trash und inbox

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version: 31.5
    * Betriebssystem + Version: xp
    * Kontenart (POP / IMAP): imap
    * Postfachanbieter (z.B. GMX): web.de
    Mein Virenscanner hat schon mehrmals Risiken in den komprimierten Dateien Trash und ibox gefunden. Er hat diese isoliert. Kann ich da vorbeugend was tun ? Danke.fra-wa

    Einmal editiert, zuletzt von fra-wa ()

  • Hallo edvoldi, vielen Dank für den Hinweis. Sehe ich mir an, Kannte ich noch nicht. Gruß fra-wa

  • Hallo edvoldi, dieser Link hat mir bisher nicht weitergeholfen.
    Ich habe mir das Protokoll vom Virenscanner näher angesehen:


    Dateiname: rechnung abo vom 12.05.2014 portal.com
    Bedrohungsname: Trojan.ZbotVollständiger Pfad: c:\dokumente und einstellungen\waxxxx\anwendungsdaten\thunderbird\profiles\9y1fk3oo.default\mail\pop.gmx.net\inbox
    rechnung abo vom 12.05.2014 portal.com
    [Enthalten in] 12.05.2014 fraxxx waxxxx plattform ag video-on-demand.zip
    [Enthalten in] plattform ag video-on-demand frxxxx waxxxx 12.05.2014.zip


    Es handelt sich wohl um eine e-mail als spam. Ich bekomme lfd. spam mit allen möglichen Inhalten. Ich öffne keine Anhänge und keinen link, schon gar nichts mit zip.
    Aber was heißt hier inbox?


    Inzwischen habe ich die Rechnung gefunden(leider nicht das Original, nur meine Antwort). Ich habe diese an den Absender zurückgeschickt, da unbegründet. Den Anhang habe ich nicht geöffnet. Das war wohl die zip.-Datei.
    Anbei der Briefwechsel:


    An die Plattform AG Video-on-Demand,
    Da ich weder mit Ihnen einen Vertrag abgeschlossen habe , noch Ihre AGB bestätigt habe werde ich nichts beahlen.
    Ich habe mich gestern, den 13.5. lediglich beim Microsoft Forum angemeldet und da mußte ich etwas bestätigen.
    Falls Sie sich da dazwischen gemogelt haben, werde ich Sie wegen arglistiger Täuschung belangen. Ich habe Ihre Seite nicht aufgerufen.
    Für alle Fälle kündige ich trotzdem zum Monatsende, wie in Ihrer e-mail steht. Eine Kopie dieser mail geht gleichzeitig zu meinem Anwalt und zur Verbraucherzentrale, damit auch andere über Ihre raxis informiert werden.


    Am 12.05.2014 18:42, schrieb Plattform AG Video-on-Demand:
    > Sehr geehrter Kunde Frxxx Waxxxx,
    >
    > wir sind sehr erfreut Sie als unseren neuen Kunden zu begrüßen. Wir weisen Sie freundlich darauf hin, dass durch die Bestätigung der AGBs von Video-on-Demand Plattform AG ein gültiger Vertrag abgeschlossen wurde.
    >
    > Die Rechnung ist innerhalb von 7 Tagen zu begleichen. Im beigefügtem Schreiben finden Sie nochmal die Rechnung mit unseren Bankverbindung. Falls Ihnen unsere Dienste nicht gefallen, können Sie ohne Probleme innerhalb von einem Monat mit Hilfe des angehängten Formulars den Vertrag kündigen.
    >
    > Die 15 tägige Beitragszahlung beträgt 39,95 €. Die Laufzeit Ihres Vertrags beträgt 12 Monate und könnte jeweils zum Monatsende storniert werden.
    >
    > Sollten wir weder eine Zahlung, noch eine Kündigung innerhalb von 7 Tagen erhalten, werden wir die Kosten des Mahnverfahrens und Verzugszinsen Ihnen in Rechnung stellen müssen.
    >
    > Wir wünschen Ihnen weiterhin gute Unterhaltung auf unserer Plattform.
    >
    > Mit freundlichen Grüßen.
    >
    > PayNow Service GmbH xxxxxxxxx
    > Video-on-Demand Plattform AG



    --
    Edit: Ich habe u. a. aus Datenschutzgründen die Namen anonymisiert. S-Mod. graba

    2 Mal editiert, zuletzt von graba ()

  • Das ist wohl kein Fall für's Forum sondern für einen Anwalt.
    Und erstmal nix bezahlen.

  • Hallo edvoldi, dieser Link hat mir bisher nicht weitergeholfen.

    Hallo fra-wa,
    dieser Text

    Code
    1. Das Mbox-Format, das Thunderbird benutzt, speichert die E-Mails in einer großen Textdatei - gut lesbar für alle, auch für den Virenscanner. Wer hat schon mal in einer 600 MB großen Textdatei einen Rechtschreibfehler gesucht? So ähnlich geht der Virenscanner vor - er sucht nach bekannten Mustern anhand einer ihm bekannten Vorlage. Findet er einen Virus, so wird zuerst der Zugriff auf die Datei blockiert. Danach wird je nach Konfiguration und Virenscanner die Datei entweder gelöscht, verschoben oder es erscheint eine Warnmeldung auf dem Bildschirm ("Datei xyz ist mit dem Virus x infiziert") und man muss die Entscheidung selbst treffen.
    2. Leider kann auch schon beim Blockieren des Zugriffs auf die Datei die Mbox irreparabel beschädigt werden.


    sagt doch eindeutig das jeder Virenscanner nicht das Thunderbird Profil Scannen darf. Beim löschen des Problems kann Dein gesamter Mail Inhalt gelöscht werden.


    Er hat diese isoliert. Kann ich da vorbeugend was tun ?

    Erst einmal nicht im Admin Modus arbeiten, dann immer alle Software auf dem aktuellen Stand halten.
    Und besonders wichtig nicht auf alles klicken was bunt und blinkt.
    Auch niemals auf eine Spam antworten.
    Alles andere hat Dir TussiMusterfrau schon geschrieben.

    Gruß
    EDV-Oldi

  • Trojan.Zbot


    Aufgrund des Befalls mit Trojan.Zbot ist der Rechner nicht mehr vertrauenswürdig. Und sollte daher nicht mehr benutzt werden.


    Das einzige, was ansteht, wäre eine saubere Neuinstallation des Betriebssystems, also ein Neuaufsetzen des Rechners.


    Da der Beweis (Trojan.Zbot, E-Mail) für einen nachstehenden möglichen Rechtsstreit gesichert werden sollte, würde ich den Rechner unangetastet lassen.


    Da nicht sicher ist, was Trojan.Zbot bisher angerichtet hat, würde ich -falls Internetbanking betrieben wird- die Bank informieren.
    Ferner steht an, alle benutzten Passwörter zu ändern, dies sollte aber von einem anderen sauberen Rechner erfolgen.


  • Das ist richtig, Mental, da hätte ich auch drauf hinweisen sollen.
    Wenn fra-wa ein Image des Betriebssystems _vor_ dem Befall hat, dann könnte man das zurückspielen; würde eine Neuinstallation erübrigen.
    Vorher aber die fragliche Mail als Beweis exportieren und vielleicht auf CD sichern.

  • Hallo fra-wa,


    wenn Du den Anhang wirklich nicht geöffnet hast, sehe ich die Sache etwas entspannter. Ein Trojaner in einer E-Mail ist harmlos, solange er nicht zur Ausführung kommt.


    Um den Schädling los zu werden, genügt es in solchen Fällen, die betreffende E-Mail von der Festplatte zu löschen. Im TB musst Du dazu den zugehörigen Ordner nach dem Löschen noch komprimieren, weil gelöschte E-Mails erst dadurch wirklich gelöscht werden. Zuvor werden sie nur als gelöscht markiert und befinden sich nach wie vor in der Mailbox. Deshalb werden sie auch immer noch von der AV-Software gefunden.


    Grundsätzlich bedenke aber den obigen Hinweis vom Oldi: Stelle Deine AV-Software so ein, dass sie auf keinen Fall E-Mails löschen darf.


    Auch Beweise musst Du eher nicht sichern. Es ist doch ziemlich offensichtlich, dass das ein Betrugsversuch war. Besser wäre gewesen, auf diese E-Mail überhaupt nicht zu reagieren. Siehe dazu auch http://www.polizei-praevention…/abo-vertrag-in-mail.html


    Gruß


    Susanne

  • Hallo,


    ich sehe das so:

    Mein Virenscanner hat schon mehrmals Risiken in den komprimierten Dateien Trash und ibox gefunden. Er hat diese isoliert.


    fra-wa hat also irgendwann eine verseuchte Mail erhalten und die auch gelöscht, aber die Ordner nicht komprimiert. Die Mail ist also noch in der Maildatei vorhanden und wird nur nicht mehr angezeigt, der Scanner findet sie natürlich dort noch.

    Dateiname: rechnung abo vom 12.05.2014 portal.com

    die Mail war also wohl schon vom Mai letzten Jahres.


    Ich öffne keine Anhänge und keinen link, schon gar nichts mit zip.
    Aber was heißt hier inbox?

    damit wäre der PC dann auch nicht durch den Trojaner befallen. Die inbox ist der Posteingang, trash der Papierkorb.


    kein Fall für's Forum sondern für einen Anwalt. Und erstmal nix bezahlen.

    jein, der Fall mit der Rechnung gehört wohl zum Anwalt, wobei das hier m.E. nicht um die Pseudo-Rechnung ging, sondern der User damit dazu verführt werden soll, die Rechnungsdatei mit dem integrierten Trojaner zu öffnen.


    Aufgrund des Befalls mit Trojan.Zbot ist der Rechner nicht mehr vertrauenswürdig. Und sollte daher nicht mehr benutzt werden.


    Wenn fra-wa sich an seine oben zitierten Vorgaben gehalten hat, ist der PC vermutlich noch clean, ähm, na ja, zumindest dieser Trojaner wurde nicht aktiviert...


    fra-wa : Ich würde also zunächst mal ein komplettes Image machen und danach den Rechner mit einer Knopix (?) CD starten und scannen lassen. Es macht absolut keinen Sinn, den Rechner von der evtl. kompromittierten Festplatte aus zu starten oder das auf der Platte vorhandene Virenscanprog zu nutzen!
    Siehe dazu z.B.

    Als nächstes solltest du deinen Rechner mit mehreren Scannern untersuchen, welche NICHT von deinem laufenden Windows aus gestartet werden.
    Hintergrund: Moderne, gut programmierte Schadsoftware ist problemlos in der Lage, sich vor einem auf der WinDOSe installierten AV-Scanner zu verstecken bzw. diesen zu deaktivieren. Auch ist der Aussage eines einzigen AV-Scanners niemals zu trauen. Vor allem nicht, wenn es bereits Anzeichen einer Infektion gibt.


    Dazu besorgst du dir (bei einem Kollegen oder direkt durch Kauf beim Heise-Verlag) die ggw. aktuelle DVD mit dem "desinfec´t 2014". Es handelt sich dabei um die Beilage zur Zeitschrift c´t 12/2014.
    Von dieser DVD wird dann der Rechner gebootet. Es startet dann ein Linux, welches vier unterschiedliche AV-Scanner automatisch aktualisiert und den Rechner damit untersucht. Dies wird viele Stunden dauern!


    Wenn das Ergebnis der Untersuchung negativ ist (= kein Fund), kannst du davon ausgehen, dass dieses auch der Tatsache entspricht, dein System also sauber ist.
    Beim kleinsten Verdacht auf Befall gibt es nur eine Lösung: Alle Daten (auch dein TB-Userprofil) auf einen externen Datenträger auslagern, Platte formatieren und System neu aufsetzen.



    Edit: ups, da hat Susanne bereits geschrieben, ich war zu langsam, aber ich lasse es stehen

  • Hallo, zunächst besten Dank für die vielen Beiträge insbes. an Tussi,Oldie, Mental ,Susi und rum.
    Dem Hinweis mit dem Linux-Scanner werde ich weiterverfolgen, auch die Komprimierung werde ich jetzt öfters vornehmen. Gruß fra-wa.

  • Hallo fra-wa,


    bitte geh in einer anderen Reihenfolge vor:

    • Virenscanner so einstellen, dass der nie mehr automatisch an den Thunderbird-Profilordner geht.
    • (Thunderbird starten) alle Ordner komprimieren
    • Backup machen
    • Jetzt erst nach Viren scannen (auch den Profilordner, dabei den Virenscanner immer so konfigurieren, dass er nicht ohne Nachfrage löscht.)

    Grund für die Reihenfolge: beim Komprimieren greifst du auf die Datei zu, die den Virus noch enthält (Posteingang=Inbox). Der Virenscanner schlägt also wieder zu. Deswegen zuerst Virenscanner richtig konfigurieren, dann komprimieren, dann scannen.


    Grüße Ulrich

  • Hallo, danke . Aber wie kann ich den Virenscanner einstellen. Bisher hat NIS alle Risiken erkannt und gelöscht.
    z.B.


    Dateiname: Trash
    Bedrohungsname: Bedrohungen in komprimierten DateienVollständiger Pfad: c:\dokumente und einstellungen\wanke\anwendungsdaten\thunderbird\profiles\9y1fk3oo.default\mail\local folders\trash
    zahlung-955022.doc
    [Enthalten in] unknown01e280fe.data
    [Enthalten in] c:\dokumente und einstellungen\wanke\anwendungsdaten\thunderbird\profiles\9y1fk3oo.default\mail\local folders\trash
    entfernt
    Gruß fra-wa

  • Hallo,


    es fällt mir schwer darauf zu antworten, denn ich kenne die Software nicht.


    Bei den "Antivirenprogrammen", die ich kenne, gibt es immer zwei Betriebsarten: Den "On Access Scan" und den von dir bewusst eingeleiteten Scan.


    Der "On Access Scan" (kann auch anders heißen) scannt Dateien automatisch, wenn sie geöffnet, geschlossen oder verschoben/umbenannt werden. Und genau dieses automatische Scannen der Dateien im Thunderbird-Profilordner solltest du verhindern.
    In der Regel kann man dazu in der Taskleiste auf das Symbol des Scanners klicken und "Einstellungen, Optionen, Controlpanel oder ähnliches aufrufen" (auch mal Rechtsklick ausprobieren).
    Dann öffnet sich in der Regel das Fenster der Antiviren-Software und du kämpfst dich im Menü irgendwie zu den Optionen/Einstellungen/Konfiguration des "On Access Scanners" durch.
    Dort kann man meistens "Ausnahmen" hinzufügen. Und du erstellst die Ausnahme, dass der "On Access Scanner" nicht im Ordner
    c:\dokumente und einstellungen\wanke\anwendungsdaten\thunderbird\profiles\9y1fk3oo.default\
    scannen darf.


    Alles weitere muss jemand beantworten, der die eingesetzte Software kennt (evtl. anderes Forum).
    Grüße, Ulrich

  • Hallo,Ulrich, vielen Dank für die prompte Antwort. Im NIS kann ich Elemente vom Scannen ausnehmen.
    Aber in meinem letzten Beispiel v. 10.3. hat er ja gerade eine Bedrohung im Profilordner festgestellt und entfernt:


    Dateiname: Trash
    Bedrohungsname: Bedrohungen in komprimierten DateienVollständiger Pfad: c:\dokumente und einstellungen\wanke\anwendungsdaten\thunderbird\profiles\9y1fk3oo.default\mail\local folders\trash
    zahlung-955022.doc
    [Enthalten in] unknown01e280fe.data
    [Enthalten in] c:\dokumente und einstellungen\wanke\anwendungsdaten\thunderbird\profiles\9y1fk3oo.default\mail\local folders\trash
    entfernt


    Letzteres ist doch der Profilordner. Also soll er diese Bedrohng ignorieren und da nichts entfernen?
    entfernt hat er doch nur: zahlung-955022.doc im : default\mail\local folders\trash ?
    Und wenn er mich dann fragt: löschen ? Kann ich ja nicht beurteilen.


    Gruß Fra-wa

  • Hallo,


    Zitat

    Letzteres ist doch der Profilordner. Also soll er diese Bedrohng ignorieren und da nichts entfernen?

    Ja, der Ordner
    c:\dokumente und einstellungen\wanke\anwendungsdaten\thunderbird\profiles\9y1fk3oo.default
    ist der Profilordner.
    Meine Meinung:
    Ja, in dem Profilordner soll nicht unaufgefordert gescant und auch nichts gelöscht werden. edvoldi ist da auch meiner Meinung (wie er ja bereits mehrfach geäußert hat).


    Das Problem ist, dass "trash" eine Datei ist. Sie enthält alle E-Mails, die im Ordner "Papierkorb" sind (mbox!).



    Ich beschreibe mal grob wie das abläuft, wenn du eine E-Mail mit einem Worddokument als Anhang bekommst (im Virenscanner ist der Profilordner vom Scannen ausgeschlossen):


    Du benutzt IMAP => Thunderbird zeigt dir eine neue E-Mail in der E-Mailliste an. Jetzt klickst du auf die E-Mail um sie zu öffnen. Thunderbird läd die E-Mail (je nach Einstellung) komplett runter und speichert sie (je nach Einstellung) in einer mbox-Datei zusammen mit anderen E-Mails im Profilordner ab 1*) und zeigt dir auf dem Bildschirm die Nachricht der E-Mail an.


    Hier musst du wissen, dass in einer E-Mail ausschließlich Text (Buchstaben) versendet werden können. Das ist historisch so gewachsen. Dann wollte man auch Dateien versenden können doch eine Datei sind keine Buchstaben. Also ging das zunächst nicht. Aber eine Lösung war schnell gefunden: man kam auf die Idee, Dateien vor dem Versenden in Buchstabensalat umzuwandeln. Der Empfänger kann ja aus dem Buchstabensalat wieder eine Datei erstellen. Das machen alle E-Mailprogramme und Webmaildienste für uns ohne dass wir es mitbekommen. Dieser Buchstabensalat ist Teil der E-Mail und wird daher auch in der mbox-Datei abgelegt.


    Du klickst nun auf den Anhang und erklärst Thunderbird, er soll ihn direkt öffnen (nicht empfehlenswert, aber "worst case scenario"). Jetzt muss Thunderbird Word, das die Datei öffnen soll, ja irgendwie die Datei übergeben, es gibt im Augenblick aber nur Buchstabensalat. Also erstellt Thunderbird aus dem Buchstabensalat eine Datei und speichert sie in dem Temporären-Verzeichnis von Windows. Hier scannt der Virenscanner und lässt - egal was passiert - ein anderes Programm erst dann wieder an die Datei, wenn er keine Gefahr erkennen kann.
    Thunderbird ruft schon Word auf da es die Datei öffnen soll, und sagt ihm, wo Word die Datei findet (im temporären Verzeichnis). Word versucht die Datei zu öffnen, doch es muss noch warten bis der Scanner fertig ist. Der Scanner sagt "keine Gefahr" und gibt die Datei frei. Jetzt erst öffnet Word die Datei/den Anhang.


    Ein "Virus" / "Trojaner" kann erst dann "aktiv" werden, wenn er geöffnet / ausgeführt wird. Als Anhang einer E-Mail ist er also noch völlig ungefährlich. Erst das Öffnen "erweckt ihn zum Leben".



    Wo ist das Problem:
    Antivirenprogramme sind wie eben dargestellt unter anderem dafür da, den Zugriff auf Dateien zu unterbinden und diese evtl. zu löschen / in Quarantäne zu stellen. Das Problem ist, dass Thunderbird mehrere (bei mir oft weit über tausend) E-Mails in einer Datei speichert. Löscht ein Antivirenprogramm eine solche mbox-Datei, so gehen mir wegen einem als schädlich eingestuften Anhang alle E-Mails dieser mbox-Datei verloren.
    Daher darf mein Scanner im Profilverzeichnis nicht scannen. Findet mein Scanner etwas (er findet das ja dann im temporären Verzeichnis), dann weiß ich doch aus welcher E-Mail das stammt. Ich lösche also die entsprechende E-Mail in Thunderbird und komprimiere danach den Ordner. Dann lösche ich im temporären Verzeichnis die Datei (sofern ich das nicht dem Scanner überlassen habe). Damit ist der Virus/Trojaner nicht mehr auf meiner Festplatte und stellt keine Gefahr mehr da.



    Übrigens besteht nicht nur die Gefahr, dass die ganze mbox gelöscht wird, sondern hier wird auch gesagt, dass auch schon das Blockieren einer mbox Datenverlust nach sich ziehen kann.


    Ich hoffe, ich konnte mich verständlich ausdrücken.
    Grüße, Ulrich


    1*) Hier greift der Virenscanner zu, wenn er den Profilordner scannen darf.



    PS: wenn ich meine Festplatte routinemäßig nach Viren scanne, dann schließe ich vorher Thunderbird und lass selbstverständlich auch den Profilordner scannen. Wenn mir dabei ein Fund angezeigt wird, schreibe ich mir das auf und befehle dem Virenscanner, die Hände von meinen E-Mails zu lassen. Ist der Scan abgeschlossen lösche ich die entsprechende E-Mail mit Thunderbird, komprimiere den Ordner, schließe Thunderbird und vergewissere mich durch einen erneuten Scan, dass ich die richtige E-Mail entfernt habe.

    Einmal editiert, zuletzt von losgehts ()

  • Hallo Ulrich ,vielen Dank für die ausführliche Darstellung.
    Es gibt wohl also 2 Scans:
    1.und speichert sie (je nach Einstellung) in einer mbox-Datei zusammen mit anderen E-Mails im Profilordner ab 1*) da mache ich gar keinen Scan ( ich weiß gar nicht wie )
    2.wenn ich meine Festplatte routinemäßig nach Viren scanne, dann schließe ich vorher Thunderbird und lass selbstverständlich auch den Profilordner scannen.
    das mache ich wöchentlich, aber wozu TB schließen ?
    Jetzt sehe ich klarer.
    Gruß fra-wa

  • Hallo,


    Zitat

    1.und speichert sie (je nach Einstellung) in einer mbox-Datei zusammen mit anderen E-Mails im Profilordner ab 1*) da mache ich gar keinen Scan ( ich weiß gar nicht wie )

    Das ist der "On AccessScan" / "Guard" / "Wächter" (oder wie das vom jeweiligen Hersteller auch immer genannt wird): Alle Dateien, die nicht ausgenommen sind, werden beim Öffnen, Speichern und Umbenennen gescannt. Hast du also dein Profil nicht ausgeschlossen, wird die mbox gescannt, sobald eine E-Mail hineingeschrieben wird (Speichern!).



    Zitat

    2.wenn ich meine Festplatte routinemäßig nach Viren scanne, dann schließe ich vorher Thunderbird und lass selbstverständlich auch den Profilordner scannen.
    das mache ich wöchentlich, aber wozu TB schließen ?

    Findet der Scanner etwas in einer mbox, blockiert er (jeh nach Einstellung) den Zugriff auf die Datei. Will Thunderbird jetzt auf die Datei zugreifen (z.B. eine einkommende E-Mail hinzufügen), gibt es ein "Problem". Um dieses zu vermeiden, schließe ich vor einem Scan den Thunderbird.


    Grüße, Ulrich