Probleem met Skynet, Speed Touch USB modem op WinXP.

Probeer eens een andere firewall bijvoorbeeld het gratis Zone Alarm. Dan zie je in ieder geval als er ongewenste programma's naar buiten gaan en kun je ze blokkeren.

Probeer ook eens een spyware scan met de trial versie van Spy Sweeper ( www.webroot.com ). Spy Sweeper is een goede aanvulling op Ad Aware. Of probeer eens de Microsoft Anti SPyware Beta die is ook erg goed.

Zijn je Windows Updates bij? Heb je SP 2 al?

Verwijderd schreef op zaterdag 19 februari 2005 @ 22:27:
Bedankt voor de suggesties, maar het probleem blijft.

Service Pack 2 had ik al, Microsoft's anti-spam tool ook.

Ik heb dus Zone Alarm geïnstalleerd, geüpdated, virus scan gelopen.
Dat gaf/geeft als resultaat
- een aantal pogingen om mijn ports te scannen (port 11970, 445, 135, 3306, 15893...)
- "smsse.exe" dat naar internet wou. Dat heb ik gedeleted, maar dat hielp niks (nu komt hij bij startup wel altijd naar smsse.exe vragen, maar soit).
Voor de rest niks : geen virus, geen lopende programma's, niks.

Spysweeper heb ik ook geïnstalleerd en geüpdated.
Dat gaf als resultaat
- "winmep.exe" dat zich in startup wil wringen, wat geweigerd wordt.
Voor de rest niks.

Op het moment dat ik WoW opstart gebeurd er niets eigenaardigs : de eerste keer moest ik ZoneAlarm zeggen dat hij WoW.exe mocht doorlaten, maar het resultaat was hetzelfefde...

Andere suggesties ?

Waar horen winmep en WoW bij? Die namen zeggen mij niets.

Verwijderd schreef op zondag 20 februari 2005 @ 10:52:
WoW.Exe is de naam van het spel dat ik wil spelen.
Winmep.exe kende ik ook iet, ik heb gedeleted. Het probleem blijft.

Hier is eens alles stap voor stap wat er gebeurt :
1. Reboot PC.
2. Waarschuwing dat hij smsse niet vindt.

Ik heb op mijn XP SP 2 computer niet zo'n bestand staan. Misschien een registersleutel in de run secties van iets wat niet volledige verwijderd is ( kan eventueel een spyware rest zijn).

3. Waarschuwing Zonealarm : trial version.

Wat voor waarschuwing?

4. Waarschuwing Zonealarm : "Generic Host Process for Win32 Services" trying to act as a server.
5. Volledige scan Spysweeper : nothing found.

6. Volledige scan ZoneAlarm : nothing found.

Wat voor een scan is dit?

7. Ik connecteer naar internet.

8. Waarschuwing Zonealarm : "Generic Host Process for Win32 Services" trying to acces the internet". IP : 239.255.255.250. Dat allow ik.

Dat is ok. Het betreft een gereserveerd deel van de internet IP adressen. Wordt in de regel niet gebruikt en kan gebruikt worden voor Broadcast. Generic Host luistert hier naar.

9. Waarschuwing Zonealarm : "Generic Host Process for Win32 Services" trying to acces the internet". IP : 195.239.2.22:DNS. Dat allow ik.

Dit vind ik op zijn minst een beetje raar. De Generic Host wil contact maken met een Russische server.Hier zijn wat data:
IP Owner Teleross NOC
Net ragnes 195.239.2.0-195.239.2.255
Host name: ts32-b22.Moscow.dial.rol.ru

Hier wat uitgebreider:
inetnum: 195.239.2.0 - 195.239.2.255
netname: STNET3-MDUL-2
descr: Golden Telecom
descr: Moscow, Russia
descr: Dialup block
country: RU
admin-c: TELE1-RIPE
tech-c: TELE1-RIPE
status: ASSIGNED PA
notify: noc@sovam.com
mnt-by: AS3216-MNT
remarks: Please send abuse notifications to abuse@rol.ru
changed: iga@sovam.com 20040302
source: RIPE

route: 195.239.0.0/16
descr: Sovam Teleport allocated block
origin: AS3216
notify: noc@sovam.com
mnt-by: AS3216-MNT
changed: iga@sovam.com 19971215
source: RIPE

role: Teleross NOC
address: Krasnokazarmennaja, 12
address: Moscow, Russia
phone: +7 095 7871001
fax-no: +7 095 7871010
e-mail: noc@sovam.com
notify: noc@sovam.com
admin-c: IS13
tech-c: IS13
tech-c: DBF3-RIPE
tech-c: MAK18-RIPE
nic-hdl: TELE1-RIPE
mnt-by: AS3216-MNT
remarks: formely Sovam Teleport NOC
changed: konor@sovam.com 20030122
source: RIPE

10. Ik start WoW.exe
11. Waarschuwing Zonealarm : "World of Warcraft" trying to acces the internet". Destination 127.0.0.1:Port 40041. Dat allow ik.
12. Ik connecteer met de WoW serveer, verbinding werkt perfect voor 30 seconden, verbinding verbreekt en ik moet rebooten om terug acces te krijgen tot internet.

Ik ken er allemaal niks van maar punt 4 en 8 lijken me eigenaardig.
Punt 4 : moet die Generic Host een server draaien ? Als ik het deny werkt mijn internet verbinding niet, dus allow ik het, maar toch, is dat echt nodig ?
Punt 8 : moet die naar 239.255.255.250 ? Dat is een amerikaans IP adres, moet ik niet naar een server van Skynet voor mijn connectie ? Als ik dit deny dan werkt de verbinding ook niet.

Punt 9 lijkt me oké : dat is een Rotterdamse DNS server, neen ?

Hoe kom je erbij dat het een Rotterdamse DNS server is. Hoe heb je dat uitgezocht? Ik vind namelijk een Russische site.

Oh en als ik de verbinding zelf verbreek na punt 9 en opnieuw verbind, dan doet hij 8 en 9 niet meer.

Misschien zit het probleem in punt 4, I don't know.

Ik zou zeggen blokkeer het verkeer naar die Russische server eens en kijk eens wat het doet. Weet jij trouwens wat de DNS adressen zijn van Skynet. Ik heb de site van Skynet eens bekeken maar daar kan ik het zosnel niet vinden.

Zijn er misschien meer recente drivers voor je modem te vinden? http://www.speedtouch.com/support.htm . Wellicht dat de Skynet site je ook nog info hierover kan geven.

Dat was het even voor nu.

Verwijderd schreef op zondag 20 februari 2005 @ 20:29:
Die smsse.exe ken ik ook niet, geen idee wat dat is of waar het vandaan komt of hoe het opgestart wil worden. Ik vind het niet in de regestry, autoexec.bat of *.sys consoorten.

Die waarschuwing van Zone Alert is gewoon om te zeggen dat ik een trial version van Zone Alert heb, da's alles. Ik heb hem enkel toegevoegd om volledig te zeijn.

En de Zone alert scan was de volledige anti-virus scan met geüpdate definities.

Die Russische IP was een typefoutje van mij : het is 195.238.2.22, sorry ! En -waarschijnlijk vééééél erger- het is een Amsterdamse DNS-server, géén Rotterdamse !

Skynet's DNS servers zijn 195.238.2.22 en 195.238.2.21, het lijkt me dus normaal dat hij naar Amsterdam gaat.

Ik heb inderdaad de laatste nieuwe drivers van alles : modem, moederbord, de hele reutemeteut !

Ik zat de draad nog eens te lezen en heb een paar vragen. Als je Winmep wist komt het dan kort na het wissen terug of na de eerstvolgende reboot? Een deel van de spyware is namellijk beschermd tegen wissen.

Verder vind ik het op zijn minst wazig dat je de startsleutelvan de smsse file niet in je register terugvindt.

Maar goed. Ik ben wel benieuwd naar een Hijack THis log van je systeem. Dat helpt ons wellicht verder.

Download eebns Dr. Speedtouch van hiero. Hij staat op een Windows installatie CD. Kijk eens met de tool wat er aan de hand is als de boel vastloopt. http://speedtouch.virgin.net/drivers.asp .

[ Voor 8% gewijzigd door EricJH op 20-02-2005 21:39 ]