[XP home sp2] is trying to broadcast to 224.0.0.22 - Netwerken

donderdag 15 september 2005 08:35

Acties:

Verwijderd

Topicstarter

Ik heb een Draadloze netwerk verbinding met Sygate personal firewall pro die continue mij waarschuwd dat bekende applicatie's zoals Norton Anti Virus Auto-protect service (Navapsvc.exe) wat probeert te sturen naar ip adres 224.0.0.22.

Hierbij de summary:

File Version : 11.0.9.16
File Description : Norton AntiVirus Auto-Protect Service (NAVAPSVC.EXE)
File Path : C:\Program Files\Norton AntiVirus\NAVAPSVC.EXE
Process ID : 0x7B8 (Heximal) 1976 (Decimal)

Connection origin : local initiated

Ethernet packet details:
Ethernet II (Packet Length: 68)
Destination: 01-00-5e-00-00-16
Source: 00-90-4b-af-66-64
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 24 bytes
Flags:
.0.. = Don't fragment: Not set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 1
Protocol: 0x2 (IGMP - Internet Group Management Message Protocol)
Header checksum: 0x7808 (Correct)
Source: 192.168.123.139
Destination: 224.0.0.22

Weet iemand of ik een of andere trojan op mijn pc heeft staan? Of is dit gewoon normaal traffic?

donderdag 15 september 2005 10:13

Acties:

CodeCaster

Stop AI Slop

Sowieso is de TTL maar 1, dus... komt het pakketje niet verder dan je router.

Ik ben even googlen... ben zo terug ;-)

EDIT:
http://www.google.nl/search?q=%22224.0.0.22%22

Kan niks vinden, sorry. Behalve spyware suggesties e.d., scan daar even op?

[ Voor 37% gewijzigd door CodeCaster op 15-09-2005 10:32 ]

https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...

donderdag 15 september 2005 13:36

Acties:

Tybo

010101011110010101??

Als ik een nslookup voor 224.0.0.22 krijg ik IGMP.MCAST.NET als antwoord. Mss is het gewoon een pakketje die Norton AV probeert te versturen om te kijken of er geen updates beschikbaar zijn?

SvennieG

donderdag 15 september 2005 18:52

Acties:

Verwijderd

Topicstarter

Tybo schreef op donderdag 15 september 2005 @ 13:36:
Als ik een nslookup voor 224.0.0.22 krijg ik IGMP.MCAST.NET als antwoord. Mss is het gewoon een pakketje die Norton AV probeert te versturen om te kijken of er geen updates beschikbaar zijn?

nee want dan was het liveupdate geweest toch? En Acronis privacy protector (onderdeel van de PCCleaner van Easycomputing) stuurde ook al een pakketje naar het zelfde ip (ook geblocked). Het blocken had ook geen effect op de applicatie's.

Die TL 1 duidt dus aan dat hij naar mijn router gaat en weer terug? Ik heb vorige week keyloggers op mijn pc gevonden (heb windows op nieuw geformatteerd, firewall aangezet, spyware doctor paraat + keylogger detectors. Die vinden nu allemaal niets, ben misschien beetje paranoïde maar als iemand een verklaring voor de populariteit van 224.0.0.22 heeft laat het gaarne even weten!

vrijdag 16 september 2005 00:32

Acties:

CyBeR

💩

224.0.0.0/8 (en nog een zooitje) is een multicastadres. Dat blijft inderdaad in je netwerk, en IGMP is verder inderdaad redelijk normale traffic. Je hoeft je er geen zorgen over te maken.

Ping maar eens 224.0.0.1 (ALL-SYSTEMS.MCAST.NET) of 224.0.0.2 (ALL-ROUTERS.MCAST.NET). Alle multicast-aware apparaten reageren op die eerste, alle multicast-aware routers op die laatste.

(edit: die tweede moet .2 zijn idd).

[ Voor 40% gewijzigd door CyBeR op 16-09-2005 09:13 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 16 september 2005 08:02

Acties:

Tybo

010101011110010101??

CyBeR schreef op vrijdag 16 september 2005 @ 00:32:
224.0.0.0/8 (en nog een zooitje) is een multicastadres. Dat blijft inderdaad in je netwerk, en IGMP is verder inderdaad redelijk normale traffic. Je hoeft je er geen zorgen over te maken.

Ping maar eens 224.0.0.1 (ALL-SYSTEMS.MCAST.NET) of 224.0.0.1 (ALL-ROUTERS.MCAST.NET). Alle multicast-aware apparaten reageren op die eerste, alle multicast-aware routers op die laatste.

Ik kan daar niet naar pingen hoor. Ik ben wel geneigd je te geloven.

btw, je hebt twee keer hetzelfde ip voor 2 andere FQDN's, heb je je niet vergist?

SvennieG

vrijdag 16 september 2005 11:15

Acties:

CyBeR

💩

Inderdaad. Verbeterd.

Hier in een windows netwerk lukt het me inderdaad ook niet, maar als je op een unix-achtige zit moet 't prima gaan

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 16 september 2005 18:27

Acties:

Verwijderd

Topicstarter

CyBeR schreef op vrijdag 16 september 2005 @ 11:15:
Inderdaad. Verbeterd.

Hier in een windows netwerk lukt het me inderdaad ook niet, maar als je op een unix-achtige zit moet 't prima gaan

Dank!

Verder nog tips om keyloggers tegen te gaan? Ondanks mijn sygate firewall heb ik er toch gisteren weer een gevonden

Ook vind ik open source remote desktop spul als WINVNC. Ik heb het er af gehaald maar met spywaredoctor/Pestcontrol/MS antispyware en Easy Computing spyware beveiliging (die keyloggers allemaal vindt) lijkt mijn pc toch redelijk veilig..

vrijdag 16 september 2005 18:31

Acties:

mace

Sapere Aude

Verwijderd schreef op vrijdag 16 september 2005 @ 18:27:
[...]

Dank!

Verder nog tips om keyloggers tegen te gaan? Ondanks mijn sygate firewall heb ik er toch gisteren weer een gevonden Ook vind ik open source remote desktop spul als WINVNC. Ik heb het er af gehaald maar met spywaredoctor/Pestcontrol/MS antispyware en Easy Computing spyware beveiliging (die keyloggers allemaal vindt) lijkt mijn pc toch redelijk veilig..

download je veel?

Bij normaal gebruik komen er niet zo gek veel keyloggers binnen hoor!
misschien is het een idee om de firewall in je router aan te zetten, zit je iig wat beter.

Gebruik ook bijv firefox ipv internet explorer, dan heb je minder last.

[ Voor 6% gewijzigd door mace op 16-09-2005 18:32 ]

vrijdag 16 september 2005 18:44

Acties:

Verwijderd

Topicstarter

MaCe1337 schreef op vrijdag 16 september 2005 @ 18:31:
[...]

download je veel?

Bij normaal gebruik komen er niet zo gek veel keyloggers binnen hoor!
misschien is het een idee om de firewall in je router aan te zetten, zit je iig wat beter.

Gebruik ook bijv firefox ipv internet explorer, dan heb je minder last.

Ik weet zelf redelijk veel van computers, gebruik firefox.. kijk geen XXX sites en download ook geen illegale programma's.. Denk eerder dat het persoonlijk is ofzo kan het zelf ook niet bedenken.. Maar behalve de hardwarematige firewall kan ik er dus weinig aan doen?

vrijdag 16 september 2005 18:48

Acties:

mace

Sapere Aude

Verwijderd schreef op vrijdag 16 september 2005 @ 18:44:
[...]

Maar behalve de hardwarematige firewall kan ik er dus weinig aan doen?

Probeer eens spybot search and destroy, en spywareblaster uit. Deze 2 programmas bieden mogelijkheid tot het blokkeren van spyware (lees: ipv het te verwijderen, komt het er nooit op)

offtopic:
spybot verwijdert ook btw...

Die HW firewall is gewoon een extra line of defense zeg maar

zaterdag 17 september 2005 11:59

Acties:

Verwijderd

Topicstarter

MaCe1337 schreef op vrijdag 16 september 2005 @ 18:48:
[...]

Probeer eens spybot search and destroy, en spywareblaster uit. Deze 2 programmas bieden mogelijkheid tot het blokkeren van spyware (lees: ipv het te verwijderen, komt het er nooit op)
offtopic:
spybot verwijdert ook btw...

Die HW firewall is gewoon een extra line of defense zeg maar

Ik heb hitmanpro (en alle bijbehorende tools), norton antivirus 2005, spywareguard, ewido security suite, acronic privacy suite, CA pestpatrol, MS Antispyware, een sygate pro firewall en TOCH vind hij elke dag weer een andere keylogger op mijn systeem... Er is dus geen mogelijkheid om je systeem water dicht te maken

?

zaterdag 17 september 2005 12:11

Acties:

Mafkees

CyBeR schreef op vrijdag 16 september 2005 @ 00:32:
224.0.0.0/8 (en nog een zooitje) is een multicastadres. Dat blijft inderdaad in je netwerk, en IGMP is verder inderdaad redelijk normale traffic. Je hoeft je er geen zorgen over te maken.

Ping maar eens 224.0.0.1 (ALL-SYSTEMS.MCAST.NET) of 224.0.0.2 (ALL-ROUTERS.MCAST.NET). Alle multicast-aware apparaten reageren op die eerste, alle multicast-aware routers op die laatste.

(edit: die tweede moet .2 zijn idd).

'k wil niet vervelend zijn ofzo

maar:

code:

[mark@centos-server ~]$ ping 244.0.0.1
connect: Invalid argument
[mark@centos-server ~]$ ping 244.0.0.2
connect: Invalid argument
[mark@centos-server ~]$ nslookup 244.0.0.1
Server:         83.149.**.***
Address:        83.149.**.***#53

** server can't find 1.0.0.244.in-addr.arpa: NXDOMAIN

[mark@centos-server ~]$ nslookup 244.0.0.2
Server:         83.149.**.***
Address:        83.149.**.***#53

** server can't find 2.0.0.244.in-addr.arpa: NXDOMAIN

Verwijderd schreef op zaterdag 17 september 2005 @ 11:59:
[...]

Ik heb hitmanpro (en alle bijbehorende tools), norton antivirus 2005, spywareguard, ewido security suite, acronic privacy suite, CA pestpatrol, MS Antispyware, een sygate pro firewall en TOCH vind hij elke dag weer een andere keylogger op mijn systeem... Er is dus geen mogelijkheid om je systeem water dicht te maken ?

Compleet waterdicht lukt je nooit, maar je kunt de kans wel tot heel klein maken. Paar voorbeelden, je zult er zelf ook al wat van gebruiken:

Gebruik geen MSIE maar Firefox e.d.
Gebruik de firewall in je router
Gebruik eventueel nog een lokale firewall die ook het uitgaande verkeer monitort
Installeer anti spyware programma's. MS AntiSpyware is een heel goede en heeft realtime protectie, laat deze ook 1x per dag scannen.
Installeer een virusscanner op je pc met realtime protectie en laat deze ook 1x per dag je systeem scannen.
Laat de programma's auto-update uitvoeren en doe hetzelfde met windows. Als je bij blijft met alle updates gaan de kansen ook omlaag.

zaterdag 17 september 2005 12:24

Acties:

CyBeR

💩

MarkOV schreef op zaterdag 17 september 2005 @ 12:11:
[...]

'k wil niet vervelend zijn ofzo maar:

Ik ook niet. Maar ga eens het goede getalletje gebruiken

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 17 september 2005 12:36

Acties:

Mafkees

CyBeR schreef op zaterdag 17 september 2005 @ 12:24:
[...]

Ik ook niet. Maar ga eens het goede getalletje gebruiken

Rofl

Sorry, het is nog vroeg he

Nou doettie het idd wel

Nou ja, half

code:

[mark@centos-server ~]$ ping -c 5 224.0.0.1
PING 224.0.0.1 (224.0.0.1) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted