Trojaner, Dropper und Worms durch Maileingänge

  • Thunderbird-Version: 17.0.8 von August 2013
    Betriebssystem + Version: Windows 7


    Hallo,
    ich bin neu im Forum, kenne also die Regeln noch nicht, z.B. an wen ich mich wenden muss usw.


    Ich habe folgendes Problem:
    Als Viren-Programm nutze ich Avira Internet Security 2013 mit WEB und Mail-Überwachung. Die letzte fehlerfreie System-Scannung erfolgte am 4.10.2013. Den Tag drauf bin ich ins Krankenhaus gekommen. Mein Mann hat jeden 3. Tag abends die Mails nur abgerufen, ohne sie zu öffnen. Am 15.10 hatte ich ihn gebeten, nochmal einen Systemscan durchzuführen und da kam schon eine Meldung, dass 140 Funde vorhanden seien. Am 18.10. habe ich dann nochmals einen System-Scan durchgeführt und hatte schon 555 Funde.
    Sie stammen aus dem Verzeichnis: Documents u. Swttings\bakokajo\Anwendungsdaten\Thunderbird\Profiles\...\usw, und c:\Users\bakokajo\Anwendungsdaten\Thunderbird\Profiles\fO6..usw.


    Ich erhalte neuerdings unheimlich viele Spam-Mails, deren Anhang ich aber N I E öffne, sondern lösche sie sofort mit Großt.+Entf., trotzdem habe ich die Viren auf dem PC. Ein Experte von Avira sagte mir nun, ich solle im Mailprogramm das "Ansehen" ausschalten, damit ich gar nicht erst in das Mail reinkomme, aber ich finde nirgendwo eine Stelle, wo ich das vornehmen kann.
    Das Schlimme an der ganzen Sache ist, das es sich hier um Vire im Archivtype MIME und ZIP handelt, die nicht repariert, in Quarantäne gestellt oder einfach gelöscht werden können, da dann meine ganzen Mails (ich habe 100erte gespeichert) weg sind. Was kann ich machen? Ich habe schon alle gängigen Freeware-Scanner laufen lassen, die auch noch immer andere Viren finden, die ich aber zum Teil vernichten konnte. Gibt es überhaupt noch eine Möglichkeit, meine Mails zu retten? Wieso lässt Thunderbird die Viren durch, obwohl ich die Anhänge gar nicht öffne? Und zum Löschen muss ich ja zumindest auf das jeweilige Mail klicken.
    Ich bin vollkommen erzweifelt und hoffe, dass mir jemand helfen kann.
    Hier ein Textauszug:


    Im Voraus herzlichen Dank für evtl. Hilfe
    bakokajo :flehan:

    Einmal editiert, zuletzt von graba () aus folgendem Grund: Code-Tags gesetzt

  • Hallo,


    Nur ganz kurz. Sitze gerade in der Bahn. Ausführliche Antwort kommt. Mache erst mal besser nichts.
    Wenn deine Mails noch angezeigt werden und kein Anhang gestartet wurde, ist noch nichts passiert.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • So, ich sitze jetzt im ICE und hoffe, dass die Mobilfunkverbindung durchhält. Ich werde deswegen auch zwischenzeitlich speichern.


    Wie schon geschrieben, wenn deine Mails alle noch zu sehen sind, und keine Anhänge gestartet wurden, ist mit großer Wahrscheinlichkeit nichts passiert.
    Dein AV-Scanner ist falsch konfiguriert, und darf das TB-Userprofil überwachen, das birgt die Gefahr, dass die mit Schadcode befallene Datei von ihm gelöscht wird. Dummerweise ist diese Datei eine mbox-Datei, in welcher sich alle deine Mails befinden ... .
    Du solltest deshalb, wenn alles wieder in Ordnung ist, das TB-Userprofil als Ausnahme eintragen und von der Überwachung ausschließen.


    Der festgestellte Schadcode befindet sich jetzt innerhalb deiner mbox-Dateien gespeichert. Dort richtet er keinen Schaden an. Mit Hilfe des geposteten Logs kannst du jetzt die betreffenden Mails heraussuchen und Löschen. Dann leere den Papierkorb und KOMPRIMIERE alle Mailordner. Durch dieses Komprimieren - kein ZIP, sondern die entsprechende Thunderbird-Funktion - werden die bislang nur als gelöscht markierten Einträge wirklich gelöscht.
    Wenn du das gemacht hast, dürfte das Problem gelöst sein.


    Unabhängig davon, solltest du Mailanhänge grundsätzlich erst in einen Downloadordner abzuspeichern, dann dort zu scannen und erst dann vor Ort öffnen. Sollte jetzt ein Schadcode erkannt werden, verfährst du wie beschrieben.
    Gerade jetzt ... .


    Auch wenn du hoffentlich alle befallenen Mails erwischt hast, empfehle ich dir dringlich einen richtigen Vollscan deines Rechners. Dieses ist nur mit dem Booten eines externen Betriebssystems wie der desinfec't-DVD moeglich. Frage dazu mal im Bekanntenkreis nach ct-Lesern.


    Wenn alles wieder in Ordnung ist, solltest du dich dann fragen, ob du dir dann zukünftig diesen Stress und diese Angst durch ein regelmäßiges Backup deiner Daten bzw. deines TB Userprofils ersparen willst. Denn ungesicherte Daten sind unwichtige Daten. Auch wenn es hier im Forum User gibt, die das für unzumutbar halten, und deren Rechner einfach nur funktionieren soll. Falls diese User zufällig mitlesen sollten, wissen sie jetzt, warum ... .


    Ich wünsche dir Erfolg, und falls weitere Fragen, bitte.


    OK


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • <offtopic>

    "Peter_Lehmann" schrieb:

    Auch wenn es hier im Forum User gibt, die das für unzumutbar halten, und deren Rechner einfach nur funktionieren soll.


    Ja, davon habe ich gelesen. So einfach ist das. Und ich dumme Gans ... . ;-)


    </offtopic>

  • Hallo Peter,
    vielen Dank für die schnelle Antwort. Avira überprüft nur den Port (POP, Postfach koeln.de) 110 im Eingang und ich benutze der Port 995, also wird der Eingang überhaupt nicht überwacht. Habe das Avira auch schon mitgeteilt, aber die haben bis jetzt noch nicht reagiert.
    Meine Eingangsmails sind noch alle da, nur die vor dem Scannen gesendeten und gespeicherten Mails (in verschiedenen Unterverzeichnissen) sind alle in umbenannten Verzeichnissen, bzw. einige in Quarantäne.
    Kann ich diese jetzt mit einem Editor öffnen und die betreffenden Stellen einfach rauslöschen oder wie ist das mit dem Löschen gemeint? Aber eigentlich dürften diese aufgeführten Mails gar nicht mehr gespeichert sein, da ich sie ja sofort nach Erhalt incl. Anhang endgültig gelöscht hatte. Das ist ja das, was ich nicht verstehe, dass die Viren es trotzdem geschafft haben, sich auf den PC einzuschleichen.
    Ist das Problem der zukünftigen mit Viren versuchten Eingänge zu vermeiden, wenn ich nur die Betreffs und Absender anzeigen lasse und dann die eigentlichen Mails schon auf dem Server lösche oder geht das nicht?


    Ach, gestern wurde übrigens diese neue 24.0.1-Version upgedatet. Wäre es besser, man würde die automatischen Updates ausschalten?


    Nochmals Danke für Deine Mühe und im Voraus für die nächste Antwort
    Lb. Grüße
    bakokajo

  • ... Und die kommt, wenn ich zu Hause bin. Sitze schon wieder im ICE.


    Nur so viel: es sieht gut aus!


    MfG Peter
    Getippselt per Tapatalk 2 auf meinem SGS III.

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo bakokajo,


    nun habe ich wieder eine richtige Tastatur unter den Fingern und vor allem eine richtige (stabile und schnelle) Internetverbindung und kann deine Fragen in aller Ruhe beantworten.



    "bakokajo" schrieb:

    Avira überprüft nur den Port (POP, Postfach koeln.de) 110 im Eingang und ich benutze der Port 995, also wird der Eingang überhaupt nicht überwacht. Habe das Avira auch schon mitgeteilt, aber die haben bis jetzt noch nicht reagiert.


    Es ist nun mal so, dass ein AV-Scanner oder ein anderes zwischengeschaltetes Programm nur unverschlüsselte Verbindungen überwachen kann. Klar gibt es auch AV-Scanner, welche vorgeben, verschlüsselte Verbindungen auf Schadcode überwachen zu können, aber diese nutzen einen üblen Trick, welcher eine andere wichtige Eigenschaft der mit SSL/TLS verschlüsselten Verbindung verhindert: zu bestätigen, dass du wirklich mit dem richtigen Mailserver verbunden bist, und nicht etwa mit noch einem weiteren "Man in the Middle". (Ich habe dazu mal einen ausführlichen Artikel verfasst, will aber jetzt nicht suchen.)
    Fazit dazu:
    Du musst selber einschätzen, was für dich wichtiger ist:
    - die arg begrenzte Sicherheit vor dem unbefugten Mitlesen deiner Mails (die eh nur für das kleine Stückchen zwischen deinem PC und deinem Provider gilt!),
    - oder der Schutz durch das Scannen eingehender Mails durch deinen AV-Scanner.
    Ich sage klipp und klar: Für Freunde der WinDOSe hat das zweite die absolute Priorität! Deine Privatsphäre schützt du nur durch eine "end-to-end- Verschlüsselung" deiner Mails!


    Etwas völlig anderes ist die Überwachung des ausgehenden Mailtraffics durch den AV-Scanner.
    Zum einen ist diese Überwachung sehr häufig die Ursache für Fehlermeldungen und Problemen. Zum Bsp. "timeout" ("Zeitüberschreitung") bei größeren Mailanhängen, welche ja erst gescannt werden müssen. Zum anderen, wer Mailanhänge nicht vor dem Anfügen an eine Mail bewusst scannt, also seine Mailpartner bewusst einer Gefahr aussetzt, dem gehört der Rechner weggenommen!
    Aus diesen beiden Gründen betrachte ich die Überwachung der gehenden Verbindung als sinnfrei.


    Aber du musst auch noch etwas anderes unterscheiden:
    - das Überwachen des ein- und ausgehenden Mailtraffics (siehe oben), und
    - das Überwachen des TB-Userprofils durch den AV-Scanner


    Letzteres ist äußerst gefährlich und führt auch sehr oft zu Fehlfunktionen des Thunderbird.
    Du weißt ja, dass alle deine Mails (zumindest bei POP3, aber auch bei diesem "Bereithalten ..." bei IMAP) hintereinander in so genannten mbox-Dateien gespeichert werden. Und ich habe mir sagen lassen, dass es Nutzer geben soll, welche diese mbox-Dateien zur Größe von mehreren GB anwachsen lassen! (Sinnvoll sind einige Hundert MB, und der Posteingang hat möglichst immer leer zu sein, bzw. nur die ungelesenen und unbearbeiteten Mails zu beinhalten. Alles andere gehört in Unterordner!)
    Jetzt stell dir vor, ein falsch konfigurierter on-access-Scanner (= der automatische "Hintergrundwächer") vermutet in einer dieser mbox-Dateien einen Schadcode und macht das, was man ihm aufgetragen hat => Datei löschen! Nun ja, ein guter AV-Scanner macht das ordentlich durch mehrfaches Überschreiben. Diese Datei holt dir niemand wieder hervor!
    Fazit: das Überwachen des TB-Userprofils unbedingt verhindern, indem du dieses, also das "Profil", als Ausnahme definierst!


    Gleiches trifft zu für den bewusst gestarteten on-demand-Scan. Wer genau weiß, was er macht, und wer ganz sicher ist, dass der Scanner nur anzeigt und jeglichen Zugriff untersagt, der kann das gerne machen und auch sein TB-Userprofil mit scannen lassen. Besser ist aber, auch hier das TB-Userprofil als Ausnahme in der Konfiguration des Scanners einzutragen.


    Und noch einmal:
    Anhänge sind abzulösen, mit einem aktuellen Scanner zu prüfen und erst danach im entsprechenden Downloadordner zu öffnen. So viel Zeit muss sein! Ich empfehle sogar, immer den kompletten Downloadordner mit den alten Downloads zu scannen. So mancher "Virus" wird erst nach Stunden oder Tagen erkannt.


    Zitat

    Meine Eingangsmails sind noch alle da,


    Das ist erst mal ein gutes Zeichen.


    Zitat

    nur die vor dem Scannen gesendeten und gespeicherten Mails (in verschiedenen Unterverzeichnissen) sind alle in umbenannten Verzeichnissen, bzw. einige in Quarantäne.


    Wie es aussieht, hat dein Scanner nicht geshreddert, sondern umbenannt bzw. in Quarantäne verschoben. Glück gehabt!
    Jetzt weiß ich nicht, ob diese Verzeichnisse (ein Verzeichnis ist immer eine mbox-Datei!) den vollständigen aufhebenswerten Inhalt des alten Verzeichnisses beinhalten, oder nur die Mails mit dem befallenen Anhang. Ich vermute aber, es wurden die kompletten mbox-Dateien umbenannt und der Mailbestand ist trotzdem darin vollständig. Ist das so? Wenn ja:


    Gehe mit dem Thunderbird in diesen angezeigten Ordner, lasse dir (wenn nicht schon so eingestellt) die Markierung für die Mailanhänge anzeigen (Büroklammer). Jetzt kannst du alle Mails mit Anhang in dieser Liste durchgehen.
    - Ist es eine wichtige Mail von einem bekannten Absender => Anhang ablösen, Scannen, nach Ergebnis entscheiden.
    - Unwichtige Mail, unbekannter Absender => angezeigte Mail gleich löschen
    Wenn du durch bist, diesen Mailordner (diese mbox-Datei) mit Rechtsklick > komprimieren von den als gelöscht markierten Mails befreien.
    Nächsten Ordner auf die gleiche Weise, und zwischendurch oder zumindest zum Schluss alle Papierkörbe leeren und alle Ordner komprimieren.
    Damit dürfte der Spuk vorbei sein. Achtung: vor den beschriebenen Maßnahmen musst du deinen AV-Scanner richtig konfigurieren, sonst haut dir der on-access-Scanner wieder dazwischen!


    Je nach Art des Mailordners kannst du diese dann wieder umbenennen. Vermutlich war da mit [Virus] ergänzt worden.


    Zitat

    Kann ich diese jetzt mit einem Editor öffnen und die betreffenden Stellen einfach rauslöschen oder wie ist das mit dem Löschen gemeint?


    s. oben. Anklicken > Mails löschen und komprimieren


    Zitat

    Aber eigentlich dürften diese aufgeführten Mails gar nicht mehr gespeichert sein, da ich sie ja sofort nach Erhalt incl. Anhang endgültig gelöscht hatte.


    Löschen = Verschieben in den Papierkorb. Damit ist die Mail 2x auf der Kiste! Als gelöscht markiert im Posteingang (INBOX) und im Papierkorb!
    [Shift]+Löschen: Nur in der jeweiligen mbox als gelöscht markiert. => erst durch das Komprimieren wird sie wirklich physisch gelöscht!


    Zitat

    Das ist ja das, was ich nicht verstehe, dass die Viren es trotzdem geschafft haben, sich auf den PC einzuschleichen.


    Wenn die befallenen Anhänge nicht geöffnet (gestartet) wurden, dann haben es die "Viren" nicht geschafft, "sich auf den PC einzuschleichen!" Sie sind lediglich in deinen mbox-Dateien abgespeichert. Dort richten sie keinen Schaden an - so lange niemand diese Anhänge startet.
    Deshalb solltest du unbedingt, wenn alles wiederhergestellt ist, den einzig wahren Systemscan durchführen:
    Schadprogramme sind heute so "intelligent", dass sie sich auf einem laufenden Windows vor dem AV-Scanner verbergen können. Du kannst also niemals sicher sein, wenn dein vom laufenden Windows gestarteter AV-Scanner nichts anzeigst, dass da auch nichts infiziert ist!!!!
    Das bedeutet also, dass ich dir dringlichst anrate, dir eine desinfec´t-DVD zu besorgen (1-2 mal jährlich als Beigabe zur Zeitschrift c´t, nicht als Download erhältlich!). Also Freunde und Kollegen (IT-Abteilung!) fragen.
    Rechner von dieser DVD booten, es werden automatisch vier unterschiedliche AV-Scanner aktualisiert, und danach der Rechner von diesen vier Scannern untersucht. Und nur dann, wenn diese Übereinstimmend melden, dass der Rechner clean ist, darfst du auch davon ausgehen.


    Zitat

    Ist das Problem der zukünftigen mit Viren versuchten Eingänge zu vermeiden, wenn ich nur die Betreffs und Absender anzeigen lasse und dann die eigentlichen Mails schon auf dem Server lösche oder geht das nicht?


    Wenn du dir wirklich diesen Stress machen willst? Und woher willst du das wissen? Bauchgefühl?
    Ich habe dir bessere Lösungen (unverschlüsselte Verbindung zum Posteingangsserver, Überwachung dieser Verbindung durch den AV-Scanner, Anhänge nicht "Dummklicken", sondern ablösen, scannen, vor Ort öffnen) genannt.


    Zitat

    Ach, gestern wurde übrigens diese neue 24.0.1-Version upgedatet. Wäre es besser, man würde die automatischen Updates ausschalten?


    Ist ja eigentlich außerhalb dieses Themas, aber trotzdem meine Meinung:
    Updates eines jeden Programms und auch Betriebssystems beinhalten auch immer die Behebung erkannter Sicherheitslücken. Deshalb betrachte ich Updates auch als eine Pflicht, der du dich nicht entziehen solltest.
    ABER: Beim Thunderbird gibt es die so genannten ESR-Versionen. Das sind ausgereifte TB-Versionen (ggw. 17.0.9 ESR), welche unabhängig von Weiterentwicklungen (jetzt: 24.x) ebenfalls sehr lange mit Sicherheitspatches versehen werden.
    Ich persönlich stehe lieber auf ausgereifte (also fehlerfrei funktionierende) Versionen, welche trotzdem auf dem aktuellen Stand der Sicherheit sind. Ich muss so manches Feature (dazu zähle ich auch die neuen Fehler) der aktuellsten Version nicht haben. Und wenn es noch nicht aktualisierte Add-ons sind. Deshalb bleibe ich bei der letzten ESR-Version, so lange diese gepflegt wird. OK?



    Zitat

    Nochmals Danke für Deine Mühe und im Voraus für die nächste Antwort


    Gern geschenen. Ich werde doch dafür auch gut bezahlt! (Indem sich so manche User bei mir bedanken ;-))



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!