mpnotify; IP-block elke paar seconden in Malwarebytes. - Privacy en beveiliging

dinsdag 26 juni 2012 18:59

Acties:

Topicstarter

Via het log file van Malwarebytes zag ik dat het programma mpnotify.exe elke paar seconden een verbinding naar buiten wilt maken. Hij begint bij een bepaalde port en gaat na een paar seconden verder naar de volgende.
Een volledige scan met zowel Malwarebytes als McAfee geeft geen oplossing.
Wat kan er aan de hand zijn?
Ps. Ik draai twee PC's met beide Windows 7 en de andere heeft er geen last van.
Hieronder een stukje uit het log.

2012/06/26 16:50:46 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49385, Process: mpnotify.exe)
2012/06/26 16:50:46 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49386, Process: mpnotify.exe)
2012/06/26 16:50:46 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49387, Process: mpnotify.exe)
2012/06/26 16:50:46 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49388, Process: mpnotify.exe)
2012/06/26 16:50:54 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49388, Process: mpnotify.exe)
2012/06/26 16:50:54 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49389, Process: mpnotify.exe)
2012/06/26 16:50:54 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49390, Process: mpnotify.exe)
2012/06/26 16:50:54 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49391, Process: mpnotify.exe)
2012/06/26 16:51:02 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49479, Process: mpnotify.exe)
2012/06/26 16:51:02 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49483, Process: mpnotify.exe)
2012/06/26 16:51:02 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49488, Process: mpnotify.exe)
2012/06/26 16:51:02 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49491, Process: mpnotify.exe)
2012/06/26 16:51:10 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49494, Process: mpnotify.exe)
2012/06/26 16:51:10 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49495, Process: mpnotify.exe)
2012/06/26 16:51:10 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49496, Process: mpnotify.exe)
2012/06/26 16:51:10 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49497, Process: mpnotify.exe)
2012/06/26 16:51:18 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49498, Process: mpnotify.exe)
2012/06/26 16:51:18 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49499, Process: mpnotify.exe)
2012/06/26 16:51:18 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49500, Process: mpnotify.exe)
2012/06/26 16:51:18 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49501, Process: mpnotify.exe)
2012/06/26 16:51:26 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49502, Process: mpnotify.exe)
2012/06/26 16:51:26 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49503, Process: mpnotify.exe)
2012/06/26 16:51:26 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49504, Process: mpnotify.exe)
2012/06/26 16:51:26 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49505, Process: mpnotify.exe)
2012/06/26 16:51:34 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49506, Process: mpnotify.exe)
2012/06/26 16:51:34 +0200 MARC Marc IP-BLOCK 208.91.197.101 (Type: outgoing, Port: 49507, Process: mpnotify.exe)

dinsdag 26 juni 2012 19:14

Acties:

photofreak

Het IP-adres is afkomstig van de Virgin eilanden (naast Puerto Rico) met daarboven op 4 connectiepogingen en dan weer 8 seconde rust, het lijkt me dus dat dit een Trojaans paard is dat een connectie terug wilt maken naar een command and control server. Het lijkt een actief proces, misschien kan je met Windows Taakbeheer mpnotify.exe vinden en localiseren.

Het lijkt me verstandig om deze pc niet meer te gebruiken voor internet bankieren.

Je zou een scan kunnen draaien met HitmanPro, http://www.surfright.nl/ om te kijken of er een virus op je pc aanwezig is.

dinsdag 26 juni 2012 20:56

Acties:

Marc Veen

Topicstarter

Hitmanpro zag wel wat trackingcookies maar gaf voor het mpnotify probleem geen oplossing.
Als ik via Taakbeheer-processen 'mpnotify' liet stoppen kwam McAfee met een trojan waarschuwing en verwijdering. Maar na de volgende opstart zat het er weer gewoon in.
Wat ook vreemd was is dat in msconfig-opstarten bij de mpnotify in de item naam allerlei rare tekens stonden en niet "Windows NT multiple provider notification application". Ik kon hem ook niet uitvinken, hij starte zichzelf weer op.
De enige methode om mpnotify te stoppen was een rename naar een ".bak". Dit werkt wel.
Eens kijken wat de consecuenties zijn van het uitschakelen van deze functie.

[ Voor 6% gewijzigd door Marc Veen op 26-06-2012 20:58 ]

dinsdag 26 juni 2012 21:41

Acties:

Verwijderd

Misschien kan je wat met deze links:
http://www.computer-suppo...kinfo/28466/mpnotify.exe/
en:
http://www.fixya.com/support/t2523533-mpnotify_exe

mpnotify.exe is dus noodzaak om te draaien dunkt mij.
Echter kan het niet de bedoeling zijn dat hij zovaak connectie naar buiten stuurt. En al helemaal niet naar een leuk eiland naast Puerto Rico

dinsdag 26 juni 2012 21:45

Acties:

Jack_Nick

http://www.dllsuite.com/W.../List_m/mpnotify.exe.html

misschien dat deze je iets verder kan helpen. Zoals ik snel zag kon het zijn dat mpnotify geinfecteerd kan worden door trojans of adware...

Laat even weten of je problemen verdwijnen?

dinsdag 26 juni 2012 22:17

Acties:

Marc Veen

Topicstarter

Ik ben er nog niet helemaal uit wat het is.
Nu ik mpnotify als ".bak" heb staan draait het systeem gewoon door zonder problemen.
Omdat mijn mpnotify file 250kb was, en de originele volgens internet 22kb, dacht ik hem over te zetten van mijn andere desktop. Mijn andere desktop is bijna identiek en draait dezelfde Windows 7 versie.
Maar tot mijn verbazing staat daar helemaal geen mpnotify.exe file op.

Zowel in MSconfig als in taakbeheer kom ik hem niet tegen. Ook file search vindt hem niet.
Schijnbaar is het bestand dus niet zo onmisbaar als ik op de diverse sites lees.

Voorlopig laat ik hem dus maar als ".bak" staan totdat ik er achter ben wat er aan de hand kan zijn.

[ Voor 9% gewijzigd door Marc Veen op 26-06-2012 22:22 ]

dinsdag 26 juni 2012 22:23

Acties:

ebia

Formatteren die bak en opnieuw beginnen.

dinsdag 26 juni 2012 22:27

Acties:

Marc Veen

Topicstarter

ebia schreef op dinsdag 26 juni 2012 @ 22:23:
Formatteren die bak en opnieuw beginnen.

Ja, dat is dus de laatste oplossing.
Maar dan weet ik nog steeds niet wat er aan de hand is geweest.

dinsdag 26 juni 2012 22:31

Acties:

dragoncry

Probeer anders eens met Stinger van Mcafee te scannen,

http://www.mcafee.com/us/downloads/free-tools/stinger.aspx

Of hij hem kan verwijderen weet ik niet maar dan weet je in ieder geval wat het is.

dinsdag 26 juni 2012 22:33

Acties:

Xessive

Probeer eens het betreffende bestand te uploaden naar: https://www.virustotal.com/
Misschien dat daar wat uitkomt...

Anders formatteren en opnieuw installeren..

Seriously? Nope, not a bit...