Thunderbird Portable Virus

  • Hallo!
    Ich benutze Thunderbird Portable 1.8.3 (Windows xp)
    IMAP
    riseup.net
    PGP
    ESET Smart Security


    Ich habe gerade festgestellt, dass mein USb Stick (Thunderbird Portable) einen Virus hat. Nach dem Scan
    wird angezeigt, dass alles verseucht ist.
    Nun zur Fage, muss ich den Stick formatieren und wenn ja, wie kann ich z.B. meinen Schluessel behalten
    oder sind alle Daten dann komplett geloescht? Oder gibt es eine andere Moeglichkeit, den Virus loszuwerden?


    Viele Gruesse,
    Mila

  • Hallo mila,
    und willkommen im Forum!


    Dein Hauptproblem dürfte wohl sein, dass du immer noch das nunmehr sehr unsichere - weil nicht mehr gepflegte - Windows XP benutzt. Du solltest mal über ein neues System nachdenken.


    Zurück zu deinem USB-Stick.
    Wenn du Glück hast bzw. wenn dein AV-Scanner richtig konfiguriert ist, dann sind alle Dateien auf dem Stick noch vorhanden und vom AV-Scanner unangetastet. Und ganz gut wäre, wenn aus dem Logfile deines Scanners hervorgeht, welche Datei den "Virus" beinhaltet. Gute AV-Scanner zeigen sogar genau an, im Mailanhang welcher E-Mail sich der Schadcode befindet.
    Wenn du diese Information nicht aus dem Logfile entnehmen kannst, musst du das eben austesten - aber auch das ist nicht so schlimm.


    Zuerst einmal konfigurierst du deinen AV-Scanner so, dass er das TB-Userprofil NICHT überwacht. Du musst also das auf dem Stick befindliche "Profil" (den Ort kann ich dir nicht nennen, da ich nicht weiß, welche Version des port. TB du nutzt) in deinem AV-Scanner als "Ausnahme" eintragen. Und diese Einstellung musst du auch dauerhaft belassen. Der AV-Scanner darf nicht das Profil überwachen!


    Jetzt startest du den Thunderbird.
    Wenn der AV-Scanner keine Dateien zerstört hat (=> deswegen das Profil immer aus Ausnahme einstellen, s. oben!), müsste der TB normal starten.
    Wenn du aus den Logfiles die Mail mit dem Befall mit Schadcode entnehmen kannst, dann rufst du genau diese Mail auf. Es muss eine Mail mit Anhang sein, denn nur darin kann sich der Schadcode verbergen. Du darfst aber keinesfalls diesen Anhang öffnen! (Und ich hoffe mal, dass du dies auch noch niemals getan hast - sonst wäre dein PC selbst befallen!)
    Du kannst jetzt versuchen, den Mailanhang in deinen Downloadordner abzuspeichern. Ein guter AV-Scanner erkennt dabei bereits den Befall mit Schadcode - dann einfach abbrechen. Wenn das nicht passiert, speicherst du den Anhang im o.g. Ordner und lässt danach den gespeicherten Anhang mit dem AV-Scanner überprüfen. Wenn dieser "anschlägt", weißt du, dass du die richtige Mail gefunden hast und du lässt den AV-Scanner diese Datei (also den Anhang im Downloadordner) löschen. AV-Scanner machen das "richtig", indem sie die Datei mehrfach mit Nullen oder Zufallszahlen überschreiben, also shreddern.


    Danach löschst du im Thunderbird die Mail, aus welcher du gerade den "befallenen" Anhang gelöscht hast. Danach leerst du den Papierkorb und zum Schluss komprimierst du alle Mailordner, in welchen sich die befallene Mail jemals befunden hat.


    Diesen o.g. Vorgang:

    • führst du bei allen im Logfile des Scanners als befallen gekennzeichneten Mails aus.
    • musst du, wenn die Logfiles derartige Informationen nicht hergeben, mit allen Mails machen, in welchen sich ein Anhang befindet - bis du den befallenen Anhang gefunden hast. Bei den "sauberen" Mails natürlich ohne die Mails zu löschen ;-)
    • wirst du ab sofort bei jedem Mailanhang machen. Also immer zuerst abspeichern, dann Scannen und erst dann im Downloadordner starten. Soviel Zeit muss sein! Es ist immer schneller, als einen per Dummklick auf einen befallenen Mailanhang infizierten Rechner neu aufzusetzen. Und falls dabei ein Befall signalisiert wird, weißt du ja, was zu tun ist.


    Wenn das alles erledigt ist, überprüfst du noch einmal, dass dein AV-Scanner niemals "löscht" oder "desinfiziert", sondern immer nur "meldet" und den Zugriff verweigert. Und dann scannst du deinen Rechner und auch den angeschlossenen USB-Stick noch einmal.


    Wenn dabei nichts gefunden wird, hast du wirklich Gück gehabt.


    OK?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hi
    danke fuer Deine Hilfe!
    Ich habe jetzt einfach alles formatiert, das System und den Stick..
    War zuviel verseucht..
    NUn weiss ich nicht, wenn ich Thunderbird neu installiere, ist mein Schluessel und die Schluessel von anderen noch irgendwo auffindbar?


    Viele Gruesze
    Mila

  • Hallo mila,

    NUn weiss ich nicht, wenn ich Thunderbird neu installiere, ist mein Schluessel und die Schluessel von anderen noch irgendwo auffindbar?

    Jetzt eine ganz klare Ansage:


    Wer seinen privaten Schlüssel nicht sofort nach dessen Erzeugung auf mindestens einen, besser noch zwei zuverlässige Datenträger (entweder eine DVD und/oder einen nur dafür genutzten USB-Stick) kopiert und diese Datenträger an zwei unterschiedlichen sicheren Orten lagert, der hat den Sinn einer Verschlüsselung noch nicht verstanden!


    Oder anders gesagt: Wenn der Schlüssel nur auf dem Rechner gespeichert war, kannst du selbigen vergessen! WOWEREIT!
    Jetzt hast du die Aufgabe, alle deine Mailpartner zu informieren, dass sie diesen Schlüssel löschen und nicht mehr benutzen sollen (du kannst ja diese Mails nicht mehr entschlüsseln).


    Merke: Du hast dieses Problem mit deinem unbedachten Formatieren selbst verursacht. Du hättest deinen Schlüssel immer noch herauskopieren können. Selbst wenn dein verwanzter Rechner gar nicht mehr gebootet hätte, hättest du mit einer bootfähigen Linux-DVD (Knoppix o.ä.) noch viele Daten retten können.


    Das gute an der Sache dürfte sein, dass zu jetzt (hoffentlich!!) kein Windows-XP mehr installierst, sondern wenigstens (meine Empfehlung!) Win-7 auf die Kiste ziehst.


    Und dann habe ich noch eine Frage: Warum nutzt du auf einem Rechner dauerhaft die portable Version vom Thunderbird? IMHO unverständlich.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!


  • Und dann habe ich noch eine Frage: Warum nutzt du auf einem Rechner dauerhaft die portable Version vom Thunderbird? IMHO unverständlich.



    MfG Peter

    Hallo Peter


    Ich nutze auch seit Jahren TB Portable auf zwei Rechnern - Desktop im Büro und Schlepptop wenn ich unterwegs bin.
    Mit Freefile Sync werden immer beide auf den gleichen Stand gebracht.


    Was ist in DHO ;) der Nachteil der Vollkopie des TB Ordners - auf einer separaten Datenpartition, wie alles, was synchronisiert wird - im Vergleich zur Vollinstallation?


    Die portable Version kann ich mir sogar auf einen Stick ziehen und dann im Notfall an einem beliebigen Rechner nutzen.

    Gruß Thomas

  • Hallo Thomas,


    der "portable Thunderbird" wurde von mehreren Entwicklern (ich kenne mindestens drei Varianten - die IMHO beste ist die von "Caschy") mit dem Ziel entwickelt, eine nomadische Nutzung des Thunderbird zu ermöglichen. Also mit dem auf dem Stick "installierten" Programm von Rechner zu Rechner gehen zu können. Dafür und nur dafür macht die Nutzung der P-Variante auch Sinn (*).
    Das Ziel war niemals, die Mobilvariante fest zu "installieren".
    Warum auch? Welchen Vorteil habe ich als Nutzer davon?
    Eigentlich habe ich doch nur Nachteile:
    - die portablen Varianten benötigen alle eine "Vorstarter", der dann erst den eigentlichen TB startet (muss bei portabler Nutzung eben so sein)
    - es gibt immer wieder Probleme mit dem Update des Thunderbird
    - da die P-Variante nicht richtig im System eingebunden ist (wurde ja nicht installiert) fehlen die wenigen Registry-Einträge
    - damit kaum möglich ein Senden an ... (den Thunderbird) und andere Systemübliche Funktionen
    - es ist keine, wie im fest installierten TB übliche, saubere Verlegung des vollständigen TB-Userprofils auf eine Datenpartition möglich. Oder nur mit Bastelei.
    - das Starten von Programmen von einem USB-Stick ist generell eine unsichere Angelegenheit. So ein Stick löst sich schnell mal, usw.
    - Ich bezeichne diese Lösung als eine schlechte Bastellösung!


    (*)
    Selbstverständlich kenne ich auch die Gründe der "Befürworter" dieser Variante.
    In meiner (gewesenen) langjährigen Tätigkeit auf dem Gebiet der IT-Sicherheit habe ich immer wieder erlebt, wie bestimmte User genau diese Methode genutzt haben, um damit (gute und notwendige) Restriktionen auf den dienstlichen Rechnern bewusst zu umgehen. Da sie keine Adminrechte haben (WOWEREIT!!) und somit keine privaten Programme installieren können, wird das Verbot eben auf diese Art und Weise umgangen.
    Dass man gerade durch die Nutzung von USB-Sticks (und wenn es die "Erstinstallation" auf die Platte ist) sehr häufig Schadprogramme installiert, interessiert diese Zeitgenossen nicht.


    Es gibt aber auch noch einen weiteren Grund.
    Viele Nutzer betreiben lieber aufwändige Synchronisationslösungen, an Stelle (für den Maildienst) die einzige bewährte, ausgereifte und stabile Lösung, nämlich IMAP anzuwenden!
    1x auf einem Rechner das Profil vollständig einrichten und dann selbiges einfach auf den oder die anderen Rechner kopieren. Fertig!
    Die Mails sind damit automatisch synchron. Zusätzlich kann auf einem der Rechner noch ein lokales Backup in den "Lokalen Ordnern" eingerichtet werden. Zum Nachlesen: Re: [imap+lokal] Suche ideales System für Archivierung
    Was noch fehlt, ist die Synchronisation von Kalendern und Adressbüchern. Da heutzutage wohl fast jeder ein Smartphone benutzt, wollen das wohl diese Nutzer fast immer. Dank CardDAV und CalDAV ist das weder im Thunderbird noch auf den diversen Smartphones ein Problem. Beispiele dafür gibt es in vielen Beiträgen im Forum.


    Reicht das als Antwort?



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter


    Danke für deine ausführliche Antwort


    Einige deiner Fakten kann ich voll unterschreiben, ein paar aber nicht:


    - die portablen Varianten benötigen alle eine "Vorstarter", der dann
    erst den eigentlichen TB startet (muss bei portabler Nutzung eben so
    sein)
    OK, sehe ich ein, nehme ich aber in Kauf


    - es gibt immer wieder Probleme mit dem Update des Thunderbird
    habe ich noch nie gehabt, außer das das Release an sich Probleme machte, das betrifft dann aber auch die fest installierte Version


    - da die P-Variante nicht richtig im System eingebunden ist (wurde ja nicht installiert) fehlen die wenigen Registry-Einträge
    Was fehlt mir dadurch?


    - damit kaum möglich ein Senden an ... (den Thunderbird) und andere Systemübliche Funktionen
    ist eingestellt als Verknüpfung an thunderbirdportable.exe - funktioniert problemlos


    - es ist keine, wie im fest installierten TB übliche, saubere Verlegung
    des vollständigen TB-Userprofils auf eine Datenpartition möglich. Oder
    nur mit Bastelei.
    Der GANZE TB Portable Ordner liegt auf der Datenpartition


    - das Starten von Programmen von einem USB-Stick ist generell eine
    unsichere Angelegenheit. So ein Stick löst sich schnell mal, usw.
    Da gebe ich dir Recht, wird auch nur als Notlösung genutzt, bisher 1 Mal in zehn Jahren...


    - Ich bezeichne diese Lösung als eine schlechte Bastellösung!
    Das darfst du gerne ;)


    Wie gesagt, ich arbeite nicht vom Stick sondern synchronsiere vor und nach einer Dienstreise ALLE Daten - inklusive TB zwischen PC und Schleppie und wieder zurück.


    IMAP nutze ich natürlich, aaaber, da ich nicht immer Internetzugang habe (ja, auch in solche Gegenden komme ich schon mal), sind nur die aktuellen Mails im IMAP Eingang und der Rest aus praktischen Gründen in lokalen Ordnern abgelegt.
    Und da komme ich, inklusiver teilweise großer Anhänge IMMER dran, ob ich online bin oder nicht.


    Wenn du in einem Land bist, wo noch I-Net über Modem läuft, bist, möchtest du beim Einloggen sicher nicht, dass dein IMAP Ein- und Ausgang jedesmal 2500 Mails abrufen muss, und das sind nur die der letztem 6 Monate, der Rest liegt im Mailstore archiviert.


    Die IT Sicherheitsbedenken sind absolut korrekt, aber mal ehrlich - ein Admin der die Zugriffe auf dem Rechner des Mitarbeiters einschränkt und die USB Ports offen lässt, würde bei mir ein dezentes Stirnrunzeln hervorrufen ;)


    Ein Kunde meiner Liebsten hat's mal geaschafft, ihr einen Virus auf den Stick mit der Präsentation zu pflanzen, den sein Sohn mit irgendwelchen Videos auf den Rechner des Kunden gebracht hatte.
    Gott sei Dank haben wir das schnell bemerkt und sie hat jetzt einen Stick mit Schreibschutz - sicher ist sicher und dem Kunden war's hochpeinlich...

    Gruß Thomas