Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Spam vanuit mijn adres

Pagina: 1
Acties:
  • 137 views sinds 30-01-2008
  • Reageer

dinsdag 21 februari 2006 16:38

Acties:
  • Rowwan
  • Registratie: November 2000
  • Laatst online: 08:08

Rowwan

Topicstarter
Ongeveer een week geleden kreeg ik een mailtje van Wanadoo met de melding dat er spam werd verstuurd vanuit mijn adres. Volgens hun waarschijnlijk door mijn mailserver of proxyserver...

Nu heb ik geen mail- en proxyserver dus dat kon de oorzaak niet zijn. Ik heb Zonealarm geinstalleerd, XP firewal draaien, (up to date) virusscan gedraaid, Spybot gerdaaid, Hitman Pro gedraaid... Alles lijkt clean :?

Nu heb ik weer een mailtje van Wanadoo! Wat kan ik nu nog ondernemen? (Behalve mijn PC opnieuw installeren!)

dinsdag 21 februari 2006 16:40

Acties:
  • Luuk1983
  • Registratie: Januari 2004
  • Laatst online: 10:27

Luuk1983

Tja, zeer waarschijnlijk heb je kennisen die jou adres in hun adressenboek hebben zitten. Veel virussen/adware etc versturen vanaf die computers mail waarbij ze de afzender verzinnen aan de hand van het adressenboek van die persoon. Is weinig wat je ertegen kan doen. Ik heb wel eens spam van mezelf gekregen...

AMD Ryzen 7 5800X3D | Gigabyte X570 Aorus ELITE | 32GB Corsair vengence 3200 | MSI RTX3080 Gaming Z | 2 x WD Black SN850X 2TB, Samsung 850 EVO 1TB | NZXT H7 Flow | Be quiet! Dark Rock Pro 4 | Corsair RM850x | Meta Quest 3

dinsdag 21 februari 2006 16:43

Acties:
  • ZjieB
  • Registratie: Juli 2002
  • Laatst online: 31-10 14:44

ZjieB

jah, ik neem aan dat Wanadoo e.e.a. baseert op het ip-adres ipv het e-mailadres.

dinsdag 21 februari 2006 16:44

Acties:
  • Beekforel
  • Registratie: November 2001
  • Laatst online: 08:27

Beekforel

Is eigenlijk geen vis

Luuk1983 schreef op dinsdag 21 februari 2006 @ 16:40:
Tja, zeer waarschijnlijk heb je kennisen die jou adres in hun adressenboek hebben zitten. Veel virussen/adware etc versturen vanaf die computers mail waarbij ze de afzender verzinnen aan de hand van het adressenboek van die persoon. Is weinig wat je ertegen kan doen. Ik heb wel eens spam van mezelf gekregen...
Maar over dat soort dingen krijg jij geen mail van je ISP, aangezien die (als het goed is) het IP adres waar de spam vanaf gestuurd is aanpakken (lijkt mij).
Waarschijnlijk zit er toch íets in je computer of netwerk wat spam of virussen verstuurd. Heb je misschien bepaalde (web)server software draaien?

dinsdag 21 februari 2006 16:45

Acties:
  • Rowwan
  • Registratie: November 2000
  • Laatst online: 08:08

Rowwan

Topicstarter
Ik neem aan dat Wanadoo dit toch checkt aan de hand van mijn IP, en niet aan de hand van een naam in de mail header :?

blablabla Als wij klachten blijven ontvangen, dan zijn wij genoodzaakt om in overeenstemming met onze voorwaarden uw account te blokkeren totdat het probleem is opgelost..

Ook heb ik geen webserver draaien...

[ Voor 7% gewijzigd door Rowwan op 21-02-2006 16:45 ]

dinsdag 21 februari 2006 16:48

Acties:

Verwijderd

Heb je toevallig een niet of nauwelijks beveiligd draadloos netwerk? Misschien is het de PC van de buurman wel.

Edit:

Heb je aan Wanadoo al eens gevraagd of ze de headers van zo'n spambericht naar je kunnen mailen? Misschien kun je daar iets meer uithalen....

[ Voor 41% gewijzigd door Verwijderd op 21-02-2006 16:49 ]

dinsdag 21 februari 2006 16:54

Acties:
  • Rowwan
  • Registratie: November 2000
  • Laatst online: 08:08

Rowwan

Topicstarter
Ik heb idd een draadloos netwerk Dit heb ik beveiligd via WEP en mac adres filtering. Ik geloof niet dat hier een lek zit.
De header sturen ze netjes mee in de mail die ze sturen. Helaas kan ik hier weinig mee.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44

Return-Path: 
Delivered-To: spamdesk-prod-untd-com-eow-spam@spamdesk.prod.untd.com
Received: (qmail 20250 invoked from network); 17 Feb 2006 04:10:50 -0000
Received: from unknown (HELO outbound28-2.lax.untd.com) (10.130.26.57)
by scanmaildb01.nyc.untd.com with SMTP; 17 Feb 2006 04:10:50 -0000
Received: (qmail 15853 invoked by uid 514); 17 Feb 2006 04:10:49 -0000
X-Issue-Tag: .catch_spam_mail
Delivered-To: support-juno-com-spamdesk-spam@support.juno.com
Received: from webmail21.lax.untd.com (webmail21.lax.untd.com [10.131.27.161])
by mp02.lax.untd.com with SMTP id AABB9LVCKA5XXJ62
for (sender );
Thu, 16 Feb 2006 20:08:41 -0800 (PST)
X-UNTD-OriginStamp: OUVPmeX0isp43Qr8kfv+aPoes2hBZZWd2449Npx8MiWS8kybmwjCyg==
Received: (from X) 
by webmail21.lax.untd.com (jqueuemail) id LHDR5VQG; Thu, 16 Feb 2006 20:07:53 PST
Received: from mx17.nyc.untd.com (mx17.nyc.untd.com [10.140.24.77])
by maildeliver23.lax.untd.com with SMTP id AABB8ZBNCABTS9ZJ
for (sender );
Thu, 9 Feb 2006 10:10:10 -0800 (PST)
Received: from vl-gbv-45681.adsl.wanadoo.nl (vl-gbv-45681.adsl.wanadoo.nl [83.118.244.129])
by mx17.nyc.untd.com with SMTP id AABB8ZBNAAYLEGSJ
for (sender );
Thu, 9 Feb 2006 10:10:08 -0800 (PST)
Received: from superb.cnchost.com
by vl-gbv-45681.adsl.wanadoo.nl (Postfix) with ESMTP id 8D288B0366
for ; Thu, 9 Feb 2006 13:10:06 -0500
Received: from unknown (dsnat [62.204.72.97])
by superb.cnchost.com with Microsoft SMTPSVC(5.0.2195.5329)
for ; Thu, 9 Feb 2006 13:10:06 -0500
Reply-To: Bryce Phillips 
From: "Bryce" 
Message-ID: <428011079498.5722810118@marturo.com>
Date: Thu, 9 Feb 2006 13:10:06 -0500
To: 
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
X-UNTD-UBE: 5
X-ContentStamp: 3:4:1209444616
X-MAIL-INFO:3ef015c0bdbd61e92d21150cb1d1f494617db919b941a085fd29114101a0f5298059901571a009709179b071bd2159e5bd61f9dd1450
X-UNTD-Peer-Info: 83.118.244.129|vl-gbv-45681.adsl.wanadoo.nl|vl-gbv-45681.adsl.wanadoo.nl|mrudnickywxb@marturo.com
Subject: for, Dmcbride. Ref # [1MAZt2mEgs3Cpsj]
X-Juno-Message-Id: 1MAZt2mEgs3Cpsj06mH
X-Thread-Count: 1

dinsdag 21 februari 2006 17:00

Acties:
  • Flapp
  • Registratie: December 2004
  • Laatst online: 20-05-2024

Flapp

Ga naar www.whatismyip.com
en kijk:
83.118.244.129 is dat het IP wat jij krijgt?
want in dat geval heb je toch iets wat spam verstuurd.
Je kan proberen om in je router alle poorten behalve degene die je echt nodig hebt dicht te draaien.
dan kan je zo goed als zeker weten dat er geen mail mee word verstuurd.... geen lekkere oplossing helaas 8)7

[ Voor 62% gewijzigd door Flapp op 21-02-2006 17:02 ]

"Stilte, een gat in het geluid...."

dinsdag 21 februari 2006 17:04

Acties:
  • Gurbe de n00b
  • Registratie: Juni 2003
  • Laatst online: 08-02-2024

Gurbe de n00b

Check dan ook even wat je DNS is.

In de headers staan dat:
vl-gbv-45681.adsl.wanadoo.nl
jouwn dns is :P

PS: Flappietoetoe, het is http://www.watismijnip.nl

[ Voor 27% gewijzigd door Gurbe de n00b op 21-02-2006 17:05 . Reden: Even juiste url toegevoegd :) ]

Portfolio

dinsdag 21 februari 2006 17:07

Acties:
  • Rowwan
  • Registratie: November 2000
  • Laatst online: 08:08

Rowwan

Topicstarter
Op dit moment zit ik niet thuis op m´n PC, maar ik zal het zo snel mogelijk nakijken... Waar kan ik mijn DNS checken? Dit wordt toch automatisch ingesteld door Wanadoo?

[ Voor 32% gewijzigd door Rowwan op 21-02-2006 17:10 ]

dinsdag 21 februari 2006 17:13

Acties:
  • Gurbe de n00b
  • Registratie: Juni 2003
  • Laatst online: 08-02-2024

Gurbe de n00b

Dat staat op www.watismijnip.nl aangegeven als hostname :)

Edit: Ik weet niet om de hoeveel tijd dat word aangepast eigelijk...

[ Voor 42% gewijzigd door Gurbe de n00b op 21-02-2006 17:20 ]

Portfolio

dinsdag 21 februari 2006 18:08

Acties:
  • Beekforel
  • Registratie: November 2001
  • Laatst online: 08:27

Beekforel

Is eigenlijk geen vis

Je hostname (dns) blijft altijd hetzelfde, je ip adres veranderd nog wel eens. Hoewel dat tegenwoordig ook nog maar zelden gebeurd. Boven genoemde hostname correspondeerd trouwens met het ip adres.

woensdag 22 februari 2006 07:32

Acties:
  • Rowwan
  • Registratie: November 2000
  • Laatst online: 08:08

Rowwan

Topicstarter
Mmmm... IP adres klopt, het komt dus echt van mijn PC :(

woensdag 22 februari 2006 07:54

Acties:
  • m3gA
  • Registratie: Juni 2002
  • Laatst online: 10:43

m3gA

Post eens een hijackthis log?

woensdag 22 februari 2006 08:14

Acties:
  • JivZ
  • Registratie: Oktober 2001
  • Laatst online: 10:29

JivZ

Er staan nog een aantal Received headers na je wanadoo adres. Lijkt erop dat je pc toch een mailserver of proxy draait. Probeer eens met een tooltje als hier te achterhalen of je toch niet zoiets hebt draaien?

woensdag 22 februari 2006 08:18

Acties:
  • TallManNL
  • Registratie: Oktober 2005
  • Laatst online: 30-11 15:04

TallManNL

Net even een telnet naar je IP op poort 25 geprobeerd, connection is established, er zit dus echt iets.

Onder XP kun je met je command prompt netstat -ap uitvoeren en kijken welk PID je port 25 (smtp) openheeft, met de taskmanager kun je kijken welk process het is.

geheelonthouder met geheugenverlies

woensdag 22 februari 2006 08:32

Acties:

Verwijderd

TallManNL schreef op woensdag 22 februari 2006 @ 08:18:
Onder XP kun je met je command prompt netstat -ap uitvoeren en kijken welk PID je port 25 (smtp) openheeft, met de taskmanager kun je kijken welk process het is.
Dit moet netstat -ab zijn

woensdag 22 februari 2006 09:20

Acties:
  • lier
  • Registratie: Januari 2004
  • Laatst online: 10:56

lier

MikroTik nerd

TallManNL schreef op woensdag 22 februari 2006 @ 08:18:
Net even een telnet naar je IP op poort 25 geprobeerd, connection is established, er zit dus echt iets.

Onder XP kun je met je command prompt netstat -ap uitvoeren en kijken welk PID je port 25 (smtp) openheeft, met de taskmanager kun je kijken welk process het is.
Waarom zou je thuis uberhaupt poorten open hebben (behalve als je ze "bewust" gebruikt ?). Er zijn zelfs gebruikers die hun pc in de DMZ plaatsen (heb je tenminste geen gezeik met poorten die open moeten, hahaha).

Heel snel poort 25 sluiten en alle andere !, zodat je toch nog gebruik mag maken van je Internet connectie.

Eerst het probleem, dan de oplossing

woensdag 22 februari 2006 10:01

Acties:
  • TallManNL
  • Registratie: Oktober 2005
  • Laatst online: 30-11 15:04

TallManNL

Verwijderd schreef op woensdag 22 februari 2006 @ 08:32:
[...]


Dit moet netstat -ab zijn
Je hebt gelijk, ik vergeet dingen alweer in de tijd die het kost om de remote desktop naar een xp machine te sluiten waar ik het op heb getest. ;(

geheelonthouder met geheugenverlies

woensdag 22 februari 2006 10:22

Acties:
  • Rowwan
  • Registratie: November 2000
  • Laatst online: 08:08

Rowwan

Topicstarter
Ik zal alle tips vanavond uitproberen!

Nog even over het sluiten van poort 25. Als ik deze sluit kan ik toch geen mail meer versturen?

woensdag 22 februari 2006 10:26

Acties:

Verwijderd

Rowwan schreef op woensdag 22 februari 2006 @ 10:22:
Ik zal alle tips vanavond uitproberen!

Nog even over het sluiten van poort 25. Als ik deze sluit kan ik toch geen mail meer versturen?
je moet op poort 25 het inbound verkeer blokken, niet het outbound. 25 is idd voor verzenden (smtp)

woensdag 22 februari 2006 10:30

Acties:
  • Rowwan
  • Registratie: November 2000
  • Laatst online: 08:08

Rowwan

Topicstarter
Prima... Maar als het iets lokaals is, is het daarmee dus niet opgelost.. Ik zal het vanavond proberen..

Ik heb trouwens op http://www.hackerwatch.org/probe/?affid=0-31 een poortscan gedraaid, en die zei dat alles OK was. Vreemd :?

[ Voor 47% gewijzigd door Rowwan op 22-02-2006 10:32 ]

woensdag 22 februari 2006 10:35

Acties:
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Internet & Telefonie ==> Beveiliging & Virussen. Lees even wat oudere topics hier in BV over hetzelfde onderwerp :)
Rowwan schreef op dinsdag 21 februari 2006 @ 16:38:
Ik heb Zonealarm geinstalleerd, XP firewal draaien, (up to date) virusscan gedraaid, Spybot gerdaaid, Hitman Pro gedraaid... Alles lijkt clean :?
Welke virusscanner en heb je ook een andere geprobeerd?

WEP + MAC beveiliging is trouwens bepaald niet veilig. Is binnen no-time gekraakt. Kijk eens in de router zelf hoeveel IP adressen er zijn uitgedeeld en kijk of je er enige logging aan kunt zetten.

Kijk hoe dan ook (bijv. met Sysinternals' portmon) welke poorten er open staan en welke applicaties er aan hangen. Kijk met hijackthis welke apps er actief zijn (zie ook de BV sticky topics) en rapporteer even terug wat je vindt :)

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 22 februari 2006 10:50

Acties:

Verwijderd

TallManNL schreef op woensdag 22 februari 2006 @ 08:18:
Net even een telnet naar je IP op poort 25 geprobeerd, connection is established, er zit dus echt iets.

Onder XP kun je met je command prompt netstat -ap uitvoeren en kijken welk PID je port 25 (smtp) openheeft, met de taskmanager kun je kijken welk process het is.
ik krijg errors hier O.o

connection::get_buffer() unexpected error from select: 10093
connection::get_buffer() unexpected error: 10093


maar rowwan, probeer zelf eens te mailen via een pc die eigenlijk niet op het netwerk hoort. als je een laptop hebt: spoof het mac adres van je wifi, proberen op het wifi te komen en mailen.

woensdag 22 februari 2006 18:32

Acties:
  • Rowwan
  • Registratie: November 2000
  • Laatst online: 08:08

Rowwan

Topicstarter
hijackthis:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121

Logfile of HijackThis v1.99.1
Scan saved at 18:20:34, on 22-2-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Launch Manager\QtDTAcer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\khooker.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\SpamPal\spampal.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\W. Creemers\Local Settings\Temporary Internet Files\Content.IE5\QLLMV6DW\HijackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.googlecom
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\nl\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\nl\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtDTAcer.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\system32\khooker.exe
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\PINNAC~1\PPE\PPE.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: Toevoegen aan Mobiele favorieten - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Toevoegen aan Mobiele favorieten... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D2CF9D0-113A-476B-986F-288B54571614} (DevalVRX) - http://www.devalvr.com/instalacion/plugin/devalocx.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098207658733
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp03.photoprintit.de/microsite/1386/defaults/activex/ImageUploader3.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4410/mcfscan.cab
O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - C:\PROGRA~1\BT2Net\BT2PLU~1.DLL (file missing)
O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - C:\PROGRA~1\BT2Net\BT2PLU~1.DLL
O19 - User stylesheet:  (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: SysTray.Exmr - {73F8D5FF-6F5C-4f5b-B964-E6F214F6F852} - C:\WINDOWS\system32\apgjbdpn.dll
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Contivity VPN Service (ExtranetAccess) - Nortel Networks NA, Inc. - C:\Program Files\VRAS\Extranet_serv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe


Netstat:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85

Actieve verbindingen

  Proto  Lokaal adres          Extern adres        Status           PID
TCP    oem-ssp307yn7x8:microsoft-ds  oem-ssp307yn7x8:0      Bezig met luisteren    4
  [Systeem]

TCP    oem-ssp307yn7x8:2869   oem-ssp307yn7x8:0      Bezig met luisteren    400
  C:\WINDOWS\System32\httpapi.dll
  c:\windows\system32\ssdpsrv.dll
  C:\WINDOWS\system32\RPCRT4.dll
  [svchost.exe]

TCP    oem-ssp307yn7x8:netbios-ssn  oem-ssp307yn7x8:0      Bezig met luisteren    4
  [Systeem]

TCP    oem-ssp307yn7x8:1401   kia.etel.ru:http       ESTABLISHED     3380
  [IEXPLORE.EXE]

TCP    oem-ssp307yn7x8:1402   kia.etel.ru:http       ESTABLISHED     3380
  [IEXPLORE.EXE]

TCP    oem-ssp307yn7x8:2869   my.router:3532         CLOSE_WAIT      4
  [Systeem]

TCP    oem-ssp307yn7x8:2869   my.router:3534         CLOSE_WAIT      4
  [Systeem]

UDP    oem-ssp307yn7x8:1043   *:*                                    2008
  C:\WINDOWS\system32\mswsock.dll
  c:\windows\system32\WS2_32.dll
  c:\windows\system32\DNSAPI.dll
  c:\windows\system32\dnsrslvr.dll
  C:\WINDOWS\system32\RPCRT4.dll
  [svchost.exe]

UDP    oem-ssp307yn7x8:1076   *:*                                    2008
  C:\WINDOWS\system32\mswsock.dll
  c:\windows\system32\WS2_32.dll
  c:\windows\system32\DNSAPI.dll
  c:\windows\system32\dnsrslvr.dll
  C:\WINDOWS\system32\RPCRT4.dll
  [svchost.exe]

UDP    oem-ssp307yn7x8:microsoft-ds  *:*                                    4
  [Systeem]

UDP    oem-ssp307yn7x8:ntp    *:*                                    1964
  c:\windows\system32\WS2_32.dll
  c:\windows\system32\w32time.dll
  ntdll.dll
  C:\WINDOWS\system32\kernel32.dll
  [svchost.exe]

UDP    oem-ssp307yn7x8:1047   *:*                                    1984
  [MsnMsgr.Exe]

UDP    oem-ssp307yn7x8:1250   *:*                                    3380
  [IEXPLORE.EXE]

UDP    oem-ssp307yn7x8:1900   *:*                                    400
  c:\windows\system32\WS2_32.dll
  c:\windows\system32\ssdpsrv.dll
  ntdll.dll
  C:\WINDOWS\system32\kernel32.dll
  [svchost.exe]

UDP    oem-ssp307yn7x8:netbios-dgm  *:*                                    4
  [Systeem]

UDP    oem-ssp307yn7x8:ntp    *:*                                    1964
  c:\windows\system32\WS2_32.dll
  c:\windows\system32\w32time.dll
  ntdll.dll
  C:\WINDOWS\system32\kernel32.dll
  [svchost.exe]

UDP    oem-ssp307yn7x8:1900   *:*                                    400
  c:\windows\system32\WS2_32.dll
  c:\windows\system32\ssdpsrv.dll
  ntdll.dll
  C:\WINDOWS\system32\kernel32.dll
  [svchost.exe]

UDP    oem-ssp307yn7x8:netbios-ns  *:*                                    4
  [Systeem]

woensdag 22 februari 2006 18:51

Acties:
  • Paul
  • Registratie: September 2000
  • Laatst online: 10:32

Paul

Verwijderd schreef op woensdag 22 februari 2006 @ 10:26:
[...]

je moet op poort 25 het inbound verkeer blokken, niet het outbound. 25 is idd voor verzenden (smtp)
Je moet juist outbound blocken, het probleem is niet dat hij spam ontvangt, maar dat hij het verzend -> er wordt verzonden naar een server op het internet, naar poort TCP/25 van die server, vanaf poort TCP(<1024) lokaal.
Je moet dus alles wat outbound naar poort 25 wil blockeren.

Wat je kunt proberen is Look@Lan draaien (www.lookatlan.com), dan zie je (mits jij hetzelfde subnetmasker hebt als je router) precies wie er in jouw netwerk nog meer online zijn -> of er iemand je wireless gekraakt heeft en er nu spam over staat te zenden.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

woensdag 22 februari 2006 18:55

Acties:
  • The_Ghost
  • Registratie: December 2000
  • Laatst online: 05-01-2021

The_Ghost

To beer or not to beer........

Paul Nieuwkamp schreef op woensdag 22 februari 2006 @ 18:51:
[...]
Je moet juist outbound blocken, het probleem is niet dat hij spam ontvangt, maar dat hij het verzend -> er wordt verzonden naar een server op het internet, naar poort TCP/25 van die server, vanaf poort TCP(<1024) lokaal.
Je moet dus alles wat outbound naar poort 25 wil blockeren.
Als je nou zelf geen mailserver draait hè, dan heb je dus geen reden om verkeer te ontvangen op poort 25. Inbound blocken dus, op die manier kan je computer in ieder geval niet meer als relay gebruikt worden. Outbound houdt in dat je geen mail meer kunt verzenden.

Ontopic: in je hijackthis staat spampal.exe.. dat klinkt niet als iets wat ik zou willen zien....

Edit: dit lijkt me ook geen zuivere koffie:

C:\WINDOWS\system32\sistray.EXE

bij mij heet dat systray namelijk..

[ Voor 15% gewijzigd door The_Ghost op 22-02-2006 19:03 ]

Get your copy of the web: 'copy http://*.* a:'

woensdag 22 februari 2006 19:00

Acties:
  • Rowwan
  • Registratie: November 2000
  • Laatst online: 08:08

Rowwan

Topicstarter
Spampal draai ik om me te beschermen tegen spam :). Dit draai ik al heel lang en heeft nog nooit voor problemen gezorgt.

woensdag 22 februari 2006 19:01

Acties:

Verwijderd

ik zie in deze lijsten toch al wel wat rare dingen staan
hijackthis nummer 17
hijackthis nummer 31
hijackthis nummer 32
in de netstat lijst zie je dat er verbinding wordt gemaakt met een russische server, "kia.etel.ru:http" mogelijk browserhijjacker.
en volgens mij hoort deze ook niet

UDP oem-ssp307yn7x8:1250 *:* 3380
[IEXPLORE.EXE]

maar dat kun je makkelijk via google opzoeken, wel schrijven zoals het er staat, hoofdletters en dergelijke

woensdag 22 februari 2006 19:08

Acties:
  • Rowwan
  • Registratie: November 2000
  • Laatst online: 08:08

Rowwan

Topicstarter
Verwijderd schreef op woensdag 22 februari 2006 @ 19:01:
ik zie in deze lijsten toch al wel wat rare dingen staan
hijackthis nummer 17
hijackthis nummer 31
hijackthis nummer 32
in de netstat lijst zie je dat er verbinding wordt gemaakt met een russische server, "kia.etel.ru:http" mogelijk browserhijjacker.
en volgens mij hoort deze ook niet

UDP oem-ssp307yn7x8:1250 *:* 3380
[IEXPLORE.EXE]

maar dat kun je makkelijk via google opzoeken, wel schrijven zoals het er staat, hoofdletters en dergelijke
De vreemde russische server vindt ik niet meer terug als ik nog een keer netstat draai... Je laatste opmerking begrijp ik niet (oem-ssp307yn7x8 is mijn eigen computer naam)

woensdag 22 februari 2006 19:22

Acties:
  • The_Ghost
  • Registratie: December 2000
  • Laatst online: 05-01-2021

The_Ghost

To beer or not to beer........

sistray.exe is wel verdacht als je geen sis videochipset hebt:
http://process.networktechs.com/sistray.exe.php
evenals khooker.exe:
http://process.networktechs.com/khooker.exe.php

Get your copy of the web: 'copy http://*.* a:'

woensdag 22 februari 2006 19:28

Acties:
  • Rowwan
  • Registratie: November 2000
  • Laatst online: 08:08

Rowwan

Topicstarter
Maar ik heb wel een Sis videochip....

woensdag 22 februari 2006 19:32

Acties:
  • the_stickie
  • Registratie: Juli 2001
  • Laatst online: 14-09 11:46

the_stickie

Probeer eerst uit te vogelen of jjouw machinde de enige is in je netwerk (dat dus van de wanadoo verbinding gebruik maakt). Als dat zo is, is er toch wat loos met je pc. Ik ben geneigd te zeggend at het dan tijd si voor een cleane install. Immers, eenmaal een machine écht "aangevallen" is, is de kans groot dat gewone tools die brol niet of slechts gedeeltelijk vinden en verwijderen. Handmatig alles opschonen is vaak meer werk dan ene volledige install :)

woensdag 22 februari 2006 19:36

Acties:
  • Sassie
  • Registratie: November 1999
  • Laatst online: 28-11 22:30

Sassie

Als ik even snel je hijackthis-log doorkijk valt mij het volgende op:
O21 - SSODL: SysTray.Exmr - {73F8D5FF-6F5C-4f5b-B964-E6F214F6F852} - C:\WINDOWS\system32\apgjbdpn.dll
Kijk even of je die .dll kunt uploaden @ http://virusscan.jotti.org
Castlecops geeft een backdoor aan: http://castlecops.com/o21list-32.html
Zie ook http://www.spywareinfo.com/~merijn/htlogtutorial.html#o2

donderdag 23 februari 2006 17:38

Acties:
  • Rowwan
  • Registratie: November 2000
  • Laatst online: 08:08

Rowwan

Topicstarter
Sassie,
volgens mij heb je gelijk... Ik heb hem eruit gegooid (via Hijackthis). Wat trouwens wel vreemd is, is dat als ik de file scan via http://virusscan.jotti.org/, dat hij dan bij elke scanner een ander virus aangeeft :?

donderdag 23 februari 2006 18:21

Acties:
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Even uit nieuwsgierigheid: een ander virus of eenzelfde virus met een andere naam? <-- vaak zie je bij de antivirus sites ook de aliassen staan.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 24 februari 2006 07:18

Acties:
  • Rowwan
  • Registratie: November 2000
  • Laatst online: 08:08

Rowwan

Topicstarter
Volgens mij iets compleet anders.. maar ik kan me vergist hebben... Ik zag wel (via process explorer) dat de dll in gebruik was door iexplorer, dus misschien is het nu opgelost ;)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq