Trojaner, Dropper und Worms durch Maileingänge

Hallo,

Nur ganz kurz. Sitze gerade in der Bahn. Ausführliche Antwort kommt. Mache erst mal besser nichts.
Wenn deine Mails noch angezeigt werden und kein Anhang gestartet wurde, ist noch nichts passiert.

MfG Peter

So, ich sitze jetzt im ICE und hoffe, dass die Mobilfunkverbindung durchhält. Ich werde deswegen auch zwischenzeitlich speichern.

Wie schon geschrieben, wenn deine Mails alle noch zu sehen sind, und keine Anhänge gestartet wurden, ist mit großer Wahrscheinlichkeit nichts passiert.
Dein AV-Scanner ist falsch konfiguriert, und darf das TB-Userprofil überwachen, das birgt die Gefahr, dass die mit Schadcode befallene Datei von ihm gelöscht wird. Dummerweise ist diese Datei eine mbox-Datei, in welcher sich alle deine Mails befinden ... .
Du solltest deshalb, wenn alles wieder in Ordnung ist, das TB-Userprofil als Ausnahme eintragen und von der Überwachung ausschließen.

Der festgestellte Schadcode befindet sich jetzt innerhalb deiner mbox-Dateien gespeichert. Dort richtet er keinen Schaden an. Mit Hilfe des geposteten Logs kannst du jetzt die betreffenden Mails heraussuchen und Löschen. Dann leere den Papierkorb und KOMPRIMIERE alle Mailordner. Durch dieses Komprimieren - kein ZIP, sondern die entsprechende Thunderbird-Funktion - werden die bislang nur als gelöscht markierten Einträge wirklich gelöscht.
Wenn du das gemacht hast, dürfte das Problem gelöst sein.

Unabhängig davon, solltest du Mailanhänge grundsätzlich erst in einen Downloadordner abzuspeichern, dann dort zu scannen und erst dann vor Ort öffnen. Sollte jetzt ein Schadcode erkannt werden, verfährst du wie beschrieben.
Gerade jetzt ... .

Auch wenn du hoffentlich alle befallenen Mails erwischt hast, empfehle ich dir dringlich einen richtigen Vollscan deines Rechners. Dieses ist nur mit dem Booten eines externen Betriebssystems wie der desinfec't-DVD moeglich. Frage dazu mal im Bekanntenkreis nach ct-Lesern.

Wenn alles wieder in Ordnung ist, solltest du dich dann fragen, ob du dir dann zukünftig diesen Stress und diese Angst durch ein regelmäßiges Backup deiner Daten bzw. deines TB Userprofils ersparen willst. Denn ungesicherte Daten sind unwichtige Daten. Auch wenn es hier im Forum User gibt, die das für unzumutbar halten, und deren Rechner einfach nur funktionieren soll. Falls diese User zufällig mitlesen sollten, wissen sie jetzt, warum ... .

Ich wünsche dir Erfolg, und falls weitere Fragen, bitte.

OK

MfG Peter

... Und die kommt, wenn ich zu Hause bin. Sitze schon wieder im ICE.

Nur so viel: es sieht gut aus!

MfG Peter
Getippselt per Tapatalk 2 auf meinem SGS III.

Hallo bakokajo,

nun habe ich wieder eine richtige Tastatur unter den Fingern und vor allem eine richtige (stabile und schnelle) Internetverbindung und kann deine Fragen in aller Ruhe beantworten.

Zitat von "bakokajo"

Avira überprüft nur den Port (POP, Postfach koeln.de) 110 im Eingang und ich benutze der Port 995, also wird der Eingang überhaupt nicht überwacht. Habe das Avira auch schon mitgeteilt, aber die haben bis jetzt noch nicht reagiert.

Es ist nun mal so, dass ein AV-Scanner oder ein anderes zwischengeschaltetes Programm nur unverschlüsselte Verbindungen überwachen kann. Klar gibt es auch AV-Scanner, welche vorgeben, verschlüsselte Verbindungen auf Schadcode überwachen zu können, aber diese nutzen einen üblen Trick, welcher eine andere wichtige Eigenschaft der mit SSL/TLS verschlüsselten Verbindung verhindert: zu bestätigen, dass du wirklich mit dem richtigen Mailserver verbunden bist, und nicht etwa mit noch einem weiteren "Man in the Middle". (Ich habe dazu mal einen ausführlichen Artikel verfasst, will aber jetzt nicht suchen.)
Fazit dazu:
Du musst selber einschätzen, was für dich wichtiger ist:
- die arg begrenzte Sicherheit vor dem unbefugten Mitlesen deiner Mails (die eh nur für das kleine Stückchen zwischen deinem PC und deinem Provider gilt!),
- oder der Schutz durch das Scannen eingehender Mails durch deinen AV-Scanner.
Ich sage klipp und klar: Für Freunde der WinDOSe hat das zweite die absolute Priorität! Deine Privatsphäre schützt du nur durch eine "end-to-end- Verschlüsselung" deiner Mails!

Etwas völlig anderes ist die Überwachung des ausgehenden Mailtraffics durch den AV-Scanner.
Zum einen ist diese Überwachung sehr häufig die Ursache für Fehlermeldungen und Problemen. Zum Bsp. "timeout" ("Zeitüberschreitung") bei größeren Mailanhängen, welche ja erst gescannt werden müssen. Zum anderen, wer Mailanhänge nicht vor dem Anfügen an eine Mail bewusst scannt, also seine Mailpartner bewusst einer Gefahr aussetzt, dem gehört der Rechner weggenommen!
Aus diesen beiden Gründen betrachte ich die Überwachung der gehenden Verbindung als sinnfrei.

Aber du musst auch noch etwas anderes unterscheiden:
- das Überwachen des ein- und ausgehenden Mailtraffics (siehe oben), und
- das Überwachen des TB-Userprofils durch den AV-Scanner

Letzteres ist äußerst gefährlich und führt auch sehr oft zu Fehlfunktionen des Thunderbird.
Du weißt ja, dass alle deine Mails (zumindest bei POP3, aber auch bei diesem "Bereithalten ..." bei IMAP) hintereinander in so genannten mbox-Dateien gespeichert werden. Und ich habe mir sagen lassen, dass es Nutzer geben soll, welche diese mbox-Dateien zur Größe von mehreren GB anwachsen lassen! (Sinnvoll sind einige Hundert MB, und der Posteingang hat möglichst immer leer zu sein, bzw. nur die ungelesenen und unbearbeiteten Mails zu beinhalten. Alles andere gehört in Unterordner!)
Jetzt stell dir vor, ein falsch konfigurierter on-access-Scanner (= der automatische "Hintergrundwächer") vermutet in einer dieser mbox-Dateien einen Schadcode und macht das, was man ihm aufgetragen hat => Datei löschen! Nun ja, ein guter AV-Scanner macht das ordentlich durch mehrfaches Überschreiben. Diese Datei holt dir niemand wieder hervor!
Fazit: das Überwachen des TB-Userprofils unbedingt verhindern, indem du dieses, also das "Profil", als Ausnahme definierst!

Gleiches trifft zu für den bewusst gestarteten on-demand-Scan. Wer genau weiß, was er macht, und wer ganz sicher ist, dass der Scanner nur anzeigt und jeglichen Zugriff untersagt, der kann das gerne machen und auch sein TB-Userprofil mit scannen lassen. Besser ist aber, auch hier das TB-Userprofil als Ausnahme in der Konfiguration des Scanners einzutragen.

Und noch einmal:
Anhänge sind abzulösen, mit einem aktuellen Scanner zu prüfen und erst danach im entsprechenden Downloadordner zu öffnen. So viel Zeit muss sein! Ich empfehle sogar, immer den kompletten Downloadordner mit den alten Downloads zu scannen. So mancher "Virus" wird erst nach Stunden oder Tagen erkannt.

Zitat

Meine Eingangsmails sind noch alle da,

Das ist erst mal ein gutes Zeichen.

Zitat

nur die vor dem Scannen gesendeten und gespeicherten Mails (in verschiedenen Unterverzeichnissen) sind alle in umbenannten Verzeichnissen, bzw. einige in Quarantäne.

Wie es aussieht, hat dein Scanner nicht geshreddert, sondern umbenannt bzw. in Quarantäne verschoben. Glück gehabt!
Jetzt weiß ich nicht, ob diese Verzeichnisse (ein Verzeichnis ist immer eine mbox-Datei!) den vollständigen aufhebenswerten Inhalt des alten Verzeichnisses beinhalten, oder nur die Mails mit dem befallenen Anhang. Ich vermute aber, es wurden die kompletten mbox-Dateien umbenannt und der Mailbestand ist trotzdem darin vollständig. Ist das so? Wenn ja:

Gehe mit dem Thunderbird in diesen angezeigten Ordner, lasse dir (wenn nicht schon so eingestellt) die Markierung für die Mailanhänge anzeigen (Büroklammer). Jetzt kannst du alle Mails mit Anhang in dieser Liste durchgehen.
- Ist es eine wichtige Mail von einem bekannten Absender => Anhang ablösen, Scannen, nach Ergebnis entscheiden.
- Unwichtige Mail, unbekannter Absender => angezeigte Mail gleich löschen
Wenn du durch bist, diesen Mailordner (diese mbox-Datei) mit Rechtsklick > komprimieren von den als gelöscht markierten Mails befreien.
Nächsten Ordner auf die gleiche Weise, und zwischendurch oder zumindest zum Schluss alle Papierkörbe leeren und alle Ordner komprimieren.
Damit dürfte der Spuk vorbei sein. Achtung: vor den beschriebenen Maßnahmen musst du deinen AV-Scanner richtig konfigurieren, sonst haut dir der on-access-Scanner wieder dazwischen!

Je nach Art des Mailordners kannst du diese dann wieder umbenennen. Vermutlich war da mit [Virus] ergänzt worden.

Zitat

Kann ich diese jetzt mit einem Editor öffnen und die betreffenden Stellen einfach rauslöschen oder wie ist das mit dem Löschen gemeint?

s. oben. Anklicken > Mails löschen und komprimieren

Zitat

Aber eigentlich dürften diese aufgeführten Mails gar nicht mehr gespeichert sein, da ich sie ja sofort nach Erhalt incl. Anhang endgültig gelöscht hatte.

Löschen = Verschieben in den Papierkorb. Damit ist die Mail 2x auf der Kiste! Als gelöscht markiert im Posteingang (INBOX) und im Papierkorb!
[Shift]+Löschen: Nur in der jeweiligen mbox als gelöscht markiert. => erst durch das Komprimieren wird sie wirklich physisch gelöscht!

Zitat

Das ist ja das, was ich nicht verstehe, dass die Viren es trotzdem geschafft haben, sich auf den PC einzuschleichen.

Wenn die befallenen Anhänge nicht geöffnet (gestartet) wurden, dann haben es die "Viren" nicht geschafft, "sich auf den PC einzuschleichen!" Sie sind lediglich in deinen mbox-Dateien abgespeichert. Dort richten sie keinen Schaden an - so lange niemand diese Anhänge startet.
Deshalb solltest du unbedingt, wenn alles wiederhergestellt ist, den einzig wahren Systemscan durchführen:
Schadprogramme sind heute so "intelligent", dass sie sich auf einem laufenden Windows vor dem AV-Scanner verbergen können. Du kannst also niemals sicher sein, wenn dein vom laufenden Windows gestarteter AV-Scanner nichts anzeigst, dass da auch nichts infiziert ist!!!!
Das bedeutet also, dass ich dir dringlichst anrate, dir eine desinfec´t-DVD zu besorgen (1-2 mal jährlich als Beigabe zur Zeitschrift c´t, nicht als Download erhältlich!). Also Freunde und Kollegen (IT-Abteilung!) fragen.
Rechner von dieser DVD booten, es werden automatisch vier unterschiedliche AV-Scanner aktualisiert, und danach der Rechner von diesen vier Scannern untersucht. Und nur dann, wenn diese Übereinstimmend melden, dass der Rechner clean ist, darfst du auch davon ausgehen.

Zitat

Ist das Problem der zukünftigen mit Viren versuchten Eingänge zu vermeiden, wenn ich nur die Betreffs und Absender anzeigen lasse und dann die eigentlichen Mails schon auf dem Server lösche oder geht das nicht?

Wenn du dir wirklich diesen Stress machen willst? Und woher willst du das wissen? Bauchgefühl?
Ich habe dir bessere Lösungen (unverschlüsselte Verbindung zum Posteingangsserver, Überwachung dieser Verbindung durch den AV-Scanner, Anhänge nicht "Dummklicken", sondern ablösen, scannen, vor Ort öffnen) genannt.

Zitat

Ach, gestern wurde übrigens diese neue 24.0.1-Version upgedatet. Wäre es besser, man würde die automatischen Updates ausschalten?

Ist ja eigentlich außerhalb dieses Themas, aber trotzdem meine Meinung:
Updates eines jeden Programms und auch Betriebssystems beinhalten auch immer die Behebung erkannter Sicherheitslücken. Deshalb betrachte ich Updates auch als eine Pflicht, der du dich nicht entziehen solltest.
ABER: Beim Thunderbird gibt es die so genannten ESR-Versionen. Das sind ausgereifte TB-Versionen (ggw. 17.0.9 ESR), welche unabhängig von Weiterentwicklungen (jetzt: 24.x) ebenfalls sehr lange mit Sicherheitspatches versehen werden.
Ich persönlich stehe lieber auf ausgereifte (also fehlerfrei funktionierende) Versionen, welche trotzdem auf dem aktuellen Stand der Sicherheit sind. Ich muss so manches Feature (dazu zähle ich auch die neuen Fehler) der aktuellsten Version nicht haben. Und wenn es noch nicht aktualisierte Add-ons sind. Deshalb bleibe ich bei der letzten ESR-Version, so lange diese gepflegt wird. OK?

Zitat

Nochmals Danke für Deine Mühe und im Voraus für die nächste Antwort

Gern geschenen. Ich werde doch dafür auch gut bezahlt! (Indem sich so manche User bei mir bedanken ;-))

MfG Peter