Discussion:
Scannen op virussen?
(te oud om op te antwoorden)
GJ.Oomens
2004-07-31 21:44:17 UTC
Permalink
Scant Demon uitgaande post op virussen? Wil iemand helpen met haar
HijackThis log en daar staat onder andere in:
O16 - DPF: {10000000-1000-0000-1000-000000000000} -
ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe

Deze vermelding wordt gezien als virus, dus kan aanwijzingen enkel
versturen, als ik dit eruit haal.
--
Gérard
***@somso.demon.nl
Scooby Doo©
2004-07-31 22:22:22 UTC
Permalink
Post by GJ.Oomens
Scant Demon uitgaande post op virussen? Wil iemand helpen met haar
O16 - DPF: {10000000-1000-0000-1000-000000000000} -
ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe
Deze vermelding wordt gezien als virus, dus kan aanwijzingen enkel
versturen, als ik dit eruit haal.
Norton slaat hier op tilt als ik op jouw bericht gaat
staan..........................
--
De groeten van Scooby Doo©

.com e-mailadressen komen bij mij niet binnen dus ook geen Hotmail

Als eerste op de hoogte van een nieuw virus zijn, neem een abonnement
op de waarschuwingsdienst http://www.waarschuwingsdienst.nl


Wie niet waagt blijft maagd
J.F. van Baarlen
2004-07-31 22:25:33 UTC
Permalink
On Sat, 31 Jul 2004 23:44:17 +0200, "GJ.Oomens"
Post by GJ.Oomens
Scant Demon uitgaande post op virussen?
Voor zover ik weet niet.
Post by GJ.Oomens
Wil iemand helpen met haar
O16 - DPF: {10000000-1000-0000-1000-000000000000} -
ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe
Deze vermelding wordt gezien als virus, dus kan aanwijzingen enkel
versturen, als ik dit eruit haal.
Door *wie* wordt dit als virus gezien, en welke melding krijg je
precies? Het lijkt me waarschijnlijker dat de ontvangende kant de boel
afbreekt, maar aangezien je niet veel informatie geeft is dat niet te
achterhalen.

***@vanbaarlen.demon.nl
GJ.Oomens
2004-07-31 22:38:20 UTC
Permalink
Post by J.F. van Baarlen
On Sat, 31 Jul 2004 23:44:17 +0200, "GJ.Oomens"
Post by GJ.Oomens
Scant Demon uitgaande post op virussen?
Voor zover ik weet niet.
Post by GJ.Oomens
Wil iemand helpen met haar
O16 - DPF: {10000000-1000-0000-1000-000000000000} -
ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe
Deze vermelding wordt gezien als virus, dus kan aanwijzingen enkel
versturen, als ik dit eruit haal.
Door *wie* wordt dit als virus gezien, en welke melding krijg je
precies? Het lijkt me waarschijnlijker dat de ontvangende kant de boel
afbreekt, maar aangezien je niet veel informatie geeft is dat niet te
achterhalen.
De mailserver van Demon.
Ik stuur het eveneens als test aan mezelf. Het gaat er niet uit. Krijg
een melding dat het malware is, om precies te zijn:
Loading Image...
--
Gérard
***@somso.demon.nl
Jan Hoolwerf
2004-08-01 04:44:10 UTC
Permalink
Hello GJ.Oomens,
Post by GJ.Oomens
Post by J.F. van Baarlen
Door *wie* wordt dit als virus gezien, en welke melding krijg je
precies? Het lijkt me waarschijnlijker dat de ontvangende kant de
boel afbreekt, maar aangezien je niet veel informatie geeft is dat
niet te achterhalen.
De mailserver van Demon.
Als ik jouw plaatje bekijk staat er nergens dat het "de mailserver van
Demon" is, alleen maar "de mailserver". De maker van de software die
deze melding op het scherm zet is een lamzak die te beroerd is om
zinnige info door te geven.

Je hebt toch niet zelf een antivirus product o.i.d. draaien wat zich
heeft genesteld tussen je mailclient en de smtp-server van Demon?

Normaal gaat uitgaande mail van mail client naar smtp server isp maar
sommige av-producten maken daarvan: mail client, servertje av-product
(scant op virussen), smtp server isp.

regards, Jan Hoolwerf
--
+ email : ***@hoolwerf.invalid
+ http://www.hoolwerf.invalid
+
+ change invalid into net
GJ.Oomens
2004-08-01 10:23:28 UTC
Permalink
Post by Jan Hoolwerf
Hello GJ.Oomens,
Post by GJ.Oomens
Post by J.F. van Baarlen
Door *wie* wordt dit als virus gezien, en welke melding krijg je
precies? Het lijkt me waarschijnlijker dat de ontvangende kant de
boel afbreekt, maar aangezien je niet veel informatie geeft is dat
niet te achterhalen.
De mailserver van Demon.
Als ik jouw plaatje bekijk staat er nergens dat het "de mailserver van
Demon" is, alleen maar "de mailserver".
Dat is mijn conclusie, inderdaad, omdat ik het in dit geval naar mijzelf
stuur.
Post by Jan Hoolwerf
Je hebt toch niet zelf een antivirus product o.i.d. draaien wat zich
heeft genesteld tussen je mailclient en de smtp-server van Demon?
Nee, niets.
--
Gérard
***@somso.demon.nl
Jim Segrave
2004-08-01 21:34:39 UTC
Permalink
Post by GJ.Oomens
Post by J.F. van Baarlen
On Sat, 31 Jul 2004 23:44:17 +0200, "GJ.Oomens"
Post by GJ.Oomens
Scant Demon uitgaande post op virussen?
Voor zover ik weet niet.
Post by GJ.Oomens
Wil iemand helpen met haar
O16 - DPF: {10000000-1000-0000-1000-000000000000} -
ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe
Deze vermelding wordt gezien als virus, dus kan aanwijzingen enkel
versturen, als ik dit eruit haal.
Door *wie* wordt dit als virus gezien, en welke melding krijg je
precies? Het lijkt me waarschijnlijker dat de ontvangende kant de boel
afbreekt, maar aangezien je niet veel informatie geeft is dat niet te
achterhalen.
De mailserver van Demon.
Ik stuur het eveneens als test aan mezelf. Het gaat er niet uit. Krijg
http://www.somso.demon.nl/melding.jpg
Yes, we are running anti-virus software on post.demon.nl and will not
accept customer mail which triggers our virus scanners. I expect we
will shortly do the same on incoming mail, but there are some issues
which we need to consider before doing so.
--
--
Jim Segrave ***@jes-2.demon.nl
Donald Koeleman
2004-08-02 14:34:29 UTC
Permalink
Post by GJ.Oomens
Scant Demon uitgaande post op virussen?
Wil iemand helpen met haar
O16 - DPF: etc.
Deze vermelding wordt gezien als virus, dus kan aanwijzingen enkel
versturen, als ik dit eruit haal.
Gerard,

Norton Antivirus geeft inderdaad aan dat het bericht, als ook de reply van
Jim, een bloodhound 6 virus bevat.

Heel vervelend, inderdaad.
djfox741
2004-07-31 23:44:27 UTC
Permalink
Post by GJ.Oomens
Scant Demon uitgaande post op virussen? Wil iemand helpen met haar
O16 - DPF: {10000000-1000-0000-1000-000000000000} -
ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe
Deze vermelding wordt gezien als virus, dus kan aanwijzingen enkel
versturen, als ik dit eruit haal.
Gérard,

Deze melding krijg ik van OE en wil het ook niet weg doen naar mijzelf.

Er is een onbekende fout opgetreden. Onderwerp 'Test2', Account: 'dejong741',
Server: 'post.demon.nl', Protocol: SMTP, Reactie van server: '550 This message
contains malware (Exploit.HTML.MHT-6)', Poort: 25, Beveiligd(SSL): Nee,
Serverfout: 550, Foutnummer: 0x800CCC69

Dus het lijkt er aardig op dat er op uitgaande post word gecontroleerd :-(
--
Tot zover maar weer ... :o)
djfox741 -- (E-mail is Fake!!!)
http://dejong741.nl
Bouler
2004-07-31 23:55:26 UTC
Permalink
Post by djfox741
Post by GJ.Oomens
Scant Demon uitgaande post op virussen? Wil iemand helpen met haar
O16 - DPF: {10000000-1000-0000-1000-000000000000} -
ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe
Deze vermelding wordt gezien als virus, dus kan aanwijzingen enkel
versturen, als ik dit eruit haal.
Gérard,
Deze melding krijg ik van OE en wil het ook niet weg doen naar mijzelf.
Er is een onbekende fout opgetreden. Onderwerp 'Test2', Account: 'dejong741',
Server: 'post.demon.nl', Protocol: SMTP, Reactie van server: '550 This message
contains malware (Exploit.HTML.MHT-6)', Poort: 25, Beveiligd(SSL): Nee,
Serverfout: 550, Foutnummer: 0x800CCC69
Dus het lijkt er aardig op dat er op uitgaande post word gecontroleerd :-(
Ik heb dit bericht opgeslagen en gescand met KAV, hij geeft geen virus aan
maar wel

Verdacht: Exploit.HTML.Mht
--
Groeten
Bouler
djfox741
2004-08-01 00:03:23 UTC
Permalink
Post by djfox741
Post by GJ.Oomens
Scant Demon uitgaande post op virussen? Wil iemand helpen met haar
O16 - DPF: {10000000-1000-0000-1000-000000000000} -
ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe
Deze vermelding wordt gezien als virus, dus kan aanwijzingen enkel
versturen, als ik dit eruit haal.
Gérard,
Deze melding krijg ik van OE en wil het ook niet weg doen naar
mijzelf.
'dejong741', Server: 'post.demon.nl', Protocol: SMTP, Reactie van
server: '550 This message contains malware (Exploit.HTML.MHT-6)',
0x800CCC69
Dus het lijkt er aardig op dat er op uitgaande post word
gecontroleerd :-(
Ook als Tekst-File en als een .pif meegestuurd als Attachment, word het
geweigerd.
--
Tot zover maar weer ... :o)
djfox741 -- (E-mail is Fake!!!)
http://dejong741.nl
abnormaal
2004-08-01 09:05:34 UTC
Permalink
Mijn scanner rapporteert niks.... Zowel Avast anti virus (is een scanner die
zich tussen de server en OE nestelt) als F-Prot die draait op mijn eigen
mailserver.

Als ik goed begrepen heb, heeft de poster deze melding als hij een mailtje
wil versturen. Als dat zo is liggen jullie nog lekker te ronken!

Er zijn zogeheten Browser Hijackers, die zich ongemerkt in IE nestelen. Het
enige dat je ervan merkt is dat je startpagina niet meer goed te zetten is
en bij een vage site uitkomt. Ik heb het vermoeden dat de PC van de
topicstarter besmet is met zoiets. Ik heb een keer het genoegen gehad om het
op een PC te vinden. Norton AV hield zijn zijn klep dicht, Ad-Aware kon ook
niks vinden tot ik anti hijacking software ging testen. BINGO.

hier meer info : http://users.telenet.be/marcvn/spyware/1564073.htm
Ruud
2004-08-01 09:36:31 UTC
Permalink
Post by abnormaal
Mijn scanner rapporteert niks.... Zowel Avast anti virus (is een scanner die
zich tussen de server en OE nestelt) als F-Prot die draait op mijn eigen
mailserver.
Als ik het bericht van OP bekijk slaat Mcafee alarm: Exploit-MhtRedir.gen
Tevens bij de mensen die een reply gaven, behalve bij "abnormaal".
Post by abnormaal
Ik heb het vermoeden dat de PC van de
topicstarter besmet is met zoiets.
Ik weet het wel zeker...
Jammer dat de news-server van Demon deze zooi zomaar de wereld instuurt.


Ruud
GJ.Oomens
2004-08-01 10:28:58 UTC
Permalink
Post by Ruud
Post by abnormaal
Mijn scanner rapporteert niks.... Zowel Avast anti virus (is een scanner
die
Post by abnormaal
zich tussen de server en OE nestelt) als F-Prot die draait op mijn eigen
mailserver.
Als ik het bericht van OP bekijk slaat Mcafee alarm: Exploit-MhtRedir.gen
Tevens bij de mensen die een reply gaven, behalve bij "abnormaal".
Ja dat klopt want die heeft de regel eruit geknipt.
Post by Ruud
Post by abnormaal
Ik heb het vermoeden dat de PC van de
topicstarter besmet is met zoiets.
Nee.
Post by Ruud
Ik weet het wel zeker...
Jammer dat de news-server van Demon deze zooi zomaar de wereld instuurt.
Nee ik ben niet besmet. Ik stuur enkel de genoemde regels.
--
Gérard
***@somso.demon.nl
abnormaal
2004-08-01 15:12:04 UTC
Permalink
Is Norton ZO strak dat hij als reageert als de naam van het virus in de mail
wordt genoemd? Simpel testje:

W32/Sasser.worm.b, W32.Sasser.B.Worm, W32/Sasser.B
***@mm, Win32/***@mm, Worm/NetSky.P, W32/Netsky.P.worm

Bij jullie moet Norton nu vet over de zeik gaan. :):):)

Mijn ervaringen zijn dat IE dusdanig vol met foutjes zit dat Browser
Hijacking mogelijk is. Als de gebruiker Admin is kan iedere foute webpagina
zn gang gaan. Ik heb wel eens een PC onder handen gehad met 4 virussen, wat
exploits (hijacks) en heel veel spyware. De melding van de gebruiker was dat
IE allerlei ongevraagde pr0n liet zien.

De oorzaak is duidelijk : fouten in IE. Sinds ik Opera Web Browser gebruik
heb ik nergens meer last van. Ook de linux firewall ertussen draagt zijn
steentje bij :). IE gebruik ik alleen nog om te telebankieren.
Scooby Doo©
2004-08-01 19:39:33 UTC
Permalink
Post by abnormaal
Is Norton ZO strak dat hij als reageert als de naam van het virus in
W32/Sasser.worm.b, W32.Sasser.B.Worm, W32/Sasser.B
Bij jullie moet Norton nu vet over de zeik gaan. :):):)
Nee, Norton gaat nu dus niet over de zeik :-)
--
De groeten van Scooby Doo©

.com e-mailadressen komen bij mij niet binnen dus ook geen Hotmail

Als eerste op de hoogte van een nieuw virus zijn, neem een abonnement
op de waarschuwingsdienst http://www.waarschuwingsdienst.nl


Drive A: not responding.. .Formating C: instead
Ruud
2004-08-01 20:41:27 UTC
Permalink
Post by abnormaal
Is Norton ZO strak dat hij als reageert als de naam van het virus in de mail
W32/Sasser.worm.b, W32.Sasser.B.Worm, W32/Sasser.B
Bij jullie moet Norton nu vet over de zeik gaan. :):):)
Nee hoor Ab.
Een en ander werd veroorzaakt door die string en niet door de naam van dat
virus.

Ruud.
Piet Beertema
2004-08-01 20:52:37 UTC
Permalink
Post by abnormaal
De oorzaak is duidelijk : fouten in IE. Sinds ik Opera Web Browser gebruik
heb ik nergens meer last van. Ook de linux firewall ertussen draagt zijn
steentje bij :). IE gebruik ik alleen nog om te telebankieren.
En nog steeds geen last van spookafschrijvingen? ;-)
Maar waarom IE om te telebankieren? Zit je bij zo'n "bank" die alleen
maar derderangs webprogrammeurs in dienst heeft, zoals de Postbank?

-p
GJ.Oomens
2004-08-01 23:11:31 UTC
Permalink
Post by Piet Beertema
Post by abnormaal
De oorzaak is duidelijk : fouten in IE. Sinds ik Opera Web Browser gebruik
heb ik nergens meer last van. Ook de linux firewall ertussen draagt zijn
steentje bij :). IE gebruik ik alleen nog om te telebankieren.
En nog steeds geen last van spookafschrijvingen? ;-)
Maar waarom IE om te telebankieren? Zit je bij zo'n "bank" die alleen
maar derderangs webprogrammeurs in dienst heeft, zoals de Postbank?
-p
De postbank werkt prima met Firefox, daar heb je IE niet voor nodig.
--
Gérard
***@somso.demon.nl
Bouler
2004-08-01 23:25:21 UTC
Permalink
Post by GJ.Oomens
Post by Piet Beertema
En nog steeds geen last van spookafschrijvingen? ;-)
Maar waarom IE om te telebankieren? Zit je bij zo'n "bank" die alleen
maar derderangs webprogrammeurs in dienst heeft, zoals de Postbank?
-p
De postbank werkt prima met Firefox, daar heb je IE niet voor nodig.
Lekker ouderwets Girotellen werkt ook nog steeds perfect:-)
--
Groeten
Bouler
K&H©
2004-08-02 00:37:55 UTC
Permalink
Post by Bouler
Post by GJ.Oomens
Post by Piet Beertema
En nog steeds geen last van spookafschrijvingen? ;-)
Maar waarom IE om te telebankieren? Zit je bij zo'n "bank" die
alleen maar derderangs webprogrammeurs in dienst heeft, zoals de
Postbank?
-p
De postbank werkt prima met Firefox, daar heb je IE niet voor nodig.
Lekker ouderwets Girotellen werkt ook nog steeds perfect:-)
Maar niet om deze tijd, en dat doet de Postbank wel ;-)
--
K&H©
Bouler
2004-08-02 02:09:19 UTC
Permalink
Post by K&H©
Post by Bouler
Post by GJ.Oomens
De postbank werkt prima met Firefox, daar heb je IE niet voor nodig.
Lekker ouderwets Girotellen werkt ook nog steeds perfect:-)
Maar niet om deze tijd, en dat doet de Postbank wel ;-)
Zo lang de pin automaat maar geld geeft:-))
--
Groeten
Bouler
jeroen
2004-08-02 22:15:39 UTC
Permalink
Post by Piet Beertema
En nog steeds geen last van spookafschrijvingen? ;-)
Maar waarom IE om te telebankieren? Zit je bij zo'n "bank" die alleen
maar derderangs webprogrammeurs in dienst heeft, zoals de Postbank?
-p
De rabobank werkt alleen met IE :(

/jeroen
bOnK
2004-08-03 16:00:40 UTC
Permalink
Post by jeroen
De rabobank werkt alleen met IE :(
http://vanmelick.com/rabo/firefox0.8/
--
GrGr,
bOnK
Rob Taunus
2004-08-03 18:23:18 UTC
Permalink
Post by jeroen
Post by Piet Beertema
En nog steeds geen last van spookafschrijvingen? ;-)
Maar waarom IE om te telebankieren? Zit je bij zo'n "bank" die alleen
maar derderangs webprogrammeurs in dienst heeft, zoals de Postbank?
-p
De rabobank werkt alleen met IE :(
/jeroen
Met firefox is het ook uitstekend telebankieren bij de Rabobank.
Je krijgt wel een meldingsscherm dat de site voor IE is, maar desondanks
werkt alles tot nu toe probleemloos.
--
Bye, Rob Taunus
Miquel van Smoorenburg
2004-08-06 10:16:28 UTC
Permalink
Post by Rob Taunus
Post by jeroen
Post by Piet Beertema
En nog steeds geen last van spookafschrijvingen? ;-)
Maar waarom IE om te telebankieren? Zit je bij zo'n "bank" die alleen
maar derderangs webprogrammeurs in dienst heeft, zoals de Postbank?
-p
De rabobank werkt alleen met IE :(
/jeroen
Met firefox is het ook uitstekend telebankieren bij de Rabobank.
Je krijgt wel een meldingsscherm dat de site voor IE is, maar desondanks
werkt alles tot nu toe probleemloos.
Ja, dan bevelen ze je aan te "upgraden" naar MSIE - minimaal versie 5.0.
Goed he, een bank die op de telebankieren site serieus IE 5.0
aanraad ...

Mike.
--
The question is, what is a "manamanap".
The question is, who cares ?
Anthonie Vokker
2004-08-06 11:04:15 UTC
Permalink
Post by Miquel van Smoorenburg
Post by Rob Taunus
Post by jeroen
Post by Piet Beertema
En nog steeds geen last van spookafschrijvingen? ;-)
Maar waarom IE om te telebankieren? Zit je bij zo'n "bank" die alleen
maar derderangs webprogrammeurs in dienst heeft, zoals de Postbank?
-p
De rabobank werkt alleen met IE :(
/jeroen
Met firefox is het ook uitstekend telebankieren bij de Rabobank.
Je krijgt wel een meldingsscherm dat de site voor IE is, maar desondanks
werkt alles tot nu toe probleemloos.
Ja, dan bevelen ze je aan te "upgraden" naar MSIE - minimaal versie 5.0.
Goed he, een bank die op de telebankieren site serieus IE 5.0
aanraad ...
Mike.
Banken zijn zelf de grootste virussen! Allemaal wittenboorden tuig...

Anthonie Vokker heeft gezegd en groet u!
Michiel van der Kraats
2004-08-07 21:26:43 UTC
Permalink
Post by Miquel van Smoorenburg
Ja, dan bevelen ze je aan te "upgraden" naar MSIE - minimaal versie 5.0.
Goed he, een bank die op de telebankieren site serieus IE 5.0
aanraad ...
Tja, de Rabobank is dan ook "a cooperative bank, founded by farmers".
Ook een leuke, gelezen in een handleiding voor software om
belastingaanvragen te versturen over het Net:

"Wij raden u aan om virusscanners en firewalls uit te schakelen als u
onze software gebruikt"
--
Michiel
Piet Beertema
2004-08-06 19:01:11 UTC
Permalink
Post by Rob Taunus
Post by jeroen
Post by Piet Beertema
Maar waarom IE om te telebankieren? Zit je bij zo'n "bank" die alleen
maar derderangs webprogrammeurs in dienst heeft, zoals de Postbank?
De rabobank werkt alleen met IE :(
Met firefox is het ook uitstekend telebankieren bij de Rabobank.
Je krijgt wel een meldingsscherm dat de site voor IE is, maar
desondanks werkt alles tot nu toe probleemloos.
Bedoel je nu dat je probleemloos de Rabo website kunt bezoeken of dat
je probleemloos bij de Rabo kunt telebankieren? Mijn ervaring is dan
toch echt anders: bezoeken van de Rabo site werkt met Mozilla over het
algemeen goed, maar of telebankieren werkt is sterk afhankelijk van de
stand van de maan, conjuncties van Jupiter en Venus, en meer van dat
soort factoren.

-p
Big Mama
2004-08-01 10:02:21 UTC
Permalink
Post by abnormaal
Er zijn zogeheten Browser Hijackers, die zich ongemerkt in IE nestelen. Het
enige dat je ervan merkt is dat je startpagina niet meer goed te zetten is
en bij een vage site uitkomt. Ik heb het vermoeden dat de PC van de
topicstarter besmet is met zoiets. Ik heb een keer het genoegen gehad om het
op een PC te vinden. Norton AV hield zijn zijn klep dicht
Hmmm, tijd om te updaten dan. Mijn NAV vindt de "Bloodhound.Expoit.6" die er
in zit niet zo aantrekkelijk.

Jacco
dIMITRI
2004-08-01 14:21:56 UTC
Permalink
Post by djfox741
Dus het lijkt er aardig op dat er op uitgaande post word gecontroleerd :-(
Dat klopt, maar waarom de :-( ?
--
dIMITRI
GJ.Oomens
2004-08-01 14:39:23 UTC
Permalink
Post by dIMITRI
Post by djfox741
Dus het lijkt er aardig op dat er op uitgaande post word gecontroleerd :-(
Dat klopt, maar waarom de :-( ?
Omdat zoiets ook meegedeeld kan worden, wellicht?
Maar in dit bericht zit geen virus. Dus kan die scanner aangepast
worden, zodat ie tekst niet voor virussen aanziet. Nogal omslachtig om
allerlei regels te moeten gaan verwijderen, voordat je een bericht kunt
versturen.
--
Gérard
***@somso.demon.nl
Jan Hoolwerf
2004-08-01 19:59:33 UTC
Permalink
Hello dIMITRI,
Post by dIMITRI
Post by djfox741
Dus het lijkt er aardig op dat er op uitgaande post word
gecontroleerd :-(
Dat klopt, maar waarom de :-( ?
Is dit ooit kenbaar gemaakt aan de klanten van Demon? Dat heb ik dan
gemist.

En heb ik het niet gemist maar is Demon hier onaangekondigd mee
begonnen dan vind ik dit vanuit pr standpunt een bijzonder domme zet.
Kan het niet positiever formuleren vrees ik.

Nogal wat mensen hebben bij een eerdere isp knap traumatische <g>
ervaringen opgedaan met stiekum, en daarmee bedoel ik niet
aangekondigde, uitgevoerde virusscans op mail. Vaak met zwarte gat
ervaringen e.d. en dan wordt je niet echt vrolijk als je merkt dat je
huidige isp dat ook doet.

Als de isp daarentegen vooraf duidelijk maakt wat ze doet, waarom ze
het doet, hoe ze het doet en wat de consequenties zijn dan zal de
meerderheid van de klanten het positief opvatten. Ik tenminste wel
want ik wordt regelmatig niet vrolijk van die virussen.

regards, Jan Hoolwerf
--
+ email : ***@hoolwerf.invalid
+ http://www.hoolwerf.invalid
+
+ change invalid into net
Jim Segrave
2004-08-01 21:55:06 UTC
Permalink
Post by Jan Hoolwerf
Hello dIMITRI,
Post by dIMITRI
Post by djfox741
Dus het lijkt er aardig op dat er op uitgaande post word
gecontroleerd :-(
Dat klopt, maar waarom de :-( ?
Is dit ooit kenbaar gemaakt aan de klanten van Demon? Dat heb ik dan
gemist.
En heb ik het niet gemist maar is Demon hier onaangekondigd mee
begonnen dan vind ik dit vanuit pr standpunt een bijzonder domme zet.
Kan het niet positiever formuleren vrees ik.
Nogal wat mensen hebben bij een eerdere isp knap traumatische <g>
ervaringen opgedaan met stiekum, en daarmee bedoel ik niet
aangekondigde, uitgevoerde virusscans op mail. Vaak met zwarte gat
ervaringen e.d. en dan wordt je niet echt vrolijk als je merkt dat je
huidige isp dat ook doet.
I can't speak for what we have or haven't said about it. I can make
a few comments:

1) no-one is compelled to use post.demon.nl to send mail, although the
current trend with many ISPs is to only accept mail from servers
known to be ISP's smarthosts. This makes the use of ISP's
smarthosts semi-mandatory, whether one likes it or not. To try to
minimise the effect of blacklisting, preventing the sending of
viruses via post.demon.nl benefits most customers.
2) no anti-virus scanner is perfect and the test mail which started
this thread is an example of the limitations. Scanners use
signatures to recognise viruses - patterns of text which, when
seen, make the probability that the email in question is a virus
very high. The test mail contained one or more of the signature
strings used to recognise a particular virus.
3) We are currently running this on post.demon.nl for outbound
mail. The server will refuse to accept mail which triggers the
scanner. Any sensible mail client, and even some well known very
poor mail clients, will report delivery failures where the remote
SMTP server refuses to accept a mail. This is different than
accepting and silently discarding mail, it should never produce a
'black hole' effect.
4) We probably will start running the same anti-virus softwaare on our
incoming mail servers - there are some issues, including informing
customers, which we need to be sure we have correct before doing
so. But the costs to Demon and to our customers of the current
trend of viruses, many of which leave back-doors to allow remote
use of machines for spamming, make this almost inevitable.
Post by Jan Hoolwerf
Als de isp daarentegen vooraf duidelijk maakt wat ze doet, waarom ze
het doet, hoe ze het doet en wat de consequenties zijn dan zal de
meerderheid van de klanten het positief opvatten. Ik tenminste wel
want ik wordt regelmatig niet vrolijk van die virussen.
We currently run clam-av on all mail sent outwards via
post.demon.nl. Any mail seen as containing a virus is rejected during
the SMTP session where it first arrives at our servers, leaving the
sender to report the failure or generate a bounce message, as
appropriate. The scanner is continually updated, but we can never
guarantee that it will catch 100% of all virus mails. When we are
running it on incoming mail, I hope none of our customers decides to
save a small amount and discontinue running AV software on their own
system, as there are other ways to get viruses and there is no
guarantee that Demon will have eliminated every virus from your
incoming mail.
--
--
Jim Segrave ***@jes-2.demon.nl
GJ.Oomens
2004-08-01 23:17:57 UTC
Permalink
Post by Jim Segrave
Post by Jan Hoolwerf
Hello dIMITRI,
Post by dIMITRI
Post by djfox741
Dus het lijkt er aardig op dat er op uitgaande post word
gecontroleerd :-(
Dat klopt, maar waarom de :-( ?
Is dit ooit kenbaar gemaakt aan de klanten van Demon? Dat heb ik dan
gemist.
I can't speak for what we have or haven't said about it.
Daar begint het gezeur al weer. Dat wordt wel een gewoonte. Wellicht
moet het management eens orde op zaken stellen en zich niet verbergen
achter het niet geven van informatie en medewerkers verbieden informatie
te geven. Het wordt epidemisch, het demon virus.
Post by Jim Segrave
1) no-one is compelled to use post.demon.nl to send mail, although the
current trend with many ISPs is to only accept mail from servers
known to be ISP's smarthosts. This makes the use of ISP's
smarthosts semi-mandatory, whether one likes it or not. To try to
minimise the effect of blacklisting, preventing the sending of
viruses via post.demon.nl benefits most customers.
Ik ben niet gedwongen om post.demon.nl te gebruiken, maar heb een
abonnement bij demon en verwacht dat ik dat kan gebruiken en op een
'normale' manier.
Post by Jim Segrave
2) no anti-virus scanner is perfect and the test mail which started
this thread is an example of the limitations. Scanners use
signatures to recognise viruses - patterns of text which, when
seen, make the probability that the email in question is a virus
very high. The test mail contained one or more of the signature
strings used to recognise a particular virus.
Aanpassen dus of een andere gebruiken.
Post by Jim Segrave
3) We are currently running this on post.demon.nl for outbound
mail. The server will refuse to accept mail which triggers the
scanner. Any sensible mail client, and even some well known very
poor mail clients, will report delivery failures where the remote
SMTP server refuses to accept a mail. This is different than
accepting and silently discarding mail, it should never produce a
'black hole' effect.
Ok
Post by Jim Segrave
4) We probably will start running the same anti-virus softwaare on our
incoming mail servers - there are some issues, including informing
customers, which we need to be sure we have correct before doing
so. But the costs to Demon and to our customers of the current
trend of viruses, many of which leave back-doors to allow remote
use of machines for spamming, make this almost inevitable.
Niet doen dus met deze scanner, want dan krijg ik geen logs van
HijackThis meer binnen.
--
Gérard
***@somso.demon.nl
Jim Segrave
2004-08-01 23:29:25 UTC
Permalink
Post by GJ.Oomens
Post by Jim Segrave
Post by Jan Hoolwerf
Hello dIMITRI,
Post by dIMITRI
Post by djfox741
Dus het lijkt er aardig op dat er op uitgaande post word
gecontroleerd :-(
Dat klopt, maar waarom de :-( ?
Is dit ooit kenbaar gemaakt aan de klanten van Demon? Dat heb ik dan
gemist.
I can't speak for what we have or haven't said about it.
Daar begint het gezeur al weer. Dat wordt wel een gewoonte. Wellicht
moet het management eens orde op zaken stellen en zich niet verbergen
achter het niet geven van informatie en medewerkers verbieden informatie
te geven. Het wordt epidemisch, het demon virus.
I am part of the management of Demon. There is no policy forbidding
staff giving information, however, like any business, we have
agreements with our business partners and that sometimes does impose
restrictions on what can or can not be said.
Post by GJ.Oomens
Post by Jim Segrave
1) no-one is compelled to use post.demon.nl to send mail, although the
current trend with many ISPs is to only accept mail from servers
known to be ISP's smarthosts. This makes the use of ISP's
smarthosts semi-mandatory, whether one likes it or not. To try to
minimise the effect of blacklisting, preventing the sending of
viruses via post.demon.nl benefits most customers.
Ik ben niet gedwongen om post.demon.nl te gebruiken, maar heb een
abonnement bij demon en verwacht dat ik dat kan gebruiken en op een
'normale' manier.
One could argue that sending emails which trip virus scanners will
cause more than a few problems for the recipients. If they are in fact
viruses, then that's hardly what one would call a normal use of your
account. If they aren't viruses, then I wonder why they are
registering on more than a few virus scanners as being so.
Post by GJ.Oomens
Post by Jim Segrave
2) no anti-virus scanner is perfect and the test mail which started
this thread is an example of the limitations. Scanners use
signatures to recognise viruses - patterns of text which, when
seen, make the probability that the email in question is a virus
very high. The test mail contained one or more of the signature
strings used to recognise a particular virus.
Aanpassen dus of een andere gebruiken.
As noted by others, this particular signature is recognised by more
than a few scanners, not just the one we are using.
Post by GJ.Oomens
Post by Jim Segrave
3) We are currently running this on post.demon.nl for outbound
mail. The server will refuse to accept mail which triggers the
scanner. Any sensible mail client, and even some well known very
poor mail clients, will report delivery failures where the remote
SMTP server refuses to accept a mail. This is different than
accepting and silently discarding mail, it should never produce a
'black hole' effect.
Ok
Post by Jim Segrave
4) We probably will start running the same anti-virus softwaare on our
incoming mail servers - there are some issues, including informing
customers, which we need to be sure we have correct before doing
so. But the costs to Demon and to our customers of the current
trend of viruses, many of which leave back-doors to allow remote
use of machines for spamming, make this almost inevitable.
Niet doen dus met deze scanner, want dan krijg ik geen logs van
HijackThis meer binnen.
We are considering, inter-alia, an opt-out for those customers who are
convinced that they need an unscanned incoming mail feed. Since you
can't set your own MX records, you don't have options in the way you
do with outbound email to avoid using Demon's mail facilities.
--
--
Jim Segrave ***@jes-2.demon.nl
GJ.Oomens
2004-08-01 23:52:29 UTC
Permalink
Post by Jim Segrave
Post by GJ.Oomens
Post by Jim Segrave
I can't speak for what we have or haven't said about it.
Daar begint het gezeur al weer. Dat wordt wel een gewoonte. Wellicht
moet het management eens orde op zaken stellen en zich niet verbergen
achter het niet geven van informatie en medewerkers verbieden informatie
te geven. Het wordt epidemisch, het demon virus.
I am part of the management of Demon. There is no policy forbidding
staff giving information, however, like any business, we have
agreements with our business partners and that sometimes does impose
restrictions on what can or can not be said.
Demon besluit toch te scannen op virussen? Of iemand anders?
Post by Jim Segrave
Post by GJ.Oomens
Post by Jim Segrave
1) no-one is compelled to use post.demon.nl to send mail, although the
current trend with many ISPs is to only accept mail from servers
known to be ISP's smarthosts. This makes the use of ISP's
smarthosts semi-mandatory, whether one likes it or not. To try to
minimise the effect of blacklisting, preventing the sending of
viruses via post.demon.nl benefits most customers.
Ik ben niet gedwongen om post.demon.nl te gebruiken, maar heb een
abonnement bij demon en verwacht dat ik dat kan gebruiken en op een
'normale' manier.
One could argue that sending emails which trip virus scanners will
cause more than a few problems for the recipients. If they are in fact
viruses, then that's hardly what one would call a normal use of your
account. If they aren't viruses, then I wonder why they are
registering on more than a few virus scanners as being so.
Jij weet goed dat een tekstregel geen virus is. Dat die programmeurs hun
werk niet goed doen, daar kan ik weer niets aan doen.
Post by Jim Segrave
Post by GJ.Oomens
Post by Jim Segrave
2) no anti-virus scanner is perfect and the test mail which started
this thread is an example of the limitations. Scanners use
signatures to recognise viruses - patterns of text which, when
seen, make the probability that the email in question is a virus
very high. The test mail contained one or more of the signature
strings used to recognise a particular virus.
Aanpassen dus of een andere gebruiken.
As noted by others, this particular signature is recognised by more
than a few scanners, not just the one we are using.
Ja, omdat ze niet deugen.
Post by Jim Segrave
Post by GJ.Oomens
Post by Jim Segrave
4) We probably will start running the same anti-virus softwaare on our
incoming mail servers - there are some issues, including informing
customers, which we need to be sure we have correct before doing
so. But the costs to Demon and to our customers of the current
trend of viruses, many of which leave back-doors to allow remote
use of machines for spamming, make this almost inevitable.
Niet doen dus met deze scanner, want dan krijg ik geen logs van
HijackThis meer binnen.
We are considering, inter-alia, an opt-out for those customers who are
convinced that they need an unscanned incoming mail feed. Since you
can't set your own MX records, you don't have options in the way you
do with outbound email to avoid using Demon's mail facilities.
Ik heb blijkbaar beide nodig, uitgaand en inkomend. Bij deze dus het
verzoek mij uit te sluiten van die virusscan, zowel voor inkomende als
uitgaande mail.
--
Gérard
***@somso.demon.nl
J.F. van Baarlen
2004-08-02 07:50:21 UTC
Permalink
On Mon, 02 Aug 2004 01:52:29 +0200, "GJ.Oomens"
<***@somso.666.invalid> wrote:

<..>
Post by GJ.Oomens
Post by Jim Segrave
One could argue that sending emails which trip virus scanners will
cause more than a few problems for the recipients. If they are in fact
viruses, then that's hardly what one would call a normal use of your
account. If they aren't viruses, then I wonder why they are
registering on more than a few virus scanners as being so.
Jij weet goed dat een tekstregel geen virus is. Dat die programmeurs hun
werk niet goed doen, daar kan ik weer niets aan doen.
Het probleem is dat exact diezelfde tekstregel *ook* in de exploit
voorkomt. En aangezien deze scanner blijkbaar alle tekst bekijkt haalt
'ie 'm er dus uit.
Overigens pakt postfix+uvscan (McAfee) 'm ook, als ik een mailtje met
die string probeer te verzenden. Alleen krijg ik pas een melding
*nadat* het mailtje is aangepakt, net als bij veel andere
virusscannende mailers.
Ik vind Demon's oplossing keurig, je krijgt direct een foutmelding,
weet duidelijk waar je aan toe bent, en als op deze manier de
uitgaande mailservers van Demon schoon blijven is iedereen daar blij
mee. Of ben je de blacklist van, bijvoorbeeld, Planet vergeten waar
een paar dagen terug een thread over liep? Dat soort dingen voorkom je
zo dus.

Slightly offtopic - hoe krijg ik postfix+amavis+uvscan zo ver dat 'ie
virusmailtjes nog tijdens de smtp-fase afblaft? Want dat is een stuk
netter dan de standaard accept, catch, reply.

***@vanbaarlen.demon.nl
Jan van Aalderen
2004-08-03 01:38:52 UTC
Permalink
Post by J.F. van Baarlen
On Mon, 02 Aug 2004 01:52:29 +0200, "GJ.Oomens"
<..>
Post by GJ.Oomens
Post by Jim Segrave
One could argue that sending emails which trip virus scanners will
cause more than a few problems for the recipients. If they are in fact
viruses, then that's hardly what one would call a normal use of your
account. If they aren't viruses, then I wonder why they are
registering on more than a few virus scanners as being so.
Jij weet goed dat een tekstregel geen virus is. Dat die programmeurs hun
werk niet goed doen, daar kan ik weer niets aan doen.
Het probleem is dat exact diezelfde tekstregel *ook* in de exploit
voorkomt. En aangezien deze scanner blijkbaar alle tekst bekijkt haalt
'ie 'm er dus uit.
Dan wordt het versleutelen van email dus noodzaak, om te voorkomen dat
allerlei filters bij de eigen provider of die van de ontvanger het
aankomen van verzonden mail verhinderen. En dan maar hopen dat de
versleuteling niet toevallig resulteert in eoa obscure string die ook in
enigerlei malware voorkomt.

Sowieso heb ik, na het verhaal van Jim dat alles in en uitgaand
gefilterd zal gaan worden, mijn mailclient al ingesteld op mandatory
ontvangstbevestigingen van ISP en geadresseerden. Er wordt namelijk her
en der blijkbaar dermate veel email verstuurd die valselijk een adres
van mij als afzender bevat en door tussenkomst van filters resulteert in
niet-afleverberichten en andere autoreplies van providers, dat het niet
doenlijk meer is berichten van providers allemaal te openen om erachter
te komen waar ze over gaan. Hoewel het, dankzij het feit dat ik van
aanvang af mijn demonaccount zelf rigoreus filter, bij Demon nog aardig
meevalt.

Gevreesd moet echter worden, dat ISP's ook de standaardpraktijk gaan
aannemen om geen bevestigingen te accepteren of door te sturen. Zodat
daar door de gebruiker ook weer wat op moet worden gevonden, bv replies
genereren met variabele content, zodat de bevestigingblokkade niet meer
werkt. Enzovoort.
Post by J.F. van Baarlen
Overigens pakt postfix+uvscan (McAfee) 'm ook, als ik een mailtje met
die string probeer te verzenden. Alleen krijg ik pas een melding
*nadat* het mailtje is aangepakt, net als bij veel andere
virusscannende mailers.
Ik vind Demon's oplossing keurig, je krijgt direct een foutmelding,
weet duidelijk waar je aan toe bent, en als op deze manier de
uitgaande mailservers van Demon schoon blijven is iedereen daar blij
mee. Of ben je de blacklist van, bijvoorbeeld, Planet vergeten waar
een paar dagen terug een thread over liep? Dat soort dingen voorkom je
zo dus.
Het is helaas een onontkoombare ontwikkeling. Net zoiets als destijds
dubbele spaaksloten en aan de ketting leggen voor bromfietsen van
gewilde merken. Als ze nou maar eens een redelijk percentage van die
virusmakers konden vinden, was er met openbare geseling wellicht nog
enige preventie mogelijk. Maar helaas zijn lieden die een paar km te
hard rijden een lucratiever doelgroep voor de cluelozen bij Justitie.
--
Vriendelijke groet,
Jan van Aalderen, Amstelveen
*-------------------------------------------------------------*
Wie mijn raad volgt, doet zulks geheel op eigen risico!
Reactie op usenetpostjes svp in de groep. Email zal bouncen.
*-------------------------------------------------------------*
Jim Segrave
2004-08-04 00:23:38 UTC
Permalink
Post by Jan van Aalderen
Post by J.F. van Baarlen
On Mon, 02 Aug 2004 01:52:29 +0200, "GJ.Oomens"
<..>
Post by GJ.Oomens
Post by Jim Segrave
One could argue that sending emails which trip virus scanners will
cause more than a few problems for the recipients. If they are in fact
viruses, then that's hardly what one would call a normal use of your
account. If they aren't viruses, then I wonder why they are
registering on more than a few virus scanners as being so.
Jij weet goed dat een tekstregel geen virus is. Dat die programmeurs hun
werk niet goed doen, daar kan ik weer niets aan doen.
Het probleem is dat exact diezelfde tekstregel *ook* in de exploit
voorkomt. En aangezien deze scanner blijkbaar alle tekst bekijkt haalt
'ie 'm er dus uit.
Dan wordt het versleutelen van email dus noodzaak, om te voorkomen dat
allerlei filters bij de eigen provider of die van de ontvanger het
aankomen van verzonden mail verhinderen. En dan maar hopen dat de
versleuteling niet toevallig resulteert in eoa obscure string die ook in
enigerlei malware voorkomt.
Ask yourself how many emails have you sent in the past few months? How
many did Demon refuse to accept?

Having answered those two, you now have some idea of wheter or not you
need to use encryption on oubound mails. I think yu will find it
not-helpful
Post by Jan van Aalderen
Sowieso heb ik, na het verhaal van Jim dat alles in en uitgaand
gefilterd zal gaan worden, mijn mailclient al ingesteld op mandatory
ontvangstbevestigingen van ISP en geadresseerden. Er wordt namelijk her
en der blijkbaar dermate veel email verstuurd die valselijk een adres
van mij als afzender bevat en door tussenkomst van filters resulteert in
niet-afleverberichten en andere autoreplies van providers, dat het niet
doenlijk meer is berichten van providers allemaal te openen om erachter
te komen waar ze over gaan. Hoewel het, dankzij het feit dat ik van
aanvang af mijn demonaccount zelf rigoreus filter, bij Demon nog aardig
meevalt.
Gevreesd moet echter worden, dat ISP's ook de standaardpraktijk gaan
aannemen om geen bevestigingen te accepteren of door te sturen. Zodat
daar door de gebruiker ook weer wat op moet worden gevonden, bv replies
genereren met variabele content, zodat de bevestigingblokkade niet meer
werkt. Enzovoort.
Blocking bounce messages will cost ISPs far more in support time than
the costs in ensuring sufficient capacity to handle bounces.
--
--
Jim Segrave ***@jes-2.demon.nl
Jan van Aalderen
2004-08-07 03:14:45 UTC
Permalink
Post by Jim Segrave
Post by Jan van Aalderen
Post by J.F. van Baarlen
On Mon, 02 Aug 2004 01:52:29 +0200, "GJ.Oomens"
<..>
Post by GJ.Oomens
Post by Jim Segrave
One could argue that sending emails which trip virus scanners will
cause more than a few problems for the recipients. If they are in fact
viruses, then that's hardly what one would call a normal use of your
account. If they aren't viruses, then I wonder why they are
registering on more than a few virus scanners as being so.
Jij weet goed dat een tekstregel geen virus is. Dat die programmeurs hun
werk niet goed doen, daar kan ik weer niets aan doen.
Het probleem is dat exact diezelfde tekstregel *ook* in de exploit
voorkomt. En aangezien deze scanner blijkbaar alle tekst bekijkt haalt
'ie 'm er dus uit.
Dan wordt het versleutelen van email dus noodzaak, om te voorkomen dat
allerlei filters bij de eigen provider of die van de ontvanger het
aankomen van verzonden mail verhinderen. En dan maar hopen dat de
versleuteling niet toevallig resulteert in eoa obscure string die ook in
enigerlei malware voorkomt.
Ask yourself how many emails have you sent in the past few months? How
many did Demon refuse to accept?
Unfortunately, paste statistics cannot predict future changes. Is ISP'
start stopping outgoing mail on the basis of any filter's conclusions, I
can only protect my mail from not going out by making sure the filtering
process does not find anything it doesn't like.
Post by Jim Segrave
Having answered those two, you now have some idea of wheter or not you
need to use encryption on oubound mails. I think yu will find it
not-helpful
I don't. However, with al the statecontrol over private messages the
current batch of political scum in many EU-countries, NL not excluded,
would like to impose, encrypting doesn't seem such a bad idea as it used
to.
Post by Jim Segrave
Post by Jan van Aalderen
Sowieso heb ik, na het verhaal van Jim dat alles in en uitgaand
gefilterd zal gaan worden, mijn mailclient al ingesteld op mandatory
ontvangstbevestigingen van ISP en geadresseerden. Er wordt namelijk her
en der blijkbaar dermate veel email verstuurd die valselijk een adres
van mij als afzender bevat en door tussenkomst van filters resulteert in
niet-afleverberichten en andere autoreplies van providers, dat het niet
doenlijk meer is berichten van providers allemaal te openen om erachter
te komen waar ze over gaan. Hoewel het, dankzij het feit dat ik van
aanvang af mijn demonaccount zelf rigoreus filter, bij Demon nog aardig
meevalt.
Gevreesd moet echter worden, dat ISP's ook de standaardpraktijk gaan
aannemen om geen bevestigingen te accepteren of door te sturen. Zodat
daar door de gebruiker ook weer wat op moet worden gevonden, bv replies
genereren met variabele content, zodat de bevestigingblokkade niet meer
werkt. Enzovoort.
Blocking bounce messages will cost ISPs far more in support time than
the costs in ensuring sufficient capacity to handle bounces.
In my view, a receipt is something entirely different from a bounce. I
sometimes receive a reply, but not a receipt. If the receiver does not
block sending receipts (in some cases I know that for sure), that
indicates to me that receipts are not processed (Demon does process
them, I trust). I very rarely bounce msgs. Nowadyas I do so only
manually, t.i. in addition to a mark-deletion as set by MW whan I know
the sender is true and valid.
--
Vriendelijke groet,
Jan van Aalderen, Amstelveen
*-------------------------------------------------------------*
Wie mijn raad volgt, doet zulks geheel op eigen risico!
Reactie op usenetpostjes svp in de groep. Email zal bouncen.
*-------------------------------------------------------------*
Stanley Westerveld
2004-08-02 11:05:58 UTC
Permalink
Post by GJ.Oomens
Aanpassen dus of een andere gebruiken.
[knip]
Post by GJ.Oomens
Niet doen dus met deze scanner, want dan krijg ik geen logs van HijackThis
meer binnen.
Nogal kort door de bocht vind je niet?


Groet,
Stanley
--
"There is no spoon"

http://www.westlands.org
***@westlands.org
GJ.Oomens
2004-08-02 11:39:05 UTC
Permalink
Post by Stanley Westerveld
Post by GJ.Oomens
Aanpassen dus of een andere gebruiken.
[knip]
Post by GJ.Oomens
Niet doen dus met deze scanner, want dan krijg ik geen logs van
HijackThis meer binnen.
Nogal kort door de bocht vind je niet?
Inderdaad, net zo kort door de bocht als onaangekondigd beginnen met
scannen.
--
Gérard
***@somso.demon.nl
Stanley Westerveld
2004-08-02 12:11:32 UTC
Permalink
Post by Stanley Westerveld
Nogal kort door de bocht vind je niet?
Inderdaad, net zo kort door de bocht als onaangekondigd beginnen met scannen.
Oftewel de pot verwijt de ketel dat ie zwart ziet. Daar worden discussies
niet constructiever van. Je boodschap boet enorm aan kracht in door de
toon die je aanslaat.


Groet,
Stanley
--
"There is no spoon"

http://www.westlands.org
***@westlands.org
GJ.Oomens
2004-08-02 13:03:49 UTC
Permalink
Post by Stanley Westerveld
Post by Stanley Westerveld
Nogal kort door de bocht vind je niet?
Inderdaad, net zo kort door de bocht als onaangekondigd beginnen met scannen.
Oftewel de pot verwijt de ketel dat ie zwart ziet. Daar worden
discussies niet constructiever van. Je boodschap boet enorm aan kracht
in door de toon die je aanslaat.
Daar heb je wederom gelijk in, maar dat is nu niet meer te veranderen.
Of door deze erkenning, maar meestal is dat te laat.
--
Gérard
***@somso.demon.nl
Stanley Westerveld
2004-08-02 13:29:17 UTC
Permalink
Daar heb je wederom gelijk in, maar dat is nu niet meer te veranderen. Of
door deze erkenning, maar meestal is dat te laat.
Ik kan niet voor de groep demon.nl.support spreken, maar kan je wel
verzekeren dat men daar binnen Demon absoluut gevoelig voor is.


Groet,
Stanley
--
"There is no spoon"

http://www.westlands.org
***@westlands.org
fhh
2004-08-02 18:04:10 UTC
Permalink
Post by Jim Segrave
We currently run clam-av on all mail sent outwards via
post.demon.nl. Any mail seen as containing a virus is rejected during
the SMTP session where it first arrives at our servers, leaving the
sender to report the failure or generate a bounce message, as
appropriate. The scanner is continually updated, but we can never
guarantee that it will catch 100% of all virus mails.
Ik heb een niet representatieve test gedaan: 11 trojans werden niet herkend
door de virusscanner, 2 wel. Onderstaande trojans worden normaal gesproken
niet via e-mail verstuurd, maar ze zijn wel redelijk gevaarlijk (de trojans
installeren http proxies, socks proxies, keyloggers, meldden zich aan via
phone home URL's etc) .

De nomenclatuur is van Kaspersky.com.

Vandaag niet herkend door de virusscanner van Demon rond 19.30h - 19.45h:

Trojan.Win32.Navid.b
Content-Length: 12288

TrojanDownloader.Win32.Small.iv
Content-Length: 12288

Trojan.Win32.Navid.c
Content-Length: 53248

Trojan.Win32.Golid.c
Content-Length: 147456

TrojanProxy.Win32.Agent.ac
Content-Length: 13824

TrojanClicker.Win32.Kloper.a
Content-Length: 102490

TrojanClicker.Win32.Agent.d
Content-Length: 124797

TrojanClicker.Win32.Agent.d
Content-Length: 145453

TrojanDownloader.Win32.Small.kw
Content-Length: 12288

TrojanSpy.Win32.Tofger.at
Content-Length: 34304

TrojanSpy.Win32.Banker.bg
Content-Length: 18944


Alle 11 (eigenlijk 10) trojans werden niet herkend door de Demon
virusscanner rond 19.30h . De eerste 9 trojans zijn sinds begin mei 2004
bekend bij Kaspersky.com. De twee anderen zijn minimaal enkele weken
bekend.


Wel herkend door de Demon virusscanner rond 19.30h:

Backdoor.DSNX.04
Trojan.Win32.Genme.b
--
feike
fhh
2004-08-02 18:13:07 UTC
Permalink
Post by fhh
Alle 11 (eigenlijk 10) trojans werden niet herkend door de Demon
virusscanner rond 19.30h . De eerste 9 trojans zijn sinds begin mei 2004
bekend bij Kaspersky.com. De twee anderen zijn minimaal enkele weken
bekend.
Overigens heb ik geen zakelijke belangen bij Kaspersky.com :) . Ik vind
Kaspersky wel sympathiek en heb goede ervaringen bij het melden van
"nieuwe" trojans bij dit bedrijf. Vaak krijg ik een reactie terug binnen
enkele uren.
--
feike
Bouler
2004-08-02 23:20:41 UTC
Permalink
Post by fhh
Post by fhh
Alle 11 (eigenlijk 10) trojans werden niet herkend door de Demon
virusscanner rond 19.30h . De eerste 9 trojans zijn sinds begin mei 2004
bekend bij Kaspersky.com. De twee anderen zijn minimaal enkele weken
bekend.
Overigens heb ik geen zakelijke belangen bij Kaspersky.com :) . Ik vind
Kaspersky wel sympathiek en heb goede ervaringen bij het melden van
"nieuwe" trojans bij dit bedrijf. Vaak krijg ik een reactie terug binnen
enkele uren.
Kaspersky is een scanner die meer trojans herkent dan de meeste andere
scanners.
Mijn combinatie met KAV en Sophos is dan ook al jaren een betrouwbare
combinatie op mijn PC :-)
--
Groeten
Bouler
fhh
2004-08-03 18:58:14 UTC
Permalink
Post by Bouler
Post by fhh
Overigens heb ik geen zakelijke belangen bij Kaspersky.com :) . Ik vind
Kaspersky wel sympathiek en heb goede ervaringen bij het melden van
"nieuwe" trojans bij dit bedrijf. Vaak krijg ik een reactie terug binnen
enkele uren.
Kaspersky is een scanner die meer trojans herkent dan de meeste andere
scanners.
Mijn combinatie met KAV en Sophos is dan ook al jaren een betrouwbare
combinatie op mijn PC :-)
Gisteravond nog een "nieuwe" trojan gemeld bij Kaspersky. Krijg ik om 6.30h
een mailtje terug....trojan is geanalyseerd en toegevoegd aan de database.

Die lui daar in Rusland werken heel hard volgens mij.
--
feike
Bouler
2004-08-03 23:57:51 UTC
Permalink
Post by fhh
Post by Bouler
Kaspersky is een scanner die meer trojans herkent dan de meeste andere
scanners.
Mijn combinatie met KAV en Sophos is dan ook al jaren een betrouwbare
combinatie op mijn PC :-)
Gisteravond nog een "nieuwe" trojan gemeld bij Kaspersky. Krijg ik om 6.30h
een mailtje terug....trojan is geanalyseerd en toegevoegd aan de database.
Die lui daar in Rusland werken heel hard volgens mij.
Waarschijnlijk meer dan 40 uur per week :-)))
Ik heb gemakkelijk praten, ik ben al met pensioen.
--
Groeten
Bouler
Aart
2004-08-02 07:23:52 UTC
Permalink
Post by dIMITRI
Post by djfox741
Dus het lijkt er aardig op dat er op uitgaande post word gecontroleerd :-(
Dat klopt, maar waarom de :-( ?
Omdat virussen en andere mailtjes met bijlages van afzenders die ik
niet ken, door Mailwasher ge-bounced en ge-delete worden......

maar.... ik krijg alles dus weer even hard terug !

Aart
Brengsek!
2004-08-02 07:33:47 UTC
Permalink
Post by Aart
ge-bounced
Zinloos. Die from: of reply-to: header is meestal vals.
--
Boldly going forward, 'cause we can't find reverse
J.F. van Baarlen
2004-08-02 07:52:41 UTC
Permalink
Post by Aart
Post by dIMITRI
Post by djfox741
Dus het lijkt er aardig op dat er op uitgaande post word gecontroleerd :-(
Dat klopt, maar waarom de :-( ?
Omdat virussen en andere mailtjes met bijlages van afzenders die ik
niet ken, door Mailwasher ge-bounced en ge-delete worden......
maar.... ik krijg alles dus weer even hard terug !
TERECHT! Dan zie je misschien eens wat voor bagger je naar buiten
stuurt. Ooit aan gedacht dat het compleet bouncen van virussen ook kan
worden opgevat als het versturen van virussen, waardoor je mailservers
geblacklist worden? Nog even afgezien van het feit dat het totaal
zinloos is, 99% van de virussen faked z'n afzender, dus je stuurt ze
niet terug, je stuurt ze door naar een volgend potentieel slachtoffer.

***@vanbaarlen.demon.nl
Math
2004-08-02 07:52:30 UTC
Permalink
Post by Aart
Omdat virussen en andere mailtjes met bijlages van afzenders die ik
niet ken, door Mailwasher ge-bounced
Zinllos ... je bent met zo erg als de 'afzenders' zelf

Math
--
Julian Sas for president http://www.juliansas.com
14 augustus Buitenpodium Veerstoep aan de IJssel Dieren 17 uur

Vervang bij 'n reply NOSPAM in het e-mailadres door malemy
Loading...