pc is constant aan t downen - Privacy en beveiliging

donderdag 8 september 2005 00:01

Acties:

Dit dus ->

Topicstarter

hallo allemaal,

ik heb weer eens een probleempje.

sinds kort ga ik via unimaas (een netwerk van de universiteit maastricht) het internet op. alles werk op zich naar behoren, maar......

ik heb het programaatje DUmeter geinstalleerd en die ziet de hele tijd dat er met ongeveer 10 Kb/s gedownload wordt, ookal heb ik niets geopend dat iets met internet te maken heeft. let wel, alleen de hele tijd aan het downloaden. deze 10 Kb/s komt bovenop mijn normale verkeer (dus mn downloads & IE)

wat ik gedaan heb:
virusscanner & msantispy & hitman pro er overheen gegooid -> niets gevonden (dan zou er ook geupload worden btw). ik heb niet echt het idee dat het spyware of n virus is...
verder het programma TCPview -> geeft aan dat er dingen een verbinding hebben met internet namelijk:
cvpnd.exe (is een file van system in de taskviewer)
svchost.exe (is een file van system in de taskviewer)
system:4 (weet niet wat t is, kan het bestand ook niet vinden)
het sluiten van deze programma's wil niet echt met TCPview

verder stond er ook een file van norton (mn virusscanner) tussen, die heb ik wel afgesloten en kan k niet meer herstarten

kijk op zich vind ik dit allemaal niet zo heel erg, alles werkt goed enzo, maar k wil wel weten wat dit verkeer veroorzaakt!!!

alvast bedankt voor de hulp/tips

[ Voor 4% gewijzigd door DropjesLover op 08-09-2005 00:05 ]

BThGvNeOA
Bond Tegen het Gebruik van Nutteloze en Onbekende Afkortingen!
Gewoon uitschrijven wat je bedoelt is zo moeilijk niet... PR (persoonlijk record?), ICE/M/A (verbrandingsmotor?), kdv (kinderdagverblijf), DA (dierenarts?)etc...,

donderdag 8 september 2005 00:02

Acties:

pven

Hitman Pro al geprobeerd?

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

donderdag 8 september 2005 00:04

Acties:

pasta

Ondertitel

cvpnd.exe is a part of Cisco VPN and allows you to make a encrypted or non-encrypted VPN connection to a remote server. This program is a non-essential system process, but should not be terminated unless suspected to be causing problems.

Bron

Dat was de eerste link die ik tegenkwam op Google. Scan het bestand eens met Jotti's online malware scan om te kijken of het misschien toch als malware herkend wordt door een andere AV. Welke AV gebruik je overigens?

Signature

donderdag 8 september 2005 00:06

Acties:

DrClaw

cvpnd.exe is Cisco's VPN client. Virtual Private Network applications allow you to connect to remote servers with either encrypted or unencrpted connections.

dit kan dus best je remote desktop zijn .. of je telefonieserver ofzo .. of gewoon de manier zodat 'men' kan 'bewijzen' dat je op de campus zit. kan best 10kb/s aan verkeer opleveren.

het tooltje netlimiter kan je misschien meer inzicht geven in je netwerkverkeer. probeer het eens te downloaden van hun site.

donderdag 8 september 2005 00:11

Acties:

DropjesLover

Dit dus ->

Topicstarter

heel erge excuses, dat cvpnd.exe is iets van mn hogeschool-account. ik kon het al nooit uit de naam halen, en aangezien t onder system user valt altijd dacht dat k nodig had...

na het in de taskmanager uit te hebben gezet is het ook bij TCPview verdwenen.

het downloaden gaat overigens gewoon door...

nu maar eens dat netlimiter proberen....

-update-

zodra mn computer opstart is er niets aan de hand (geen download) en is norton autoprotect terug $_/-\o_$
maarja, nu zit k weer ff op internet dit te typen en meteen is die download er weer in DUmeter - netlimiter ziet die download NIET.......
net enige programma dat ik via netlimeter geaccepteerd heb is IE, maar in TPCview staan wel een aantal programma's te luisteren (das misschien de download).

-update 2-
na een nachtje slaap (sommigen hebben dat nodig ja) heb k dus ff gekeken bij administrative tools en in verband met een mogelijke hijack het progsel hijackThis gedraaid...
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://swp-workstation/ is het enige in de lijst die k niet vertrouw, maar wat is het??

[ Voor 57% gewijzigd door DropjesLover op 08-09-2005 07:25 ]

BThGvNeOA
Bond Tegen het Gebruik van Nutteloze en Onbekende Afkortingen!
Gewoon uitschrijven wat je bedoelt is zo moeilijk niet... PR (persoonlijk record?), ICE/M/A (verbrandingsmotor?), kdv (kinderdagverblijf), DA (dierenarts?)etc...,

donderdag 8 september 2005 02:01

Acties:

DrClaw

misschien is het je 'download windows updates automagically' die je zelf hebt aangezet..

oh ja, misschien is je pc gehijacked. durf je in je 'administrative tools' de services te bekijken, of er niet misschien een rare tussen staat ?

donderdag 8 september 2005 09:08

Acties:

Sypher

Lijkt op ... http://www.tweakers.net/gallery/sys/7349

Wellicht zit "swipe" ook op de UNImaas?

donderdag 8 september 2005 09:43

Acties:

Verwijderd

Als je echt wil weten wat voor verkeer er over je lijn gaat zou je met bijvoorbeeld http://www.ethereal.com/ je ethernetpoort kunnen sniffen om te kijken wat voor verkeer er nou over heen gaat.

donderdag 8 september 2005 18:17

Acties:

DropjesLover

Dit dus ->

Topicstarter

de link naar swipe leidt alleen naar zijn profiel...

dat etheraal klinkt goed, maar ik kan het niet downloaden/vinden, alleen een pakketje met WinPcap, waarvan mij niet echt duidelijk wordt wat het nu doet....

voor de rest zou ik het echt niet meer weten

als iemand nog iets weet $_/-\o_$

en anders -> jammer dan, dan maar die download (heb toch geen limiet ofzo

)

BThGvNeOA
Bond Tegen het Gebruik van Nutteloze en Onbekende Afkortingen!
Gewoon uitschrijven wat je bedoelt is zo moeilijk niet... PR (persoonlijk record?), ICE/M/A (verbrandingsmotor?), kdv (kinderdagverblijf), DA (dierenarts?)etc...,

donderdag 8 september 2005 18:28

Acties:

begintmeta

Moderator General Chat

Waar op het unimaas netwerk zit je? Heb je verbinding via campus of via een "echt" unimaas punt (dus in een gebouw), gebruik je een router (evt met firewall)?. Als je me je ip geeft wil ik je eventueel wel even met nessus scannen.

Welk OS gebruik je eigenlijk? Helaas is het unimaas netwerk nogal verziekt door ranzige wormen... Het zou misschien ook kunnen dat het verkeer wordt gegenereerd door replies op "scannende beesten".

[ Voor 15% gewijzigd door begintmeta op 08-09-2005 18:30 ]

donderdag 8 september 2005 18:29

Acties:

bjck

Gaat naar B&V.

Een onderschrift moet altijd zinvol zijn.

donderdag 8 september 2005 18:40

Acties:

Chubbchubb

Blond en lekker? Mail me

kan je niet netlimiter of kerio firewall oid draaien, dan kan je tenminste zien welk programma of process dat dataverkeer veroorzaakt en ook nog eens blocken

Powered by: blond bier

donderdag 8 september 2005 18:55

Acties:

pven

Gooi HijackThis er eens tegen aan en post de log hier.

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

donderdag 8 september 2005 19:09

Acties:

DropjesLover

Dit dus ->

Topicstarter

mijn os = win xp pro (met sp2), dichtgespijkerd met norton systemworks & microsof antispyware

mijn ip: (momenteel ff niet beschikbaar voor iedereen

)
ik maak verbinding via een router bij mij in de het studentenhuis. de replies zouden dan een upload moeten veroorzaken (toch?) en het is alleen een download. wat zou ik eventueel kunnen doen tegen die wormpjes? behalve gebruikelijk AV & AS progsels....

net limiter geeft alleen luisterpoorten aan, wat wel verdacht/vreemd is is dat een bestand system:4 heet bij netlimeter...

log hijackthis (copy/paste)

Logfile of HijackThis v1.99.1
Scan saved at 19:00:32, on 8-9-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\system32\MMTray.exe
C:\WINDOWS\system32\MMTray2k.exe
C:\WINDOWS\system32\MMTrayLSI.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
D:\Program Files\DU Meter\DUMeter.exe
D:\Program Files\Azureus\Azureus.exe
C:\Program Files\Java\jre1.5.0_04\bin\javaw.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tweakers.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tweakers.net/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://swp-workstation/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.c...eb_site.cab?1120815881229
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.c...eb_site.cab?1123704127073
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://D:\Program Files\AutoCAD 2002\AcDcToday.ocx
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://D:\Program Files\AutoCAD 2002\InstBanr.ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://D:\Program Files\AutoCAD 2002\InstFred.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://D:\Program Files\AutoCAD 2002\AcPreview.ocx
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

-edit-
woops, k had tijdens de scan idd azureus aan staan, net als msn messenger

helaas heeft mijn probleem niets te maken met deze 2, ook zonder deze bijft die stomme download. dit bleek uit een eerdere scan van hijack this & netlimeter...

@software:
hoe bedoel je? hier (@tweakers) niet opgeven of verbergen op mn pc? en hoe moet k dat doen (op mn pc dan). k ben net geen noob meer wat betreft netwerken & virussen, maar veel weet k er ook weer niet van af....

[ Voor 7% gewijzigd door DropjesLover op 08-09-2005 23:39 ]

BThGvNeOA
Bond Tegen het Gebruik van Nutteloze en Onbekende Afkortingen!
Gewoon uitschrijven wat je bedoelt is zo moeilijk niet... PR (persoonlijk record?), ICE/M/A (verbrandingsmotor?), kdv (kinderdagverblijf), DA (dierenarts?)etc...,

donderdag 8 september 2005 19:14

Acties:

software

Tip : Je moet je ip adres verbergen.

donderdag 8 september 2005 19:15

Acties:

mindcrash

Rebellious Monkey

Ik zie dat je Azureus draait... Azureus veroorzaakt ook het een en ander aan inbound en outbound traffic, ook al worden er daadwerkelijk geen torrents gedownload.

Sluit Azureus eens en kijk eens wat er dan gebeurt?

"The people who are crazy enough to think they could change the world, are the ones who do." -- Steve Jobs (1955-2011) , Aaron Swartz (1986-2013)

donderdag 8 september 2005 19:34

Acties:

software

@software:
hoe bedoel je? hier (@tweakers) niet opgeven of verbergen op mn pc? en hoe moet k dat doen (op mn pc dan). k ben net geen noob meer wat betreft netwerken & virussen, maar veel weet k er ook weer niet van af....

Hier op de tweakers. Er zijn hier soms personen met 'slechte' bedoelingen.

donderdag 8 september 2005 21:42

Acties:

begintmeta

Moderator General Chat

Je kunt je IP op zich misschien beter verbergen, als er iets mis is maak je het " de mensen" iig niet makkelijker je IP te vinden (andere ongein daargelaten) Maar verder is het verbergen van je IP niet echt iest waar je je veiliger door moet voelen...

Ik zal eens kijken of ik iets vreemds kan vinden op/naar dat door jou opgegeven IP, kan wel even duren...

Ik heb in mijn studentenhuizen trouwens vrij snel voor routers geopteerd, ook ivm firewalls etc (en omdat het vroeger moeilijker was MAC-adressen aan te melden...)

donderdag 8 september 2005 23:51

Acties:

DropjesLover

Dit dus ->

Topicstarter

dat zou ik mega erg waarderen begintmeta $_/-\o_$

als het te veel werk is laat het dan maar, zo mega erg is het nu ook weer niet, ik krijg geen vreemde dingen binnen en over een tijdje verkoop ik hem en gaat ie toch format c

maar toch...

BThGvNeOA
Bond Tegen het Gebruik van Nutteloze en Onbekende Afkortingen!
Gewoon uitschrijven wat je bedoelt is zo moeilijk niet... PR (persoonlijk record?), ICE/M/A (verbrandingsmotor?), kdv (kinderdagverblijf), DA (dierenarts?)etc...,

vrijdag 9 september 2005 00:00

Acties:

DeMoN

Pastafari

DropjesLover schreef op donderdag 08 september 2005 @ 18:17:
at etheraal klinkt goed, maar ik kan het niet downloaden/vinden, alleen een pakketje met WinPcap, waarvan mij niet echt duidelijk wordt wat het nu doet....

WinPcap is zeg maar de 'engine' die het onder Windows mogelijk maakt pakketjes te sniffen die langs jouw NIC komen. Als je ethereal onder Windows wilt laten werken (het komt bij linux vandaan) moet je 2 pakketen installeren.
De ethereal-setup en de winpcap.

Al vraag is me af of ethereal niet wat te hoog is gegrepen voor dit probleem.

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

vrijdag 9 september 2005 00:58

Acties:

Verwijderd

Probeer anders eens een trial versie van X-NetStat Professional. Geeft een duidelijk overzicht van al het verkeer, poorten (local en remote), processen (info over, locatie, de mogelijkheid ze te killen), remote adressen, bytes in/bytes out, de mogelijkheid te sniffen, etc, etc.

Als je er achter wilt komen wat dit veroorzaakt, moet je het hiermee kunnen achterhalen

[ Voor 16% gewijzigd door Verwijderd op 09-09-2005 01:12 ]

maandag 12 september 2005 16:57

Acties:

DropjesLover

Dit dus ->

Topicstarter

sorry dat het zo lang duurde voordat ik een reactie geef...

nou dus:
met X-NetStat Professional heb ik niets kunnen vinden... heel raar, aangezien dit programma ook weergaf dat er geen verkeer was, terwijl DUmeter wel verkeer aangaf. zou het kunnen dat het allemaal een "wild goose chase"

is en dat het gewoon een bug in DUmeter is??

ik denk dat dit het wel zo'n beetje was wat ik kon proberen...

k zou zeggen: sluiten maar en bedankt voor alle hulp $_/-\o_$

BThGvNeOA
Bond Tegen het Gebruik van Nutteloze en Onbekende Afkortingen!
Gewoon uitschrijven wat je bedoelt is zo moeilijk niet... PR (persoonlijk record?), ICE/M/A (verbrandingsmotor?), kdv (kinderdagverblijf), DA (dierenarts?)etc...,

maandag 12 september 2005 19:17

Acties:

begintmeta

Moderator General Chat

Ik had het IP toen kort ge-nmapt, poort 10000 stond open geloof ik, aan nessus ben ik niet toegekomen.