Antivirus-Software - Datenverlust droht!

  • Antivirus-Software kann beim Zugriff des Virenscanners auf die Mailbox-Dateien in Thunderbird zu Datenverlust führen.

    1 Das Problem liegt im Mailbox-Format


    Bitte lesen Sie zuerst den kurzen Artikel zum Mailbox-Format und lesen anschließend hier weiter.


    1.1 Warum haben manche Programme kein Problem mit Virenscannern?


    Manche E-Mail-Programme sind nicht betroffen, da sie kein offengelegtes Dateiformat beim Speichern auf dem Datenträger verwenden. Als Beispiel sei MS Outlook genannt, dessen Dateien in einem (nicht standardisierten Format) verschlüsselt gespeichert werden, auf das Virenscanner schlichtweg keinen (inhaltlichen) Zugriff haben und somit auch keine (möglicherweise vorhandenen) Viren finden. Deshalb wird dort auch kein ungewollter Schaden angerichtet.


    1.2 Warum verursachen Virenscanner in Thunderbird eventuell Datenverlust?


    Wer hat schon mal in einer riesigen Textdatei einen Rechtschreibfehler gesucht? So ähnlich geht der Virenscanner vor - er sucht nach bekannten Mustern anhand einer ihm bekannten Vorlage. Findet er einen Virus, so wird zuerst der Zugriff auf die Mailbox-Datei blockiert. Danach wird abhängig vom Virenscanner die Datei entweder gelöscht, verschoben oder es erscheint eine Warnmeldung auf dem Bildschirm ("Datei xyz ist mit dem Virus x infiziert") und man muss die Entscheidung selbst treffen.
    Wird die Datei blockiert, hat man vielleicht noch Glück. Es kann aber trotzdem vorkommen, dass Thunderbird sich genötigt sieht, eine neue Mailbox-Datei zu erstellen. Spätestens beim Verschieben der Mailbox-Datei in Quarantäne des Virenscanners wird Thunderbird eine neue Mailbox-Datei erstellen. Falls der Virenscanner versucht, die Mailbox-Datei zu "säubern", um den Virus daraus zu entfernen, wird die Datei beschädigt und somit auch unbrauchbar.


    Die Folge dieses Verhaltens ist, dass der zugehörige Ordner in Thunderbird (z. B. Posteingang) schlichtweg leer ist.


    Holt man eine Mailbox-Datei aus der Quarantäne des Virenscanners zurück, ist der Inhalt darin vielleicht noch in Ordnung. Thunderbird verwendet aber schon seine neu erstellte Mailbox-Datei.


    2 Vermeidung von Problemen


    Bei den meisten Virenscannern kann man Verzeichnisse vor dem so genannten "OnAccess-Zugriff" ("bei Zugriff", "Guard" oder sonstige Begriffe sind ebenfalls im Umlauf) ausnehmen. Dies sollte man mit dem kompletten Profilordner /Thunderbird/ machen, also einschließlich des Verzeichnisses, in welchem sich die Datei profiles.ini befindet.


    2.1 Testen des Profilausschlusses


    Warnung!

    Vor den folgenden Schritten bitte daran denken, dass zu diesem Zeitpunkt der Profilordner bereits ausgenommen sein sollte und der Virenscanner nicht automatisch Dateien löschen sollte, da es ansonsten zu Datenverlust kommen kann!


    Bei dem EICAR-Testvirus steht "Eicar" für "Europäisches Institut für Computer Anti-Viren Forschung" (European Institute for Computer Antivirus Research), das 1991 als eingetragener Verein in Deutschland gegründet wurde. Der Virus ist standardisiert und besteht nur aus einem speziellen String ohne Schadroutine.


    3 Alle Konten sind weg


    Auch in diesem Fall hat leider oftmals der Virenscanner zugeschlagen - diesmal wurde in der Datei prefs.js ein angeblich schadhafter Code erkannt. Dies passiert leider häufig auch, ohne dass tatsächlich die Datei infiziert ist. Suchen Sie zunächst nach einer ähnlich lautenden Datei im Profilordner - nach der Syntax prefs-1.js (Zahl ist variabel, je nachdem wie oft das bereits in diesem Profil aufgetreten ist.)


    Die E-Mails sind in den allermeisten Fällen noch da. Sie können zum Beispiel mit der Erweiterung ImportExportTools wieder in ein neues Profil importiert werden.


    Eine weitere Möglichkeit ist das Erstellen einer prefs.js mit einem neuen Profil, Anpassen von Konten und Einstellungen durch direktes Bearbeiten der prefs.js und anschließendem Umkopieren in das alte Profil (diese Möglichkeit ist nur für wirklich erfahrene Nutzer eine Option).


    4 Weitere Hinweise und Tipps


    Auf jeden Fall sollte man sich in Thunderbirds Einstellungen-Dialog die Antivirus-Einstellung ansehen (Menü Menu-ButtonEinstellungen ➔ Sicherheit ➔ Anti-Virus). Dort kann man eine Option aktivieren, wodurch es unproblematischer wird, wenn Virenscanner die E-Mails beim Empfang scannen.
    Dabei wird die E-Mail zunächst im Standard-Temp-Ordner des Betriebssystems als newmsg-x abgelegt. Hier kann der Virenscanner die E-Mail abfangen und gegebenenfalls löschen. Nur E-Mails, die diese Hürde gemeistert haben, kommen dann in die Mbox-Datei von Thunderbird.


    Siehe hier: Einstellungen - Sicherheit - Anti-Virus


    5 Siehe auch



    Beteiligte Autoren

    Archaeopteryx, Graba, Rum, Thunder, Toolman, Wawuschel