Tcp fin scan

Wat heb je allemaal al zelf geprobeerd, en om wat voor systeem gaat het (welke windows?).

Heb je al virusscans gedraait? Anti spyware scan(s) gedraait?

Want met zó weinig info kunnen we er hier in elk geval ook weinig mee ben ik bang.

[ Voor 21% gewijzigd door Orion84 op 02-09-2006 20:20 ]

Verwijderd schreef op zaterdag 02 september 2006 @ 20:23:
Sorry, systeem is winXP pro en virusscanner Norton en Avast! vinden niks. Ook hitman pro vind helemaal niks. Ik heb gekeken bij de processen maar aangezien dit niet mijn pc is kan ik niet beoordelen wat er thuis hoort en wat niet.

Je zou processen die jij niet direct kent even door google kunnen halen, dat is behoorlijk effectief. Dan kom je namelijk of op sites uit over het programma, of over sites die je waarschuwen voor bepaalde schadelijke processen

Met een packet sniffer kun je kijken of je daadwerkelijk veel tcp syn/fin packetjes stuurt. Ik adviseer ethereal.

Mogelijk komen ze niet van je pc, maar van je router...

Je zou met TCPview van systeminternals kunnen kunnen kijken welke programma's gebruik maken van het netwerk. Sluit alle software zoals browsers, antivirussen en chat programma's af zodat je hem er makkelijk uit kunt pikken.

Laatst had een klant van mij scan500.exe (portscanner) draaien icm een ftp programma.

[ Voor 16% gewijzigd door Verwijderd op 02-09-2006 20:49 ]

scan500.exe icm. hidden32.exe zeker?

svchost = serv-u

www.hijackthis.de --> daar staat een online scan, zeker doen!!

Verwijderd schreef op zaterdag 02 september 2006 @ 20:51:
scan500.exe icm. hidden32.exe zeker?

svchost = serv-u

www.hijackthis.de --> daar staat een online scan, zeker doen!!

svchost == Service Host. Dit process is een hoofd process wat de services beheert die onder Windows draaien. Het is normaal dat er meerdere instanties van draaien. Sommige processen proberen zich voor te doen als svchost, maar dan onder net iets andere naam. Sommigen draaien ook echt als service.

TIP: draai hijackthis en ga zoals hierboven al wordt gezeg naar hijackthis.de

Verwijderd schreef op zaterdag 02 september 2006 @ 20:51:
scan500.exe icm. hidden32.exe zeker?

svchost = serv-u

www.hijackthis.de --> daar staat een online scan, zeker doen!!

Klopt, en serv-u was idd een service

Google: D80C4E21-C346-4E21-8E64-20746AA20AEB

Threat Name: NavExcel
This is a search hijacker, it performs address bar searches and query unknown servers, and redirects all page not found errors, 404, to webservicehost.com. Can be contracted from WildMedia, burn4free or screensavers from mvr.us.

http://www.spywaredata.co..._list/NavExcel/result.php

Verwijderd schreef op zaterdag 02 september 2006 @ 21:01:
80% van de packets waren van het UDP protocoll vanaf mijn IP en poort 2003 en naar het ip 224.0.0.103 met poort 3235. Heb ik hier iets aan?

224 is multicast verkeer. Kan best OK verkeer zijn, want 80% van ?kb zegt me nog niet zo veel:

http://www.ethereal.com/l...sers/200503/msg00435.html

eghie schreef op zaterdag 02 september 2006 @ 21:00:
[...]

svchost == Service Host. Dit process is een hoofd process wat de services beheert die onder Windows draaien. Het is normaal dat er meerdere instanties van draaien. Sommige processen proberen zich voor te doen als svchost, maar dan onder net iets andere naam. Sommigen draaien ook echt als service.

TIP: draai hijackthis en ga zoals hierboven al wordt gezeg naar hijackthis.de

Ik zal het even in de juiste context plaatsen. Serv-u wordt idd veel gebruikt om gehackte machines op afstand te beheren. Vaak wordt deze aangepast door hem eerst te decompilen. Dan wordt de servicenaam aangepast en worden dependencies toegevoegd. Tevens worden alle externe files zoals DLL's en ini's soms in de executable opgenomen. Dit zijn heel specifieke dingen die iedereen die er gebruik van maakt voor zichzelf doet en regelmatig verbeterd. Weinig kans dat je het met een virusscanner vindt. Ook waarschijnlijk dat je het proces moeilijk kunt stoppen vanwege de erg ingewikkelde dependencies als je het process al kunt vinden in de eerste plaats. Vaak wordt deze namelijk verborgen van de processen lijst en het is zelfs mogelijk dat de verbindingen niet zichbaar vijn met netstat oid. Een FTP service als serv-u is erg geschikt als back-door omdat men snel de tools kan uploaden en alle arbitraire commandos kan uitvoeren met SITE EXEC en omdat FTP natuurlijk volop gebruikt wordt door deze mensen.

Maargoed, dat is allemaal best ingewikkeld en achtergrond informatie, maar IMHO als ik zo lees hoe jij bezig bent dan lijkt het mij het beste als je gewoon windows opnieuw installeert, dan weet je ook zeker dat je van alle backdoors en rootkits af bent die er mogelijk op zitten!