Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Welke backdoor?

Pagina: 1
Acties:

zaterdag 22 oktober 2005 14:15

Acties:

Verwijderd

Topicstarter
Ik heb sinds twee dagen dat de netwerkmonitor constante netwerkactiviteit blijft weergeven.

Bijna alle spy- en adware programma's laten lopen en ook twee verschillende virusscanners, maar er wordt niets vreemds gevonden. Hijackthis laat ook niet echt rare dingen zien, maar toch constant netwerkactiviteit.

Wat ik wel vond was dat Emule na het opstarten bleef hangen of dat ie alleen zichtbaar was in de processen (Emule.exe). Heb daarna een netwerkmonitor geinstalleerd en het blijkt dat de poorten 5500 tcp/ip en 4672 upd gebruikt worden. Door wat is mij onbekend. Dit zijn twee poorten die ik voor Emule heb ingesteld. Als ik ze blokkeer in mijn router dan is de netwerkactiviteit voorbij en zie alleen nog requests. Emule voor de zekerheid verwijderd van PC maar ik kan niet ontdekken welk programma dit veroorzaakt.

Wie kan mij een tip geven? Ik ben er al een dag mee bezig en heb alle forums al gehad maar ik kom niet meer verder?

zaterdag 22 oktober 2005 14:21

Acties:
  • McKaamos
  • Registratie: Maart 2002
  • Niet online

McKaamos

Master of the Edit-button

welk OS draai je?
Windows doet iig aan een soort van discovery iets om te zien of er nieuwe machines in het netwerk zijn... is constant een klein beetje traffic

Iemand een Tina2 in de aanbieding?

zaterdag 22 oktober 2005 14:22

Acties:
  • VIPER2001
  • Registratie: Juli 2001
  • Laatst online: 30-11 22:41

VIPER2001

[GOT]The Source

dat zijn denk ik nog requests van andere emule clients, die zoeken willen op jouw emule.
ondanks dat je hem niet meer hebt draaien.

Asus X99-DELUXE i7-5930K 16 GB (DDR3 2133) asus GTX1070 8 GB , asus xense ,asus usbdvdwriter,CM-COSMOS II,coirsair1200I,evo1TB,960pro512,Seagate2TB+Seagate 2x4TB,canon5350 logi g910+g502 iiyama G2773HS

zaterdag 22 oktober 2005 14:22

Acties:
  • The Source
  • Registratie: April 2000
  • Laatst online: 00:26

The Source

Scan eens in safe mode... online virusscanners bieden ook uitkomst
Bekijk ook of je scanner het bestand ook daadwerkelijk WIST of REPAIRED!!
En system restore uitzetten anders schiet je niets op

Ik ben 2 dagen in gevecht geweest met mijn computer ivm een backdoor :(

Er bleek een backdoor in lsass.exe te zitten en als je die afsluit dan sluit de computer binnen een minuut af. Was een knappe backdoor... alle antivirus sites stonden in mijn hosts file naar 127.0.0.1, regedit deed het niet meer, task manager wilde zich niet laten zien, dns deed het niet goed, sites werkte maar 5 seconde, heel internet deed gek, auto updates en security center waren uitgeschakeld... :(

Uiteindelijk kon geen virusscanner onder windows of spyware scanner het oplossen en heb ik het bestand handmatig gewist, van de win xp cd handmatig terug gezet en gerenamed (van .ex_ naar .exe) en toen het process afgesloten en computer gereset. Daarna vond mijn scanner nog meer rotzooi die door de backdoor verborgen was gehouden.

[ Voor 3% gewijzigd door The Source op 22-10-2005 14:24 ]

zaterdag 22 oktober 2005 14:38

Acties:

Verwijderd

Topicstarter
Hoi,

Ik draai XP SP2. Kan het zo zijn dat mensen proberen op mijn te komen omdat ik Emule draaien heb (of heb gehad)?

Vroeger had ik geen netwewrkactiviteit als ik Eumle afsloot. Dan was het gewoon einde verhaal.

Ik zal een virusscan draaien in safemode en dan kijken wat eruit komt. Kan ik daarvoor mijn eigen McAfee gebruiken of dien ik dan stinger te gebruiken of zo?

zaterdag 22 oktober 2005 14:43

Acties:
  • sneep
  • Registratie: Juli 2005
  • Laatst online: 22-11 18:43

sneep

Je neemt deze computer toevallig niet over met vnc? gebruikt ook port 5500...

sneep

zaterdag 22 oktober 2005 14:44

Acties:
  • GlowMouse
  • Registratie: November 2002
  • Niet online

GlowMouse

Probeer anders eens met netstat te kijken wat er gebeurt. Als daar niks tussenstaat gaat het waarschijnlijk om onschuldig ARP/ICMP/whatever verkeer, en heeft het niets met een trojan te maken.

zaterdag 22 oktober 2005 14:46

Acties:
  • Shuisman
  • Registratie: Maart 2004
  • Laatst online: 01-09 10:12

Shuisman

Waarom niet ff in een msdos prompt
code:
1

netstat -b


Dan zie je de poorten met de exe's die er aan zitten gekoppeld

zaterdag 22 oktober 2005 14:54

Acties:

Verwijderd

Topicstarter
Ik ga dit netstat gebruiken maar ik neem aan dat ik dan eerst de blokkade op deze twee poorten op moet heffen?

Ok, ze staan open en netstat geeft geen rare dingen weer. Ik kan en mag er dus vanuit gaan dat het verder in orde is? Is het mogelijk dat ik verbindingen inkomend en uitgaand heb op twee poorten die door Emule worden gebruikt? En dat Emule niet actief is, sterker nog, ik heb em helemaal verwijderd?

[ Voor 59% gewijzigd door Verwijderd op 22-10-2005 15:09 ]

zaterdag 22 oktober 2005 15:33

Acties:
  • T-Junkie
  • Registratie: Juni 2001
  • Laatst online: 26-11 11:23

T-Junkie

user brain not connected...

ff een quick reply:
TCPview: http://www.sysinternals.com/Utilities/TcpView.html
Dit is ook een handig tooltje om te kijken welke verbindingen je hebt.

zaterdag 22 oktober 2005 17:27

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

SHuisman schreef op zaterdag 22 oktober 2005 @ 14:46:
Waarom niet ff in een msdos prompt
code:
1

netstat -b


Dan zie je de poorten met de exe's die er aan zitten gekoppeld
Een goeie rootkit verbergt zich ook daarvoor.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 22 oktober 2005 17:29

Acties:
  • TheBorg
  • Registratie: November 2002
  • Laatst online: 12:32

TheBorg

Resistance is futile.

VIPER2001 schreef op zaterdag 22 oktober 2005 @ 14:22:
dat zijn denk ik nog requests van andere emule clients, die zoeken willen op jouw emule.
ondanks dat je hem niet meer hebt draaien.
Inderdaad, gaat na een paar uurtjes vanzelf weg.

zaterdag 22 oktober 2005 20:22

Acties:

Verwijderd

Topicstarter
Backslash, wat stel je voor om na te gaan of er iets loopt?

Ik ben er niet genoeg in thuis, weet er wel wat van, maar niet genoeg.

zaterdag 22 oktober 2005 20:25

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

Verwijderd schreef op zaterdag 22 oktober 2005 @ 20:22:
Backslash, wat stel je voor om na te gaan of er iets loopt?

Ik ben er niet genoeg in thuis, weet er wel wat van, maar niet genoeg.
Kijk eens met F-Secure's Blacklight of er zich nog verborgen malware bevindt. Let wel op, niet alles wat verborgen is hoeft malware te zijn. Je kunt verder ook nog met een virusscanner zoals Kaspersky AV (met extended bases) of er nog bepaalde files als malware herkend worden. :)

Signature

woensdag 26 oktober 2005 19:14

Acties:

Verwijderd

Topicstarter
Blacklight gebruikt maar niets gevonden.

Ik denk dat ik het bij de zoekaktie laat en ik ga er vanuit dat het requests waren die van Emule servers kwamen voor files.

In ieder geval bedankt voor de tips die ik heb gekregen. _/-\o_

woensdag 26 oktober 2005 19:16

Acties:
  • job
  • Registratie: Februari 2002
  • Laatst online: 21-11 13:13

job

4672 is de inkomende poort voor emule.
Dus dan zullen de connecties boven de 5000 wel voor de uitgaande verbindingen zijn.

Jammer dat ik dit topic nu pas zie. anders had ik je wat zoekwerk kunnen beperken :P

[ Voor 27% gewijzigd door job op 26-10-2005 19:17 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq