ZoneAlarm im Konflikt mit Thunderbird?

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version:
    * Betriebssystem + Version:
    * Kontenart (POP / IMAP):
    * Postfachanbieter (z.B. GMX):
    * Eingesetzte Antivirensoftware:
    * Firewall (Betriebssystem-intern/Externe Software):


    Thunderbird-Version: 31.7
    Betriebsystem Windoof 7
    Kontenart Securepop
    Postfachanbieter: T-Online
    (Noch!) Eingesetzte Antivirensoftware: Zone Alarm Free Antivirus + Firewall
    Betriebssystem Firewall deaktiviert


    Hallöchen
    Ich hab schon oft bei Thunderbird Problemen helfen können, aber jetzt hat es auch mich erwischt.
    Mein Zone Alarm hat einfach mal meine Inbox als mit einem Trojaner gefüllt befunden und schreibt nur "Problem behoben"
    Nunja.
    Wer kennt es nicht, man braucht seine Mails.
    Die Inbox hat er noch als Datei, allerdings Größe "unbekannt". Auslesen kann ich Sie nicht, solange ZA seinen automatischen Virenscan laufen lässt.
    Ich hatte das Häckchen gesetzt unter Einstellungen -> Sicherheit, dass die Mails vorab überprüft werden dürfen.
    Des weiteren hatte ich in ZA den AppData/Roaming/Thunderbird Ordner komplett ausgenommen.


    Was lief schief und wie erhalte ich die Mails wieder?


    Bin gerade etwas gefrustet. :'(


    PS: Betreffzeile ist sichtbar, Inhalt der Mails fehlt

  • Guten Tag InboxSucher,
    und willkommen im Forum!



    In gefühlten 1000 Beitragen haben wir uns die Finger wund geschrieben, um in den Köpfen unserer Nutzer wie mit einem Nürnberger Trichter hineinzubekommen, dass dem AV-Scanner unbedingt verboten werden muss, das TB-Userprofil zu überwachen.
    Und immer wieder gibt es User, welche uns das nicht glauben - bis sie deswegen mal so richtig auf die S******e fallen.
    Nun hat es dich erwischt ... .


    Und gefühlt genau so oft habe ich schon geschrieben, dass ungesicherte Daten unwichtige Daten sind. Jetzt weißt du, warum. Denn die einfache uns schnelle Lösung wäre, die INBOX aus der Sicherung von gestern zurück zu spielen.



    Zurück zu deinen Fragen.
    Was lief schief?
    Wie du vielleicht aus dem Lesen unserer Doku weißt, werden bei unserem "guten alten" POP3 sämtliche E-Mails hintereinander in so genannten Mbox-Dateien gespeichert. Eine Mail nach der anderen ... .
    Und wenn der (total falsch kontigurierte!) AV-Scanner in einer Datei Schadcode zu erkennen glaubt, und wegen seiner falschen Konfiguration diese befallene Datei löschen soll => dann macht er das, was ihm aufgetragen ist, er löscht diese Datei.
    Dummerweise ist diese Datei deine INBOX mit allen Mails, die da drinnen sind. Und AV-Scanner löschen richtig (wenn "Löschen" eingestellt ist und nicht etwa "in Quarantäne verschieben", wo du diese Datei wiederherstellen könntest), indem sie die befallene Datei durch mehrfaches Überschreiben shreddern. In diesem Fall ist die Wahrscheinlichkeit der Wiederherstellung = NULL!


    Merke:



    • Der AV-Scanner darf niemals das TB-Userprofil überwachen!
    • Der AV-Scanner ist immer so zu konfigurieren, dass er niemals von sich aus schreibend auf deinen Datenbestand zugreifen darf. Immer "Fragen"!
    • Der Posteingang (INBOX) hat immer leer zu sein, und nur die neuen, ungelesenen oder unbearbeiteten Mails zu enthalten. Die Mails sind, wie in einem ordentlich geführten Büro in Ordner und Unterordner einzusortieren. Bei einer fast leeren INBOX geht das Risiko des Datenverlustes gegen NULL.
    • DATENSICHERUNG, DATENSICHERUNG, DATENSICHERUNG, DATENSICHERUNG!!

    Des weiteren hatte ich in ZA den AppData/Roaming/Thunderbird Ordner komplett ausgenommen.

    Wenn das wirklich so war, dann hätte der AV-Scanner diesen Schaden nicht verursacht.
    Es gibt zwei (!!) Betriebsarten eines AV-Scanners: "on demand" (der bewusst durchgeführte Scan) und "on acess" (der "Hintergrundwächter"). Ich vermute mal, dass du die bewusste Einstellung nur ein mal gemacht hast.


    BTW:
    Es ist selbstverständlich "zulässig", in begründeten Fällen auch mal einen on-demand-Scann deines Profiles durchzuführen. Aber nur dann, wenn du unmittelbar vorher noch einmal nachgesehen hast, dass der Scanner nur blockieren und melden, aber keinesfalls schreiben darf!
    Und: Schadcode in einer Mail ist "völlig ungefährlich", so lange du diesen Anhang nicht öffnest. Und wenn du den alten Grundsatz beachtest, dass Mailanhänge:
    - zuerst in einen Downloadordner abgespeichert,
    - dann dort vor Ort mit einem aktuellen Scanner gescannt und
    - erst dann dort geöffnet werden
    kann überhaupt nichts passieren.
    Aber der Mensch ist nun mal bequem, missachtet diese Regel und öffnet Mailanhänge gleich aus dem Mailprogramm heraus.



    PS: Betreffzeile ist sichtbar, Inhalt der Mails fehlt

    Für die Anzeige der Betreffzeile wird ja auch die jeweilige Indexdatei genutzt. Da diese nicht vom Shredder zerstört wurde, sind da auch noch alle Mails "vorhanden" => nein: werden diese noch als vorhanden angezeigt.
    Zumindest so lange, bis wieder mal indiziert wird. Dann wird der tatsächlich vorhandene Mailbestand (NULL?) angezeigt.




    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Danke für die ausführliche Antwort, hoffentlich krieg ich das mit dem zitieren so schön wie du hin.


    In gefühlten 1000 Beitragen haben wir uns die Finger wund geschrieben, um in den Köpfen unserer Nutzer wie mit einem Nürnberger Trichter hineinzubekommen, dass dem AV-Scanner unbedingt verboten werden muss, das TB-Userprofil nicht zu überwachen.
    Und immer wieder gibt es User, welche uns das nicht glauben - bis sie deswegen mal so richtig auf die S******e fallen.
    Nun hat es dich erwischt ... .

    Nunja. Es hat mich erwischt, da haste absolut recht!
    Ich kann aber gleich anmerken zu:


    Wenn das wirklich so war, dann hätte der AV-Scanner diesen Schaden nicht verursacht.
    Es gibt zwei (!!) Betriebsarten eines AV-Scanners: "on demand" (der bewusst durchgeführte Scan) und "on acess" (der "Hintergrundwächter"). Ich vermute mal, dass du die bewusste Einstellung nur e1 gemacht hast.

    Es sind beide Arten laut Ausnahmenregelung unterbunden!

    nd gefühlt genau so oft habe ich schon geschrieben, dass ungesicherte Daten unwichtige Daten sind. Jetzt weißt du, warum. Denn die einfache uns schnelle Lösung wäre, die INBOX aus der Sicherung von gestern zurück zu spielen.

    Könnte ich, deswegen sind aber trotzdem rund 200 Mails weg, die ankamen (werden automatisch mit Windowsstart geladen) seit der letzten Sicherung vom Sonntag, als ich das letzte Mal am Rechner war.
    Also ist die Sicherung durchaus noch gegeben! Trotzdem wäre der Verlust von 200 Mails schmerzhaft und die kann ich noch gar nicht gesichert haben.
    Ich beschreib dir das ganze mal:
    Windows Start, 200 neue Mails, Zone Alarm meldet sich "Windows muss neugestartet werden um Schadsoftware zu entfernen" (sinngemäß)
    Hab ich machen lassen -> Windows neu angemeldet, Mails leer bis auf Betreffzeile.





    Was lief schief?
    Wie du vielleicht aus dem Lesen unserer Doku weißt, werden bei unserem "guten alten" POP3 sämtliche E-Mails hintereinander in so genannten Mbox-Dateien gespeichert. Eine Mail nach der anderen ... .
    Und wenn der (total falsch kontigurierte!) AV-Scanner in einer Datei Schadcode zu erkennen glaubt, und wegen seiner falschen Konfiguration diese befallene Datei löschen soll => dann macht er das, was ihm aufgetragen ist, er löscht diese Datei.

    Nun, dann wüsste ich gern was so falsch konfiguriert ist. Als on access und on demand sind blockiert. Unter Einstellungen->Sicherheit wurde "Anti-Virus ermöglichen ...." auch das Häckchen brav gesetzt.
    Weitere Einstellungen waren mir jetzt ehrlich nicht bekannt, lerne aber gerne dazu.


    Auch ist nicht löschen sondern Quarantäne eingetragen als Handlung von Zone Alarm, jedoch ist diese leer (Scan läuft aber noch, hoffentlich kommt diese dann doch noch am Ende rein/taucht auf, wäre die angenehmste Lösung für mich)



    Dummerweise ist diese Datei deine INBOX mit allen Mails, die da drinnen sind. Und AV-Scanner löschen richtig (wenn "Löschen" eingestellt ist und nicht etwa "in Quarantäne verschieben", wo du diese Datei wiederherstellen könntest), indem sie die befallene Datei durch mehrfaches Überschreiben shreddern. In diesem Fall ist die Wahrscheinlichkeit der Wiederherstellung = NULL!

    Auch damit ist gegeben, laut ZoneAlarm ist es nie erlaubt eine Datei entgültig zu löschen.
    Ich gehe nach deinem Beitrag und mehrmaligen Nachprüfen der Einstellungen davon aus, dass die Daten irgendwo noch am Rechner sein werden. Wie gesagt, ich halte mich nicht für unbedarft und hab eigentlich alle Einstellungen gesetzt.




    Darf er nicht.


    Sollte er eben nicht dürfen, rein lesen bzw. nicht einmal das.


    Ok, wieder was gelernt. Da sind fast 5000 mails drin. Gibt es da eine besonders vorzuziehende Lösung?


    Mach ich. Automatisch bei jedem Herunterfahren! ;)



    Joa, klar muss on demand Scan auch mal sein dürfen ;)
    Wie gesagt, ich hab ihn nicht aktiv gestartet meines Wissens, zumindest nicht entnehmbar der Zone Alarm meldung und eigentlich noch nichtmal lesen!
    Das Schadcode nur vom in der Mail sein nichts macht hab ich zum Glück schon gelernt, wird normal gelöscht und der Papierkorb wird brav kompremiert ;)


    Also treffe ich mit der Bequemlichkeit nicht einmal zu :D

  • Ja, trotzdem hat es dich erwischt. Das ist nun mal leider eine Tatsache.


    Hast du vlt. noch irgend einen anderen Scanner am Laufen? Irgend ein (vergessenes) Teil, welches Windows (ich glaube, das Betriebssystem heißt so?) mitliefert?


    Teste mal, was passiert, wenn du dir den eicar runterlädst und diesen in einen bestimmten Ordner (meinetwegen "Test") packst.
    - ohne Ausnahme dieses Ordners? => hier sollte er nur blockieren und meckern!
    - mit Ausnahme dieses Ordners? => hier sollte er überhaupt nichts bemerken.
    - in beiden Fällen muss der Testvirus weiterhin vorhanden sein!


    Auf jeden Fall wäre mein Vertrauen in einen AV-Scanner, welcher eigenmächtig Schreibvorgänge durchführt, sehr beeinträchtigt.



    BTW:
    Schön, dass einige Bemerkungen aus meinem Beitrag auf dich nicht zutreffen. => dann einfach überlesen.
    Ich habe ja auch die Hoffnung, dass manch anderer Nutzer das liest und sich dann an seine eigene Nase fasst :P



    Dafür "als Bonus" (wieder mal) der Weg, wie man eine gespeicherte Mail mit einem befallenen Anhang wieder los wird:

    • Spätestens beim Scannen eines in den Downloadordner abgespeicherten Anhanges stellst du fest, dass dieser mit gewisser Wahrscheinlichkeit mit einer üblen Beiladung versehen ist. => Anhang mit gedrückter [Shift]Taste löschen (oder durch den AV-Scanner shreddern lassen).
    • Die betreffende E-Mail mit dem "verseuchten" Anhang löschen (mit gedrückter [Shift]Taste, damit sie gar nicht erst in den Papierkorb verschoben wird). Falls sie aber im Papierkorb liegt, dann auch diesen leeren.
    • Alle Mailordner, in welchen diese Mail auch nur temporär gespeichert war (oder gleich alle) mit der Funktion "Komprimieren" bearbeiten.
    • Nun dürfte diese Mail und auch der betreffende Anhang physisch gelöscht sein.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Ja, trotzdem hat es dich erwischt. Das ist nun mal leider eine Tatsache.


    Hast du vlt. noch irgend einen anderen Scanner am Laufen? Irgend ein (vergessenes) Teil, welches Windows (ich glaube, das Betriebssystem heißt so?) mitliefert?

    Nein, da lief nichts. Aber aus einem mir unbekannten Grund hat die Mail scheinbar doch schaden angerichtet. 24! Viren, die am Sonntag bei der letzten benutzung definitiv noch nicht da waren...
    Danke in jedem Fall für die Hilfe. Die Mails habe ich wieder, jetzt werden die gesichert, dann wird Windows wohl entgültig entfernt und durch Unix ersetzt und dann in einer VirtualBox noch die Mails gesäubert.
    Woher die Mbox Datei kommt (Windows->Unix) ist Thunderbird egal, oder?


    Den Testvirus habe ich gefunden, eben mit einem Sack voll anderen hinterher und mindestens einer ist eben nicht in der Mail geblieben. Da weiß ich aber noch nicht, ob das nicht mein persönliches Versagen war. Kann ich ausdrücklich nicht ausschließen hier was falsch gedrückt zu haben. Unwahrscheinlich, aber möglich.


    Explizit aber mit Ausnahme des Ordners! Also juckt den die Ausnahme irgendwie garnicht :o


    Hast auch nen Tipp für nen Scanner? Hab noch McAfee Pro (Firmenlizenz) rumfliegen, der ist mir aber wiederrum anderswo abgeraten wurden. :/


    hast du evtl. auch noch nen Bonus, wie die Struktur des Posteingangs bzw. der anderen Ordner dann aussehen sollte, wenn man nicht alles im Posteingang haben soll?

  • Hast auch nen Tipp für nen Scanner?

    Ich bin zwar bekennender 100%iger Linuxer (schon seit SuSE 5.?). Und eigentlich benötige ich ja keinen AV-Scanner. Trotzdem habe ich auf allen meinen Kisten und Kästchen den "B********r fur unices" (das ist die rote Kugel - keine Werbung!) installiert.
    Nicht etwa, um mich vor den kaum vorhandenen "Linux-Viren" zu schützen, sondern einzig und allein zum Schutz meiner Freunde, welche Windows benutzen. Allein der Gedanke, dass ausgerechnet ich einen verseuchten Mailanhang weiterleite, erhöht meinen Herzschlag ... .
    Und ich verfahre auch bei allen (mich eigentlich nicht betreffenden!) Mailanhängen so, wie ich beschrieben habe: abspeichern > scannen > öffnen. So viel Zeit muss sein!


    Und meinen Freunden der WinDOSe empfehle ich den gleichen Scanner mit der roten Kugel.
    Aber immer nur den reinen AV-Scanner! Niemals eines der "Super-Sicherheits-Programme", welche neben dem (für Windows-Nutzer unbedingt erforderlichen!) AV-Scanner noch eine absolut nicht notwendige "Firewall"-Funktion mitbringen. Die in jedem modernen Win eingebaute "Firewall" reicht völlig aus - und stört auch so gut wie niemals. Was man von den teueren Zusatzprogrammen nicht behaupten kann.



    Woher die Mbox Datei kommt (Windows->Unix) ist Thunderbird egal, oder?

    Du kannst dein komplettes TB-Userprofil unter beiden Betriebssystemen benutzen. Nur das Add-on "Lightning" ist an das jeweilige Betriebssystem gebunden.
    Du willst wirklich UNIX nutzen? Ganz sicher? (Oder meinst du Linux)



    hast du evtl. auch noch nen Bonus, wie die Struktur des Posteingangs bzw. der anderen Ordner dann aussehen sollte, wenn man nicht alles im Posteingang haben soll?

    Manche Provider (Magenta) begrenzen die Anzahl und die Tiefe der Ordner (bei IMAP)
    Ansonsten kannst du dich da austoben. Ich habe über 100 Ordner und Unterordner!
    Ob du diese nach Vorgängen, nach Personen, nach Firmen, nach Jahren - oder wie ich gemischt - anlegst, ist von deiner Fantasie und deinen Bedürfnissen abhängig
    Ich habe die "Oberordner" Personen, Firmen, Vorgänge und Sonstige
    Und in dem Ordner "Personen" zum Bsp. die Unterordner "Familie", "Freunde", "Kollegen", "Sonstige" usw. Dito bei den anderen Oberordnern
    Und dort, wo ein Ordner (eine Mbox-Datei) zu groß wird (bei bestimmten Personen wie meinem Sohn), unterteile ich noch in Jahrgängen.
    Ich nutze deswegen eine so große Ordnerhirarchie, damit ich meine Mails auch schnell finde. Da ich meine Mails bis auf wenige Ausnahmen alle verschlüsselt erhalte und versende, darf bei mir ja keine Suchfunktion funktionieren. Aber Dank meiner Ordnerhirarchie finde ich sie genau so schnell.
    Und: bei mir gibt es nur IMAP! Ich will schließlich meine Mails auf allen meinen Geräten einschließlich dem Schlau-Fernsprechgerät haben.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • ... dann wird Windows wohl entgültig entfernt und durch Unix ersetzt ...

    Du meinst wirklich Unix und nicht dessen kleinen Enkel Linux? Hast Du Erfahrung mit Unix auf dem Desktop? Ansonsten kann es sein, dass Du schneller wieder beim Windows bist als Du für die Installation benötigst. ;-)

  • ja. Ich meinte Unix ;) Wurde ab 97 an Dos und Unix rangeführt, Linux ist für mich aber auch ok.
    Es ist also egal, bin für Tipps offen. Hatte Windows eigentlich nur zur Kompatibilität zu anderen Nutzern im Umkreis. Da aber auch dort Unix als auch Linux Einzug erhalten ist für mich beides ok.Den AV werde ich jedenfalls dankend annehmen bis ich mich für ein neues OS entschieden habe.
    Für Linux spräche noch die gute Möglichkeit im Bedarfsfall Windows zu emulieren. Die Mails ließen sich übrigens herstellen. Jedoch mit einem Manko. Stelle ich her, sind alle Mails bis zum Vorfall lesbar, tue ich es nicht fehlrn die alten Mails, ABER alle nach dem Vorfall sind lesbar.




    Darf ich noch fragen, was für einen Anbieter du für IMAP nutzt? Mein Anbieter stellt diese Möglichkeit nicht zur Verfügung, brauche aber natürlich auch große Mailanhänge und sehr hohe Uptime.




    Werde im Urlaub vermutlich das OS ersetzen und dann auch die Struktur im Thunderbird anpassen. Danke jedenfalls für die kompetente und freundliche Hilfe.


    €: Edit fragt, ob die Ordnerstruktur unter Posteingang gesetzt werden darf als Unterordner oder unter lokale Ordner gesetzt werden sollte?

    Einmal editiert, zuletzt von InboxSucher ()