wisselende internetverbinding

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • srvalasco
  • Registratie: Augustus 2003
  • Laatst online: 22-04-2022
Ik zit al een tijd met een probleem dat ik niet kan traceren;

ik heb 3 browsers (chrome, Firefox en Internet explorer) op mijn pc en altijd werken die goed behalve internet explorer.
Meestal als ik de pc opnieuw opstart krijg ik wel verbinding maar verderop in het pc gebruik gaat het mis. Krijg geen website meer te zien met die browser.

Nu heb ik getracht Mijn Norton 360 tijdelijk uit te schakelen (vwb de firewall) maar dat zet geen zoden aan de dijk. Ook de programma-regels vwb explorer staan bij de firewall allemaal op toestaan.

Als ik kijk bij lan-instellingen van IE dan staat alleen aangevinkt; "automatisch configuaritescript gebruiken" met als adres : http://127.0.0.1:8080/proxy.pac
Ik heb getracht om de wat met de settings van de lan-instellingen te wisselen (aan en uitzetten) maar dat maakt niets uit

Nu heb ik wel een radio-programma op mijn pc die ook wisselende verbindingen kent en dus hetzelfde reageert op resetten vd pc.

Ik kan wel gaan testen met het opstarten van mijn pc (windows 8.1 64bit) in veilige modus maar dat zal denk ik weinig soelaas bieden
Heeft iemand een idee wat er aan de hand kan zijn ?

Reakties zijn zeer welkom ;)

Acties:
  • 0 Henk 'm!

  • Breezers
  • Registratie: Juli 2011
  • Laatst online: 16-03-2021
Even resetten ?

Internetopties
tabblad geavanceerd
Opnieuw instellen

Mogelijk heb je toch iets van malware gehad die een IE instelling heeft aangepast

Anders even HiJackThis draaien om te zien of er iets verkeerd op de achtergrond bezig is? (heeft de schijn van een proxy namelijk)

[ Voor 29% gewijzigd door Breezers op 19-04-2015 13:01 ]

“We don't make mistakes just happy little accidents” - Bob Ross


Acties:
  • 0 Henk 'm!

  • Room42
  • Registratie: September 2001
  • Niet online
Wat krijg je als je die probeert te openen? En heb je met netstat gekeken wat er op die poort luistert?

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron


Acties:
  • 0 Henk 'm!

  • srvalasco
  • Registratie: Augustus 2003
  • Laatst online: 22-04-2022
Breezers schreef op zondag 19 april 2015 @ 12:59:
Even resetten ?

Internetopties
tabblad geavanceerd
Opnieuw instellen

Mogelijk heb je toch iets van malware gehad die een IE instelling heeft aangepast

Anders even HiJackThis draaien om te zien of er iets verkeerd op de achtergrond bezig is? (heeft de schijn van een proxy namelijk)
Opnieuw instellen net gedaan en ook Hijackthis gedraaid.

Er komt overigens een groot aantal items naar tevoorschijn om te fixen. Ik heb dat vwb IE-items net gedaan maar de rest weet ik niet wat ik moet doen. Ik wacht even af wat voor reslutaalt dit heeft.

keep u informed. Bedankt ! _/-\o_

Acties:
  • 0 Henk 'm!

  • srvalasco
  • Registratie: Augustus 2003
  • Laatst online: 22-04-2022
Room42 schreef op zondag 19 april 2015 @ 13:04:
[...]

Wat krijg je als je die probeert te openen? En heb je met netstat gekeken wat er op die poort luistert?
thanx ! Dit begint wat technisch te worden...is netstat een commando of een progje ? proxy.pac gevonden een daar staat het volgende in;

// Autogenerated file; do not edit. Rewritten on attach and detach of Fiddler.

function FindProxyForURL(url, host){
if (shExpMatch(host, "www.google.*")) return "PROXY 127.0.0.1:8080"; return "DIRECT";
}

Acties:
  • 0 Henk 'm!

  • Whatson
  • Registratie: Februari 2010
  • Niet online

Acties:
  • 0 Henk 'm!

  • srvalasco
  • Registratie: Augustus 2003
  • Laatst online: 22-04-2022
dank je ! Ik heb dat progje proxyfix.reg gedraaid en alles leek ok. proxy.pac was verdwenen uit mijn IE maar nu komt ie toch weer terug. Iets installeert dat bestandje iedere keer.

Nu heb ik de volgende progjes geinstalleerd: malwarebytes, adwcleaner, superantispyware, spyhunter en norton Voldoende lijkt me

ben er dus nog niet uit wat het iedere keer triggert

Acties:
  • 0 Henk 'm!

  • Room42
  • Registratie: September 2001
  • Niet online
srvalasco schreef op zondag 19 april 2015 @ 15:35:
[...]


dank je ! Ik heb dat progje proxyfix.reg gedraaid en alles leek ok. proxy.pac was verdwenen uit mijn IE maar nu komt ie toch weer terug. Iets installeert dat bestandje iedere keer.
Dat is de malware die dat doet :)
Nu heb ik de volgende progjes geinstalleerd: malwarebytes, adwcleaner, superantispyware, spyhunter en norton Voldoende lijkt me
Heb je ze ook allemaal bijgewerkt en een full scan laten draaien?
srvalasco schreef op zondag 19 april 2015 @ 14:13:
[...]


thanx ! Dit begint wat technisch te worden...is netstat een commando of een progje ?
netstat is een Windows Command line commando. Die gebruik je als volgt:
Start een command box als administrator (start -> zoeken naar cmd -> rechts klikken en kiezen voor "Run as Administrator") en typ het volgende commano:
netstat -anbp tcp

Dit geeft een lijst met open poorten en open verbindingen. Vooral de eerste zijn interessant. Voorbeeld van mijn PC:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
C:\Windows\system32>netstat -anbp tcp

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
  RpcSs
 [svchost.exe]
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
 Can not obtain ownership information
  TCP    0.0.0.0:49152          0.0.0.0:0              LISTENING
 [wininit.exe]
  TCP    0.0.0.0:49153          0.0.0.0:0              LISTENING
  eventlog
 [svchost.exe]
  TCP    0.0.0.0:49154          0.0.0.0:0              LISTENING
  Schedule
 [svchost.exe]
  TCP    0.0.0.0:49156          0.0.0.0:0              LISTENING
 [lsass.exe]
  TCP    0.0.0.0:49168          0.0.0.0:0              LISTENING
 [services.exe]
  TCP    0.0.0.0:49169          0.0.0.0:0              LISTENING
  PolicyAgent
 [svchost.exe]
  TCP    127.0.0.1:1024         0.0.0.0:0              LISTENING
 [cloud-ui.exe]
  TCP    127.0.0.1:1025         0.0.0.0:0              LISTENING
 [cloud-connect.exe]
  TCP    127.0.0.1:1026         0.0.0.0:0              LISTENING
 [cloud-daemon.exe]
Hier zijn vooral de laatste drie interessant, want die zijn niet standaard. Om erachter te komen waar deze van zijn start ik de Task Manager en ga ik naar het tabblad Processes (of Details in Win8+). Daar voeg ik de kolom "Image Path Name" toe via menu View. Vervolgens is te zien dat deze drie executables bij Synology's CloudStation horen.

In dit geval niks aan de hand dus. Maar het is wel interessant welk programma bij jou naar poort 8080 luistert!

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron


Acties:
  • 0 Henk 'm!

  • dion_b
  • Registratie: September 2000
  • Nu online

dion_b

Moderator Harde Waren

say Baah

Deze topic heeft niets met (overige) hardware te maken. Je oorspronkelijke vraag leek op iets wat in Netwerken thuishoorde, maar het is ondertussen duidelijk dat je eerder in Beveiliging & Virussen moet zijn.

Move OH -> BV

Oslik blyat! Oslik!


Acties:
  • 0 Henk 'm!

  • srvalasco
  • Registratie: Augustus 2003
  • Laatst online: 22-04-2022
TCP 127.0.0.1:8080 0.0.0.0:0 LISTENING
[Updater.exe]

bij taakbeheer kom ik idd updater.exe tegen maar kan ik geen kolom path name toevogen maar ik kan wel de bestandslocatie openen en het blijkt een installshield updater te zijn. Ik weet niet wel progje dat heeft geinstalleerd maar ik kan bij services kan ik zien wat het doet en ik kan het stoppen. Daarnaast kan ik het opstarten verhinderen. Het kent ook geen afhankelijkheden

"Provides automatic update functionality to Installshield applications"

in dezelfde directory staan naast updater nog 3 andere bestandjes zoals een .ini bestand
Hierin staat naast heel veel nadere gevens de volgende info

[info]
drivername=ESENT
symbolfile=esentprf.hxx

en ook dit bestandje : makecert.exe
waarvan internet zegt:

Makecert.exe (Certificate Creation Tool)
http://tinyurl.com/n7lwwj8

en als laatste bestand: updatercore.dll
http://tinyurl.com/kf2prj2

maar er staat niets van Kerio op mijn pc of in mijn registry. Zou ik ergens kunnen achterhalen wat afhankelijk is van updatercore.dll op mijn pc ?

Ik heb de directory vd betreffende bestanden gebackupped en van mijn HD gegooid. Eens kijken of ik ergens wat ga missen of dat dit alles toch weer op mijn HD wordt gezet. btw: adwcleaner heeft de betreffende service definitief verwijderd

na opstarten vd pc lijkt goed te zijn maar weer opstarten krijg ik het probleem toch terug : http://127.0.0.1:8080/proxy.pac

ik kan middels fixproxy het wel weer verwijderen maar dat biedt maar kort soelaas
doe ik opnieuw het netstat-commando wat je me hebt gegeven staat niets meer te luisteren op 8080
zeer vreemd allemaal

[ Voor 60% gewijzigd door srvalasco op 20-04-2015 01:45 ]


Acties:
  • 0 Henk 'm!

  • Breezers
  • Registratie: Juli 2011
  • Laatst online: 16-03-2021
Het lijkt idd op malware die steeds de proxy.pac file terugzet en de optie (internetopties/tabblad verbindingen/lan instellingen) "automatisch configuratiescript gebruiken" aanzet ? (heb je proxy.pac file al eens handmatig verwijdert ?)

Om te achterhalen waar in Windows dit gebeurt, is het handig om wat informatie te achterhalen:

1. Wat staat er in je register ?:

Windows knop + R
Regedit
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings]
of
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings]

Staan hier verwijzingen naar proxy bijv ?:

"MigrateProxy"=dword:00000001
"ProxyEnable"=dword:00000001
"ProxyHttp1.1"=dword:00000000
"ProxyServer"="http://server:port"
""ProxyOverride"=-"

2. Zijn er services die automatiscg opstarten bij booten ?:

Windows knop + R
Uitvoeren: msconfig.msc
Tabblad opstarten
(Windows 8.x = taakbeheer : CTR+ALT+DEL, tabblad opstarten)

3. Wat geeft HiJackThis bijv. aan ?:

IE:64bit: - HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE:64bit: - HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <-loopback>
IE:64bit: - HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:8877;https=127.0.0.1:8877

“We don't make mistakes just happy little accidents” - Bob Ross


Acties:
  • 0 Henk 'm!

  • srvalasco
  • Registratie: Augustus 2003
  • Laatst online: 22-04-2022
ik meen mij te herinneren dat in proxy.pac (bestandje is nu nergens meer te vinden) ik een keer 1 regel heb zien staan van een bepaald programma dat op mijn pc draait heb zien staan met hetzelfde proxy adres.

Wat ik nu heb gedaan is alle achtergrondaktiviteiten mbt dat zelfde programma heb gestopt en ook niet meer terug laat komen mbv services en dat lijkt nu goed te gaan. ...

Wat ik in Hijackthis zie staan als resultaat na een scan is behoorlijk wat...ik durf dat ook niet allemaal zom aar te verwijderen. Misschien wil je daar nog iets over kwijt hoe met dat progje om te gaan

In ieder geval iedereen geweldig bedankt voor jullie bijdrages

Acties:
  • 0 Henk 'm!

  • srvalasco
  • Registratie: Augustus 2003
  • Laatst online: 22-04-2022
In ieder geval heb ik dit al gevonden

Afbeeldingslocatie: http://i62.tinypic.com/29qmsgg.jpg

Afbeeldingslocatie: http://i59.tinypic.com/288447n.jpg

[ Voor 235% gewijzigd door srvalasco op 20-04-2015 18:53 ]

Pagina: 1