Trojaner im Archiv

    Thunderbird-Version: 24.6.0
    Betriebssystem + Version: Windows 8
    Kontenart (POP / IMAP): pop
    Postfachanbieter (z.B. GMX): yahoo
    Antivirus-Software: kaspersky/ malwarebytes

    Hallo, ich habe folgendes Problem:
    Von meinem Emailaccount werden Spammails verschickt, nicht nur an Adressen aus meinem Adressbuch, sondern auch an Adressen, die in anderen mail in cc sind. Das Passwort ändern hat nichts gebracht.
    Bei einem anschließenden Virenscan hat Kaspersky 2 Trojaner im Archiv-Ordner gefunden (und ich dachte, in Quarantäne gesetzt). Danach wurde aber wieder Spam verschickt, Kaspersky findet jetzt jedoch keine Trojaner mehr (habe es neu installiert und die log-buch daten sind leider weg).
    Malwarebytes habe ich danach ausprobiert, findet auch nichts.

    Hat jemand Tipps, wie ich herausfinde, welche Mail im Archiv betroffen sind? Den Ordner als eml.-Dateien extrahieren funktioniert nicht, bzw. dauert stundenlang, sodass ich es dann irgendwann abgebrochen habe.

    Bin ich die Trojaner los, wenn ich einfach die Archivdatei aus meinem Profil lösche?
    Oder gibt es andere Lösungen?

    Bedanke mich jetzt schon mal für die Hilfe!

    Gutem Tag Kalle79,
    und willkommen im Forum!

    Zitat

    Bin ich die Trojaner los, wenn ich einfach die Archivdatei aus meinem Profil lösche?


    NEIN!
    Du bist damit evtl. die Dateien los, mit deren Hilfe du dir die Schadprogramme auf den Rechner geladen und dort installiert hast. Mehr aber auch nicht!
    Einen einmal mit Schadcode befallenen Rechner kannst du nicht rückstandslos reinigen. In solch einem Fall ist der Datenträger zu formatieren und das System neu aufzusetzen.

    Nach deinen eigenen Aussagen hast du den Rechner bereits neu installiert. Wenn dieser weiterhin SPAM verschickt, kannst du davon ausgehen, dass dieser wieder neu infiziert ist.

    Mein Rat in diesem Fall:

    • Suchen und Löschen der E-Mails, mit welchen du den Schadcode erhalten hast. Dazu sortierst du die Anzeige deiner Mails (mit Hilfe der Spalten-Sortierung) so, dass du zuerst die Mails mit Anhängen angezeigt bekommst. Nun speicherst du in kleinen Gruppen (um die Übersicht zu behalten) die Anhänge in einem Downloadordner ab und scannst diese abgespeicherten Anhänge im Doenloadordner mit einem frisch aktualisierten AV-Svanner. Das machst du so lange, bis du alle Anhänge überprüft und die befallenen Anhänge und deren Mails identifiziert hast. Wenn du einen AV-Scanner besitzt, der in der Lage ist, gleich die betreffenden befallenen E-Mails anzuzeigen, kannst du die Suche auch diesem Programm überlassen. Aber niemals den schreibenden Zugriff des Scanners auf die dein TB-Userprofil zulassen!!! Nur suchen lassen!!!
    • Diese erkannten Mails sind (im Thunderbird) zu löschen. Selbstverständlich auch die betreffenden abgespeicherten Anhänge (auf Dateiebene). Am besten gleich mit der Shredder-Funktion des AV-Scanners oder mit einem anderen Programm zum sicheren Löschen. Gleiches trifft auch für den Papierkorb (des Betriebssystems) zu.
    • Nach dem Löschen der betreffenden E-Mails überprüfst du, ob diese auch in anderen (Mail-)Ordnern nicht mehr angezeigt werden. Posteingang, Unterordner, Archiv, Papierkorb ... Auch wenn diese nicht mehr angezeigt werden heißt das nicht, dass sie in den betreffenden mbox-Dateien nicht mehr vorhanden sind! Gelöscht heißt, weiterhin vorhanden, aber nur als gelöscht markiert und somit nicht mehr angezeigt. Also sämtliche mbox-Dateien komprimieren und somit alle als gelöscht markierte Mails löschen.
    • Wenn du das alles gemacht hast, kannst du davon ausgehen, dass dein Bestand an E-Mails frei von mit Schadcode beladenen E-Mails ist. Zumindest nach Aussage deines auf der WinDOSe laufenden AV-Scanners.

    Als nächstes solltest du deinen Rechner mit mehreren Scannern untersuchen, welche NICHT von deinem laufenden Windows aus gestartet werden.
    Hintergrund: Moderne, gut programmierte Schadsoftware ist problemlos in der Lage, sich vor einem auf der WinDOSe installierten AV-Scanner zu verstecken bzw. diesen zu deaktivieren. Auch ist der Aussage eines einzigen AV-Scanners niemals zu trauen. Vor allem nicht, wenn es bereits Anzeichen einer Infektion gibt.

    Dazu besorgst du dir (bei einem Kollegen oder direkt durch Kauf beim Heise-Verlag) die ggw. aktuelle DVD mit dem "desinfec´t 2014". Es handelt sich dabei um die Beilage zur Zeitschrift c´t 12/2014.
    Von dieser DVD wird dann der Rechner gebootet. Es startet dann ein Linux, welches vier unterschiedliche AV-Scanner automatisch aktualisiert und den Rechner damit untersucht. Dies wird viele Stunden dauern!

    Wenn das Ergebnis der Untersuchung negativ ist (= kein Fund), kannst du davon ausgehen, dass dieses auch der Tatsache entspricht, dein System also sauber ist.
    Beim kleinsten Verdacht auf Befall gibt es nur eine Lösung: Alle Daten (auch dein TB-Userprofil) auf einen externen Datenträger auslagern, Platte formatieren und System neu aufsetzen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Vielen Dank für die ausführliche Anleitung!

    Aber: Es geht ja um Emails, die im Archiv sind. Diese werden mir, wenn ich den Ordner anklicke gar nicht einzeln angezeigt.
    Wie komme ich an die einzelnen Emails im Archiv ran?

    Neu aufgesetzt habe ich den Computer noch nicht.

    Schöne Grüße

    Hallo,

    Zitat

    Es geht ja um Emails, die im Archiv sind. Diese werden mir, wenn ich den Ordner anklicke gar nicht einzeln angezeigt.
    Wie komme ich an die einzelnen Emails im Archiv ran?


    Verstehe deine Frage nicht, da ich nicht weiß, welchen Ort du meinst: innerhalb von Thunderbird oder im Thunderbird-Profil?

    Archive sind ja nichts anderes als Ordner mit einer speziell einstellbaren Archivfunktion, die dann entspr. Unterordner etwa nach Jahreszahl anlegen kann.
    In diesen Unterordnern befinden sich Mails und die kann man auch in Thunderbird öffnen.
    In den Datenbanken (also im Thunderbird-Profil im Windows-Explorer) gibt es keine einzelnen Mails sondern nur Dateien ohne Endung und darin befinden sich die Mails. Diese Dateien wie inbox, sent usw. kann mit einem guten Editor (nicht Notepad) öffnen und den Quelltext der Mails bearbeiten, bzw. diese ganz entfernen.

    Dateien im Profil kurz erklärt.

    Gruß

    Hallo,
    ich meine die Ordner innerhalb von Thunderbird.
    Wenn ich auf den Archivordner klicke, öffnet sich nichts.
    Was ich gerade festgestellt habe: In meinem Posteingang lassen sich alle mails die vom 12.6.14 oder älter sind, nicht öffnen. Wenn ich sie anklicke, passiert nichts. D.h. da komme ich auch an die mit Anhang gar nicht ran.
    Bringt es was, wenn ich die alle in eml.dateien umwandle und dann auf viren checke?
    Danke und Grüße

    Das Reparieren setzt nur die Indexdatei (*.msf) eines Ordners zurück und berührt den Mailordner nicht.
    Du hattest eben vorher nicht versucht die Mails zu öffnen, die wären nämlich dann auch nicht da gewesen.
    Du hast nur die Header der Mails - also Betreff, von, an - gesehen und genau die befinden sich in der Indexdatei, mehr nicht. Die Mails waren also schon vorher weg und das passt zu deiner Beschreibung.
    Sind aber keine Mails mehr da, kann man sie auch nicht wiederherzaubern.
    Manchmal klappt das mit Recoveryprogrammen, wenn man Glück hat, wenig Zeit vergangen ist und nur wenige Bewegungen auf der Festplatte gemacht hatte.
    Allerdings ist dein Problem ein anderes: du hast keine Sicherung des Thunderbird-Profils gemacht.

    Gruß

    na doch hatte ich drüber ja geschrieben, dass ich die mails nicht öffnen konnte.
    aber egal, die sind jetzt weg.
    eine sicherung des profils habe ich vor einigen wochen gemacht, das ist nicht das problem.

    nur mit dem Trojaner bin ich noch nicht weiter. Wahrscheinlich bleibt jetzt nur noch die option, thunderbird komplett neu zu installieren und ein neues Profil zu erstellen?

  • Community-Bot 3. September 2024 um 20:20

    Hat das Thema geschlossen.