Computer lijkt via POP verbinding te maken met vage adressen - Privacy en beveiliging

zondag 21 augustus 2005 11:48

Acties:

Topicstarter

Ik liep van de week tegen het volgende aan:
De virusscanner toonde een popup met daarin de melding dat er verbinding werd gemaakt met een vaag russisch adres. Ik heb net 2 weken geleden een volledige reinstall gedaan van mij systeem dus zoveel onzin kan er nog niet opstaan. In het log van mijn virusscanner stond het volgende:

20.8.2005 07:32:18 AVG for E-mail [7.0.338] started
20.8.2005 07:32:18 Using AVG Kernel: 7.0.338 [267.10.13]
20.8.2005 07:32:18 Config: C:\Documents and Settings\Administrator\Application Data\AVG7\avgemc.cfg
20.8.2005 07:32:18 Using Cyrus SASL 2.1.13
20.8.2005 07:32:18 Starting the main loop
20.8.2005 07:32:18 Redirector version 70004
20.8.2005 07:32:18 [118] AutoPOP3(10110): Starting server
20.8.2005 07:32:18 Queue processing started
20.8.2005 13:53:13 [118] AutoPOP3(10110): Connection from process 4060
20.8.2005 13:53:13 [118] AutoPOP3(10110): Connection from 127.0.0.1:1469
20.8.2005 13:53:16 [a40] AutoPOP3(10110): Client connected
20.8.2005 13:53:17 [a40] AutoPOP3(10110): Connected to pop.wanadoo.nl:110
20.8.2005 13:53:23 [a40] AutoPOP3(10110): Client disconnected
20.8.2005 13:53:31 [118] AutoPOP3(10110): Connection from process 4060
20.8.2005 13:53:31 [118] AutoPOP3(10110): Connection from 127.0.0.1:1482
20.8.2005 13:53:31 [c08] AutoPOP3(10110): Client connected
20.8.2005 13:53:31 [c08] AutoPOP3(10110): Connected to pop.wanadoo.nl:110
20.8.2005 13:53:31 [c08] AutoPOP3(10110): Client disconnected
20.8.2005 13:54:29 [118] AutoPOP3(10110): Connection from process 2828
20.8.2005 13:54:29 [118] AutoPOP3(10110): Connection from 127.0.0.1:1552
20.8.2005 13:54:29 [dac] AutoPOP3(10110): Client connected
20.8.2005 13:54:30 [dac] AutoPOP3(10110): Connected to pop.wanadoo.nl:110
20.8.2005 13:54:30 [dac] AutoPOP3(10110): Client disconnected
20.8.2005 17:20:08 [118] AutoPOP3(10110): Connection from process 3080
20.8.2005 17:20:08 [118] AutoPOP3(10110): Connection from 127.0.0.1:1889
20.8.2005 17:20:08 [644] AutoPOP3(10110): Client connected
20.8.2005 17:20:09 [644] AutoPOP3(10110): Connected to pop.wanadoo.nl:110
20.8.2005 17:20:09 [644] AutoPOP3(10110): Client disconnected
21.8.2005 01:21:05 [118] AutoPOP3(10110): Connection from process 3592
21.8.2005 01:21:05 [118] AutoPOP3(10110): Connection from 127.0.0.1:1656
21.8.2005 01:21:05 [46c] AutoPOP3(10110): Client connected
21.8.2005 01:22:05 [46c] AutoPOP3(10110): Cannot connect to vis.lin.irk.ru:110
21.8.2005 01:22:05 [46c] AutoPOP3(10110): Connect: De bewerking is voltooid. (0)
21.8.2005 01:22:06 [46c] AutoPOP3(10110): Client disconnected

De computer had dus de hele dag aangestaan en niks aan de hand en ineens snachts een vaag adres. Dit had hij de dag ervoor een hele dag geprobeerd bleek. Nu vanochtend kreeg ik weer een melding maar van een ander adres gelijk nadat ik de computer had aangezet. Ik had al een volledig log aanstaan dus nu wat meer info:

21.8.2005 10:55:15 AVG for E-mail [7.0.338] started
21.8.2005 10:55:15.687 Using AVG Kernel: 7.0.338 [267.10.13]
21.8.2005 10:55:15.687 Config: C:\Documents and Settings\Administrator\Application Data\AVG7\avgemc.cfg
21.8.2005 10:55:15.937 Using Cyrus SASL 2.1.13
21.8.2005 10:55:16.031 Starting the main loop
21.8.2005 10:55:16.031 Redirector version 70004
21.8.2005 10:55:16.093 [644] AutoPOP3(10110): Starting server
21.8.2005 10:55:16.093 Queue processing started
21.8.2005 10:55:16.375 Offline connection detected
21.8.2005 10:55:35.250 Online connection detected
21.8.2005 10:58:05.968 [644] AutoPOP3(10110): Connection from process 4060
21.8.2005 10:58:05.968 [644] AutoPOP3(10110): Connection from 127.0.0.1:1274
21.8.2005 10:58:05.968 [644] AutoPOP3(10110): Will connect to 216.244.239.198:110
21.8.2005 10:58:05.968 [614] AutoPOP3(10110): Client connected
21.8.2005 10:58:05.984 OpenInternet = 0
21.8.2005 10:58:05.984 AddTrayIcon()
21.8.2005 10:59:08.437 CloseInternet = 1
21.8.2005 10:59:08.437 RemoveTrayIcon()
21.8.2005 10:59:08.437 [614] AutoPOP3(10110): Cannot connect to ADSL-216-244-239-198.capfed2.sinectis.com.ar:110
21.8.2005 10:59:08.437 [614] AutoPOP3(10110): Connect: De bewerking is voltooid. (0)
21.8.2005 10:59:08.437 [614] AutoPOP3(10110): PROXY:S:-ERR AVG POP3 Proxy Server: Cannot connect to the mail server!
21.8.2005 10:59:08.656 [614] AutoPOP3(10110): Client disconnected
21.8.2005 10:59:29.234 Offline connection detected

Vanuit het log van hijackthis word ik ook niet wijzer:

Logfile of HijackThis v1.99.1
Scan saved at 11:28:32, on 21-8-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\Down\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Sagem - 802.11g Wi-Fi USB Dongle LAN Utility.lnk = ?
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec....ontent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.c...eb_site.cab?1123308110113
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec....tent/common/bin/cabsa.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/...sengersetupdownloader.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

Wie of wie heeft enig idee wat hier aan de hand is en wat kan ik anders doen om erachter te komen???

Verdere info:
Windows XP Pro (volledig geupdate)
Sygate Personal Firewall
AVG Virusscanner (volledig geupdate)
Als browser gebruik ik gewoon Internet Explorer
Wat op alle momenten ook draaide was Edonkey.

zondag 21 augustus 2005 12:43

Acties:

Crabro

Topicstarter

Ok, ik heb net kunnen bevestigen via de logs en hijackthis dat het om Edonkey2000 gaat die dit veroorzaakt. Iemand enig idee of dit inderdaad niet pluis is of herkent mij virusscanner het verkeer van Edonkey gewoon niet op de juiste manier?

zondag 21 augustus 2005 19:12

Acties:

nIghtorius

Poef!

dit klinkt als een gevalletje.

iemand heeft z'n edonkey share poort op 110 gezet en jouw eDonkey probeert daarmee verbinding te maken (dus via poort 110).. en je virusscanner denkt van verbinding naar poort 110 is altijd POP3 verkeer.. maar dat is nou net niet het geval.

Waarom hebben sommige mensen eDonkey op poort 110? is misschien je volgende vraag.. dit heeft te maken met sommige ISP's die bekende P2P poorten afknijpen. poort 80 / 110 etc zijn vaak niet afgeknepen.

zondag 21 augustus 2005 21:31

Acties:

Crabro

Topicstarter

Bedankt!

Stukje ongerustheid weg en weer een stukje wijzer

zondag 21 augustus 2005 21:39

Acties:

Resistor

Niet meggeren!

Ik krijg van mijn firewall de melding dat eMule e-mail probeert te versturen?
Sommige mensen hebben om welke reden dan ook hun eMule client op poort 25 draaien. Standaard word deze poort gebruikt voor uitgaande mail, SMTP. De meeste firewalls letten dus ook op of er dingen over deze poort gaan.
Als je nou verbinding maakt met een client die op poort 25 draait, dan kan je firewall denken dat eMule mail probeert te versturen, maar dat is dan niet zo. Daar hoef je je verder dus niets van aan te trekken.

Bron (onderste alinea)

En in dit geval is het dus poort 110 ipv poort 25

What will end humanity? Artificial intelligence or natural stupidity?