Toon posts:

Ongewenst dataverkeer; poorten van 1035 worden gescand (?)

Pagina: 1
Acties:
  • 181 views sinds 30-01-2008
  • Reageer

zondag 6 februari 2005 15:18

Acties:
  • Pancake
  • Registratie: Februari 2002
  • Laatst online: 07-12-2021

Pancake

Topicstarter
WinXPPro_NL incl. SP1 en alle updates (Sp2 nog niet geïnstalleerd), ZoneAlarm en Norton AV.

Sinds gisteren heb ik bij een openstaande internetverbinding een geregelde up- en download die ik niet thuis kan brengen. Ik heb de volgende stappen doorlopen om te kijken wat ik kon vinden:
  1. Volledige scan van alle harde schijven;
  2. ZoneAlarm nagekeken op ongewenste programma's;
  3. HijackThis gedraaid en logfile online gecheckt via www.hijackthis.de (log is bijgevoegd);
  4. Hitman Pro gedownd en laten draaien;
  5. AntiSpy.info 1.6c gedownd en laten draaien;
  6. TCPView gedownd en laten draaien (log is bijgevoegd)
Resultaten:
  1. Norton AV geeft geen virusmelding;
  2. ZoneAlarm laat geen ongewenste programma's door;
  3. HijackThis (Ik heb de log door de online checker op www.hijackthis.de gehaald en alles wat maar enigzins griezelig was eruit gegooid. Desondanks heb ik de log toch bijgevoegd);
  4. Hitman Pro geeft geen onregelatigheden;
  5. AntiSpy.info vindt IadHide van Backweb (heb ik verwijderd)
  6. TCPView (zie de log). Er is in ieder geval een proces "svchost.exe 636" dat vanaf poort 1035 stuk voor stuk alle poorten (1 per 10 seconden) afloopt. Verder vind ik dat IP-adres (213.199.156.30) zéér verdacht.
Nadat ik alle "foute" zaken volgens HijackThis en AntiSpy.info heb verwijderd, heb ik mijn stappenplan nogmaals doorlopen. Er worden nu geen onregelmatigheden meer aangetroffen, alleen blijft het proces "svchost.exe 636" vanaf poort 1035 alles nalopen.

Tot slot even de logs van HijackThis en TCPView:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53

Logfile of HijackThis v1.97.7
Scan saved at 14:54:27, on 6-2-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\ZONEAL~1\zlclient.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
D:\Utilities\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Program Files\AutoCAD 2002\AcDcToday.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Program Files\AutoCAD 2002\AcPreview.ocx

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

CCAPP.EXE:792   TCP  HOBBYKAMER:1027         HOBBYKAMER:0         LISTENING   
lsass.exe:444   UDP  HOBBYKAMER:isakmp       *:*      
svchost.exe:612 TCP  HOBBYKAMER:epmap        HOBBYKAMER:0         LISTENING   
svchost.exe:636 TCP  HOBBYKAMER:1025         HOBBYKAMER:0         LISTENING   
svchost.exe:636 UDP  HOBBYKAMER:ntp          *:*      
svchost.exe:636 UDP  HOBBYKAMER:ntp          *:*      
svchost.exe:636 TCP  HOBBYKAMER:1035         HOBBYKAMER:0         LISTENING   
svchost.exe:636 TCP  HOBBYKAMER:1035         213.199.156.30:http  ESTABLISHED   
svchost.exe:636 UDP  HOBBYKAMER:1034         *:*      
svchost.exe:748 UDP  HOBBYKAMER:1030         *:*      
svchost.exe:776 TCP  HOBBYKAMER:5000         HOBBYKAMER:0         LISTENING   
svchost.exe:776 UDP  HOBBYKAMER:1900         *:*      
svchost.exe:776 UDP  HOBBYKAMER:1900         *:*      
System:4        TCP  HOBBYKAMER:microsoft-ds HOBBYKAMER:0         LISTENING   
System:4        TCP  HOBBYKAMER:1026         HOBBYKAMER:0         LISTENING   
System:4        UDP  HOBBYKAMER:microsoft-ds *:*      
System:4        TCP  HOBBYKAMER:netbios-ssn  HOBBYKAMER:0         LISTENING   
System:4        UDP  HOBBYKAMER:netbios-ns   *:*      
System:4        UDP  HOBBYKAMER:netbios-dgm  *:*

Ik durf gewoon niet al te lang te surfen, omdat ik bang ben dat dat scannende proces straks écht iets open gaat zetten. Mogelijk heb ik al wat langer last van dit probleem, want ik ben vrijdag en zaterdag bezig geweest om mijn computer van verdacht veel spy- en adware te ontdoen. Welke vervolgstappen raden jullie mij aan?

**edit**
Als ik een whois doe op dat bewuste IP-adres (213.199.156.30) krijg ik het volgende te zien:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47

inetnum:      213.199.144.0 - 213.199.159.255
netname:      MSFT-IDC
descr:        Microsoft London Internet Data Center
descr:        Distribution of Microsoft content
descr:        London
country:      GB
admin-c:      BR329-ARIN
tech-c:       JMS95-RIPE
status:       ASSIGNED PA 
mnt-by:       RIPE-NCC-LOCKED-MNT
remarks:      Maintainer RIPE-NCC-NONE-MNT removed and object
remarks:      LOCKED by the RIPE NCC due to
remarks:      deprecation of the NONE authentication scheme.
remarks:      Please visit the following URL to unlock this object
remarks:      http://www.ripe.net/db/none-deprecation-042004.html
changed:      judithsh@microsoft.com 20010419
changed:      ripe-dbm@ripe.net 20040429
source:       RIPE
route:        213.199.144.0/20
descr:        Microsoft European IDCs
origin:       AS8068
notify:       peering@microsoft.com
mnt-by:       MICROSOFT-MAINT
changed:      cnielsen@microsoft.com 20020419
source:       RIPE
person:       Bharat Ranjan
address:      Microsoft Limited
address:      10 Great Pulteney Street
address:      London, W1F 9NB
address:      UK
phone:        +44 7703 405 100
fax-no:       +1 (425) 936 7329
nic-hdl:      BR329-ARIN
changed:      bharatr@microsoft.com 20020516
source:       RIPE
person:       Judith Shenk
address:      Microsoft Corporation
address:      One Microsoft Way
address:      Redmond, WA
address:      USA
phone:        +1 425-703-7384
fax-no:       +1 425-936-7329
e-mail:       judithsh@microsoft.com
nic-hdl:      JMS95-RIPE
notify:       judithsh@microsoft.com
changed:      judithsh@microsoft.com 20000411
source:       RIPE


Worden de poorten van mijn computer gescand door Microsoft?

[ Voor 13% gewijzigd door Pancake op 06-02-2005 20:34 ]

Computers zijn pas leuk als ze het _niet_ doen...

zondag 6 februari 2005 20:27

Acties:
  • hessel
  • Registratie: Januari 2000
  • Laatst online: 05-11-2024

hessel

Scan het bestand svchost.exe (mogelijk meerdere versie's aanwezig) eens op http://virusscan.jotti.org Ben bang dat je een virus op je pc hebt.

Maar instaleer eerst eens een virus scannner

(reacktie van www.hijackthis.de)
It seems that you don't use an anti-virus scanner or your scanner is not active. Only an anti-virus scanner can protect you against new viruses. You can look here for a good anti-virus scanner.
No active firewall was found on your system or the firewall you use is unknown to us. If you donŽt use a firewall you should download and install one or activate windows xpŽs own one. In case you got questions or you want us to add the firewall you use to our database, contact us at our forum www.hijackthis.de/forum

[ Voor 6% gewijzigd door hessel op 06-02-2005 20:27 ]

Grutte Pier fansels

zondag 6 februari 2005 20:49

Acties:
  • Pancake
  • Registratie: Februari 2002
  • Laatst online: 07-12-2021

Pancake

Topicstarter
Lees ook even het resultaat van een Whois-scan in de startpost.

Ik krijg op www.hijackthis.de overigens heel andere resultaten! Ik zie nergens dat ik geen virusscanner zou draaien (Ik heb Norton AV met virusdefinities van 3 feb. 2005; zie ook HijackThis-log, regels 16 en 17) en ik zie ook nergens dat ik geen firewall zou hebben (ik heb ZoneAlarm, weliswaar 4.5.530.000, maar toch).

svchost.exe (is alleen aanwezig in windows\system32) gecheckt via virusscan.jotti.org en is ook schoon. Verder is er nog een svchost.exe-3530F672.pf in windows\prefetch, maar die is volgens jotti ook schoon.

Zojuist nog ontdekt dat ik het proces van/naar het IP-adres 213.199.156.30 gewoon af kan sluiten in TCPView en dan ben ik van alle ellende af, dus daarin ligt waarschijnlijk de oplossing voor mijn probleem. Maar dat neemt niet weg dat die "fenomeen" zomaar (?) een keer begonnen is....

[ Voor 4% gewijzigd door Pancake op 06-02-2005 20:50 ]

Computers zijn pas leuk als ze het _niet_ doen...

zondag 6 februari 2005 20:49

Acties:

Verwijderd

De site hijackthis.de zou ik niet echt voor 100% vertrouwen hoor...
Als je de backups nog hebt van Hijackthis, zet ze dan even terug, want het fixen in Hijackthis alleen is niet genoeg. Ook de bijhorende files dienen verwijderd te worden.
Je hebt ook een verouderde versie van HijackThis. Ondertussen zitten we al aan versie 1.99.
Deze versie kan je vinden op http://www.spywareinfo.com/~merijn/files/hijackthis.zip

grtz,

Beamerke

zondag 6 februari 2005 21:02

Acties:
  • Pancake
  • Registratie: Februari 2002
  • Laatst online: 07-12-2021

Pancake

Topicstarter
|:( |:( |:( Bij deze de zojuist gedraaide log van HijackThis 1.99
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\ZONEAL~1\zlclient.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\!Nieuwe software\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\!Nieuwe software\Tcpview.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Program Files\AutoCAD 2002\AcDcToday.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Program Files\AutoCAD 2002\AcPreview.ocx
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Ook de backups van HijackThis heb ik zojuist verwijderd. |:( |:( |:(
Ik had uiteraard eerst de files weg moeten gooien..... :/

Alleen.... is het niet zo dat HijackThis meteen de files wegknikkert bij het fixen?

[ Voor 4% gewijzigd door Pancake op 06-02-2005 21:05 ]

Computers zijn pas leuk als ze het _niet_ doen...

maandag 7 februari 2005 08:15

Acties:

Verwijderd

HijackTHis verwijdert slechts enkele files. Als het alle files zou verwijderen die aangeduid worden, dan zou er nu een groot deel van je programma's niet meer werken ;)
In de log die je geplaatst hebt, is juist geteld 1 regel aanwezig die er niet thuis hoort:

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank

Deze mag je laten fixen door HijackThis.

Het i.p. adres dat je aangaf (213.199.156.30) is van microsoft.
Je zei dat je SP1 hebt geïnstalleerd, maar daar is in je 1e log niets van te zien. In je tweede ook niet, maar dat komt omdat je de bovenste regels niet mee gekopieerd hebt.


Verder is er echt niets verkeerd te merken aan je log.

Voor meer info ivm HijackThis en/of spyware, kan je altijd eens een kijkje gaan nemen op:

www.bluemedicine.be
http://users.telenet.be/marcvn/spyware
http://spyware.edot.be/
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq