Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Server is spontaan downloading...(virus?)

Pagina: 1
Acties:
  • 1.027 views sinds 30-01-2008
  • Reageer

dinsdag 26 april 2005 22:35

Acties:

Verwijderd

Topicstarter
Forumleden,
ik kamp op dit moment met een probleem waar ik absoluut niet uitkom.
Mijn server is sinds begin april druk aan het downloaden geslagen. In een maand tijd al 115GB !!! Vreemde van dit alles is dat deze data nergens wordt opgeslagen en ook niet doorgestuurd wordt naar buiten.
Afbeeldingslocatie: http://www.vander-linden.nl/log.jpg
Het downloaden gebeurt op poort 80 en van een serie IP adressen. Als ik er eentje afvang en blokkeer, dan wordt er wel weer een nieuwe gevonden.
IP adressen zitten oa in de range 213.200.x.y en bv 64.158.92.62 (= level3.net)
Virusscanner e.a. vinden niets vreemds en ik die ook geen vreemde processen draaien.

Op dit moment is de enige remedie het verbieden van mijn server om HTTP verkeer te gebruiken.

Het is een beetje een drukke server. Er draait oa Exchange, Winroute Pro, Bluetooth en wat andere tools op. In feite is het een communicatieserver.

Hieronder de HJT-log. Misschien ziet iemand logica hierin?


alvast bedankt.
Peter


-----------------------------
Logfile of HijackThis v1.99.1
Scan saved at 22:21:27, on 26-4-2005
Platform: Windows 2003 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\tcpsvcs.exe
D:\Bluetooth Adapter\bin\btwdins.exe
C:\WINDOWS\system32\certsrv.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\System32\svchost.exe
D:\GFI\MailEssentials\msecatt.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\ismserv.exe
D:\Network Associates\McAfee GroupShield\bin\SAFeService.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
D:\Network Associates\VirusScan\Mcshield.exe
D:\Network Associates\VirusScan\VsTskMgr.exe
D:\Network Associates\McAfee GroupShield\bin\RPCServ.EXE
C:\WINDOWS\system32\ntfrs.exe
C:\Program Files\Common Files\Network Associates\Outbreak Manager\Outbreak.exe
D:\POPcon\POPconSrv.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\tftpd.exe
G:\SUS\wusync\WUSyncSvc.exe
D:\GFI\MailEssentials\pop2exch.exe
D:\Exchsrvr\bin\exmgmt.exe
D:\Exchsrvr\bin\mad.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\WINDOWS\System32\svchost.exe
D:\Exchsrvr\bin\store.exe
D:\Exchsrvr\bin\emsmta.exe
D:\Network Associates\McAfee GroupShield\bin\RPCServ.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\shmgrate.exe
C:\WINDOWS\system32\regsvr32.exe
c:\windows\system32\inetsrv\w3wp.exe
d:\Kerio\WinRoute Firewall\winroute.exe
C:\WINDOWS\Explorer.EXE
D:\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Kerio\WinRoute Firewall\wrctrl.exe
D:\Bluetooth Adapter\BTTray.exe
D:\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
D:\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Kerio\WinRoute Firewall\wrctrl.exe
D:\Bluetooth Adapter\BTTray.exe
D:\BLUETO~1\BTSTAC~1.EXE
D:\Kerio\Admin\KAdmin.exe
D:\Kerio\Admin\wradmin600.exe
C:\WINDOWS\system32\logon.scr
I:\temptools\hjt\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.nl
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [ShStatEXE] "D:\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WrCtrl] "D:\Kerio\WinRoute Firewall\wrctrl.exe"
O4 - Startup: Gbinfo Update.lnk = C:\Program Files\BGINFO\Bginfo.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: GFI Monitor.lnk = D:\GFI\MailEssentials\gfimntr.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Send To &Bluetooth - D:\Bluetooth Adapter\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Bluetooth Adapter\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Bluetooth Adapter\btsendto_ie.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.google.nl
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hosting.local
O17 - HKLM\Software\..\Telephony: DomainName = hosting.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{81B88D75-ECA2-4A77-BA51-C4E09AF0428D}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A454FE4-06EA-47A9-A551-17B016CD1E4C}: NameServer = 127.0.0.1,10.1.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C08929D9-1688-4B08-A70E-DAE2E23B25B5}: NameServer = 127.0.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hosting.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = hosting.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hosting.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = hosting.local
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = hosting.local
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - D:\Bluetooth Adapter\bin\btwdins.exe
O23 - Service: GFI MailEssentials Attendant - GFI Software Ltd. - D:\GFI\MailEssentials\msecatt.exe
O23 - Service: GFI POP2Exchange - GFI Software Ltd. - D:\GFI\MailEssentials\pop2exch.exe
O23 - Service: GFI List Server (listserv) - GFI Software Ltd - D:\GFI\MailEssentials\ListServ.exe
O23 - Service: McAfee GroupShield - Unknown owner - D:\Network Associates\McAfee GroupShield\bin\SAFeService.exe" (file missing)
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - D:\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - D:\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: McAfee Log Service (Network Associates Log Service) - Network Associates, Inc. - C:\Program Files\Common Files\McAfee\log and quarantine\bin\i386\NAIlgpip.exe
O23 - Service: McAfee Outbreak Manager (Outbreak Manager) - Network Associates, Inc. - C:\Program Files\Common Files\Network Associates\Outbreak Manager\Outbreak.exe
O23 - Service: POPcon: Exchange POP3 Connector (POPcon) - Christensen Software - D:\POPcon\POPconSrv.exe
O23 - Service: Microsoft Support (S-S_C0) - Unknown owner - C:\WINDOWS\system32\winhelp.exe (file missing)
O23 - Service: Serv-U FTP Server (Serv-U) - Unknown owner - c:\windows\system32\hoi.exe (file missing)
O23 - Service: Kerio WinRoute Firewall (WinRoute) - Kerio Technologies - d:\Kerio\WinRoute Firewall\winroute.exe

dinsdag 26 april 2005 22:39

Acties:
  • Nik
  • Registratie: April 2004
  • Laatst online: 30-11 14:49

Nik

Ik heb je log geplakt op http://www.hijackthis.de/index.php#anl

Kijk eens:

C:\WINDOWS\system32\tftpd.exe
Nasty running process. (tftpd.exe)
Eventuell W32.Welchia Wurm This is a nasty process! You should fix it and try to delete it manually!

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
Nasty This entry should be fixed by HijackThis! This entry should be fixed by HijackThis!

O23 - Service: McAfee GroupShield - Unknown owner - D:\Network Associates\McAfee GroupShield\bin\SAFeService.exe" (file missing)
Unnecessarily These entries shows all services which are not from Microsoft. Often malware is starting as a systemservice and it's not easy to detect it. Unknown service. (SAFeService.exe" (file missing))
Unnecessary (deactivated) entry that can be fixed.

O23 - Service: Microsoft Support (S-S_C0) - Unknown owner - C:\WINDOWS\system32\winhelp.exe (file missing)
Unnecessarily These entries shows all services which are not from Microsoft. Often malware is starting as a systemservice and it's not easy to detect it. Unknown service. (winhelp.exe (file missing))
Unnecessary (deactivated) entry that can be fixed.

O23 - Service: Serv-U FTP Server (Serv-U) - Unknown owner - c:\windows\system32\hoi.exe (file missing)
Unnecessarily These entries shows all services which are not from Microsoft. Often malware is starting as a systemservice and it's not easy to detect it. Unknown service. (hoi.exe (file missing))
Unnecessary (deactivated) entry that can be fixed.

Kun je misschien mee vooruit :)

dinsdag 26 april 2005 22:58

Acties:

Verwijderd

Virusscanner e.a. vinden niets vreemds en ik die ook geen vreemde processen draaien.
Zeker dat je geen vreemde processen hebt draaien?
O23 - Service: Serv-U FTP Server (Serv-U) - Unknown owner - c:\windows\system32\hoi.exe (file missing)
Dat lijkt me geen bewuste ServU install.
O23 - Service: Microsoft Support (S-S_C0) - Unknown owner - C:\WINDOWS\system32\winhelp.exe (file missing)
Afaik hoort winhelp.exe in windir te staan en niet in sysdir.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
Het lijkt me niet dat je die zelf hebt ingesteld.

Zeker de eerst genoemde entry geeft aan dat je bak compromised is - of je moet wel van heel aparte installnamen/locaties houden.
Er kan alleen maar gegist worden naar hetgene wat nog meer op je systeem draait maar HJT niet toont.

Je kan overwegen om eens met een andere AV te scannen, maar een format blijft imho noodzaak.

woensdag 27 april 2005 09:16

Acties:
  • gsteen
  • Registratie: November 2004
  • Laatst online: 13-01-2020

gsteen

Deze lijkt me ook niet goed:
C:\WINDOWS\system32\shmgrate.exe

Ik vond dit bij symantec hierover. Maar even door Jotti's Malware Scan halen.

edit: Zie net dat deze ook een goed proces kan zijn, maar ik kende hem niet (en google gaf trojan hits op file naam met o.a. naar symantec die ik hierboven noemde).

[ Voor 25% gewijzigd door gsteen op 27-04-2005 09:24 ]

"In theory, there is no difference between theory and practice. But, in practice, there is."

woensdag 27 april 2005 09:56

Acties:
  • blackd
  • Registratie: Februari 2001
  • Niet online

blackd

proller schreef op dinsdag 26 april 2005 @ 22:39:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
Nasty This entry should be fixed by HijackThis! This entry should be fixed by HijackThis!
Zo nasty is hij niet. Da's namelijk een start pagina die door MS is ingesteld om je op de hoogte te stellen van het feit dat de IE Enhanced Security Configuration aan staat, welke standaard aan staat op een 2003 server. (bron)
Zo ziet u maar weer, nooit blind vertrouwen op dergelijke tools ;)

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

woensdag 27 april 2005 21:08

Acties:
  • BoGhi
  • Registratie: Juli 2002
  • Laatst online: 21-09 10:42

BoGhi

.. en tftpd is 'gewoon' een ftp deamon-proces, aangezien die normaal niet op een client-PC voorkomt merkt die analyse hem aan als verdacht, maar dat hoeft helemaal niet.

Je zou es kunnen kijken of je kunt achterhalen welk proces die download doet, ik ken 2K3 niet maar waarschijnlijk werkt netstat wel gewoon.. Of met een sniffer.

Programmers don't die. They GOSUB without RETURN

woensdag 27 april 2005 22:40

Acties:
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 25-11 15:05

lordgandalf

tftpd is geen normaal proces op een normale server of hij moet expliciet door de topic starter geinstalleerd zijn.
maar naar mijn weten hoort er geen tftp thuis op een normale windows 2k3 server

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

woensdag 27 april 2005 22:48

Acties:
  • downtime
  • Registratie: Januari 2000
  • Niet online

downtime

Everybody lies

lordgandalf schreef op woensdag 27 april 2005 @ 22:40:
tftpd is geen normaal proces op een normale server of hij moet expliciet door de topic starter geinstalleerd zijn.
maar naar mijn weten hoort er geen tftp thuis op een normale windows 2k3 server
Toch wel. Bij mij draait ie ook. Hoort volgens mij bij de RIS services.

woensdag 27 april 2005 22:52

Acties:
  • Sick Nick
  • Registratie: Februari 2001
  • Laatst online: 27-11 21:00

Sick Nick

Drop the top!

tftpd gebruiken script kidies in combinatie met leaks in je webserver, zo is er een servu op je bak gezet. Je bent gewoon 'gehacked' en draait nu een ftp server. Alleen die n00b blijft bestanden kopieren naar je pc terwijl die niet opgeslagen worden :X Ik zou eens die boel verwijderen en je server patchen.

woensdag 27 april 2005 23:05

Acties:

Verwijderd

Topicstarter
All,
bedankt voor alle positieve reacties.

tftpd hoort inderdaad bij RIS

ik ben nog altijd benieuwd wat er gaande is met HOI.EXE en WINHELP.EXE. Ik kan er niet achter komen waarom deze files in c:\windows\system32 staan/stonden en waarom ze als service te boek staan.

gisteren poort 80 dichtgezet en een rustige nacht gehad. Vandaag stond 80 weer open en BOEM. vanaf een uurtje of 4.00am tot 11am weer 4GB binnen. Daarna stopt het vanzelf.

Ter illu een stukje firewall logging: (dc-01 is mijn server)

[27/Apr/2005 04:10:01] [Service] HTTP [Connection] TCP DC-01:49077 -> 252.96.172.208.in-addr.arpa:80 [Duration] 3564 sec [Bytes] 6326877/361049328/367376205 [Packets]
157957/393145/551102

hieronder meer FW logging, maar dan beperkt tot het destination adres. mogelijk herkent iemand de IPs

221.96.172.208.in-addr.arpa:80 [Duration] 4368 sec
222.96.172.208.in-addr.arpa:80 [Duration] 4551 sec
126.13.208.63.in-addr.arpa:80 [Duration] 5296 sec
94.8.72.67.in-addr.arpa:80 [Duration] 4279 sec
62.174.57.65.in-addr.arpa:80 [Duration] 4583 sec
62.120.72.67.in-addr.arpa:80 [Duration] 3355 sec
253.247.142.66.in-addr.arpa:80 [Duration] 4549 sec

Groot vraagteken bij mij is nog altijd waar al die data naartoe gaat. Inmiddels is er al 120GB bij me naar binnen gebracht, maar die staat met zekerheid niet op mijn HDDs

Weet iemand een eenvoudige manier om vast te stellen welk proces de connectie openzet?

woensdag 27 april 2005 23:10

Acties:
  • DJSmiley
  • Registratie: Mei 2000
  • Laatst online: 13-11 18:21

DJSmiley

Probeer eens TCPview

http://www.sysinternals.com/ntw2k/source/tcpview.shtml
See all open TCP and UDP endpoints. On Windows NT, 2000 and XP TCPView even displays the name of the process that owns each endpoint. Includes a command-line version, tcpvcon.

[ Voor 3% gewijzigd door DJSmiley op 27-04-2005 23:11 ]

woensdag 27 april 2005 23:10

Acties:

Verwijderd

Topicstarter
Sick Nick schreef op woensdag 27 april 2005 @ 22:52:
tftpd gebruiken script kidies in combinatie met leaks in je webserver, zo is er een servu op je bak gezet. Je bent gewoon 'gehacked' en draait nu een ftp server. Alleen die n00b blijft bestanden kopieren naar je pc terwijl die niet opgeslagen worden :X Ik zou eens die boel verwijderen en je server patchen.
Zoals al aangegeven is, is tftpd onderdeel van Remote Installation Service van Microsoft (standaard meegeleverd met Windows Servers tegenwoordig)

Data komt binnen door een sessie naar poort 80 van een host. Voor zover ik weet, lukt dit niet vanaf een tftp server, maar ik kan me vergissen.

Patchlevel van de server is 100% up to date, incl. W2K3 SP1

Interessant, niet?

woensdag 27 april 2005 23:14

Acties:
  • DJSmiley
  • Registratie: Mei 2000
  • Laatst online: 13-11 18:21

DJSmiley

Verwijderd schreef op woensdag 27 april 2005 @ 23:10:
[...]

....

Patchlevel van de server is 100% up to date, incl. W2K3 SP1

Interessant, niet?
Met een sp ben je er niet alleen, ik ben ooit gehacked door een bug in serv-u. (die ik niet geupdated had). Maar goed, 't lijkt dat je (zoals je stelt) nu dicht zit. De oorzaak van het binnenkomen is waarschijnlijk weg. Blijft wel het feit dat het veroorzaakte nog wel aanwezig lijkt te zijn.

woensdag 27 april 2005 23:35

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

Ik heb even die spelfout uit je topictitel gehaald. ;)

Signature

woensdag 27 april 2005 23:45

Acties:
  • BoGhi
  • Registratie: Juli 2002
  • Laatst online: 21-09 10:42

BoGhi

Als netstat niet werkt ofzo, is er ook nog een X-Netstat die iig op 2K3 draait..

Programmers don't die. They GOSUB without RETURN

donderdag 28 april 2005 10:48

Acties:

Verwijderd

Topicstarter
Ik heb er voor de zekerheid maar een format tegenaan gegooid.
Hiermee is het probleem opgelost, helaas zonder de exacte oorzaak te vinden...
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq