartet hast, ist dein System auch - höchstwahrscheinlich - immer noch "virenfrei". Melde hier, ob das geklappt hat. Dann schreibe ich, was du jetzt weiter tun solltest! Also nur TB starten und sehen, was passiert! Nichts weiter!
    • Wenn der "Norton" die in Quarantäne verschobene(n) Dateien nicht wiederherstellen kann, dann benennst du deinen obersten Profilordner \Thunderbird um in \Thunderbird_old und richtest den TB komplett neu ein. So etwas übt, und du hast Zeit darüber nachzudenken, wie du zukünftig deine Datensicherung betreibst. Wenn deine Mailkonten (pro Konto dauert es ca. 2 Minuten) wieder eingerichtet sind, kannst du die Adressbücher und vielleicht auch zumindest einige noch vorhandene Mails aus dem alten Profil per "ImportExportTools" in das neue Profil übernehmen.
      Aber sofort nachdem du die/das Mailkonto/ten eingerichtet hast, scannst du unbedingt das TB-Userprofil mit einem geupdateten und wie oben konfigurierten AV-Scanner. Du fasst dieses (alte) Profil erst dann an, wenn der Scanner keinen Alarm bringt!


    Egal, was passiert: Zum Abschluss ist dein gesamtes System zumindest mit dem installierten und richtig konfigurierten "Norton" vollständig zu scannen. Viel besser ist es, wenn du dir von einem Freund oder Kollegen usw. die aktuelle DVD "Desinfec´t" (von der Zeitschrift c´t) besorgst, davon bootest und alle vier darauf befindlichen AV-Scanner auf deinen Rechner loslässt. Nur wenn dann nichts gefunden wird, kannst du einigermaßen sicher sein, dass dein System nicht infiziert ist.


    MfG Peter (der sich wieder mal etwas zu viel Zeit gelassen hat. Aber trotzdem ...)

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Lieber Peter,
    ganz herzlichen Dank für die ausführliche Erläuterung. Ich würde gern versuchen, die Datei aus der Quarantäne zu holen. Zuvor werde ich aber deinen absolut notwendigen Rat befolgen, das User-Profil vom Scannen auszunehmen. Darf ich dazu noch eine (wahrscheinlich dumme) Frage stellen: Welchen Ordner genau nehme ich aus? Doch nicht den kompletten Profiles-Ordner?


    Ich bin erst seit heute Mitglied im Thunderbird-Forum und habe mich noch nicht in alle Threads eingelesen - bitte verzeih mir, wenn ich Fragen gestellt habe, die schon x-mal gestellt wurden. Mein spezielles Problem hatte ich natürlich gesucht, aber nichts dazu finden können. Ich habe mich sehr über deine hilfreiche Antwort gefreut.


    Herzliche Grüße
    Beate

  • Du musst das gesamte TB-Userprofil (also beginnend vom obersten Profilordner \Thunderbird!) als Ausnahme eintragen.
    Es ist auch kein (nennenswertes) Problem, wenn du eine Mail mit infiziertem Anhang empfängst, und diese auf deinem Rechner in einer mbox gespeichert wird. Und zwar nur so lange, wie du diesen Mailanhang nicht startest!


    Deshalb solltest du dir angewöhnen, jeden Mailanhang immer zuerst in einen Downloadordner abzuspeichern, dort mit einem aktuellen AV-Scanner zu überprüfen und erst dann vor Ort zu öffnen. Also niemals direkt aus dem Mailprogramm heraus!
    Auch wenn in einem derartigen Fall eigentlich der on-acess-Scanner ("Hintergrundwächter") zuschlagen sollte, kannst du dich darauf nicht verlassen. Der bewusst durchgeführte (on demand-)Scan ist immer "aufmerksamer".


    Und stellst du dabei fest, dass der Anhang einer Mail infiziert ist, dann lösche zuerst diesen (abgespeicherten) Anhang, dann leere den Papierkorb (des Betriebssystems).
    Jetzt löschst du im TB die befallene Mail, leerst den Papierkorb und komprimierst zum Schluss alle Ordner dieses Kontos. Erst mit dem "Komprimieren" werden bislang in den mbox-Dateien als gelöscht gekennzeichnete Mails wirklich physisch gelöscht => und schon ist von dem infizierten Mailanhang nichts mehr zu finden!



    So, jetzt arbeite erst mal alles ab, was ich geschrieben habe. Und wenn du irgend eine Frage hast, dann frage! Denke daran, dass die meisten Schäden durch unüberlegte Nutzeraktionen verursacht werden.
    Und wenn du dann (hoffentlich!) den TB wieder flott hast, dann denken wir mal über eine Datensicherung nach.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Zitat von "BeateS"

    Lieber Peter,
    ganz herzlichen Dank für die ausführliche Erläuterung. Ich würde gern versuchen, die Datei aus der Quarantäne zu holen. Zuvor werde ich aber deinen absolut notwendigen Rat befolgen, das User-Profil vom Scannen auszunehmen. Darf ich dazu noch eine (wahrscheinlich dumme) Frage stellen: Welchen Ordner genau nehme ich aus? Doch nicht den kompletten Profiles-Ordner?


    Hallo Beate,


    Peter_Lehmann war schneller. Trotzdem antworte ich Dir auch noch: ja!, das komplette Thunderbirdprofil!


    Zitat von "BeateS"

    Ich bin erst seit heute Mitglied im Thunderbird-Forum und habe mich noch nicht in alle Threads eingelesen - bitte verzeih mir, wenn ich Fragen gestellt habe, die schon x-mal gestellt wurden. Mein spezielles Problem hatte ich natürlich gesucht, aber nichts dazu finden können. Ich habe mich sehr über deine hilfreiche Antwort gefreut. ...


    Ja die Suche in Foren. Ich stehe da auch manchmal auf Kriegsfuß. Man sucht mit eigenen Begrifflichkeiten, die eben häufig nicht die sind, mit denen man suchen müsste. Lasse Dich aber dadurch nicht entmutigen. Stelle Fragen, auch dann wenn sie vielleicht schon x-mal gestellt wurden. Und vor allem:


    Nutze die Buttons rechts oben im Forum:


    Anleitungen
    Fragen & Antworten (FAQ)


    Das sind tolle Fundgrube rund um den Donnervogel.


    Ganz herzlichen Gruß


    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

  • Sorry, jetzt habe ich den Hinweis von Feuerdrache erst genau gelesen, da steht ja ein Link mit allen wichtigen Hinweisen - jetzt komme ich klar! Nochmals vielen Dank euch beiden!!!


    LG
    Beate

  • Lieber Peter, lieber Feuerdrache,


    jetzt haben wir nahezu alle drei gleichzeitig geantwortet - ich werde alles so machen, wie ihr vorgeschlagen habt! Ich habe vor zwei Wochen eine Datensicherung gemacht, daher kopiere ich jetzt den Ordner. Dann sind halt "nur" die Mails der letzten beiden Wochen weg. Das kann ich verschmerzen. Diese .exe-Datei könnte ich zwar wiederherstellen, aber mir ist das nicht ganz geheuer, auch wenn Norton selbst meint, das Risiko dieser Datei sei gering.
    Nochmals tausend Dank!


    LG
    Beate