Toon posts:

[WinXP] Ongewenst Mail Srv.. ?

Pagina: 1
Acties:
  • 392 views sinds 30-01-2008
  • Reageer

vrijdag 24 oktober 2003 10:58

Acties:

Verwijderd

Topicstarter
Ik heb sinds een tijdje het volgende vage probleem:

Situatie:
Laptop HP Pavilion ze4200
Hangt achter ADSL via een draytek 2600e met een UTP kabeltje
WinXP Pro UK Met SP1 + patches
NAV 2002
Ad Aware
Regclean tooltjes

Norton Anti Virus 2002 scant netjes uitgaande mail, ik zie zo'n statusvenster op het moment dat mail mijn computertje verlaat..
Nu het probleem.

Ik zie dus regelmatig vensters met daarin "Bezig met versturen van bericht 1 van 5" En daarna nog meer van die vensters.. Opeens wilde een stuk of 800 mailtjes mijn pc verlaten, terwijl ik echt niet zoveel mail. :D

Ik heb de hele harde schijf, het register, alles van boven tot onder nageplozen..
De runnende services nagekeken in de task manager, in het administrator services paneel gekeken naar vreemde services.. niets..

Tot ik met msconfig aan de gang ging. Ik zag opeens iets "aparts" staan..
zmuzbon.dll.. Anyway hier wat linkjes met verduidelijking.. Want ik weet echt niet waar ik het moet zoeken, en de computer reformatten lijkt me nogal zinloos voor zo'n klein iets. Het probleem is weg als ik de router zo instel, dat mijn pc niet meer de DMZ Host is.. Maar goed.. Ik heb de laptop ook op andere locaties nodig, waar geen router/firewall voor handen is, maar alleen een directe internet verbinding. Dus om nou te zeggen, gewoon je laptop niet meer als DMZ in te stellen, tsja, daar schiet ik weinig mee op. Anyway, mijn laptop lijkt dus een open relay mail server te zijn geworden voor spammers, maar waar kan ik deze service vinden, en dan verdwijderen?

laptop reinstallen omdat er nou een klein serviceje draait wat ik niet wil.. ehm.. niet echt handig lijkt me :)

http://members.chello.nl/a.bakker26/runn.jpg
plaatje van de task manager, en lopende applicaties/services

http://members.chello.nl/a.bakker26/zmuz.jpg
plaatje van de msconfig, met daarin die rare .dll

http://members.chello.nl/a.bakker26/servicez.txt
lijstje met alle services momenteel op mijn laptop

In de taskmanager Sniffer.exe is gewoon Sniffer Pro, welke ik gebruik om te zien wie nou precies mijn laptop wil benaderen ( daarom staat mijn bak ook als DMZ anders zie je dat niet :) ) En waar die rotmail heen wil. :)

[ Voor 13% gewijzigd door Verwijderd op 24-10-2003 11:04 ]

vrijdag 24 oktober 2003 11:03

Acties:

Verwijderd

Als ik dit zo vlug beoordeel vanaf mijn werk lijkt het erop dat je gewoon gehacked bent en er een of andere tool geinstalleerd is.

Helemaal opnieuw instaleren lijkt me in dat geval wel de beste oplossing.

vrijdag 24 oktober 2003 11:08

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Scan eens met een virusscanner zoals www.housecall.nl, installeer eens een firewall.

Draai ook eens een
code:
1

netstat -ano | findstr /i listening
om te zien welke poorten er in listening state staan, je krijgt dan iets als:

code:
1
2

  TCP    0.0.0.0:23             0.0.0.0:0              LISTENING       2528
  TCP    0.0.0.0:80             0.0.0.0:0              LISTENING       1604


De 2 laatste getallen is het process ID wat er op die poort luistert, gebruik vervolgens eens dit:

code:
1

tasklist /v | findstr /i 1604

waarmee je dus op die process ID 1604 zoekt, dit geeft dan terug wat er luistert:

code:
1
2

Apache.exe                  1604 Console                 0        728 K Running
        NT AUTHORITY\SYSTEM                                     0:00:00 N/A


Hiermee kan je achter komen welk process er precies luistert, en zal je dus ook niet-standaard processen moeten opvallen. Al met al klinkt deze beschrijving echter dat je systeem "gecracked" is wat helaas niet zo gek is als je zonder bescherming op internet aangesloten bent :)

vrijdag 24 oktober 2003 11:10

Acties:
  • Krypt
  • Registratie: April 2000
  • Laatst online: 20:25

Krypt

Is Adaware wel helemaal up-to-date? Anders ff een nieuwe definitiefile downloaden..
Probeer ook eens met Search&Destroy...

[ Voor 29% gewijzigd door Krypt op 24-10-2003 11:11 ]

Pvouput live

vrijdag 24 oktober 2003 11:14

Acties:

Verwijderd

Topicstarter
Housecall kon niets vinden, na de complete HD gescanned te hebben, NAV2002 ook niet. Verder zit op de laptop de Firewall van WinXP, en de Draytek 2600e heeft ook nog een firewall. Welke ik nu heel even heb uitgezet, om te zien wat er nu precies op het netwerk gebeurd. Normaal staat DMZ altijd uit. Ik dacht eerst dat het misschien kwam door een java applet of een activeX ding. Maargoed, nu lijk ik er weer geen last van te hebben.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       720
TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING       744
TCP    0.0.0.0:1026           0.0.0.0:0              LISTENING       4
TCP    0.0.0.0:1347           0.0.0.0:0              LISTENING       1204
TCP    0.0.0.0:3007           0.0.0.0:0              LISTENING       1204
TCP    0.0.0.0:4171           0.0.0.0:0              LISTENING       1820
TCP    0.0.0.0:5398           0.0.0.0:0              LISTENING       1820
TCP    127.0.0.1:2638         0.0.0.0:0              LISTENING       1896
TCP    127.0.0.1:3001         0.0.0.0:0              LISTENING       1108
TCP    127.0.0.1:3002         0.0.0.0:0              LISTENING       744
TCP    127.0.0.1:3003         0.0.0.0:0              LISTENING       744
TCP    127.0.0.1:3005         0.0.0.0:0              LISTENING       164
TCP    192.168.1.31:139       0.0.0.0:0              LISTENING       4
TCP    [::]:135               [::]:0                 LISTENING       720
TCP    [::]:1025              [::]:0                 LISTENING       744


Dat zijn trouwens de services.. Ik zie verder niets op poort 25 staan.. Erg strange.

Thnx elevator, ik zal even kijken wat die precies doen. :)

code:
1
2
3
4
5
6

164   0:00:00 Norton Anti Virus
1204 0:00:00 SQL_TCP_SQL_PORT
1108 0:00:00 N/A
1280 [geen output]
1820 0:00:00 N/A
1896 0:00:00 N/A

[ Voor 10% gewijzigd door Verwijderd op 24-10-2003 11:23 ]

vrijdag 24 oktober 2003 11:16

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Nu zal je dat 2e stukje ook zelf even moeten doen - jouw processen hebben wij niet draaien namelijk. In principe zou ik alleen de processen, 1204, 1820, 1896, 1108 en 164 even bekijken.

vrijdag 24 oktober 2003 11:22

Acties:

Verwijderd

Deze dll bevindt zich in de alternative data stream.
NAV scant ADS niet..

Ik gok erop dat het om afqore.q gaat.

Echt een handige oplossing is er niet eigenlijk.

Ik zou Kaspersky of McAfee installeren(zorg wel dat je niet NAV ook resident hebt lopen)..
Manier voor het cleanen van klommel bij KAV:
-minstens de monitor en de updater installeren
-updaten
-bij de monitor instellen 'auotomatisch verwijderen'
-rebooten
-na wat meldingen nogmaals rebooten om zeker te weten dat het weg is(dan krijg je melding van missing dll).

Het gaat ook met McAfee als het goed is, maar daar heb ik eigenlijk geen ervaring mee.

vrijdag 24 oktober 2003 11:33

Acties:
  • Krypt
  • Registratie: April 2000
  • Laatst online: 20:25

Krypt

Ik vroeg me al af wanneer virussen data streams gingen gebruiken... erg fijn..
Zoek ook eens op ESTABLISHED connecties; je uitgaande connecties.

Pvouput live

vrijdag 24 oktober 2003 11:36

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Mjah, dat ze datastreams zouden gaan gebruiken zat er helaas al een paar jaar geleden aan te komen :/

Dat Afqore.q kan ik niet terugvinden bij Sophos - heb je er iets meer informatie over (een linkje naar een website ofzo?)

vrijdag 24 oktober 2003 11:41

Acties:
  • Krypt
  • Registratie: April 2000
  • Laatst online: 20:25

Krypt

Heel wat jaren ja; met NT kun je al verschillende datastreams gebruiken..
Ik gebruik het zelf ook, om versleutelde wachtwoorden tijdelijk op te slaan in 'n tekstfile..

kan ook niets vinden op google; ben er eigenlijk wel geinteresseert naar..

Pvouput live

vrijdag 24 oktober 2003 11:43

Acties:

Verwijderd

Topicstarter
Ik heb maar even een trail gedownload van KAV, hopelijk is het daarmee gedaan. De enige established connectie, is die SQL PORT op port 1204. Verder is er nog een zwaar dreigende connectie naar dit topic op gathering :)
code:
1
2
3

iexplore.exe                1712 Console                 0      2.080 K Running
        HP4200\User                                           0:00:34 [WinXP]
Ongewenst Mail Srv.. ? - Windows Operated Systems - GoT - Powere


Nieuwe ad-aware en Search&Destroy worden gedpwload :)

Alle mensen die virussen maken, verdienen niets minder dan een nekschot :)

Removal van die rommel en info:

http://www.sophos.com/virusinfo/analyses/w32gibef.html
http://www.sophos.com/support/disinfection/gibe.html


Nog bedankt bij het identificeren van de het virus! GoT people, yur great! :D _/-\o_

Trouwens het eerste virus wat ik op mijn eigen pc heb sinds 4 jaar :/

[ Voor 38% gewijzigd door Verwijderd op 24-10-2003 12:13 ]

vrijdag 24 oktober 2003 11:49

Acties:

Verwijderd

Dat Afqore.q kan ik niet terugvinden bij Sophos - heb je er iets meer informatie over (een linkje naar een website ofzo?)
www.viruslist.com (te lui om juiste link te gaan zoeken:P)

Hier linkje van Sophos van de dropper klik
Sophos is echt way te laat hiermee..
KAV trouwens ook(zoek voor de gein eens op een SA topic in de trant van: smtp problemen).

Sophos is alleen aardig als het over traditionele virussen gaat..(imo enzo)

Edit: Oops..afcore.q en niet afqore.q |:(
Mja, paar linkjes:
F-Secure
Viruslist

[ Voor 17% gewijzigd door Verwijderd op 24-10-2003 12:03 ]

vrijdag 24 oktober 2003 12:16

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Thanks, Schouw :)

Even wat meer algemene informatie over Alternative Data Streams zodat het voor de topic starter ook duidelijk blijft. Ook hier staat nog wat nuttige informatie.

Je zou eventueel eens kunnen scannen met een tool als op deze pagina verstopt staat (hier dus), om te zien ofdat je inderdaad een virus in een ADS hebt zitten. Overigens hoeft een ADS niet per se een virus te zijn - advanced properties van een file, en bepaalde data van een thumbs.db (de preview functie van WinXP) worden ook in ADS'en opgeslagen.

vrijdag 24 oktober 2003 12:21

Acties:

Verwijderd

Die crucialADS vindt hem niet..(terwijl hij er toch echt is :P).
Iig dat was de conclusie uit eerder geval, zelf wel niet getest.

Magnus(TrojanHunter):
I would trust "Streams" from www.sysinternals.com more. The app you mention probably only scans *files* for streams - this stream seems to be attached to a directory.
Edit: Wat netter gemaakt.
App die ik noemde was dus crucialADS voor de duidelijkheid.

[ Voor 14% gewijzigd door Verwijderd op 24-10-2003 12:24 ]

vrijdag 24 oktober 2003 13:07

Acties:

Verwijderd

Topicstarter
code:
1
2
3
4
5
6
7
8

C:\WINDOWS>streams.exe -s c:\windows

Streams v1.3 - Enumerate alternate NTFS data streams
Copyright (C) 1999-2001 Mark Russinovich
Sysinternals - www.sysinternals.com

c:\windows\system32:
     :zmuzbon.dll:$DATA 113152


Jepz.. lijkt me duidelijk dit :) Wat een *** virus zeg :D
Bleek dus dat mijn vermoeden uit dat stukje in msconfig toch terecht was. :)

Update

Ik heb dat ding de nek (tijdelijk) kunnen omdraaien door dit uit te schakelen in msconfig. Misschien een lullig lapmiddeltje, maar het werkt hier wel. blijkbaar

Afbeeldingslocatie: http://members.chello.nl/a.bakker26/moe.JPG

[ Voor 40% gewijzigd door Verwijderd op 24-10-2003 14:12 ]

Pagina: 1
Reageer