Plaats reactie
1
Na meer dan een jaar heb ik vandaag mijn hoofdcomputer weer eens laten scannen door EEK. Eerst de nieuwe definities binnengehaald.
Snelle scan vond niets.
Malware scan vond ook niets.
Daarna gekozen voor Aangepaste scan, waarbij ik de volledige C: en D: schijf liet scannen. Toen werd er wel wat gevonden: een Trojan in een bijlage bij een e-mail. Die e-mail zat in de map Ongewenst van Thunderbird. Nader onderzoek leerde me dat het om een zogenaamde factuur ging, die mij in de vorm van een zip bestand (inv1439983.zip) als bijlage was toegezonden. Zulke bijlages open ik nooit. Ik had de mail verplaatst naar de map Ongewenst vanwege het zelflerend berichtenfilter van Thunderbird, zodat volgende mails van die afzender automatisch in de map Ongewenst terecht zouden komen.
EEK kijkt wél wat er in zo'n zip bestand zit; het bleek dit bestand te zijn: 1439983.pdf.exe. Een bekende truc, zo'n dubbele extensie.
Ach vooruit, dacht ik, laat EEK die e-mail maar verwijderen.

Het gevolg was echter dat de complete map Ongewenst verdwenen is in Thunderbird:
Afbeelding Dat vind ik jammer, want in die map bewaar ik graag voorbeelden van phishing mails en dergelijke, ter lering ende vermaeck.
De map is niet echt weg, want via het logboek kan ik alle vermeldingen van ongewenste mails nog terugvinden, alleen wordt de map Ongewenst niet meer getoond in het overzicht.
Ik heb EEK weer gestart en de items die in quarantaine waren gezet, weer terug laten zetten. Hiermee kwam de map Ongewenst echter niet terug in Thunderbird.
Via Beeld > Mappen is Alle aangevinkt, dus de map Ongewenst zou getoond moeten worden.
Ook de instellingen voor de map Ongewenst in Thunderbird lijken nog correct te zijn:
Afbeelding Nu heb ik nog de hoop dat ik de map (met inhoud) weer te zien krijg wanneer ik morgen of overmorgen weer een nepmail krijg die ik dan verplaats naar de map Ongewenst.
Mijn vraag luidt: komt het vaker voor dat na een verwijdering van een mail door EEK een complete map in Thunderbird onzichtbaar wordt?
2
Toevoeging: ik kreeg zojuist een nepmail van NS over 2 gratis NS dagkaarten. Ik klik op de knop Ongewenst en.... er gebeurde niets. De mail bleef in Postvak IN staan, waarschijnlijk omdat de map Ongewenst niet meer zichtbaar was. Dan maar zelf in dat e-mailaccount weer een map Ongewenst aanmaken? Nee, ik besloot eerst een systeemherstelpunt terug te zetten.
Heel vreemd dat Microsoft in al zijn wijsheid heeft besloten om het maken van systeemherstelpunten standaard uit te schakelen in Windows 10. En na bijna iedere grote update (Jubileum Update; Creators Update) moet je de mogelijkheid tot het maken van Systeemherstelpunten zelf weer inschakelen. Dat had ik gelukkig gedaan na de Creators Update.
Ik heb een herstelpunt van 9 mei teruggezet en de map Ongewenst is nu weer zichtbaar in Thunderbird:
Afbeelding Deze map telt 238 berichten. Wel vreemd dat nu opeens 157 berichten als ongelezen worden vermeld. Daar zijn veel berichten bij van vóór 9 mei. Geen nood; ik kan de gehele map in een keer als gelezen markeren.

Ik denk dat ik EEK in de toekomst nog wel eens zal gebruiken, maar dat ik dan na scannen eerst zal noteren wat EEK gevonden heeft. Daarna sluit ik EEK af (zonder die items door EEK te laten verwijderen) en zal ik de gevonden items eerst zelf beoordelen en dan handmatig verwijderen (indien nodig).

Ik merk dat ik in dit topic wel wat in mezelf heb lopen praten, maar misschien kan het ooit nog voor iemand anders leerzaam zijn. ;)
Ik moet nu enkel nog de updates van Patch Tuesday van mei 2017 weer opnieuw binnenhalen, maar dat lijkt me geen probleem. Ha, dat is op de achtergrond al gebeurd. Ik moet enkel nog de pc opnieuw opstarten voor de voltooiing van "2017-05 Cumulatieve update voor op Windows 10 Version 1703 for x64 gebaseerde systemen (KB4016871)".
3
Het topic is verplaatst naar het Emsisoft Anti-Malware & Emsisoft Emergency Kit forum onderdeel.
met vriendelijke groet, iEscape
born to be free is the way to freedom

Afbeelding
5
Bedankt voor je reactie.
Het logbestand van EEK is toegevoegd als bijlage
Zoals je zult zien had EEK 3 dingen gevonden
1. De mail in de map Ongewenst van Thunderbird waar een Trojan in de bijlage zat
2. Diezelfde mail nog een keer, maar deze keer noemt EEK de inhoud van de bijlage een "dummy"
3. Een tekstbestand met de naam Formatteren.txt. Dat tekstbestand heb ik zelf in 2004 gemaakt. Ik beschreef daarin voor mezelf hoe je een harde schijf of partitie kon formatteren. Deze detectie door EEK lijkt me een false positive.


scan_EEK_170513-125304.txt
Als gast kunt u geen bijlagen bekijken. Registreer via deze link een (gratis) account om bijlagen te kunnen bekijken.
7
Die map is nu (weer) aanwezig. Of dat pas gebeurd is nadat ik een herstelpunt had teruggezet (zie daarvoor post #2), weet ik niet.

Ik had toen het idee dat die map er wel nog was, maar dat ik hem enkel niet meer zichtbaar kreeg in Thunderbird.
Overigens vreemd dat EEK alleen die ene mail als kwaadaardig zag. Er zit veel meer rommel in de map Ongewenst, bijvoorbeeld een Engelstalige mail met als bijlage een bestand met de naam Perry Woodard.doc. Daar zal wel een macro inzitten, dacht ik toen. Ik heb die bijlage net laten scannen door VirusTotal: https://www.virustotal.com/nl/file/59bb ... 494922158/

Daar zit dus zeker narigheid in.
Misschien vraag jij je af waarom ik zulke mails bewaar in de map Ongewenst. Ik doe dat om zelf trends te ontdekken in de rommel die ik krijg toegestuurd. Soms krijg ik wekenlang waardebonnen, zogenaamd van Jumbo, AH, Lidl enz. met een waarde variërend van 50 tot 500 euro. Momenteel zijn het vooral mails waarin mij een betrekking wordt aangeboden waarbij ik € 4800 netto per maand kan verdienen en lekker thuis kan werken. Ik vind dat ergens wel vermakelijk.
Veel mails ook van Frits van Dijk (een fake naam) over binaire opties, waarmee ik erg rijk zou kunnen worden. Volgens die Frits dan; in werkelijkheid zou ik mijn geld daardoor kwijt raken.
8
Wellicht is de map in Thunderbird inderdaad hersteld door het terugzetten van een systeemherstelpunt.
Maar desondanks blijft het vreemd dat er een gehele map in quarantaine wordt geplaatst.
Ik heb er zelf geen verklaring voor, maar je zou dit eens bij Emsisoft zelf kunnen voorleggen - https://support.emsisoft.com/forum/33-d ... e-support/
porrelaar schreef:Misschien vraag jij je af waarom ik zulke mails bewaar in de map Ongewenst.
Nee hoor! Dit doe ik zelf ook, op een virtuele machine bekijk ik ook altijd de linkjes of er nog wat spannends achter schuil gaat.... ;D
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
9
Het ging om dit door EEK gevonden item:
C:\Users\Jaap\AppData\Roaming\Thunderbird\Profiles\glslgsyo.default\Mail\pop3.planet.nl\Junk -> (message 118) -> [Subject: Factuurnummer 1439983][Date: Mon, 3 Apr 2017 09:16:27 -0500] -> inv1439983.zip -> Factuurnummer 1439983.zip -> Factuurnummer 1439983.pdf.exe     Ontdekt: Trojan.GenericKD.4754521 (B)

Haal jij daar uit dat de hele map Junk verwijderd zou worden door EEK? Dan heb ik blijkbaar toch flinke problemen met het lezen van zo'n logbestand. Ik las daar enkel in dat bericht 118 uit de map Junk verwijderd zou worden. Anders zou ik EEK nooit opdracht hebben gegeven tot het verwijderen van de gevonden items. Logs lezen is dus echt een vak.

Als ik het naadje van de kous zou willen weten, dan zou ik inderdaad deze vraag op het forum van Emsisoft kunnen neerleggen. Maar voorlopig weet ik genoeg. Misschien zal ik EEK zelf nog wel eens gebruiken, maar ik zal nooit meer iets door EEK laten verwijderen. Het verwijderen kan ik beter zelf handmatig doen, heb ik besloten naar aanleiding van deze ervaring.
10
Scan gestart: 13-5-2017 12:53:04
C:\Users\Jaap\AppData\Roaming\Thunderbird\Profiles\glslgsyo.default\Mail\pop3.planet.nl\Junk -> (message 118) -> [Subject: Factuurnummer 1439983][Date: Mon, 3 Apr 2017 09:16:27 -0500] -> inv1439983.zip -> Factuurnummer 1439983.zip -> Factuurnummer 1439983.pdf.exe Ontdekt: Trojan.GenericKD.4754521 (B)
C:\Users\Jaap\AppData\Roaming\Thunderbird\Profiles\glslgsyo.default\Mail\pop3.planet.nl\Junk -> (message 118) -> [Subject: Factuurnummer 1439983][Date: Mon, 3 Apr 2017 09:16:27 -0500] -> inv1439983.zip -> Factuurnummer 1439983.zip -> (dummy) Ontdekt: Trojan.MultiDrop.1.Gen (B)
D:\Jaap\Documenten\Alle PC's\Weetjes\Formatteren.txt Ontdekt: BehavesLike:BAT.Trojan.Gen (B)

Gescand: 349004
Gevonden: 3

Scan geëindigd: 13-5-2017 13:10:47
Scantijd: 0:17:43

D:\Jaap\Documenten\Alle PC's\Weetjes\Formatteren.txt BehavesLike:BAT.Trojan.Gen (B)
C:\Users\Jaap\AppData\Roaming\Thunderbird\Profiles\glslgsyo.default\Mail\pop3.planet.nl\Junk Trojan.GenericKD.4754521 (B)

In quarantaine geplaatst 2

Ik heb het logbestand even wat kleur gegeven, bij zowel de paarse als blauwe regel gaat het om hetzelfde bestand. Vandaar ook dat bij één regel de vermelding "dummy" staat zoals je aangaf. Zo'n dubbele detectie komt wel vaker voor bij een scan met EEK. Dit schept soms weleens verwarring bij gebruikers. Die zien namelijk dat er drie items zijn gedetecteerd waar er uiteindelijk maar twee van in quarantaine zijn geplaatst. De groene regel is net zoals je al aangaf een "false positive", vandaar de suffix "Gen". Het betref hier dus een generieke detectie op basis van gedrag en bepaalde kenmerken. Het voorvoegsel "BehavesLike:BAT" toont aan dat het om een batch-bestand of CMD-script gaat. Veel beveiligingspakketten detecteren dit als een potentieel risico of riskware.

Het eerste gedeelte geeft weer wat er door EEK is gevonden, het tweede gedeelte bevat de informatie over welke items er in quarantaine zijn geplaatst. Hier zie je dan ook dat niet het bestand "Factuurnummer 1439983.pdf.exe" is quarantaine is geplaatst maar de map Junk. De letter (B) aan het einde van regel geeft aan dat het een detectie is van de Bitdefender engine, en niet van de engine van Emsisoft. Zoals ik het nu zie kan dit een bug zijn in de engine van Bitdefender, maar dat durf ik niet met 100% zekerheid te zeggen.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
11
Bedankt voor deze uitleg. Ik gaf echter al eerder aan dat ik alles wat door EEK was verwijderd, weer uit quarantaine had gehaald. Toch kwam daarmee de map Junk niet terug. Althans, ik zag hem daarna niet verschijnen in Thunderbird. En dat zou je toch wel verwachten wanneer je iets uit quarantaine haalt.
Ik heb daarna Thunderbird ook nog eens opnieuw opgestart. Hielp niet.
De pc opnieuw opgestart. Hielp niet.
Het enige wat hielp was een herstelpunt terugzetten.
Laatst gewijzigd door porrelaar op 16 mei 2017 11:20, 1 keer totaal gewijzigd.
Plaats reactie

Maak een account aan of log in om deel te nemen aan de discussie

Je moet lid zijn om een ​​reactie te kunnen plaatsen

Maak een account aan

Geen lid? Registreer om lid te worden van onze community
Leden kunnen hun eigen onderwerpen starten en zich abonneren op onderwerpen
Het is gratis en duurt maar een minuut

Registreer

Log in

Gebruikersnaam
Wachtwoord

Terug naar “Emsisoft Anti-Malware”