Beiträge von jottf

Zitat von Sehvornix

Ja, das hatte ich vermutet. Den Treffer in pagefile.sys kannst Du wohl ignorieren. Den gibt es schon eine ganze Weile mit einem der Scanner aus dem Set (Sophos). K. A. wieso der Hersteller (Sophos) das nicht in den Griff bekommt. Tatsächlich haben sie sogar eine halbgare Erklärung am Start, wie das zustande kommen soll. Merkwürdig ist nur, dass seit Jahren kein anderer On Demand Scanner dies bestätigt.

https://www.google.com/search?client=…7t+pagefile.sys

Wenn sonst nichts gefunden wurde, kannst Du begründet davon ausgehen, dass der PC nicht infiziert ist. Jedenfalls ist die Wahrscheinlichkeit durch den Ausschluss mit den AV-Scans sehr viel geringer.

Du findest auch zahlreiche Anleitungen zur Löschung der pagefile.sys via Google. Nach so einer Löschung, würde man die aber auf jeden Fall wieder einrichten. Windows benötigt aus Performancegründen diese Auslagerungsdatei. Ein weiterer AV-Scan selbst bei einer frisch erstellten pagefile.sys würde vermutlich wieder einen Treffer seitens Sophos liefern. So what.

Gruß

Sehvornix

Alles anzeigen

Hallo Sehvornix,

vielen Dank für deine Hilfe, dann muss ich mir ja scheinbar keine Sorgen machen! Habe jetzt die pagefile.sys einmal gelöscht und neu angelegt. Da sollte jetzt also auch alles im grünen Bereich sein!

LG

Jörg

Zitat von schlingo

Zitat von jottf

/media/904A36B74A3699C4/pagefile.sys

Hallo Jörg

das ist die Auslagerungsdatei.

Gruß Ingo

Verstehe. Jetzt gibt es allerdings ein Problem, welches ich nicht ganz verstehe. Habe gestern vor dem Scan den gewünschten Projektordner angelegt und dieser ist auch auf dem Stick noch erhalten. Allerdings ist er nicht mehr sichtbar (vorhanden), wenn ich Desinfect im abgesicherten Modus starte um dem Link zu folgen. Angeblich gibt es auch meinen Projektordner nicht mehr. Die html Logdatei konnte ich finden und öffnen, allerdings kommt dann die Fehlermeldung die Datei sei nicht mehr vorhanden?!? Gelöscht habe ich aktiv jedenfalls nichts...

Hallo Sehvornix,

also in der html Logdatei ist der Fund als:

/media/904A36B74A3699C4/pagefile.sys

angegeben. Gefunden hat es der Open Thread Scanner...

LG

Jörg

Zitat von Sehvornix

Hallo Jörg,

halb OT, weil kein Thunderbird-Thema: vielleicht wäre es besser, Du scannst Deinen PC mal auf aktive Schadsoftware. Und zwar nicht bei laufendem System mit AVIRA, sondern mit einer Live-CD eines AV-Anbieters Deines geringsten Misstrauens. Ich weiß, AVIRA bietet dazu auch eine Lösung, aber schon um am Ende mit mehr als einer Scanengine den Rechner abgeleuchtet zu haben, würde ich einen anderen Anbieter nehmen. Die haben fast alle solche Live-Systeme. Kann man auf CDR brennen oder als bootfähigen USB-Stick vorbereiten und dann los. Vielleicht kommst Du auch desinfec't von heise ran - da hast Du gleich vier Scanner an der Hand. Sollte so ein Live-System-AV-Scan fündig werden, musst Du eh noch erheblich mehr an Maßnahmen in Betracht ziehen. Eventuell auch, Deinen PC gleich ganz neu zu installieren und Daten aus einem hoffentlich vorhandenen Backup wieder herstellen.

Gruß,

Sehvornix

Hallo Sehvornix,

melde mich erst jetzt mit vielem Dank (!) für den Hinweis, da ich erst gestern dazu gekommen bin alles Einzurichten und einen Scan durchführen zu lassen! Habe Desinfect mit allen Scannern übers komplette System laufen lassen und ein Scanner hat auch eine Bedrohung feststellen können, allerdings ist mir eine Überprüfung bisher nicht gelungen...

LG

Jörg

Hallo Ingo,

also, inzwischen ist Avira nicht mehr aktiv!

Den Screenshot habe ich dir angehangen:

Hallo Ingo,

sorry, ich meinte natürlich Avira! Habe jetzt sogar per offiziellem Avira "Cleaner" versucht den Sch... im abgesicherten Modus loszuwerden, angeblich entfernt er das Programm auch, nach dem Neustart ist aber auch Avira immer noch da und aktiv???

Bezüglich der Zertifikate hatte ich oben ja schon geschrieben, dass in meiner Liste mit den Zertifizierungsstellen Avira nicht auftaucht.

In der Zertifikatsverwaltung im Tab "Ihre Zertifikate" ist gar nichts hinterlegt.

LG

Jörg

P.S. So habe jetzt Avira (!) manuell, und hoffentlich auch komplett gelöscht, leider alles beim alten....

Zitat von schlingo

Zitat von jottf

Sichere Kommunikation mit der Gegenstelle ist nicht möglich: Angeforderter Domainname stimmt nicht mit dem Zertifikat des Servers überein.

Hallo Jörg

ich behaupte jetzt einmal ganz frech, dass es auch in diesem Fall an Deiner unnützen Sicherheitssoftware liegt. In Nach Neuinstallation kann nicht gesendet und abgerufen werden haben wir nämlich genau dasselbe Problem.

Gruß Ingo

Hallo Ingo,

vielen dank für den Link. Habe mir jetzt auch alle weiteren Anleitungen die damit im Zusammenhang stehen durchgelesen... Danach habe ich mir meine Liste mit den Zertifizierungsstellen angesehen, dort taucht Avast nicht auf. Die Deinstallation von Avast (komplett) hatte ich ja auch schon ohne Erfolg ausprobiert.

LG

Jörg

Hallo slengfe,

erstmal vielen Dank für die Profilidee!

Aber auch das hat nichts gebracht... Genau nach den Angaben meines Anbieters eingerichtet und die selben Fehler wie im alten Profil. Abrufen nur ohne PW möglich, Versand weiterhin unmöglich, allerdings kommen im neuen Profil gleich mehrere neue Fehlermeldungen.

a) Ohne Benutzername:

Auf Grund des unerwarteten Fehlers 80004005 fehlgeschlagen. Keine Beschreibung verfügbar.

Die Nachricht konnte aus unbekannten Gründen nicht über den SMTP-Server smtp.xy.de gesendet werden. Bitte kontrollieren Sie die SMTP-Server-Einstellungen und versuchen Sie es nochmals.

b) mit Benutzername:

Anmeldung auf dem Server smtp.xy.de mit Benutzernamen "ab@xy.de" fehlgeschlagen

c) mit Benutzername und PW:

Senden der Nachricht fehlgeschlagen.

Sichere Kommunikation mit der Gegenstelle ist nicht möglich: Angeforderter Domainname stimmt nicht mit dem Zertifikat des Servers überein.

Die Einstellungen für smtp.xy.de müssen korrigiert werden.

Alles doch sehr seltsam...

Und zu deiner ersten Frage, die Mails waren über Webmail alle als ungelesen gekennzeichnet. die waren also wirklich eine Woche unangetastet!

Aber ich glaube wie geschrieben ja auch nicht, dass ich diese komischen 3 Mails von Netbeat abgerufen habe. Da ich ja vorher ein anderes Sicherheitszertifikat zulassen musste ist meine Vermutung eher, dass dies dazu geführt hat, dass die Mails von ganz woanders abgerufen wurden. Ob das technisch möglich ist kann ich jedoch nicht beurteilen.

LG

Jörg

Zitat von slengfe

Hallo,

ich mag noch nicht an einen Angriff glauben. Meist liegt es an ganz banalen Dingen.

Du hast doch an Deinen Kontoeinstellungen rumgefrickelt. Überprüfe doch mal, ob diese tatsächlich korrekt sind (insb. Verbindungssicherheit und Authentifizierungmethode ebenso wie den Port). Und dann überprüfe via Webmai, ob besagte tägliche Mail wirklich im Postfach ist.

Gruß

slengfe

Hallo slengfe,

also die Mail ist über Webmail wirklich angekommen, und die Kontoeinstellungen habe ich ja erst nach dem Problem geändert um zu sehen ob das was bringen könnte. Mit den gewohnten Einstellungen sind Mails Abrufen und Senden nicht mehr möglich.

Zitat von Sehvornix

Hallo Jörg,

halb OT, weil kein Thunderbird-Thema: vielleicht wäre es besser, Du scannst Deinen PC mal auf aktive Schadsoftware. Und zwar nicht bei laufendem System mit AVIRA, sondern mit einer Live-CD eines AV-Anbieters Deines geringsten Misstrauens. Ich weiß, AVIRA bietet dazu auch eine Lösung, aber schon um am Ende mit mehr als einer Scanengine den Rechner abgeleuchtet zu haben, würde ich einen anderen Anbieter nehmen. Die haben fast alle solche Live-Systeme. Kann man auf CDR brennen oder als bootfähigen USB-Stick vorbereiten und dann los. Vielleicht kommst Du auch desinfec't von heise ran - da hast Du gleich vier Scanner an der Hand. Sollte so ein Live-System-AV-Scan fündig werden, musst Du eh noch erheblich mehr an Maßnahmen in Betracht ziehen. Eventuell auch, Deinen PC gleich ganz neu zu installieren und Daten aus einem hoffentlich vorhandenen Backup wieder herstellen.

Gruß,

Sehvornix

Hallo Sehvornix,

danke für den Hinweis, werde ich mal schauen ob ich drankomme!

Jepp, genau wie du beschrieben hattest.

Wobei ich ergänzend sagen kann, dass ich am dem Tag, als ich die letzten Mails empfangen konnte, diese (bestimmt) nicht von meinem Anbieter bekommen habe. Das kann ich daran festmachen, das ich eigentlich eine tägliche Mail erhalte, die an diesem Tag schon verschickt hätte sein müssen, bei mir aber nicht angekommen ist. Ich gehe daher davon aus, dass der "Angreifer" schon irgendwie Tb manipuliert hat..

Hallo slengfe!

Vielen Dank für den Ansatz, der aber leider nichts gebracht hat. Ich hab wieder den gleichen Zustand wie zuvor.

a) Er ruft nicht automatisch Mails nach dem Start ab (wie eingestellt)

b) Wenn ich manuell die Mails abrufen will steht unten links zwar ab@xy.de verbunden mit pop.ab@xy.de aber es scheint als wenn es keine Verbindung gibt. Die Notiz bleibt so ca. 1 min. stehen und verschwindet dann einfach ohne Fehlermeldung.

Das scheint es leider nicht gewesen zu sein...

LG

Jörg

Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

• Thunderbird-Version (konkrete Versionsnummer 78
• Betriebssystem + Version: Win 10
• Kontenart (POP / IMAP): POP
• Postfachanbieter (z.B. GMX): Netbeat
• S/MIME oder PGP: nein
• Eingesetzte Antivirensoftware: Avira
• Firewall (Betriebssystem-intern/Externe Software): Intern

Hallo an alle!

Wollte letzte Woche Mails abrufen (noch mit Version 68!) und bekam plötzlich ein Pop-Up Fenster zu sehen was mich aufforderte, ein Ausnahme Sicherheitszertifikat herunterzuladen. Im Fenster wurde mir aber auch schon angedeutet, dass seriöse Anbieter so etwas nicht verlangen würden. Nachdem das Fenster immer wieder erschien habe ich dies einmalig zugelassen und dann genau 3 Mails erhalten... 2 x ging es im Bitcoin, in der dritten wurde mir erklärt mein Rechner sei gehackt und ich solle bitte mal innerhalb von 50 Std. 1000,- $ überweisen. Irgendwelche Konsequenzen wurden mir seltsamerweise nicht angedroht, und passiert ist weiterhin auch nichts, außer das ich eben keine Mails mehr empfangen konnte.

Ich habe dann mein Profil gesichert, TB deinstalliert und neu aufgespielt. Das Ergebnis ist, dass ich nun zwar kein Pop-Up Fenster mehr sehe, allerdings auch weiterhin keine Mails mehr empfangen kann. Geholfen hat der Versuch, die Verbindungssicherheit auf "keine" zu stellen und das Passwort ungesichert zu übertragen. Allerdings ist damit das Problem das Versands nicht gelöst. Hier erhalte ich die Fehlermeldung:

Senden der Nachricht fehlgeschlagen.

Sichere Kommunikation mit der Gegenstelle ist nicht möglich: Angeforderter Domainname stimmt nicht mit dem Zertifikat des Servers überein.

Die Einstellungen für smtp.xyz.de müssen korrigiert werden.

Hat irgendjemand eine Idee was passiert ist und was ich machen könnte um das Problem zu beheben?

Danke & Gruß

Jörg