Computer Forum voor al uw vragen en problemen.

Register een gratis account om van alle functies op het forum gebruik te kunnen maken.

Problemen met uw computer, of heeft u advies nodig? PC Web Plus helpt u graag verder.

Welkom op PC Web Plus, op dit computerforum kunt u terecht voor gratis hulp bij computerproblemen en allerhande vragen over software, hardware en computerbeveiliging.

Als gast kunt u alleen het forum bekijken en meelezen met de verschillende discussies. U kunt echter geen reacties of commentaar geven op bestaande discussies, of nieuwe onderwerpen op het forum starten met uw vraag of probleem.

Klik op de onderstaande link om geheel gratis een gebruikersaccount op ons forum te registreren. Vanaf dat moment kunt u deelnemen aan de diverse discussies op het forum.

Klik hier om een gratis account te registreren! - of lees onze Welkomstgids door voor meer informatie over het gebruik van het forum.

 
Gebruikersavatar
porrelaar
PC Web Plus - Member
PC Web Plus - Member
Onderwerp Auteur
Berichten: 698
Lid geworden op: vr 03 aug, 2012 12:58:31
OS: Windows 10

een vraag over EEK (Emsisoft Emergency Kit)

za 13 mei, 2017 13:52:14

Na meer dan een jaar heb ik vandaag mijn hoofdcomputer weer eens laten scannen door EEK. Eerst de nieuwe definities binnengehaald.
Snelle scan vond niets.
Malware scan vond ook niets.
Daarna gekozen voor Aangepaste scan, waarbij ik de volledige C: en D: schijf liet scannen. Toen werd er wel wat gevonden: een Trojan in een bijlage bij een e-mail. Die e-mail zat in de map Ongewenst van Thunderbird. Nader onderzoek leerde me dat het om een zogenaamde factuur ging, die mij in de vorm van een zip bestand (inv1439983.zip) als bijlage was toegezonden. Zulke bijlages open ik nooit. Ik had de mail verplaatst naar de map Ongewenst vanwege het zelflerend berichtenfilter van Thunderbird, zodat volgende mails van die afzender automatisch in de map Ongewenst terecht zouden komen.
EEK kijkt wél wat er in zo'n zip bestand zit; het bleek dit bestand te zijn: 1439983.pdf.exe. Een bekende truc, zo'n dubbele extensie.
Ach vooruit, dacht ik, laat EEK die e-mail maar verwijderen.

Het gevolg was echter dat de complete map Ongewenst verdwenen is in Thunderbird:

Afbeelding

Dat vind ik jammer, want in die map bewaar ik graag voorbeelden van phishing mails en dergelijke, ter lering ende vermaeck.
De map is niet echt weg, want via het logboek kan ik alle vermeldingen van ongewenste mails nog terugvinden, alleen wordt de map Ongewenst niet meer getoond in het overzicht.
Ik heb EEK weer gestart en de items die in quarantaine waren gezet, weer terug laten zetten. Hiermee kwam de map Ongewenst echter niet terug in Thunderbird.
Via Beeld > Mappen is Alle aangevinkt, dus de map Ongewenst zou getoond moeten worden.
Ook de instellingen voor de map Ongewenst in Thunderbird lijken nog correct te zijn:

Afbeelding

Nu heb ik nog de hoop dat ik de map (met inhoud) weer te zien krijg wanneer ik morgen of overmorgen weer een nepmail krijg die ik dan verplaats naar de map Ongewenst.
Mijn vraag luidt: komt het vaker voor dat na een verwijdering van een mail door EEK een complete map in Thunderbird onzichtbaar wordt?

 
Gebruikersavatar
porrelaar
PC Web Plus - Member
PC Web Plus - Member
Onderwerp Auteur
Berichten: 698
Lid geworden op: vr 03 aug, 2012 12:58:31
OS: Windows 10

Re: een vraag over EEK (Emsisoft Emergency Kit)

za 13 mei, 2017 15:05:34

Toevoeging: ik kreeg zojuist een nepmail van NS over 2 gratis NS dagkaarten. Ik klik op de knop Ongewenst en.... er gebeurde niets. De mail bleef in Postvak IN staan, waarschijnlijk omdat de map Ongewenst niet meer zichtbaar was. Dan maar zelf in dat e-mailaccount weer een map Ongewenst aanmaken? Nee, ik besloot eerst een systeemherstelpunt terug te zetten.
Heel vreemd dat Microsoft in al zijn wijsheid heeft besloten om het maken van systeemherstelpunten standaard uit te schakelen in Windows 10. En na bijna iedere grote update (Jubileum Update; Creators Update) moet je de mogelijkheid tot het maken van Systeemherstelpunten zelf weer inschakelen. Dat had ik gelukkig gedaan na de Creators Update.
Ik heb een herstelpunt van 9 mei teruggezet en de map Ongewenst is nu weer zichtbaar in Thunderbird:

Afbeelding

Deze map telt 238 berichten. Wel vreemd dat nu opeens 157 berichten als ongelezen worden vermeld. Daar zijn veel berichten bij van vóór 9 mei. Geen nood; ik kan de gehele map in een keer als gelezen markeren.

Ik denk dat ik EEK in de toekomst nog wel eens zal gebruiken, maar dat ik dan na scannen eerst zal noteren wat EEK gevonden heeft. Daarna sluit ik EEK af (zonder die items door EEK te laten verwijderen) en zal ik de gevonden items eerst zelf beoordelen en dan handmatig verwijderen (indien nodig).

Ik merk dat ik in dit topic wel wat in mezelf heb lopen praten, maar misschien kan het ooit nog voor iemand anders leerzaam zijn. ;)
Ik moet nu enkel nog de updates van Patch Tuesday van mei 2017 weer opnieuw binnenhalen, maar dat lijkt me geen probleem. Ha, dat is op de achtergrond al gebeurd. Ik moet enkel nog de pc opnieuw opstarten voor de voltooiing van "2017-05 Cumulatieve update voor op Windows 10 Version 1703 for x64 gebaseerde systemen (KB4016871)".
 
Gebruikersavatar
iEscape
Moderator
Moderator
Berichten: 5904
Lid geworden op: ma 18 okt, 2010 12:50:25
OS: macOS Sierra 10.12.6 & W 10Pro & Home
AV: MBAM Pro
FW: Little Snitch

Re: een vraag over EEK (Emsisoft Emergency Kit)

za 13 mei, 2017 15:50:45

Het topic is verplaatst naar het Emsisoft Anti-Malware & Emsisoft Emergency Kit forum onderdeel.
met vriendelijke groet, iEscape
born to be free is the way to freedom

Afbeelding
 
Gebruikersavatar
Maxstar
Administrator
Administrator
Berichten: 41258
Lid geworden op: za 27 sep, 2008 10:18:07
Kennisniveau: (3) Expert
OS: Windows 10
AV: Emsisoft Internet Security
Contacteer:

Re: een vraag over EEK (Emsisoft Emergency Kit)

ma 15 mei, 2017 12:47:04

Het is wel héél apart dat EEK een complete map uit Thunderbird laat verdwijnen?
Maar plaats het logbestand van EEK eens op het forum. Wellicht schept dat meer duidelijkheid.
Met vriendelijke groet,

Maxstar


Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
 
Gebruikersavatar
porrelaar
PC Web Plus - Member
PC Web Plus - Member
Onderwerp Auteur
Berichten: 698
Lid geworden op: vr 03 aug, 2012 12:58:31
OS: Windows 10

Re: een vraag over EEK (Emsisoft Emergency Kit)

ma 15 mei, 2017 13:49:53

Bedankt voor je reactie.
Het logbestand van EEK is toegevoegd als bijlage
Zoals je zult zien had EEK 3 dingen gevonden
1. De mail in de map Ongewenst van Thunderbird waar een Trojan in de bijlage zat
2. Diezelfde mail nog een keer, maar deze keer noemt EEK de inhoud van de bijlage een "dummy"
3. Een tekstbestand met de naam Formatteren.txt. Dat tekstbestand heb ik zelf in 2004 gemaakt. Ik beschreef daarin voor mezelf hoe je een harde schijf of partitie kon formatteren. Deze detectie door EEK lijkt me een false positive.



scan_EEK_170513-125304.txt
Je hebt niet voldoende permissies om de bijlagen van dit bericht te bekijken.
 
Gebruikersavatar
Maxstar
Administrator
Administrator
Berichten: 41258
Lid geworden op: za 27 sep, 2008 10:18:07
Kennisniveau: (3) Expert
OS: Windows 10
AV: Emsisoft Internet Security
Contacteer:

Re: een vraag over EEK (Emsisoft Emergency Kit)

di 16 mei, 2017 09:53:51

Het logbestand toont inderdaad aan dat deze map in zijn geheel in quarantaine is geplaatst.

Controleer eens of de onderstaande map nog aanwezig is?
C:\Users\Jaap\AppData\Roaming\Thunderbird\Profiles\glslgsyo.default\Mail\pop3.planet.nl\Junk
Met vriendelijke groet,

Maxstar


Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
 
Gebruikersavatar
porrelaar
PC Web Plus - Member
PC Web Plus - Member
Onderwerp Auteur
Berichten: 698
Lid geworden op: vr 03 aug, 2012 12:58:31
OS: Windows 10

Re: een vraag over EEK (Emsisoft Emergency Kit)

di 16 mei, 2017 10:06:46

Die map is nu (weer) aanwezig. Of dat pas gebeurd is nadat ik een herstelpunt had teruggezet (zie daarvoor post #2), weet ik niet.

Ik had toen het idee dat die map er wel nog was, maar dat ik hem enkel niet meer zichtbaar kreeg in Thunderbird.
Overigens vreemd dat EEK alleen die ene mail als kwaadaardig zag. Er zit veel meer rommel in de map Ongewenst, bijvoorbeeld een Engelstalige mail met als bijlage een bestand met de naam Perry Woodard.doc. Daar zal wel een macro inzitten, dacht ik toen. Ik heb die bijlage net laten scannen door VirusTotal: https://www.virustotal.com/nl/file/59bb ... 494922158/

Daar zit dus zeker narigheid in.
Misschien vraag jij je af waarom ik zulke mails bewaar in de map Ongewenst. Ik doe dat om zelf trends te ontdekken in de rommel die ik krijg toegestuurd. Soms krijg ik wekenlang waardebonnen, zogenaamd van Jumbo, AH, Lidl enz. met een waarde variërend van 50 tot 500 euro. Momenteel zijn het vooral mails waarin mij een betrekking wordt aangeboden waarbij ik € 4800 netto per maand kan verdienen en lekker thuis kan werken. Ik vind dat ergens wel vermakelijk.
Veel mails ook van Frits van Dijk (een fake naam) over binaire opties, waarmee ik erg rijk zou kunnen worden. Volgens die Frits dan; in werkelijkheid zou ik mijn geld daardoor kwijt raken.
 
Gebruikersavatar
Maxstar
Administrator
Administrator
Berichten: 41258
Lid geworden op: za 27 sep, 2008 10:18:07
Kennisniveau: (3) Expert
OS: Windows 10
AV: Emsisoft Internet Security
Contacteer:

Re: een vraag over EEK (Emsisoft Emergency Kit)

di 16 mei, 2017 10:27:49

Wellicht is de map in Thunderbird inderdaad hersteld door het terugzetten van een systeemherstelpunt.
Maar desondanks blijft het vreemd dat er een gehele map in quarantaine wordt geplaatst.
Ik heb er zelf geen verklaring voor, maar je zou dit eens bij Emsisoft zelf kunnen voorleggen - https://support.emsisoft.com/forum/33-d ... e-support/

porrelaar schreef:
Misschien vraag jij je af waarom ik zulke mails bewaar in de map Ongewenst.

Nee hoor! Dit doe ik zelf ook, op een virtuele machine bekijk ik ook altijd de linkjes of er nog wat spannends achter schuil gaat.... ;D
Met vriendelijke groet,

Maxstar


Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
 
Gebruikersavatar
porrelaar
PC Web Plus - Member
PC Web Plus - Member
Onderwerp Auteur
Berichten: 698
Lid geworden op: vr 03 aug, 2012 12:58:31
OS: Windows 10

Re: een vraag over EEK (Emsisoft Emergency Kit)

di 16 mei, 2017 10:47:01

Het ging om dit door EEK gevonden item:
C:\Users\Jaap\AppData\Roaming\Thunderbird\Profiles\glslgsyo.default\Mail\pop3.planet.nl\Junk -> (message 118) -> [Subject: Factuurnummer 1439983][Date: Mon, 3 Apr 2017 09:16:27 -0500] -> inv1439983.zip -> Factuurnummer 1439983.zip -> Factuurnummer 1439983.pdf.exe     Ontdekt: Trojan.GenericKD.4754521 (B)

Haal jij daar uit dat de hele map Junk verwijderd zou worden door EEK? Dan heb ik blijkbaar toch flinke problemen met het lezen van zo'n logbestand. Ik las daar enkel in dat bericht 118 uit de map Junk verwijderd zou worden. Anders zou ik EEK nooit opdracht hebben gegeven tot het verwijderen van de gevonden items. Logs lezen is dus echt een vak.

Als ik het naadje van de kous zou willen weten, dan zou ik inderdaad deze vraag op het forum van Emsisoft kunnen neerleggen. Maar voorlopig weet ik genoeg. Misschien zal ik EEK zelf nog wel eens gebruiken, maar ik zal nooit meer iets door EEK laten verwijderen. Het verwijderen kan ik beter zelf handmatig doen, heb ik besloten naar aanleiding van deze ervaring.
 
Gebruikersavatar
Maxstar
Administrator
Administrator
Berichten: 41258
Lid geworden op: za 27 sep, 2008 10:18:07
Kennisniveau: (3) Expert
OS: Windows 10
AV: Emsisoft Internet Security
Contacteer:

Re: een vraag over EEK (Emsisoft Emergency Kit)

di 16 mei, 2017 11:05:37

Scan gestart: 13-5-2017 12:53:04
C:\Users\Jaap\AppData\Roaming\Thunderbird\Profiles\glslgsyo.default\Mail\pop3.planet.nl\Junk -> (message 118) -> [Subject: Factuurnummer 1439983][Date: Mon, 3 Apr 2017 09:16:27 -0500] -> inv1439983.zip -> Factuurnummer 1439983.zip -> Factuurnummer 1439983.pdf.exe Ontdekt: Trojan.GenericKD.4754521 (B)
C:\Users\Jaap\AppData\Roaming\Thunderbird\Profiles\glslgsyo.default\Mail\pop3.planet.nl\Junk -> (message 118) -> [Subject: Factuurnummer 1439983][Date: Mon, 3 Apr 2017 09:16:27 -0500] -> inv1439983.zip -> Factuurnummer 1439983.zip -> (dummy) Ontdekt: Trojan.MultiDrop.1.Gen (B)
D:\Jaap\Documenten\Alle PC's\Weetjes\Formatteren.txt Ontdekt: BehavesLike:BAT.Trojan.Gen (B)

Gescand: 349004
Gevonden: 3

Scan geëindigd: 13-5-2017 13:10:47
Scantijd: 0:17:43

D:\Jaap\Documenten\Alle PC's\Weetjes\Formatteren.txt BehavesLike:BAT.Trojan.Gen (B)
C:\Users\Jaap\AppData\Roaming\Thunderbird\Profiles\glslgsyo.default\Mail\pop3.planet.nl\Junk Trojan.GenericKD.4754521 (B)

In quarantaine geplaatst 2

Ik heb het logbestand even wat kleur gegeven, bij zowel de paarse als blauwe regel gaat het om hetzelfde bestand. Vandaar ook dat bij één regel de vermelding "dummy" staat zoals je aangaf. Zo'n dubbele detectie komt wel vaker voor bij een scan met EEK. Dit schept soms weleens verwarring bij gebruikers. Die zien namelijk dat er drie items zijn gedetecteerd waar er uiteindelijk maar twee van in quarantaine zijn geplaatst. De groene regel is net zoals je al aangaf een "false positive", vandaar de suffix "Gen". Het betref hier dus een generieke detectie op basis van gedrag en bepaalde kenmerken. Het voorvoegsel "BehavesLike:BAT" toont aan dat het om een batch-bestand of CMD-script gaat. Veel beveiligingspakketten detecteren dit als een potentieel risico of riskware.

Het eerste gedeelte geeft weer wat er door EEK is gevonden, het tweede gedeelte bevat de informatie over welke items er in quarantaine zijn geplaatst. Hier zie je dan ook dat niet het bestand "Factuurnummer 1439983.pdf.exe" is quarantaine is geplaatst maar de map Junk. De letter (B) aan het einde van regel geeft aan dat het een detectie is van de Bitdefender engine, en niet van de engine van Emsisoft. Zoals ik het nu zie kan dit een bug zijn in de engine van Bitdefender, maar dat durf ik niet met 100% zekerheid te zeggen.
Met vriendelijke groet,

Maxstar


Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
 
Gebruikersavatar
porrelaar
PC Web Plus - Member
PC Web Plus - Member
Onderwerp Auteur
Berichten: 698
Lid geworden op: vr 03 aug, 2012 12:58:31
OS: Windows 10

Re: een vraag over EEK (Emsisoft Emergency Kit)

di 16 mei, 2017 11:16:07

Bedankt voor deze uitleg. Ik gaf echter al eerder aan dat ik alles wat door EEK was verwijderd, weer uit quarantaine had gehaald. Toch kwam daarmee de map Junk niet terug. Althans, ik zag hem daarna niet verschijnen in Thunderbird. En dat zou je toch wel verwachten wanneer je iets uit quarantaine haalt.
Ik heb daarna Thunderbird ook nog eens opnieuw opgestart. Hielp niet.
De pc opnieuw opgestart. Hielp niet.
Het enige wat hielp was een herstelpunt terugzetten.
Laatst gewijzigd door porrelaar op di 16 mei, 2017 11:20:31, 1 keer totaal gewijzigd.
 
Gebruikersavatar
Maxstar
Administrator
Administrator
Berichten: 41258
Lid geworden op: za 27 sep, 2008 10:18:07
Kennisniveau: (3) Expert
OS: Windows 10
AV: Emsisoft Internet Security
Contacteer:

Re: een vraag over EEK (Emsisoft Emergency Kit)

di 16 mei, 2017 11:17:27

Graag gedaan, overigens heb ik ook even een privébericht naar Elise van Emsisoft verstuurd.
Ik ben namelijk wel heel benieuwd wat de oorzaak van dit probleem is...
Met vriendelijke groet,

Maxstar


Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
 
Gebruikersavatar
Maxstar
Administrator
Administrator
Berichten: 41258
Lid geworden op: za 27 sep, 2008 10:18:07
Kennisniveau: (3) Expert
OS: Windows 10
AV: Emsisoft Internet Security
Contacteer:

Re: een vraag over EEK (Emsisoft Emergency Kit)

wo 24 mei, 2017 11:13:39

Het compleet verwijderen van deze map wanneer het een geïnfecteerd bestand bevat is een bekend probleem.
Deze of volgende maand zal het probleem in een update verholpen moeten zijn.
Met vriendelijke groet,

Maxstar


Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
 
Gebruikersavatar
porrelaar
PC Web Plus - Member
PC Web Plus - Member
Onderwerp Auteur
Berichten: 698
Lid geworden op: vr 03 aug, 2012 12:58:31
OS: Windows 10

Re: een vraag over EEK (Emsisoft Emergency Kit)

wo 24 mei, 2017 11:30:27

Bedankt voor het navragen bij Emsisoft en voor het melden van de het resultaat daarvan.

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast