Thunderbird 24.0.6 und G Data IS - Virenfund?

  • Thunderbird-Version: 24.6.0
    Betriebssystem + Version: Win 7 Home Premium 64 Bit inkl. SP1
    Kontenart (POP / IMAP): POP3
    Postfachanbieter (z.B. GMX): 1&1
    Antivirus-Software: G Data IS 25.0.1.2 CBE


    Hi zusammen!


    Ich habe das folgende Problem:


    Da mein 1&1-Account bald deaktiviert wird (und damit auch alle E-Mails futsch wären), wurde mir seitens des Supports geraten, diese zuvor noch mit Thunderbird auf meinen Laptop herunterzuladen und damit zu speichern.


    Dies gelang auch problemlos!


    Danach habe ich einen Vollscan mittels der G Data IS 25.0.1.2 CBE vorgenommen.


    Dabei wurden in den besagten E-Mails offenbar Viren/Trojaner gefunden.


    G Data wurde bezüglich der E-Mail Prüfung so von mir eingestellt, dass im Falle einer Infektion nur gewarnt bzw. protokolliert wird, da ich weiß, dass es im Zusammenhang mit Thunderbird sonst zu Datenverlust kommen kann.


    Allerdings wurde beim Herunterladen der E-Mails nichts gefunden, sondern erst beim manuellen Vollscan des Laptops. Woran liegt das?


    Für die manuelle Virenprüfung (also den Vollscan) lautete die Einstellung für infizierte Dateien ebenfalls:


    "Nur protokollieren"


    Ich habe mir also im G Data angesehen, welche E-Mails genau betroffen waren, habe mich dann im Thunderbird zu den entsprechenden E-Mails begeben (ohne natürlich den Anhang/Link) zu öffnen und habe sie dann händisch gelöscht (die Posteingänge wurden zuvor von mir komprimiert).


    Dann habe ich erneut einen Vollscan durchgeführt; allerdings wird jetzt immer noch etwas gefunden.....


    Und zwar immer hier: C:\Users\"Mein Name"\AppData\Roaming\Thunderbird\Profiles\6p4kyfrt.default\Mail\pop.1und1-1.de



    Weshalb lassen sich diese "E-Mails" nicht löschen?


    Die Option "Desinfizieren" möchte ich noch nicht nutzen (kommt es dabei nicht zu Datenverlust?).


    Das Einzige, was mir nun blieb, war, als Option anstatt "Nur protokollieren" das "Verschieben in die Quarantäne" zu verschieben.


    Aber löst dies das eigentliche Problem?


    Was genau befindet sich denn da noch in der Profildatei? Wie gesagt, ich habe keine der besagten E-Mails bzw. Anhänge geöffnet.


    Was ich auch nicht so ganz verstehe: Das Objekt "Inbox" befindet sich nun in der Quarantäne - weshalb aber kann ich mir dann immer noch alle der heruntergeladenen E-Mails im Thunderbird anschauen???


    Gruß,


    Scyllo

  • Hallo scyllo!


    Zitat

    Da mein 1&1-Account bald deaktiviert wird


    Vermutlich wirtst du dafür einen guten Grund haben ... .


    Zitat

    ... wurde mir seitens des Supports geraten, diese zuvor noch mit Thunderbird auf meinen Laptop herunterzuladen und damit zu speichern.


    Sehr weise! Ob das jeder Anbieter seinen Kunden so sagt?


    Zitat

    Danach habe ich einen Vollscan mittels der G Data IS 25.0.1.2 CBE vorgenommen.


    Auch wenn das in deinem speziellen Fall noch nicht relevant ist, solltest du mal die Beiträge der letzten Woche lesen, wo einige Nutzer über akute Probleme mit genau diesem "Sicherheits"-Produkt berichtet haben.
    Auf jeden Fall war "G Data" in deinem Fall erfolgreich und hat den Befall rechtzeitig erkannt.


    Zitat

    G Data wurde bezüglich der E-Mail Prüfung so von mir eingestellt, dass im Falle einer Infektion nur gewarnt bzw. protokolliert wird, da ich weiß, dass es im Zusammenhang mit Thunderbird sonst zu Datenverlust kommen kann.


    Ich sehe, du hast mitgedacht! Sehr gut!


    Zitat

    Allerdings wurde beim Herunterladen der E-Mails nichts gefunden, sondern erst beim manuellen Vollscan des Laptops. Woran liegt das?


    Ganz einfach: Du hast (vernünftigerweise!) die problematische Überwachung des (hier: zumindest) eingehenden E-Mailtraffics, also der verschlüsselten (!) Verbindung zum Posteingangsserver des Providers, untersagt. Kein AV-Scanner ist in der Lage, diese verschlüsselte Verbindung zu scannen, sondern es wird mit Hilfe eines üblen Tricks, des so genannten "Man in the Middle-Angriffs" diese Verbindung aufgebrochen, indem selbige nicht zwischen deinem E-Mailclient und dem Server, sondern zwischen dem AV-Scanner und dem Server aufgebaut wird. (Nähere Beschreibung dazu in mehreren Beiträgen von mir => Suchfunktion nutzen)


    Zitat

    Für die manuelle Virenprüfung (also den Vollscan) lautete die Einstellung für infizierte Dateien ebenfalls: "Nur protokollieren"


    Und wieder: sehr vernünftig!


    Zitat

    Ich habe mir also im G Data angesehen, welche E-Mails genau betroffen waren, habe mich dann im Thunderbird zu den entsprechenden E-Mails begeben (ohne natürlich den Anhang/Link) zu öffnen und habe sie dann händisch gelöscht (die Posteingänge wurden zuvor von mir komprimiert).


    Ich sehe, du hast dich intensiv damit befasst, und genau den vorgeschlagenen Weg eingeschlagen!
    WICHTIG: Noch einmal nach dem Löschen komprimieren!!! Erst dann werden die bis jetzt nur als gelöscht markierten Mails wirklich gelöscht! So lange sind sie noch vorhanden und werden vom Scanner erkannt, nur nicht im TB angezeigt!


    Zitat

    Dann habe ich erneut einen Vollscan durchgeführt; allerdings wird jetzt immer noch etwas gefunden.....
    Und zwar immer hier: C:\Users\"Mein Name"\AppData\Roaming\Thunderbird\Profiles\6p4kyfrt.default\Mail\pop.1und1-1.de


    Ja, das ist der Verweis auf ein 1&1-Konto, welches mit unserem "guten alten" POP3 bearbeitet wird.
    Wenn du deine E-Mails jetzt in den lokalen Ordnern (also als "lokales Archiv" gespeichert hast, dann ist der Datenbestand dieses (ebenfalls lokal gespeicherten) POP3-Kontos eigentlich nicht mehr relevant. Du könntest die dort gespeicherten mbox-Dateien eigentlich löschen.
    Aber: Du musst ganz sicher sein. dass du:
    1.) deine Mails jetzt an einem anderen Ort, als diesem o.g. gespeichert hast (prüfen!!!) und
    2.) dort auch wirklich alle (dich noch interessierenden) Mails gespeichert sind.


    Du kannst auch einfach dieses Konto (wenn du es lokal behalten willst) zum Abruf deaktivieren (ein paar Haken in den Konten-Einstellungen raus). Damit kommt dann auch keine Fehlermeldung beim Abrufen mehr. Und dann alle Mails mit Anhang (Klammerzeichen) öffnen, den Anhang so wie es sich gehört, in einen Downloadordner abspeichern und dort jeden Anhang bewusst scannen. Bei erkanntem Befall diesen Anhang und dann diese Mail löschen, Komprimieren, Papierkorb löschen und danach den nächsten Anhang überprüfen.


    Zitat

    Weshalb lassen sich diese "E-Mails" nicht löschen?


    Hast du vielleicht dieses Mailkonto schon gelöscht und nicht nur deaktiviert?


    Zitat

    Die Option "Desinfizieren" möchte ich noch nicht nutzen (kommt es dabei nicht zu Datenverlust?).


    Auch dieser Punkt geht wieder an dich ... .


    Zitat

    Das Einzige, was mir nun blieb, war, als Option anstatt "Nur protokollieren" das "Verschieben in die Quarantäne" zu verschieben.
    Aber löst dies das eigentliche Problem?


    Nein, denn damit ist diese mbox-Datei "weg".


    Zitat

    Was genau befindet sich denn da noch in der Profildatei? Wie gesagt, ich habe keine der besagten E-Mails bzw. Anhänge geöffnet.


    Alle deine Mails in dem betreffenden "Mailordner".


    Zitat

    Was ich auch nicht so ganz verstehe: Das Objekt "Inbox" befindet sich nun in der Quarantäne - weshalb aber kann ich mir dann immer noch alle der heruntergeladenen E-Mails im Thunderbird anschauen???


    Warum hsat du denn in die Quarantäne verschoben?!?!?
    Kannst du wirklich die Mails noch anschauen? Oder werden diese nur aufgelistet? => Dann siehst du nur den Inhalt der Indexdateien.


    HTH


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo und vielen Dank für Deine ausführliche Antwort! :)


    Da ich jedoch gerade im Urlaub bin und "wenig Zeit" habe ;) , lese ich Deine Mail erst später (habe sie nur überflogen).


    Falls ich noch Fragen haben sollte, melde ich mich einfach nochmal. Ok?


    Wie es jedoch bis jetzt aussieht, hatte ich nach dem händischen Löschen der besagten Mails eine erneute Komprimierung in einem der 3 Konten vergessen.


    Ich habe die Datei aus der Quarantäne nun wiederhergestellt und dann den Papierkorb des Kontos komprimiert.


    Bei einem weiteren Vollscsan, der gerade noch läuft, wurde bislang noch nichts gefunden.


    Gruß,


    Scyllo