Hoi iedereen,
Een paar dagen geleden ben ik geinfecteerd geraakt met een voor mij tot nog toe onbekend virus of trojan. Begin deze week vloog mijn Internetverbinding eruit, althans, dat dacht ik, maar het bleek uiteindelijk XS4ALL (Abuse) te zijn die mijn verbinding beperkt had. Dat is nu nog steeds zo trouwens, ik zit nu via de proxy te internetten maargoed dat maakt niet uit, tenminste, eigenlijk wel
Nu heb ik van de week toevallig een nieuwe pc gekocht en deze is nu half ingericht (zit er momenteel deze posting mee te doen, lol). Anyway, ik heb dat ook aan XS4ALL Abuse gemeld dat ik over ben gegaan op een nieuwe machine en dat ik hier geen trojan en of virus kon vinden maar dat het mijns inziens zo ook wel opgelost was.
Affijn aangezien ik druk bezig was met installeren en overpompen was van data heb ik niet in de gaten gehad dat XS4ALL -de veilige internet modus- er weer afgehaald had totdat een ander familielid verbaasd aangaf dat het Internet weer werkte zonder proxy maar dat het nog wel erg traag was.
Dat -traag- doet bij mij een alarmbelletje rinkelen want we hebben hier 2240/416 wat niet bepaald traag hoort te zijn
. Affijn ik gekeken op de HUB hier waar die activiteit vandaan kwam, bleek het toch van mijn -oude- pc te komen die ook nog aan het ADSL modem zat. Direct gekeken wat verantwoordelijk was voor die overmatige activiteit en kreeg meteen een waslijst van hier tot tokio aan XS4ALL ip nummers voor me neus in de 82.94.xxx.xxx reeks. M'n machientje was dus al druk bezig met port scannen (zit zelf op 82.92.xxx.xxx)... Dit doet ie dus alleen als er een Internet verbinding is! Ik heb een ADSL router ertussen zitten waardoor die in theorie geen opdrachten van buiten kan krijgen dus het is mij nog even een raadsel waarom ik geen vreemde dingen in mijn [dosbox] netstat -a kan ontdekken als XS4ALL er een filter overheen gooit over de lijn.
Goed tot zover niets vreemds zou je denken, niet opgelet, geinfecteerd geraakt ... Klote. Maarrrr... Nu heb ik er tig virusscanners en trojan + spyware programma's op los gelaten maar ze vinden allemaal NIETS. En ja, met actuele virus/trojan databases. Nu heeft Kaspersky Labs een online virusscan geval, waarmee je een bestand kunt opsturen naar hun server voor onderzoek.
Aangezien ik wist waar het vandaan, het is een service namelijk (let op de taalafwijking, ik heb XP NL);
ging ik op zoek naar dat bestand, namelijk upnp.exe. Maar, ik dacht dat ik gek was en verkeerd keek, maar dat bestand bestaat dus niet, op me hele harddisk niet. Zou je zeggen van, ja je kijkt niet goed maar het is echt zo
. en toch, kan ik die service starten en stoppen 
...
Tenminste, ik moet em keihard stoppen door em te killen in de process list, waar overigens ook upnp.exe staat vermeld. Note; in bovenstaand screenshot staat wel upnp.dll, dit lijkt wel een gewoon Microsoft bestand die niet bewerkt is.
Dus, maar het gekke is, is dat in me registry voor die service image path e:\windows\system32\upnp.exe benoemd wordt en dat die service gewoon start en stopt (tenminste, stoppen op een ruige manier).
En nu nog even voor de slimmerds onder ons, ja ik weet dat er een Universal Plug en Play service is, die heb ik ook wel, maar die heet anders. De maker is slim bezig geweest en heeft de hele service gelijkend genoemd inclusief mooie omschrijvingen enzo.
Ik heb het vergeleken met me nieuwe systeem die nog netjes fris is en daar staat die service dus niet bij terwijl het dezelfde Windows XP setup CD is
Ik ga even screenshots maken om beeld bij dit verhaal te krijgen (edit: inmiddels gedaan), want er zullen wel weer een stel ongelovigen aanwezig zijn in de zaal hier. Ik had natuurlijk ook de service gestopt kunnen laten, al me data van de oude machine af kunnen halen, formatteren en klaar... Maar dan weet ik nog niet wat het geweest is en dat is niet leuk natuurlijk
Met Google kan ik niets vinden over dit fenomeen in ieder geval. Schiet mij maar lek
(en dat zeg ik niet snel).
edit: Hmm wacht eens even, dat bestand upnp.exe kan ook aangemaakt worden door iets anders en automatisch weer gewist worden zodra het in het geheugen geladen wordt
... Tijd voor wat file recovery proggies 
... -> ook niet, ik word gek
Een paar dagen geleden ben ik geinfecteerd geraakt met een voor mij tot nog toe onbekend virus of trojan. Begin deze week vloog mijn Internetverbinding eruit, althans, dat dacht ik, maar het bleek uiteindelijk XS4ALL (Abuse) te zijn die mijn verbinding beperkt had. Dat is nu nog steeds zo trouwens, ik zit nu via de proxy te internetten maargoed dat maakt niet uit, tenminste, eigenlijk wel
Nu heb ik van de week toevallig een nieuwe pc gekocht en deze is nu half ingericht (zit er momenteel deze posting mee te doen, lol). Anyway, ik heb dat ook aan XS4ALL Abuse gemeld dat ik over ben gegaan op een nieuwe machine en dat ik hier geen trojan en of virus kon vinden maar dat het mijns inziens zo ook wel opgelost was.
Affijn aangezien ik druk bezig was met installeren en overpompen was van data heb ik niet in de gaten gehad dat XS4ALL -de veilige internet modus- er weer afgehaald had totdat een ander familielid verbaasd aangaf dat het Internet weer werkte zonder proxy maar dat het nog wel erg traag was.
Dat -traag- doet bij mij een alarmbelletje rinkelen want we hebben hier 2240/416 wat niet bepaald traag hoort te zijn
. Affijn ik gekeken op de HUB hier waar die activiteit vandaan kwam, bleek het toch van mijn -oude- pc te komen die ook nog aan het ADSL modem zat. Direct gekeken wat verantwoordelijk was voor die overmatige activiteit en kreeg meteen een waslijst van hier tot tokio aan XS4ALL ip nummers voor me neus in de 82.94.xxx.xxx reeks. M'n machientje was dus al druk bezig met port scannen (zit zelf op 82.92.xxx.xxx)... Dit doet ie dus alleen als er een Internet verbinding is! Ik heb een ADSL router ertussen zitten waardoor die in theorie geen opdrachten van buiten kan krijgen dus het is mij nog even een raadsel waarom ik geen vreemde dingen in mijn [dosbox] netstat -a kan ontdekken als XS4ALL er een filter overheen gooit over de lijn.Goed tot zover niets vreemds zou je denken, niet opgelet, geinfecteerd geraakt ... Klote. Maarrrr... Nu heb ik er tig virusscanners en trojan + spyware programma's op los gelaten maar ze vinden allemaal NIETS. En ja, met actuele virus/trojan databases. Nu heeft Kaspersky Labs een online virusscan geval, waarmee je een bestand kunt opsturen naar hun server voor onderzoek.
Aangezien ik wist waar het vandaan, het is een service namelijk (let op de taalafwijking, ik heb XP NL);
ging ik op zoek naar dat bestand, namelijk upnp.exe. Maar, ik dacht dat ik gek was en verkeerd keek, maar dat bestand bestaat dus niet, op me hele harddisk niet. Zou je zeggen van, ja je kijkt niet goed maar het is echt zo
. en toch, kan ik die service starten en stoppen ...Tenminste, ik moet em keihard stoppen door em te killen in de process list, waar overigens ook upnp.exe staat vermeld. Note; in bovenstaand screenshot staat wel upnp.dll, dit lijkt wel een gewoon Microsoft bestand die niet bewerkt is.
Dus, maar het gekke is, is dat in me registry voor die service image path e:\windows\system32\upnp.exe benoemd wordt en dat die service gewoon start en stopt (tenminste, stoppen op een ruige manier).
En nu nog even voor de slimmerds onder ons, ja ik weet dat er een Universal Plug en Play service is, die heb ik ook wel, maar die heet anders. De maker is slim bezig geweest en heeft de hele service gelijkend genoemd inclusief mooie omschrijvingen enzo.
Ik heb het vergeleken met me nieuwe systeem die nog netjes fris is en daar staat die service dus niet bij terwijl het dezelfde Windows XP setup CD is
Ik ga even screenshots maken om beeld bij dit verhaal te krijgen (edit: inmiddels gedaan), want er zullen wel weer een stel ongelovigen aanwezig zijn in de zaal hier. Ik had natuurlijk ook de service gestopt kunnen laten, al me data van de oude machine af kunnen halen, formatteren en klaar... Maar dan weet ik nog niet wat het geweest is en dat is niet leuk natuurlijk
Met Google kan ik niets vinden over dit fenomeen in ieder geval. Schiet mij maar lek
(en dat zeg ik niet snel).edit: Hmm wacht eens even, dat bestand upnp.exe kan ook aangemaakt worden door iets anders en automatisch weer gewist worden zodra het in het geheugen geladen wordt
... Tijd voor wat file recovery proggies ... -> ook niet, ik word gek
[ Voor 32% gewijzigd door nl2dav op 04-02-2006 02:25 ]
:strip_icc():strip_exif()/u/3983/bird.jpg?f=community)
/u/19825/odie4.png?f=community)
:strip_icc():strip_exif()/u/1158/twister-icon-nw.jpg?f=community){kind=icon}
:strip_icc():strip_exif()/u/58498/crop639191f4db17e.jpg?f=community)
:strip_icc():strip_exif()/u/33957/GoT.jpg?f=community)
