e-mail 1-1-1970 zonder afzender; is dit een virus? - Privacy en beveiliging

zondag 15 juli 2007 23:27

Acties:

Verwijderd

Topicstarter

Hallo,

Ik ben van vakantie terug, maar ik heb ineens een probleem waarvan ik vermoed dat het een virus of trojan is. Ik kan er alleen niks over op internet vinden. Alleen iets op een of ander duits forum waar verder erg vaag werd gedaan.

Ik gebruik Thunderbird als e-mail programma met een ingebouwd (volgens mij self-learning) spamfilter. Sinds mijn thuiskomst staat er steeds in mijn map ongewenste berichten een mailtje dat verstuurd zou zijn op 1-1-1970. Alleen staat er geen afzender bij en geen onderwerp; over de inhoud durf ik niks te zeggen want ik heb het uiteraard niet geopend. Zodra ik hem verwijder uit de map ongewenste bericht staat hij er direct weer in wanneer ik weer in deze map terugkom. Op zich nog niet zo'n hele erge ramp, maar sinds ik deze mailtjes ontvang is Thunderbird ineens vreselijk traag geworden (mail openen, verwijderen, verplaatsen, enz.), vandaar dat ik een virus of een trojan begin te vermoeden. Ik gebruik Avast als virusscanner en deze heb ik vanmiddag een grondige volledige scan laten doen, maar die heeft niks aan virussen of trojans gevonden. Misschien een achterdeurtje??

Mijn vraag is eigenlijk: kent iemand deze mailtjes? Weet iemand of dit een virus of een trojan is? Want als dat zo is, kan ik iets gerichter naar een oplossing gaan zoeken.

zondag 15 juli 2007 23:42

Acties:

Verwijderd

1-1-1970 is een standaard datum die wordt ingesteld in veel hardware en software wanneer die de juiste datum kwijt zijn.
Dus zou er sprake kunnen zijn van een hardware of software storing ergens.
kun je de eigenschappen/bron van het bericht inkijken? Misschien wordt je daar wat wijzer van.

zondag 15 juli 2007 23:52

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Inderdaad. Kijk ook in je webmail of via telnet wat er aan mail staat.

En omdat je malware verwacht: geef even de benodigde informatie, zoals o.a. in de "sticky" topics bovenaan Beveiliging & Virussen staan beschreven. Miaschien kunnen we er wat mee

Daarnaast wil je misschien kijken of het niet aan TB zelf ligt, door een nieuw profiel te maken en/of door te updaten.

Maar ik denk niet direct aan een virus eigenlijk.

offtopic:
Een vraagteken is zat om aan te duiden dat je een vraag stelt. Meer is alleen maar overdrveen schreeuwerig. Ik pas de titel dus wat aan.

[ Voor 20% gewijzigd door F_J_K op 15-07-2007 23:53 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 16 juli 2007 00:18

Acties:

Verwijderd

Topicstarter

F_J_K schreef op zondag 15 juli 2007 @ 23:52:
En omdat je malware verwacht: geef even de benodigde informatie, zoals o.a. in de "sticky" topics bovenaan Beveiliging & Virussen staan beschreven. Miaschien kunnen we er wat mee

Sorry, ik weet even niet wat je hiermee bedoelt: welke informatie moet ik dan nog meer geven? (heb btw alle sticky topics keurig gelezen, maar ben nou eenmaal niet zo'n frequente forum-bezoeker)

Echt waar, nou breekt m'n klomp! Ik zit hier dus al 2 dagen mee te etteren, wanhoop nabij, alle updates uitgevoerd die ik maar kon bedenken (ook TB) en ik krijg dat ding maar niet weg. En nu, ineens, foetsie!! Het enige dat ik ondertussen nog gedaan heb is overtollig mail uit TB verwijderd, Outlook Express opgestart en hier een profiel aangemaakt om daar een keer mijn mail op te halen om te kijken of ik datzelfde mailtje hier ook krijg (kreeg ik dus niet). Daarna weer TB opgestart en weg is de mail uit 1970! Overigens is TB nog wel steeds ontzettend traag in het bewerken van berichten (niet in het tussen de mappen switchen).

Verwijderd schreef op zondag 15 juli 2007 @ 23:42:
1-1-1970 is een standaard datum die wordt ingesteld in veel hardware en software wanneer die de juiste datum kwijt zijn.
Dus zou er sprake kunnen zijn van een hardware of software storing ergens.
kun je de eigenschappen/bron van het bericht inkijken? Misschien wordt je daar wat wijzer van.

Omdat die mail niet meer verschijnt heb ik dus niet de bron in kunnen kijken. Maar is dat niet een beetje vreemd, zomaar ineens een software- of hardware-storing wanneer er niks nieuws geïnstalleerd is? Dat moet toch ergens door veroorzaakt worden? Of zou een enorme hoeveelheid mail inees (vakantie geweest) zoiets soms kunnen veroorzaken?

maandag 16 juli 2007 00:29

Acties:

DrClaw

misschien is je mailbox zo over quota dat er geen enkele byte meer bij kan. als je dan een nieuw mailtje krijgt, dan wordt er dus in principe niks bijgeschreven in je maildirectory op de mailserver (dus niet op je thunderbird maar echt op de server). dat wil dan weer zeggen dat de datum op 0 staat (en zoals al eerder genoemd komt die datum overeen met 1 januari 1970), namen, afzenders en body zijn ook leeg.

dush ..

kan het zijn dat je mailserver dir nog vol is ? bijvoorbeeld doordat je een kopie van alle mail lekker op de server laat staan zodra je mail ophaalt ?

maandag 16 juli 2007 00:37

Acties:

SKiLLa

Byte or nibble a bit ?

Het datumveld is een onderdeel van de mailheader. Dat kan de afzender dus net zo makkelijk vervalsen als het afzender adres. Sommige mailserver software voegt deze zelf toe indien het veld ontbreekt, anderen weer niet. Grote kans dat je mailprogramma die datum (1-1-1970) weergeeft omdat het veld gewoon geheel ontbreekt, of het de mailheader niet 100% kan 'decoderen' omdat ie 'raar' is, of omdat de verstuurder het zo heeft ingevuld. Meestal duidt het inderdaad op spam of malware-mailtjes.

Indien een online virusscan als TrendMicro's HouseCall en malware scanners als HijackThis niets vinden, zou ik er niet veel aandacht aan besteden. En leeg je mailbox eens via de webmail - zoals eerder genoemd - misschien komt ie steeds terug omdat je mailprogramma het mailtje niet correct van de mailserver verwijderd door de crippled-header.

'Political Correctness is fascism pretending to be good manners.' - George Carlin

maandag 16 juli 2007 09:24

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Verwijderd schreef op maandag 16 juli 2007 @ 00:18:
Sorry, ik weet even niet wat je hiermee bedoelt: welke informatie moet ik dan nog meer geven? (heb btw alle sticky topics keurig gelezen, maar ben nou eenmaal niet zo'n frequente forum-bezoeker)

offtopic:
Ik doelde met name op bijv. een hijackthis log + interpretatie er bij. Maar:

Echt waar, nou breekt m'n klomp!

Ik denk dat er dan een corrupt mailboxfile was.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 16 juli 2007 09:58

Acties:

Verwijderd

Topicstarter

Het zal inderdaad wel een corrupt mailboxfile geweest zijn, maar ik zal HijackThis eens proberen, die kende ik nog niet. Want ik ben bang dat er toch meer aan de hand is. Die ene mail staat er nu wel niet meer tussen, maar TB is nu zo traag geworden. Als TB mail binnen haalt wordt de hele computer traag. De muis reageert pas na een halve minuut of zo (of langer!) en websites laden veel langzamer.

SKiLLa schreef op maandag 16 juli 2007 @ 00:37:En leeg je mailbox eens via de webmail - zoals eerder genoemd - misschien komt ie steeds terug omdat je mailprogramma het mailtje niet correct van de mailserver verwijderd door de crippled-header.

DrClaw schreef op maandag 16 juli 2007 @ 00:29:
kan het zijn dat je mailserver dir nog vol is ? bijvoorbeeld doordat je een kopie van alle mail lekker op de server laat staan zodra je mail ophaalt ?

Mijn (web)mailserver wordt altijd keurig leeggehaald wanneer ik mail binnenhaal met TB, daar blijven geen kopieën achter. Maar het zou kunnen dat hij er niet correct werd afgehaald, want ik was dat mailtje kwijt zodra ik 1 keer met OE binnenhaalde. Ik heb nu al die programma's van HijackThis gedownload, dus dat ga ik nu allemaal doen. Jullie horen het nog.

[ Voor 53% gewijzigd door Verwijderd op 16-07-2007 10:15 ]

dinsdag 17 juli 2007 10:16

Acties:

Verwijderd

Topicstarter

Nou, de problemen zijn opgelost. Ik vermoed dat het een conflict in de virusscanner (Avast) was, veroorzaakt door malware (ik had echt een enorme hoeveelheid spam in mijn inbox).

Toen ik aan de stappen van http://www.hijackthis.nl/computerschoonmaken.html begon kreeg ik al vrij gauw problemen met Avast. Uiteindelijk heb ik Avast eraf gegooid en opnieuw geïnstalleerd. Na de volledige systemcheck was meteen de traagheid uit TB verdwenen. De spywarescanners hebben alleen nog maar trackingcookies gevonden, niks kritieks.

F_J_K schreef op maandag 16 juli 2007 @ 09:24:
Ik doelde met name op bijv. een hijackthis log + interpretatie er bij. Maar:

En alsjeblieft, hier is je logje

:

Logfile of HijackThis v1.99.1
Scan saved at 10:00:38, on 17-7-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Program Files\Avast\aswUpdSv.exe
E:\Program Files\Avast\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
E:\Program Files\Picasa2\PicasaMediaDetector.exe
E:\Program Files\QuickTime\qttask.exe
E:\PROGRA~1\Avast\ashDisp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
E:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\SilverCrest\12024SC Mouse Driver\MouseDrv.exe
E:\PROGRA~1\Webshots\Webshots.scr
C:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Ad-Aware 2007\aawservice.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\svchost.exe
E:\Program Files\Avast\ashMaiSv.exe
E:\Program Files\Avast\ashWebSv.exe
C:\Program Files\MSN Messenger\usnsvc.exe
E:\Program Files\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.wanadoo.nl/oiseau/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [WireLessMouse] C:\Program Files\SilverCrest\12024SC Mouse Driver\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [Picasa Media Detector] E:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\Avast\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Startup: Webshots.lnk = E:\Program Files\Webshots\Launcher.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to AMV Convert Tool... - E:\Program Files\MP3 Player Utilities 3.79\AMVConverter\grab.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - E:\Program Files\MP3 Player Utilities 3.79\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2D793978-07B6-4229-A209-61FD17AAF862} (LOI_MOX Control) - http://www2.loi.nl/wsstatic/CampusPro/activeX/LOI_MO_X.ocx
O16 - DPF: {2E12FB00-546B-4EE3-9CC2-057BF02E1C17} (Webshots Multiple Media Uploader - Container) - http://community.webshots.com/html/atx/wsaxcontrol.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://tiels4ever.spaces....d/MsnPUpld.cab?10,0,912,0
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macrom...ve/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - E:\Program Files\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Program Files\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - E:\Program Files\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Program Files\Avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\Program Files\Avast\ashWebSv.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

Ik weet niet of iemand hier nog uit kan afleiden of er nog troep op mijn pc staat?? Want mij zegt het helemaal niks, dit gaat mijn expertise te boven...

M'n pc werkt nu weer super. Bedankt allemaal!