Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

Malware (virus? worm?) infectie wordt niet gedetecteerd...

Pagina: 1
Acties:

  • Mx. Alba
  • Registratie: Augustus 2001
  • Laatst online: 00:26

Mx. Alba

hen/hun/die/diens

Topicstarter
Bij ons op de zaak heb ik twee computers gevonden die een paar minuten na het booten hun netwerkverbinding verliezen door een TCP/IP stack overflow. Het blijkt dat ze massieve port scans aan het doen zijn... Direct van het netwerk gehaald natuurlijk. Maar nu beginnen de forensics. Wat is het? Hoe krijg ik het eraf?

McAfee vindt niets.
MBAM vindt niets.
SpyBot vindt niets...

Klinkt dit bij iemand bekend in de oren?

Het is alleen een echte hetze als het uit Hetzerath komt, anders is het gewoon sprankelende ophef.


  • muppet99
  • Registratie: Juli 2002
  • Laatst online: 29-11 22:11
Hele flauwe opmerking....

Welk OS praten we hier over?
Geen rare processen gevonden?

Carpe Diem


  • Mx. Alba
  • Registratie: Augustus 2001
  • Laatst online: 00:26

Mx. Alba

hen/hun/die/diens

Topicstarter
Sorry :)

Windows XP SP2. Tot nu toe nog geen rare processen gevonden. Ik ben in conclaaf met onze IT security expert in Engeland. Netstat laat inderdaad massieve port scans zien op poorten 1000 - 5000.

Het is alleen een echte hetze als het uit Hetzerath komt, anders is het gewoon sprankelende ophef.


  • Neverwinterx
  • Registratie: December 2005
  • Laatst online: 07-10 11:34
scan eens met HijackThis en plaats het logje hier

Verwijderd

En wat zegt lspfix? En misschien helpt combofix.
En misschien een idee om sp3 te installeren?

Verwijderd

Recycler map gekeken? System restore map gekeken? Apparte proccessen die draaien onder de systemuser?

  • muppet99
  • Registratie: Juli 2002
  • Laatst online: 29-11 22:11
welke firewall draai je? Misschien zou je een blik kunnen werpen op de logs.

Carpe Diem


  • hellfighter87
  • Registratie: Mei 2008
  • Laatst online: 11:46
met http://technet.microsoft....ysinternals/bb897437.aspx kan je alle programma's zien die een socket connection maken. neem aan dat het programma dat port scanned ook sockets gebruikt?

dus zo zou je hem eruit kunnen vissen :)

  • Mx. Alba
  • Registratie: Augustus 2001
  • Laatst online: 00:26

Mx. Alba

hen/hun/die/diens

Topicstarter
GEVONDEN!

Het bleek WorldCommunityGrid BOINC te zijn 8)7

Kennelijk wordt die verbinding sinds kort geblokkeerd door de firewall in Frankrijk, en in plaats van dat hij het dan gewoon opgeeft probeert hij net zo lang verbinding te maken tot de TCP/IP stack over de zeik gaat.

Het is alleen een echte hetze als het uit Hetzerath komt, anders is het gewoon sprankelende ophef.


  • Jejking
  • Registratie: Februari 2005
  • Niet online

Jejking

It's teatime, doctor!

LOOOOOOOOOOOOOOOOOOOOOOOOOL.

Dát is nog eens een klassiek gevalletje van backstabbing door je hobby :D

[ Voor 7% gewijzigd door Jejking op 16-07-2010 16:06 ]

Pagina: 1