Voor de slimmen: een niet-bestaand bestand geeft een bedreigingsmelding... ?

[Passer]

Mijn beveiligingscentrum geeft een (lage) bedreiging: 

 

Ik open mijn windowsbeveiliging en kom uit bij

      In het kadertje: een klein progje dat ik al jaren gebruik (gekocht programma)

 

De pijl toont welke exe de oorzaak van de bedreiging zou zijn (juist?)

 

Dus ging deze mus op zoek naar die exe op mijn schijf en kom in die DwnlData-map uit bij één enkele submap

maar dat is dus nièt de submap die in de beveiligingsmelding wordt getoond.

Er is dus blijkbaar géén submap16805_6284 waarin een 16805.exe zou staan...

 

(en ja: ondertussen heb ik al 2x gereboot maar de melding staat er nog - en ook had ik èn verborgen èn beveiligde systeembestanden tonen aan gezet)

 

Laat ik (met Everything) héél mijn systeem nazoeken op 16805 om die exe te vinden, maar die vindt hem ook niet:

 

 

Zie ik iets niet of geeft een 'niet bestaande exe' een beveiligingsmelding? ?

 

Ik kan natuurlijk eenvoudigweg die bedreiging 'toestaan' - dus het is voor mij niet echt een probleem - maar 'k zou toch wel graag weten wie hier in de fout gaat: dat centrum (dat een niet bestaande exe

zou aangeven als gevaarlijk - of die verkenner(s) die het bestand niet toont/tonen...?

ps: Ik heb ook Malwarebites (pro) en die gaf nog nooit een bedreiging hierover (en manueel kan ik hem de exe niet laten onderzoeken omdat die exe dus niet te vinden is)

[kweezie wabbit]

Het bestand is misschien al in quarantaine gezet en da zie je het ook niet meer op de genoemde locatie.

 

Om welk progje gaat het juist?

Bij een download manager kan je dergelijke waarschuwingen wel krijgen.

Misschien eens de recentste versie installeren.

[Passer]

Staat nog niet in quarantaine want ik heb nog geen van deze gekozen:  

 

Het gaat om een downloadmanager (IDM) - maar die versie heb ik al verschillende jaren èn ik krijg er geregeld updates van binnen..

[falstring]

je hebt nog geen actie gekozen, maar daar wacht de beveiliging niet op: die zorgt ervoor dat het bestand al vast wordt veiliggesteld.

de keus die jij hebt is dus de bevestiging of de opheffing van die veiligstelling 

[Passer]

Dus Falstring, dat zou - als ik kies voor toestaan - betekenen dat het bestand in zijn oorspronkelijke staat hersteld gaat worden (en terug te vinden zou zijn) ?

 

Ik heb net ook eens in een backup van 1 jan en van 8 jan gekeken en daar staat die exe noch de 16805-map niet in.

Wat op zich ook niks bewijst want ze kan er na 8 jan in een nieuwe download (van IDM) ingekomen zijn natuurlijk..

[Passer]

zou het kunnen dat het nog een verwijzing is van Defender naar een bestand dat ondertussen verdwenen is - een soort 'verouderde' verwittiging,

terwijl - 'k zeg maar iets - die exe al door het progje-zelf verwijderd werd (nadat Defender het als onveilig had gekenmerkt?) ?

[porrelaar]

De melding van Defender over die PUA / PUP is van zaterdag 8 januari 2022. Dat is dus zeer recent.

Heb je op die datum (afgelopen zaterdag) een update voor IDM (Internet Download Manager) gekregen?

Dat kun je nagaan via Configuratiescherm > Programma's en onderdelen. Klik daar op het kopje Geïnstalleerd op, zodat de meest recente programma's bovenaan staan. Dan zie je vanzelf of er voor IDM een update is geïnstalleerd op die datum.

 

Op 9/1/2022 om 15:21, Passer zei:

Dus Falstring, dat zou - als ik kies voor toestaan - betekenen dat het bestand in zijn oorspronkelijke staat hersteld gaat worden (en terug te vinden zou zijn) ?

Ik heet niet falstring, maar ik probeer toch een antwoord te geven... Nee, als je op Toestaan klikt, dan komt dat exe bestand (16805.exe)  volgens mij niet terug op de oorspronkelijke locatie.

Lees de melding in de afbeelding in de startpost nog eens. Vooruit, ik zal het gedeelte waar het om gaat, hier herhalen: "Als u deze mogelijk ongewenste app toch wilt installeren, selecteert u Acties > Toestaan op apparaat en probeert u het opnieuw te installeren."

Dat Toestaan geldt dus in feite voor de volgende keer dat je datzelfde programma zou proberen te installeren.

 

Maar moet je dat laatste gaan doen? Ik zou er nog even mee wachten. Controleer eerst of IDM nog goed werkt. Werkt je downloadmanager nog prima en zie je geen foutmeldingen, dan zou ik het vooral zo laten. Dan is 16805.exe blijkbaar een onderdeel van IDM dat je voor de goede werking van dat programma prima kunt missen.

==============================

Het is overigens ook nog mogelijk dat het om een false positive gaat. Dan heeft Defender op 8 januari nieuwe virusdefinities binnengehaald, waarin staat dat dat bewuste bestand 16805.exe een PUA is. En dan kan het zo zijn dat het bestand al veel langer op je pc stond, maar dat het per 8-1-2022 opeens als een PUA werd gezien. Als het een false positive is, dan is het mogelijk dat intussen andere virusdefinities zijn binnengehaald (Defender doet dat minimaal 1 x per dag), waardoor 16805.exe nu niet meer als een bedreiging wordt gezien.

 

In ieder geval eerst gaan controleren of IDM nog goed werkt. Als dat het geval is, hoef je verder niets te doen.

 

[Passer]

Op de 11 zit 'geïnstalleerd op' blijkbaar ergens anders ('k moet dus op zoek) :

 

en Programma's levert dit:  

maar dus geen 'geïnstalleerd op' er bij

 

Waar ik al wel bij uit kwam:

Hier staat de datum 15/12/2021 - en ik vermoed dat dit de laatste updatedatum is die hier aangegeven wordt.

Het progje-zelf heb ik al van in 2017, moest het echt 'geïnstalleerd' betekenen, zou hier 2017 staan en geen 2021

En als ik me goed herinner, kreeg ik ook op 8 jan geen updatemelding (maar ken je dat bij gekende progs die geregeld updates aanbieden: je 'kent het', klikt op OK/installeren en besteedt er verder geen aandacht aan.

 

En idd: het opnieuw gaan installeren ga ik niet doen, het ding werkt naar behoren and never change a winning team toch? 

 

Dank je Porrelaar, voor al je bedenkingen en meedenken; als niemand nog ideeën heeft, ga ik gewoon kiezen voor 'quarentaine' :

verwijderen: je weet maar nooit wat dan gaat verwijderd worden (al is dàt bestand er niet meer)

toestaan op apparaat: daarmee neem ik mogelijk een wissel op de toekomst.

Of raadt iemand me toch één van deze laatste aan?

 

 

 

 

[porrelaar]

1 uur terug, Passer zei:

Hier staat de datum 15/12/2021 - en ik vermoed dat dit de laatste updatedatum is die hier aangegeven wordt.

Dat klopt. Onder het kopje Geïnstalleerd op staat de datum van de laatste wijziging/update van dat programma, dus niet de datum van de eerste installatie. Beetje verwarrend, dat geef ik toe.

Kies maar voor Quarantaine. Dat lijkt me de veiligste oplossing.

 

Overigens gebruik ik Defender alleen op mijn test-pc. Op de pc die ik dagelijks gebruik, geef ik de voorkeur aan een ander antivirusprogramma. Daarop gebruik ik de gratis versie van Panda Dome. Ik heb ingesteld dat ik geen reclames krijg voor de betaalde versie. En ik vind het fijn dat ik in Panda meer kan instellen. Zo zou ik kunnen instellen dat aangetroffen virussen niet direct 'geneutraliseerd' worden, maar dat dat mij eerst gevraagd wordt. Ook zou ik de detectie van PUP's uit kunnen schakelen. Ik doe het niet standaard, maar het kan wel, wanneer ik daar behoefte toe voel.

 

Aan Defender erger ik me soms mateloos. Een in wezen onschuldig progje als Mail PassView (van de firma Nirsoft) wordt direct verwijderd door Defender. Daarna moet ik naar de beschermingsgeschiedenis van Defender gaan, op Toestaan klikken voor die gevonden bedreiging en dan moet ik het progje nogmaals gaan downloaden. Opnieuw het zip bestand uitpakken en dan kan ik het pas gaan gebruiken. En daarna staat er ten eeuwigen dage in de beschermingsgeschiedenis dat ik welbewust een Trojan toegang heb gegeven tot mijn pc:

 

Ach ja. Overigens is Defender niet de enige virusscanner die aanslaat op Mail PassView. Zie de beoordeling op VirusTotal: https://www.virustotal.com/gui/file/5be325905df8aab7089ab2348d89343f55a2f88dadd75de8f382e8fa026451bd

De helft van de scanengines beschouwt het programma als kwaadaardig.

Nirsoft, de maker van MailPassView is daarvan op de hoogte en heeft er een blog aan gewijd: http://blog.nirsoft.net/2009/05/17/antivirus-companies-cause-a-big-headache-to-small-developers/

Het is ook niet verwonderlijk dat een programma dat wachtwoorden van e-mailaccounts achterhaalt, verdacht wordt gevonden. Maar ik heb er in de loop der jaren al verschillende mensen mee kunnen helpen. Die hadden dan bijvoorbeeld een nieuwe pc gekocht. Ze wilden hun e-mailaccount opnemen in het e-mailprogramma op de nieuwe pc, maar ze wisten het bijbehorende wachtwoord niet meer. Als ze de oude pc nog hadden, dan was het voor mij een fluitje van een cent om het wachtwoord tevoorschijn te toveren op die oude pc.

[Passer]

Dank je Porrelaar voor de hele uitleg - ook wat Defender en zo betreft.

Als ik vandaag van niemand nog iets hoor, gaat de spook-exe vanavond in quarentaine.