Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Spyware process

Pagina: 1
Acties:
  • 4.254 views sinds 30-01-2008
  • Reageer

zaterdag 6 mei 2006 03:11

Acties:

Verwijderd

Topicstarter
Hi tweakers,

Sinds een paar dagen heb ik last van een process dat in de achtergrond draait en voordurend contact met het internet heeft.

Het begon met de log file van mijn firewall (McAfee) daaruit bleek dat ik constant werd benaderd op verschillende poorten vanaf vergelijkbare domains. Een voorbeeld van zo'n domain is akamai6-2.adl5.internode.on.net. Ik heb een email gestuurd naar mijn ISP (Internode Australie) en gemeld dat ik constant word benaderd vanaf vergelijkbare domains, of ze hier misschien iets aan willen doen. Volgens mijn ISP is er niets aan de hand en heb ik hier ooit zelf voor gekozen en is mijn firewall gewoon een beetje overgevoelig. Yeah, right..!

Behalve dat ik nu constant wordt benaderd van buitenaf is er ook iets op mijn machine zelf bezig. Er wordt constant data verstuurd. Als ik opstart en niets doe en even later mijn Connection Status opvraag is er meer data verstuurd dan er is ontvangen. Dat is niet de bedoeling.

Ik heb geloof ik in de afgelopen dagen zo'n beetje alle aangeprezen spyware tools e.d. plus virus scanners gedraaid maar er wordt niets gevonden.

Ik heb met TCPVIEW het process geindentificeerd en op het moment dat ik dit process met TCPVIEW afsluit is het ineens rustig op de lijn. Het process ziet er in TCPVIEW ongeveer als volgt uit:
code:
1

svchost.exe:1328, UDP, frodo.domain_not_set.invalid:ntp, *.*, [leeg]

Het nummer achter svchost.exe verschilt iedere keer ik opstart. Mijn vraag is in principe hoe kan ik dit process verwijderen tijdens het opstarten inplaats van het elke keer met de hand te doen?

alvast bedankt!

PS: sorry voor het lange verhaal.

zaterdag 6 mei 2006 03:17

Acties:
  • Outerspace
  • Registratie: Februari 2002
  • Laatst online: 00:21

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Kan je eens kijken met Process Explorer het het desbetreffende service te killen is. En zou je daarna eens met hijackthis kunnen scannen en het log hier laten zien? :)

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

zaterdag 6 mei 2006 03:18

Acties:

Verwijderd

Topicstarter
Dit is wat hijackthis direct na een restart als log wegschrijft:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103

Logfile of HijackThis v1.99.1
Scan saved at 10:47:05, on 6/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Common Files\Nokia\Services\ServiceLayer.exe
C:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Development\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Development\Macromedia\Flash Media Server 2\FMSMaster.exe
C:\Development\Macromedia\Flash Media Server 2\FMSCore.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
C:\Program Files\WinCmd\WINCMD32.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
c:\m\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ConnectCD] D:\setup.exe holland
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ServiceLayer] C:\Program Files\Common Files\Nokia\Services\ServiceLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SpywareBot] C:\Program Files\SpywareBot\SpywareBot.exe -boot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Development\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Apache2 - Unknown owner - C:\Development\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Flash Communication Server (FlashCom) - Macromedia, Inc. - C:\Development\Macromedia\Flash Communication Server MX\FlashCom.exe
O23 - Service: Flash Communication Admin Service (FlashComAdmin) - Macromedia, Inc. - C:\Development\Macromedia\Flash Communication Server MX\FlashComAdmin.exe
O23 - Service: Flash Media Server (FMS) (FMS) - Macromedia, Inc. - C:\Development\Macromedia\Flash Media Server 2\FMSMaster.exe
O23 - Service: Flash Media Administration Server (FMSAdmin) - Macromedia, Inc. - C:\Development\Macromedia\Flash Media Server 2\FMSAdmin.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: MySQL - Unknown owner - C:\Development\MySQL\MySQL.exe (file missing)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Ethernet Packet Service (npacketservice) - Nokia - C:\WINDOWS\system32\npacketsvc.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: WMP54Gv4SVC - Unknown owner - C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe" "WMP54Gv4.exe (file missing)


Ik ga ondertussen even Process Explorer proberen (moet ervoor restarten om de spyware weer aan de praat te krijgen)

zaterdag 6 mei 2006 03:35

Acties:

Verwijderd

Topicstarter
Ook met process explorer kan ik 'm afschieten (die gasten van sysinternals maken goed spul). In process explorer staat 'ie onder services.exe -> svchost.exe -> wuauclt.exe met een mooi microsoft icoontje plus achter alle staat dat ze van MS zijn.

zaterdag 6 mei 2006 03:40

Acties:
  • Wim-Bart
  • Registratie: Mei 2004
  • Laatst online: 10-01-2021

Wim-Bart

Zie signature voor een baan.

Verwijderd schreef op zaterdag 06 mei 2006 @ 03:35:
Ook met process explorer kan ik 'm afschieten (die gasten van sysinternals maken goed spul). In process explorer staat 'ie onder services.exe -> svchost.exe -> wuauclt.exe met een mooi microsoft icoontje plus achter alle staat dat ze van MS zijn.
De verbinding naar de akmai servers zijn geen spyware, is gewoon je Windows update. wuauclt.exe is het Windows update proces.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

zaterdag 6 mei 2006 03:48

Acties:

Verwijderd

Topicstarter
Prima, maar dat ding staat dus wel constant te uploaden. :|

zaterdag 6 mei 2006 06:27

Acties:
  • Nulnulnix
  • Registratie: Januari 2001
  • Laatst online: 09-09 11:26

Nulnulnix

BOFH

Verwijderd schreef op zaterdag 06 mei 2006 @ 03:48:
Prima, maar dat ding staat dus wel constant te uploaden. :|
Hij staat niet te uploaden, maar op gezette tijden te pollen of er nieuwe updates zijn en dat is wel een verschil... Je kunt ook de update service van Microsoft op manual zetten.

We have just one world, but we live in different ones...

zaterdag 6 mei 2006 12:08

Acties:

Verwijderd

Topicstarter
Ook prima, maar is dit constant? Ik heb onder in de icontray de netwerk actiefitijds iconen staan en deze staan 100% van de tijd op zenden/ontvangen. Als ik mijn netwerk connection status opvraag heb ik ook altijd meer packets verzonden dan ontvangen. Daarbij komt ook nog eens dat automatic updates alleen een notificatie mag geven en niets mag downloaden. Is het echt nodig voor Windows om constant te kijken of er nieuwe updates zijn?

zaterdag 6 mei 2006 12:15

Acties:
  • wvkreg
  • Registratie: Januari 2002
  • Laatst online: 30-11 12:34

wvkreg

zucht, wat een drukte. disable WUA of de service en je bent er vanaf!

zaterdag 6 mei 2006 12:26

Acties:

Verwijderd

Topicstarter
Graag. Hoe doe ik dit? Als ik automatic updates uitschakel veranderd er niets.

zaterdag 6 mei 2006 12:32

Acties:
  • joopv
  • Registratie: Juli 2003
  • Niet online

joopv

Verwijderd schreef op zaterdag 06 mei 2006 @ 03:11:
Ik heb met TCPVIEW het process geindentificeerd en op het moment dat ik dit process met TCPVIEW afsluit is het ineens rustig op de lijn. Het process ziet er in TCPVIEW ongeveer als volgt uit:
code:
1

svchost.exe:1328, UDP, frodo.domain_not_set.invalid:ntp, *.*, [leeg]

Het nummer achter svchost.exe verschilt iedere keer ik opstart.
Je systeem probeert achter de juiste tijd te komen (ntp = network time protocol).
Kijk eens in de eigenschappen van de datum/tijd instellingen.

zaterdag 6 mei 2006 12:32

Acties:
  • fsfikke
  • Registratie: Maart 2003
  • Niet online

fsfikke

* * * *

Volgens mij ben je een beetje paranoid bezig :)
Dat er direct na de startup al pakjes verzonden en ontvangen zijn is normaal (bijvoorbeeld een DHCP-request van je netwerkkaart). Je hebt je pc compleet gescanned met alle programma's die je kon vinden dus het lijkt me niet dat je last hebt van spyware, maar gewoon het Microsoft updatetertje.
Dat kan geen kwaad, behalve als ie constant aan het down/uploaden is (niet af en toe een pakje maar kb's ber seconde)

Verder klinkt frodo.domain_not_set.invalid:ntp ook niet echt als een echt domein :P . Zoals JoopV zegt, het is inderdaad de tijd sync die bezig is.

Wat wel nog kan is dat er een verborgen FTP-server op je PC draait, dat zou de hoge upload verklaren. Maar dit had je in TCPView wel moeten zien)
Kijk anders even met DUmeter hoe hoog die constante upload is.

[ Voor 35% gewijzigd door fsfikke op 06-05-2006 12:42 ]

Zijn spaties in de aanbieding ofzo? www.spatiegebruik.nl

zaterdag 6 mei 2006 12:39

Acties:

Verwijderd

Topicstarter
Het is prima als er zo nu en dan pakketjes worden verstuurd maar in mijn geval is er dus een constante up/download bezig. Of mijn PC nu 5 min. of 1 uur aan staat, maak niet uit. Normaal (voor dit probleem) als ik na een uurtje surfen mijn network connection status opvroeg waren er altijd meer pakketjes gedownload dan geupload. Dat is nu niet het geval, de upload is altijd meer, na 5. min of na 1 uur. Dit is pas sinds een week ofzo en voor mij is erg afwijkend gedrag van mijn machine.

Kortom, ik vindt het prima als er voor automatic updates zo nu en dan met een server wordt gecommuniceerd, maar moet dit echt 100% van de tijd zijn?

zaterdag 6 mei 2006 12:54

Acties:

Verwijderd

Topicstarter
Even DUMeter een tijdje laten lopen. Allebei up en download staan op 0.9, hier en daar en kleine uitschieter. Er wordt dus niet veel data verstuurd, waarschijnlijk om niet alle bandbreedte in beslag te nemen. Zoals ik al eerder zei, deze up/download is constant.

zaterdag 6 mei 2006 12:55

Acties:
  • fsfikke
  • Registratie: Maart 2003
  • Niet online

fsfikke

* * * *

Dat is nou niet zo'n schokkend getal :P
Heb je de automatische tijd sync al uitgezet?

Zijn spaties in de aanbieding ofzo? www.spatiegebruik.nl

zaterdag 6 mei 2006 13:01

Acties:

Verwijderd

Topicstarter
De tijd sync staat uit. Het is zeker geen schokkend waarden, dat moet ik toegeven. Het is nu niet dat 'ie staat te pompen om zo maar te zeggen. Maar je begrijpt natuurlijk wel dat of het nu 0.1 of 10 kb is maakt me niet uit. Ik weet niet wat dit process doet dus als ik niet expliciet en process aanzet wil ik gewoon niet dat dit actief is. Misschien klink ik een beetje paranoia maar ik wil gewoon graag weten wat dit is.

zaterdag 6 mei 2006 13:05

Acties:
  • joopv
  • Registratie: Juli 2003
  • Niet online

joopv

Tja, dan moet je ethereal installeren en precies kijken wat ieder pakketje is.

zaterdag 6 mei 2006 13:12

Acties:
  • Sjaak_Trekhaak
  • Registratie: Juni 2003
  • Niet online

Sjaak_Trekhaak

Volgens mij maak je je druk om niks. Je hebt alle software die eventueel een kwaadaardig iets kan detecteren gebruikt, en je upload bedraagt ~0,1kb/sec constant. Als ik zelf bij DUMeter kijk heb ik veelal ook een constante upload van 0,1k, dit is niks om je zorgen over te maken.
Ten tweede staat er in je HijackThis log niks wat er niet in thuis hoort.

Mocht je toch nog niet tevreden zijn, raad ik simpelweg een reinstall van Windows aan...alhoewel er volgens mij niks mis is met je installatie :)

zaterdag 6 mei 2006 13:43

Acties:

Verwijderd

Topicstarter
Net even met ethereal zitten prutsen en met een capture kan ik van dit soort berichten ertussenuit frutselen:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

HTTP/1.1 200 OK
EXT:
CONTENT-TYPE: text/xml
SERVER: Linux/2.4.17_mvl21-malta-mips_fp_le, UPnP/1.0, myig
<?xml version="1.0" encoding="utf-8"?>
<s:Envelope s:encodingStyle="http://schemas.xml soap.org/soap/encoding/" xmlns:s="http://schemas.xmlsoap.org/soap/envelope/">
<s:Body>
<u:X_GetICSStatisticsResponse xmlns:u="urn:schemas-upnp-org:service:WANCommonInterfaceConfig:1">
<TotalBytesSent>498395015</TotalBytesSent>
<TotalBytesReceived>298080581</TotalBytesReceived>
<TotalPacketsSent>1033326</TotalPacketsSent>
<TotalPacketsReceived>987977</TotalPacketsReceived>
<Layer1DownstreamMaxBitRate>100000000</Layer1DownstreamMaxBitRate>
<Uptime>1146954409</Uptime>
</u:X_GetICSStatisticsResponse>
</s:Body>
</s:Envelope>

Dat lijkt wel mijn wireless router waarmee mijn PC communiceerd. Moet er nog even verder in kijken. Als dit het geval is, waarom zou dit dan sinds een paar dagen het geval kunnen? Heb niets in de router instellingen veranderd en ook niets in Windows.

woensdag 30 augustus 2006 00:16

Acties:

Verwijderd

[quote]Verwijderd schreef op zaterdag 06 mei 2006 @ 03:11:
Hi tweakers,

Sinds een paar dagen heb ik last van een process dat in de achtergrond draait en voordurend contact met het internet heeft.

quote]

Beetje late reply maar was voor een soortgelijk probleem aan 't googelen en kwam dus weer hier terecht ;)

Ik heb die windows/system 32/ wuauclt.exe gerenamed naar wuauclt.bexe, reboot en weg was 't....
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq