Constant worden afgesloten bij XS4ALL vanwege 'trojan' - Privacy en beveiliging

dinsdag 26 juli 2005 13:34

Acties:

Topicstarter

Misschien dat iemand van jullie mij kan helpen, maar we zitten hier met 'n "dik" probleem.

Sinds vorige week, werden we afgesloten/gefilterd omdat wij een Trojan zouden hebben. Hierop kregen we dus een mail van xs4all met verwijzingen naar een x-aantal programma's die wij moesten draaien. De logs daarvan moesten we opsturen naar xs4all en dan werden we weer toegelaten...

Zo gezegd, zo gedaan. Dag erna, weer afgesloten. Lekker dan! Wij weer gescanned etc. etc. , mochten er weer op, nog geen paar uur daarna zijn we weer afgesloten!

Dik ellende dus!
Nu zit ik met zo'n medewerker van het abuse center te mailen, en die zegt gewoon keihard dat we nu maar andere programma's moeten gaan zoeken anders mogen we er gewoon niet meer op

.

Ook had ik hem gevraagd, of zij nu zelf deden scannen naar trojans, of dat ze daar melding van kregen. Blijkt dus dat ze daar een melding van krijgen en dat ze niet verder mochten vertellen wie/wat/waar.
Wij zijn hier thuis absoluut geen newbies als het op computer-gerelateerde stuff aankomt.... en wij zijn hier dus helemaal 100% trojan, virus en spyware vrij.

Hij had me een log gestuurd van vorige week, waaruit blijkt dat het steeds iets is met poort 445. Weet iemand wat dit kan veroorzaken?!

Wij worden er onderhand echt gek van, ik weet niet meer waar ik het probleem zou moeten zoeken

, en die kerel van xs4all helpt ook niet echt met zijn 'andere tools' proberen....

Ik ga toch zeker niet heel internet afspeuren naar alle mogelijke tools om wat trojans te zoeken

Als ik nu wist wat het zou kunnen veroorzaken, kijk dan kwam ik ergens maar nu schiet het echt niet op...

Ow, en als t topic hier verkeerd staat verplaats m maar

[ Voor 4% gewijzigd door De_Bastaard op 26-07-2005 13:35 ]

dinsdag 26 juli 2005 13:36

Acties:

dreamscape

Heb je toevallig een onbeveiligd WLAN draaien, waar misschien iemand anders op meelift (met een trojan dus)...?

Punctuality is the politeness of kings

dinsdag 26 juli 2005 13:39

Acties:

Upper

Wellicht heb je iets aan bijgaande link, gevonden met google.

Port 445 wordt in ieder geval gebruikt door netbios:

http://www.petri.co.il/wh...rt_445_in_w2k_xp_2003.htm

Staat ook bij hoe je dit kan uitschakelen. Lijkt mij in ieder geval stug als het een trojan zou zijn.

dinsdag 26 juli 2005 13:40

Acties:

aramdin

Dit heb ik ff snel kunnen googlen

W32.Korgo.O
Severity: 2/5

W32.Korgo.O is a variant of W32.Korgo.I. This worm attempts to propagate by exploiting the Microsoft Windows LSASS Buffer Overrun Vulnerability (described in Microsoft Security Bulletin MS04-011) on TCP port 445. It also listens on TCP Port 3067 and random TCP ports between 2000 and 8191.

Wat je kan proberen is om outpost firewall te installeren. Dan zet je die op Rule Based, zo kan je namelijk zien welke poorten door welke applicatie wordt gebruikt. Elke nieuwe applicatie die netwerkverkeer vereist moet ook een rule worden toegewezen.

Welke windows versie gaat het om?

Is schone install een optie?

Instagram / YouTube

dinsdag 26 juli 2005 13:40

Acties:

De_Bastaard

Topicstarter

Owja, vergeten te zeggen

We hebben hier gewoon een Speedtouch 510 Ethernet modem.
Alle 4 de PC's (2 pc's, 2laptops) zijn op een switch aangesloten, de modem ook.

We maken geen gebruik van enige wireless dingen of 'n firewall of iets.

Alle PC's draaien trouwens WindowsXP.

Mijn laptop is pas opnieuw geinstalleerd, die van m'n ouders heb ik eergisteren gedaan. Mijn broertje doet zijn PC zometeen opnieuw installeren, en ik straks denk ik.

[ Voor 33% gewijzigd door De_Bastaard op 26-07-2005 13:41 ]

dinsdag 26 juli 2005 13:40

Acties:

pasta

Ondertitel

Controleer eens met HijackThis of er nog verdachte processen rondspoken. Hint: zoeken bij google naar 'filename.exe' Als je een onbekend proces tegenkomt kan je het scannen Jotti's online malware scan of 1 van de daar aanwezige AV's het daar herkend. Doe dan een volledige scan met een virusscanner zoals Kaspersky Anti-Virus (met extended databases).

Mocht je wel in HijackThis een opstart-proces tegen komen dat je niet terug kunt vinden op je PC, dan zou je met F-Secure Blacklight kunnen kijken of de file zich verborgen heeft. Deze tool is niet geheel risicoloos, dus even opletten wat je doet.

Signature

dinsdag 26 juli 2005 13:41

Acties:

PoisonouZ

Heb je geen router die je ertussen kan doen? Zodat je enkel poorten open zet die je open wilt, zo voorkom je in ieder geval al het probleem van de open poorten als ze daarover zeuren. Als je geen router hebt, kun je natuurlijk ook op alle pc's wel even een firewall installeren

Daarnaast zorg je gewoon even dat je alle computers update met de nieuwste versie van een antivirus pakketje, je scant de pc's en stuurt de log daarvan naar xs4all, daarbij vertel je ook dat je nu alles dicht hebt gezet op je router.

Natuurlijk kijk je ook ff of er niemand anders mee lift op je (als die aanwezig is) wlan:)
Gebeurt dit wel, dan beveilig je je wlan, en zet je in je wlan ding dat enkel bepaalde mac adressen van jezelf erop mogen

Succes ermee

[ Voor 8% gewijzigd door PoisonouZ op 26-07-2005 13:43 . Reden: Nieuwe post van TS gelezen, en daarop dus aanpassing van mijn verhaal ]

dinsdag 26 juli 2005 13:42

Acties:

SleutelMan

Alle Dagen Heel Druk

zelfde probleem hier, tot 2-maal toe. Diverse programmas en de nieuwste definities later bleek dat er toch ergens op mn vader's pc nog wat was achtergebleven (in de temp map, en in gebruik zo die werd dus niet verwijderd

). En hij had trouwens NetBIOS port wel openstaan, ik niet

Logius | Somda | Twitter

dinsdag 26 juli 2005 13:42

Acties:

lier

MikroTik nerd

Hit op Google:

http://www.linklogger.com/TCP445.htm

Zou dus heel goed een "LSASS exploiting worms like Sasser and Korgo" kunnen zijn.

Wat ik niet begrijp, XS4ALL sluit jullie "netjes" af omdat jullie blijkbaar problemen maken op het Internet. Waarom reageer je verontwaardigd hierop ? Je bent totch zelf verantwoordelijk voor dit soort dingen ?

Zorg in ieder geval dat je weet welke poorten op dit moment open staan, bekijk mbv netstat welke poorten door welke services in gebruik zijn en draai een aantal scans, meeste software leveranciers hebben wel een oplossing voor een 1-mailge scn.

[ Voor 3% gewijzigd door lier op 26-07-2005 13:44 ]

Eerst het probleem, dan de oplossing

dinsdag 26 juli 2005 13:44

Acties:

bjck

Zo'n modem is al een router (die 510 dus).

_{Denk wel dat menig internettend persoon juist blij is dat XS4all mensen afsluit voor dit soort dingen. Lastig is het wel natuurlijk...}

[ Voor 64% gewijzigd door bjck op 26-07-2005 13:45 ]

Een onderschrift moet altijd zinvol zijn.

dinsdag 26 juli 2005 13:45

Acties:

Bosmonster

*zucht*

De_Bastaard schreef op dinsdag 26 juli 2005 @ 13:40:
Owja, vergeten te zeggen

We hebben hier gewoon een Speedtouch 510 Ethernet modem.
Alle 4 de PC's (2 pc's, 2laptops) zijn op een switch aangesloten, de modem ook.

We maken geen gebruik van enige wireless dingen of 'n firewall of iets.

Alle PC's draaien trouwens WindowsXP.

Mijn laptop is pas opnieuw geinstalleerd, die van m'n ouders heb ik eergisteren gedaan. Mijn broertje doet zijn PC zometeen opnieuw installeren, en ik straks denk ik.

Je gebruikt de Speedtouch als router begrijp ik? Kun je daar dan geen instelling op doen om poort 445 dicht te gooien?

[edit]
spuit 11

dinsdag 26 juli 2005 13:45

Acties:

PoisonouZ

SleutelMan schreef op dinsdag 26 juli 2005 @ 13:42:
zelfde probleem hier, tot 2-maal toe. Diverse programmas en de nieuwste definities later bleek dat er toch ergens op mn vader's pc nog wat was achtergebleven (in de temp map, en in gebruik zo die werd dus niet verwijderd ). En hij had trouwens NetBIOS port wel openstaan, ik niet .

Ik vind het overigens helemaal terecht als een ISP iemand afsluit omdat die het netwerk bevuilt, en anderen daarmee ook tot last is. Doen ze op straat ook zetten ze je ook even vast, of je krijgt een boete. In dit geval is de boete dus afgesloten worden.

Mijn vriendin had het ook in een studentenhuis van 100 man op een aantal xs4all lijnen. 1 iemand had een trojan, heel de flat werd afgesloten, de beheerders van het interne netwerk hebben dus toen alle mensen met een pc een cd gegeven, waarop freeware tools staan om de problemen op te lossen. Alle mensen werden dan één voor één gecontroleerd of alles goed was voordat ze weer werden aangesloten op de switch

dinsdag 26 juli 2005 13:47

Acties:

SleutelMan

Alle Dagen Heel Druk

PoisonouZ schreef op dinsdag 26 juli 2005 @ 13:45:
[...]

Ik vind het overigens helemaal terecht als een ISP iemand afsluit omdat die het netwerk bevuilt, en anderen daarmee ook tot last is. Doen ze op straat ook zetten ze je ook even vast, of je krijgt een boete. In dit geval is de boete dus afgesloten worden.

Mijn vriendin had het ook in een studentenhuis van 100 man op een aantal xs4all lijnen. 1 iemand had een trojan, heel de flat werd afgesloten, de beheerders van het interne netwerk hebben dus toen alle mensen met een pc een cd gegeven, waarop freeware tools staan om de problemen op te lossen. Alle mensen werden dan één voor één gecontroleerd of alles goed was voordat ze weer werden aangesloten op de switch

ik begrijp het best hoor, geen probleem, was wel even irritant dat het tot 2-maal toe was. Sindsdien geen problemen meer

. Goede aanpak in dat studentenhuis trouwens, maar er werd vanuit XS4ALL ook gevraagd of je alle logs wilde meesturen dacht ik

Logius | Somda | Twitter

dinsdag 26 juli 2005 13:48

Acties:

PcDealer

HP ftw \o/

Schone installatie en 1 pc aansluiten. Kijken hoe dat gaat. Schone installatie uiteraard zonder internet aansluiting uitvoeren voordat firewall/scanner/SP zijn geïnstalleerd.

LinkedIn WoT Cash Converter

dinsdag 26 juli 2005 13:51

Acties:

De_Bastaard

Topicstarter

Ja bedoel, ik vind het goed dat ze me afsluiten omdat we een trojan zouden hebben. Maar als ik alles eraan gedaan heb wat ik kan... Tsja?!?

En, HijackThis levert ook niet echt wat op. 1 Nasty ding naar dcsearch ofzoiets...

dinsdag 26 juli 2005 13:54

Acties:

Bosmonster

*zucht*

Als ik even google op 'port 445 spyware' dan krijg ik vanalles over een Windows vulnerability die met een recente patch opgelost zou moeten worden?

Alle computers Windows update gedraaid?

dinsdag 26 juli 2005 13:55

Acties:

Verwijderd

PcDealer schreef op dinsdag 26 juli 2005 @ 13:48:
Schone installatie en 1 pc aansluiten. Kijken hoe dat gaat. Schone installatie uiteraard zonder internet aansluiting uitvoeren voordat firewall/scanner/SP zijn geïnstalleerd.

met stom..

brand eerst even sp2 en een firewall op een cdtje zodat je de pc pas op het netwerk aansluit nadat je winxp met sp en een firewall hebt voorzien (bijv. zonelabs is een goede gratis firewall).

Als dat goed gaat kun je 1 voor 1 je pc's aan gaan sluiten (eerst natuurlijk scannen , updaten en firewalls erop! het liefste een hele schone installatie).

dinsdag 26 juli 2005 13:57

Acties:

Bosmonster

*zucht*

Verwijderd schreef op dinsdag 26 juli 2005 @ 13:55:
[...]

met stom..

brand eerst even sp2 en een firewall op een cdtje zodat je de pc pas op het netwerk aansluit nadat je winxp met sp en een firewall hebt voorzien (bijv. zonelabs is een goede gratis firewall).

Als dat goed gaat kun je 1 voor 1 je pc's aan gaan sluiten (eerst natuurlijk scannen , updaten en firewalls erop! het liefste een hele schone installatie).

Lijkt me een beetje overkill.. Als je voor iedere infectie je gehele netwerk zou moeten reinstallen...

Eerst het probleem maar eens vinden voor er allerlei mega drastische oplossingen aangedragen worden

dinsdag 26 juli 2005 14:01

Acties:

De_Bastaard

Topicstarter

Ik zit er trouwens over te denken om een Linux bak met virusscanner erop als 'firewall' te nemen. Dat iederen via dat ding zou moeten internetten, en dat alle files daarop gestored worden....

dinsdag 26 juli 2005 14:06

Acties:

Verwijderd

Bosmonster schreef op dinsdag 26 juli 2005 @ 13:57:
[...]

Lijkt me een beetje overkill.. Als je voor iedere infectie je gehele netwerk zou moeten reinstallen...

Eerst het probleem maar eens vinden voor er allerlei mega drastische oplossingen aangedragen worden

nou overkill.. als de TS niet kan vinden waar het probleem vandaan komt kan hij het beter oplossen voordat xs4all de stekker er permanent uit trekt.
En zowiezo.. als ie al zo'n tijd draait zonder firewalss (en updates? virusscanners?) lijkt me een frisse instal geen kwaad te kunnen

[ Voor 13% gewijzigd door Verwijderd op 26-07-2005 14:07 ]

dinsdag 26 juli 2005 14:08

Acties:

PoisonouZ

SleutelMan schreef op dinsdag 26 juli 2005 @ 13:47:
[...]

ik begrijp het best hoor, geen probleem, was wel even irritant dat het tot 2-maal toe was. Sindsdien geen problemen meer . Goede aanpak in dat studentenhuis trouwens, maar er werd vanuit XS4ALL ook gevraagd of je alle logs wilde meesturen dacht ik .

Het lost problemen snel op, ik zit zelf bij @home, en die laten spammende pc's gewoon spammen enzo, zelfs al mailt er 50 man over naar abuse...

dinsdag 26 juli 2005 14:11

Acties:

PoisonouZ

De_Bastaard schreef op dinsdag 26 juli 2005 @ 14:01:
Ik zit er trouwens over te denken om een Linux bak met virusscanner erop als 'firewall' te nemen. Dat iederen via dat ding zou moeten internetten, en dat alle files daarop gestored worden....

Linux kun je mooi alle porten dicht doen ja, heb ik hier ook, virus scanner puur voor de mail (draai eigen mailserver inclusef spamassasin, amavis, enzo) Werkt goed, geen last van virussen, en als een pc dan in me netwerkje eens zeikt, zie ik dat vanzelf in de logs dat die loopt te kutten op dichte poorten:P

dinsdag 26 juli 2005 16:29

Acties:

Roelant

Internet & Telefonie >> Beveiliging & Virussen

dinsdag 26 juli 2005 16:45

Acties:

Herby

Stalknecht

Anders zet je de windows firewall aan en blokkeer je alles behalve internet :80 Kijken wat er dan gebeurd

Compromis? Hoezo heb ik het mis dan?! | Geluk = gelul met een K | з=(•̪●)=ε

woensdag 27 juli 2005 00:25

Acties:

De_Bastaard

Topicstarter

Heb nu alle pc's opnieuw geinstalleerd, nu ff afwachten ..

woensdag 27 juli 2005 10:05

Acties:

Verwijderd

ik neem aan wel met alle updates een een firewall dit maal?

woensdag 27 juli 2005 10:10

Acties:

Verwijderd

Ik vermoet dat het een simpele Rbot of dergelijks is geweest, op poort 445 draait ook lsass.exe, als je je windows updates niet draait zit daar een lek in en kan men, virusscanner of niet, gewoon je pc in. Een rbot/sdbot/""bot doet dit volledig automatisch en geeft iemand de volledige controle over je pc. Meestal word je pc dan gebruikt om ook te scannen naar mensen zoals jij

Pagina: 1

Reageer