Onverklaarbare upload - Internet en hosting

vrijdag 10 oktober 2003 18:50

Acties:

Topicstarter

Ik gebruik Windows XP met service pack 1a.
Op het moment dat ik mijn pc aanzet verteld DUmeter mij dat ik tussen de 7-10Kb/s
upload. Dit is niet normaal.
Aan het eind van de dag zit ik op ongeveer 400Mb upload.

Sinds de verbinding die ik heb een up en download limiet heeft heb ik dus een groot probleem.
Ik heb geen downloadmanagers,Kazaa of andere verdachte processen draaien.
Het inschakelen van een firewall helpt niet en virus/Trojan-scans leveren ook niets op.
Een online Portscanner bericht mij dat mijn pc 'secure' is.

Momenteel ben ik een uur online en ik heb al meer geupload (15.45Mb) dan dat ik heb gedownload door normaal browsen (12.14Mb).

Kan iemand mij een tip geven, hoe kan ik bijvoorbeeld zien wat er aan mijn pc verbonden is, wat de data-transfer daarvan is en of er ergens misbruik van word gemaakt.

vrijdag 10 oktober 2003 18:51

Acties:

sarcast

adaware al geprobeerd?

adaware kan je gratis downloaden op www.lavasoftusa.com

"Computer games don't affect kids; I mean if Pac-Man affected us as kids, we'd all be running around in darkened rooms, munching magic pills and listening to repetitive electronic music."

vrijdag 10 oktober 2003 18:51

Acties:

DRaakje

1 voor 1 processen killen, en dan zien wanneer de upload ermee ophoudt. Verder draai je waarschijnlijk een ftp server, DDOS client of je hebt je netbios shares open staan...

vrijdag 10 oktober 2003 18:52

Acties:

Chiron

Moderator Discord / TFV & AWM

start>run> 'command' intikken en daarna bij de command prompt eens 'netstat' doen

"Light thinks it travels faster than anything. It doesn't. For wherever light travels it finds darkness has got there first and is waiting for it."

vrijdag 10 oktober 2003 18:52

Acties:

cdgrit

Kijk met netstat onder dos eens welke verbindingen er open staan.

Originele startpagina - Stadindex.nl

vrijdag 10 oktober 2003 18:53

Acties:

dolby

Heb je al eens ad-aware een scan laten doen?

vrijdag 10 oktober 2003 18:54

Acties:

Moon

Topicstarter

Na netstat te hebben uitgevoerd krijg ik een enorme lijst, ik gok 100 regels.

Ad-aware, ja dat is al geprobeerd.

[ Voor 20% gewijzigd door Moon op 10-10-2003 18:55 ]

vrijdag 10 oktober 2003 18:55

Acties:

GaMbiNo

1337

dolby schreef op 10 October 2003 @ 18:53:
Heb je al eens ad-aware een scan laten doen?

Gelukkig was dit nog niet gezegd.

Er is een paar dagen geleden ook al een soortgelijk topic geweest.
Misschien heb je daar iets aan: Internet automatish uploaden?

vrijdag 10 oktober 2003 18:57

Acties:

cdgrit

Moon schreef op 10 October 2003 @ 18:54:
Na netstat te hebben uitgevoerd krijg ik een enorme lijst, ik gok 100 regels.

Ad-aware, ja dat is al geprobeerd.

Dat lijkt me niet normaal

Heb je misschien virusje die e-mails aan 't verzenden is?

Originele startpagina - Stadindex.nl

vrijdag 10 oktober 2003 18:58

Acties:

Moon

Topicstarter

cdgrit schreef op 10 oktober 2003 @ 18:57:
[...]

Dat lijkt me niet normaal
Heb je misschien virusje die e-mails aan 't verzenden is?

Hmz, dan heb ik een probleem.

Wel, virusscans leveren niets op

vrijdag 10 oktober 2003 19:13

Acties:

The Conman

DUmeter is monitored ook je interne dataverkeer, heb je niet computers in het netwerk hangen waarmee je shared en bestanden uitwisseld? Of met je pc internet gedeeld? Want dan stuur je ook dataverkeer via jou pc naar de andere

vrijdag 10 oktober 2003 19:18

Acties:

Mr.Nobody

dl eens active ports, dan kun je tenminste zien welk programma poorten heeft openstaan:

http://download.com.com/3000-2085-10062969.html?part=65960 &subj=dlpage&tag=button

Opensource delphi componenten (http://www.delphi-jedi.org)

vrijdag 10 oktober 2003 19:24

Acties:

Moon

Topicstarter

The Conman schreef op 10 October 2003 @ 19:13:
DUmeter is monitored ook je interne dataverkeer, heb je niet computers in het netwerk hangen waarmee je shared en bestanden uitwisseld? Of met je pc internet gedeeld? Want dan stuur je ook dataverkeer via jou pc naar de andere

Ja, hier ben ik van op de hoogte.
Ik heb geen netwerk, en ik weet dat DUmeter ook de connectie van het modem naar de netwerkkaart registreerd. Maar dit hoort geen 400Mb per dag te zijn..

vrijdag 10 oktober 2003 21:03

Acties:

Ook

Yes I can!

Kan je de resultaten van netstat hier niet even neerzetten??

Wees consequent, maar niet altijd

vrijdag 10 oktober 2003 22:16

Acties:

Resistor

Niet meggeren!

Misschien een stomme vraag, maar heb je ook 'upload' als de netwerkkabel er uit ligt?
Ik weet niet wat voor netwerkkaart je hebt, of on-board, maar misschien dat die foute info geeft over wat er binnenkomt en uitgaat.

Kleine kans eigenlijk.

What will end humanity? Artificial intelligence or natural stupidity?

zaterdag 11 oktober 2003 00:08

Acties:

Wildfire

Joy to the world!

Ook schreef op 10 October 2003 @ 21:03:
Kan je de resultaten van netstat hier niet even neerzetten??

Lijkt me idd het beste. Kunnen we zien wat voor verbindingen er openstaan.

Hou er trouwens rekening mee als je bv. op tweakers.net of GoT zit er al meteen een stapel poorten worden open gegooid.

Systeemspecs | Mijn V&A spulletjes | Mijn RIPE Atlas probe

zaterdag 11 oktober 2003 00:17

Acties:

nl1klb

May the Moo be with You

The Conman schreef op 10 October 2003 @ 19:13:
DUmeter is monitored ook je interne dataverkeer, heb je niet computers in het netwerk hangen waarmee je shared en bestanden uitwisseld? Of met je pc internet gedeeld? Want dan stuur je ook dataverkeer via jou pc naar de andere

Dit is inderdaad het geval met DU Meter jah!
Je moet goed kijken welke NIC je gebruikt voor het internetgebeuren.
Die stel je dus in in DU Meter (Options > General> geef je ogen de kost).
als het dan NOG aangeeft dat er geupload word ga ook ik richting virus denken

Stats!
Disce Ut Semper Victurus, Vive Ut Cras Moriturus

zaterdag 11 oktober 2003 00:21

Acties:

Macabre

Euhh...

ik heb precies hetzelfde gehad en bij mij was het een backdoor via mIRC...
laat je pc eens online scannen op http://www.symantec.com

btw neem eens een gratis firewall en kijk welke processen met internet willen verbinden...
Ik had explorer.exe die naar www.l0g.org wilde connecten en als ik die toe liet begon is ook als een gek te uppen

[ Voor 44% gewijzigd door Macabre op 11-10-2003 00:23 ]

..:: Specs ::..

zaterdag 11 oktober 2003 00:23

Acties:

Krypt

Of een trojan die een ftpservice installeerd in de "System Volume Information" directory... heeftm'n broer gehad; weet alleen niet hoe ie 'm precies verwijderd heeft.

Draai een MSConfig en kijk bij de run en startup of er rare dingen tussen staan..

Pvouput live

zaterdag 11 oktober 2003 00:25

Acties:

My-life

Heb je hetzelfde in veilige modus?

zaterdag 11 oktober 2003 00:25

Acties:

Resistor

Niet meggeren!

nl1klb schreef op 11 October 2003 @ 00:17:
[...]

Dit is inderdaad het geval met DU Meter jah!
Je moet goed kijken welke NIC je gebruikt voor het internetgebeuren.
Die stel je dus in in DU Meter (Options > General> geef je ogen de kost).
als het dan NOG aangeeft dat er geupload word ga ook ik richting virus denken

Moon in "Onverklaarbare upload"
Je moet goed kijken wat er nog meer gezegd wordt.
Hij heeft geen netwerk, de PC zit volgens mij direct op de modem.

Heel vreemd. Als ik vreemd netwerkverkeer heb is het eerste wat ik doe de kabels er uit trekken, dan kan er niets gebeuren, maar dat had ik geloof ik al gezegd.

Als je er een kabel uit gaat trekken, doe dan de kabel van de aansluiting naar de modem, dan kan je zien of er veel verkeer is tussen modem en PC.

What will end humanity? Artificial intelligence or natural stupidity?

zaterdag 11 oktober 2003 01:26

Acties:

nl1klb

May the Moo be with You

Resistor schreef op 11 oktober 2003 @ 00:25:
[...]

Moon in "Onverklaarbare upload"
Je moet goed kijken wat er nog meer gezegd wordt.
Hij heeft geen netwerk, de PC zit volgens mij direct op de modem.

Heel vreemd. Als ik vreemd netwerkverkeer heb is het eerste wat ik doe de kabels er uit trekken, dan kan er niets gebeuren, maar dat had ik geloof ik al gezegd.

Als je er een kabel uit gaat trekken, doe dan de kabel van de aansluiting naar de modem, dan kan je zien of er veel verkeer is tussen modem en PC.

Hmmz.. das idd wel zow jah.. maar hier stond ie standaard toch niet op die ene NIC.. vandaar dat ik ff reageerde.. (had standaard een upload van 3.xx MBit.. lijkt me ietsie meer dan de verwachte 16k

)

Stats!
Disce Ut Semper Victurus, Vive Ut Cras Moriturus

zaterdag 11 oktober 2003 12:34

Acties:

Verwijderd

Het installeren van een sniffer: http://www.ethereal.com/ of van netlimiter : http://netlimiter.com/ (zoals gesuggereerd in het andere topic) lijkt me een goed plan

zaterdag 11 oktober 2003 13:23

Acties:

Crazy D

I think we should take a look.

Niet toevallig mslaugh.exe in je processes staan? Die had ik van de week

3 uur lang vrolijk meegeholpen aan een ddos attack met 3kb/s, voordat ik zo bijdehand was om eerst eens even te kijken welke processen er allemaal draaiden.
(hoe ik eraan ben gekomen, geen idee, aangezien die gebruikt maakt van de dcom rpc bug, terwijl de betreffende porten stealth zijn volgens diverse online portenscanners.... Nadat ik m had verwijdert konden diverse virusscanners niks meer vinden.)

Exact expert nodig?