Toon posts:

[XP] ftp.exe en cmd.exe, spontane programmaatjes?

Pagina: 1
Acties:

zaterdag 19 juli 2003 01:28

Acties:
  • DaSchop
  • Registratie: April 2002
  • Laatst online: 28-07-2015

DaSchop

Hallo, ik ben Bastiaan

Topicstarter
Beste Tweakers,

Sinds kort zie ik in Windows taakbeheer regelmatig ftp.exe en cmd.exe open staan. Vaak zelfs meerdere keren en steeds in paren (3x ftp, 3x cmd of 5x ftp, 5x cmd etc.). Dit lijkt mij niet normaal en ik vraag me af hoe de programma's opgestart worden.

Laat eens kijken, wat moeten jullie allemaal weten..

Windows XP Home
PIII 667
256 RAM
etc.(niet echt belangrijk lijkt mij)

Programma's draaiend op het moment terwijl het probleem zich voor doet(op het moment dus):
Kazaa Lite
Opera 7
Winamp 2.95
MSN Messenger 6
Paint Shop Pro 8
mcafee shield/agent
Y's toolbar
Tclock 2

Wanneer ik een van de twee programma's af sluit, sluit de andere ook meteen. Voordat ik aan dit bericht begon heb ik ze allemaal uit gezet en nu is er van elk al weer een...
EDIT: kleine correctie: als ik ftp sluit gaat cmd wel uit maar als ik cmd sluit blijft ftp aan staan...

Heeft iemand een idee? Ik denk niet dat het echt kwaad kan maar ik vind het toch een beetje eng dat dit soort dingen spontaan opstarten. Daarbij kosten de twee programma's mij samen 3.4 mb aan geheugen, als er dan van elk 5 aan staat loopt dat nogal op.

Alvast bedankt!

[ Voor 7% gewijzigd door DaSchop op 19-07-2003 01:39 ]

>> Bastiaan

zaterdag 19 juli 2003 01:30

Acties:
  • Luppie
  • Registratie: September 2001
  • Laatst online: 01-03 23:21

Luppie

www.msxinfo.net

Gebeurd dit ook als je geen connectie hebt met het internet ?

Heb je iets aan mijn antwoord ? Een thumbs-up wordt zeker op prijs gesteld.

zaterdag 19 juli 2003 01:32

Acties:
  • momania
  • Registratie: Mei 2000
  • Laatst online: 21-05 06:42

momania

iPhone 30! Bam!

Denk toch dat je dan te maken hebt met spyware.

Kijk eens hier hoe je daar achter kan komen:
Uit de Software Algemeen - FAQ :
Spyware: wat is het en wat doet het?

Neem je whisky mee, is het te weinig... *zucht*

zaterdag 19 juli 2003 01:36

Acties:
  • Fidai
  • Registratie: Februari 2003
  • Laatst online: 20-05 05:55

Fidai

cmd.exe kan gebruikt worden met Netcat als een soort van ssh, je kan dan alle dos commando's uitvoeren vanaf een andere locatie, een voorbeeld hiervan is ftp.exe, waarmee je dus bestanden kan downloaden/uploaden van of naar een ftp server. Ik zou met netstat je verbindingen maar eens nakijken, grote kans dat je een trojan/slechte service hebt draaien...

zaterdag 19 juli 2003 02:04

Acties:

Verwijderd

Virussen die bekende namen gebruiken?

zaterdag 19 juli 2003 02:16

Acties:
  • DaSchop
  • Registratie: April 2002
  • Laatst online: 28-07-2015

DaSchop

Hallo, ik ben Bastiaan

Topicstarter
Als eerste: iedereen bedankt voor de tips!

Ik heb even adaware gedraaid en heb alle "spyware" verwijderd. Het waren er dit keer trouwens opvallend weinig, ik ben gewend een lamme wijsvinger te krijgen van het scrollen... ^^

Ik heb ook netstat eens gedownload en ik snap niet helemaal hoe ik hier mee "mijn verbinding kan nakijken" Bedoel je dat ik alle normale programma's die toegang hebben tot het internet uit moet zetten en dan kijken of er nog activiteit is? Dat kan ik wel even proberen, zal ik doen als ik er nog eens last van heb.

Ik denk trouwens niet dat het een virus is, ik heb constant McAfee aan staan en update hem wanneer hij aangeeft dat er wat te updaten valt. Verder heb ik gisteren nog een scan gedaan dus dat zit wel goed.

Maar goed, sindsdien is het probleem niet meer opgetreden. Toch weet ik niet zeker of het probleem nu ook is opgelost dus ik wil de mods even vragen of ze deze topic een weekje open kunnen laten zodat ik hem kan schoppen als ik er nog eens last van heb?

>> Bastiaan

zaterdag 19 juli 2003 02:20

Acties:
  • RAJH
  • Registratie: Augustus 2001
  • Niet online

RAJH

netstat -an uitvoeren in cmd (start>uitvoeren>cmd ;)) en dan posten wat er bij:

State
LISTENING

Komt te staan.

zaterdag 19 juli 2003 03:20

Acties:
  • DaSchop
  • Registratie: April 2002
  • Laatst online: 28-07-2015

DaSchop

Hallo, ik ben Bastiaan

Topicstarter
Ooooh, netstat is ook iets dat in windows zit!

|:(

maar goed, ik krijg zoiets(afgekort aan de boven en onderkant maar daar staat toch hetzelfde maar dan met wat adnere poorten):

http://home.tiscali.nl/multicom/DaSchop/netstat.png

Ik kan mij niet voorstellen dat je daar wat aan kan aflezen...

Of wou je de versie waar al mijn internet programma's uit staan? Die hou je dan van mij te goed, ik zal kijken als ik weer problemen heb ^^

>> Bastiaan

zaterdag 19 juli 2003 07:49

Acties:

Verwijderd

0.0.0.0. komt door je reclame blocker (kazaaLite) door nonresolving IP's te gebruiken in je hosts file.
Voor de rest heb je imo behoorlijk was actief luisterend staan welke je niet altijd nodig hebt (is dit een shotje tijdens downloaden/uploaden van Kazaa ofzo?)...

Doe eens een shotje als je PC net opgestart is.

[ Voor 28% gewijzigd door Verwijderd op 19-07-2003 07:50 ]

zaterdag 19 juli 2003 08:00

Acties:
  • Siliakus
  • Registratie: November 2000
  • Laatst online: 13-05 14:13

Siliakus

Ik denk iig tijdens kazaa/morpheus aan stond,

Kazaa / Morpeheus -> 1214 / 1414 / 2478
Internet Connection Sharing -> 2091

dan blijven de volgende poorten nog over: 3699 / 3135 / 1863

[ Voor 57% gewijzigd door Siliakus op 19-07-2003 08:04 ]

zaterdag 19 juli 2003 22:25

Acties:
  • DaSchop
  • Registratie: April 2002
  • Laatst online: 28-07-2015

DaSchop

Hallo, ik ben Bastiaan

Topicstarter
Goed, dit geeft waarschijnlijk wat meer overzicht:

http://home.tiscali.nl/multicom/DaSchop/netstat2.png

Deze programma's draaiden op het moment van de screenshot:

http://home.tiscali.nl/multicom/DaSchop/Taakbeheer.png

Ik heb het probleem trouwens niet meer gehad. Maar misschien dat iemand nog iets vreemd tegen komt...

>> Bastiaan

zondag 20 juli 2003 14:14

Acties:
  • RAJH
  • Registratie: Augustus 2001
  • Niet online

RAJH

Verwijderd schreef op 19 July 2003 @ 07:49:
0.0.0.0. komt door je reclame blocker (kazaaLite) door nonresolving IP's te gebruiken in je hosts file.
Voor de rest heb je imo behoorlijk was actief luisterend staan welke je niet altijd nodig hebt (is dit een shotje tijdens downloaden/uploaden van Kazaa ofzo?)...

Doe eens een shotje als je PC net opgestart is.
0.0.0.0 betekend dat die poort op alle mogelijke ip adressen luisterd (als je meerdere netwerkkaarten hebt)

je kan alle poorten eens voor jezelf gaan opzoeken op google zoals:

http://www.google.nl/sear...=UTF-8&oe=UTF-8&hl=nl&lr=

Hopelijk kom je hier iets verder mee :)

zondag 20 juli 2003 19:07

Acties:

Verwijderd

Lijkt er eerder op dat je bent "ge-root" (gehacked)
en dat er een xdcc botje (iroffer, irc fileserver) op je computer draaid.
tik voor de gein is "net stop serv-u" in een dos prompt

[ Voor 34% gewijzigd door Verwijderd op 20-07-2003 19:11 ]

maandag 21 juli 2003 17:52

Acties:
  • DaSchop
  • Registratie: April 2002
  • Laatst online: 28-07-2015

DaSchop

Hallo, ik ben Bastiaan

Topicstarter
net stop serv-u geeft "systeemfout 1060, geen ge"installeerde servers". Weet je misschien een manier om te scannen voor dat soort dingen? Of weet ik al zeker dat er geen draait als dat commando geen reactie krijgt?

Maar goed, ik zal ZoneAlarm maar weer een installeren, alhoewel dat meestal meer problemen veroorzaakt dan het oplost... =="

>> Bastiaan

maandag 21 juli 2003 17:57

Acties:

Verwijderd

Voer even een viruscan uit met een geupdate viruscanner, bij voorkeur met een aantal scanners.

Dat je bak gehacked is staat imo voor 99% zeker weten vast. Ikzelf zou overwegen om een schone installatie er op te zetten.

Check ook eens _wat_ ze ge-ftp'd hebben?

maandag 21 juli 2003 18:11

Acties:

Verwijderd

Verwijderd schreef op 21 July 2003 @ 17:57:

Dat je bak gehacked is staat imo voor 99% zeker weten vast. Ikzelf zou overwegen om een schone installatie er op te zetten.

Check ook eens _wat_ ze ge-ftp'd hebben?
Gebaseerd op wat????

maandag 21 juli 2003 18:21

Acties:
  • DaSchop
  • Registratie: April 2002
  • Laatst online: 28-07-2015

DaSchop

Hallo, ik ben Bastiaan

Topicstarter
AAAAARGH!!!

Ok, ik ben erachter waardoor mijn pc "gehackt" was. Het was de zeer gevaarlijke trojan "Currently Hearing", een plugin voor Winamp die een txt bestandje met informatie over het momentaal draaiende nummer upload naar een ftp server. En daar gebruikt hij dus kennelijk ftp.exe voor XD. Ik heb het een maand ofzo geleden geïnstalleerd en er sindsdien niet meer aan gedacht.

Toch goed dat ik even ZA heb gedraaid, toen ik elke keer dat Winamp met een nieuw nummer begon een popup kreeg dat ftp.exe internettoegang wilde ging er een lampje branden ^^

De Generaal: tsja, je hebt altijd die ene % hè? =P

Ok, ik zal jullie serieuze tweakers nu met rust laten ^^"

*kruipt terug in zijn hol*

>> Bastiaan

maandag 21 juli 2003 18:35

Acties:

Verwijderd

Verwijderd schreef op 21 July 2003 @ 18:11:
[...]


Gebaseerd op wat????
Tsja, gelukkig had ik geen 100% gezegd.

Gebaseerd op het feit dat cmd.exe en ftp.exe geen zaken zijn die normaliter zomaar gestart worden en blijven draaien. Daarnaast is FTP ook nog eens voor file-transfer, dus een hack ligt dan wel ERG voor de hand.

dinsdag 22 juli 2003 07:18

Acties:

Verwijderd

Dat tclock2.exe en YzToolbar.exe lijken me trouwens ook stukjes adware .

dinsdag 22 juli 2003 17:52

Acties:
  • DaSchop
  • Registratie: April 2002
  • Laatst online: 28-07-2015

DaSchop

Hallo, ik ben Bastiaan

Topicstarter
Nee, geen adware.

Tclock houdt mijn desktop en startbalk in toom en Yztoolbar verandert de icoontjes in (Internet) Explorer.

>> Bastiaan

Pagina: 1
Reageer