Data blijft naar internet pompen? - Privacy en beveiliging

woensdag 11 februari 2004 23:30

Acties:

Spliff

Topicstarter

Ik merk momenteel dat ik een probleem heb middels het feit dat mijn PC data naar het internet aan het pompen slaat.

na ca 30 minuten tot een uur gaat mijn verzonden byte met rasse schreven omhoog max upload.

Ik heb nieuwste virus definities welke geen virii kan vinden,
Er komen geen processen bij in de process list
en ad aware kan niks vinden

Iemand enig idee wat er aan de hand is of wat ik kan doen om daar achter te komen.

Ik gebruik XP
en heb wannadoo MXstrream met speedtouch usb modem,.

Als hij aan het pompen is kan ik dit alleen stoppen door opnieuw op te starten.

Als ik de verbinding verbreek en opnieuw maak blijft hij data pompen..

Enig hulp zou van harte welkom zijn

Met een aan WAANZIN grensend optimisme

woensdag 11 februari 2004 23:32

Acties:

Henk007

Installeer eens een firewall, dan heb je zelf nauwkeurige controle over welke processen allemaal toestemming hebben om data te verzenden of te ontvangen. Je kunt dan meteen zien waardoor het veroorzaakt wordt.

woensdag 11 februari 2004 23:34

Acties:

Luxx

Hijs nu het zeil gezwind...

kijk met netstat (vanaf command line) eens waar het verkeer heen gaat, waarschijnlijk weet je dan wel welk stukje spyware/adware/virus je te pakken hebt. Of probeer TCPview eens om na te kijken wat er allemaal verbinding maakt.

[ Voor 6% gewijzigd door Luxx op 11-02-2004 23:36 ]

HYEHEHEHEEHHEEHee, hier had iets zinnigs kunnen staan, maar dat is niet.

woensdag 11 februari 2004 23:36

Acties:

jotheman

Was like that when I got here!

typ eens "netstat /a" in command in terwijl ie dat doet. Dan kun je zien welke poorten er gebruikt worden enzo. Als je weet welke poort 't is kun je wellicht opzoeken waar die van is en 'm afsluiten of er in ieder geval achter komen waar 't door gebruikt wordt. Suc6 nog!

edit:

Mmmm... luxx is me voor

[ Voor 13% gewijzigd door jotheman op 11-02-2004 23:36 ]

I see dead pixels...

donderdag 12 februari 2004 00:15

Acties:

bjck

Zou de stekker van je internet verbinding er eens uithalen en dan uit gaan zoeken wat het is. Als het bijvoorbeeld spam of virusmail is wat eruitgaat zorg je bij veel mensen voor een hoop ergernis op deze manier.

Een onderschrift moet altijd zinvol zijn.

donderdag 12 februari 2004 08:55

Acties:

ThinkAboutIt

Format C: is ingrijpend maar wel doeltreffend!

donderdag 12 februari 2004 08:59

Acties:

M.I.G.

[like an alien]

ThinkAboutIt schreef op 12 februari 2004 @ 08:55:
Format C: is ingrijpend maar wel doeltreffend!

En dus de TS komt zo niet te weten wat de reden was? En dus na een nieuwe install weer de kans loopt om dit probleem weer te krijgen?

Maar virusscanner installeren is ook wel handig.

edit: zag dat je al virusscanner erop hebt staan

[ Voor 9% gewijzigd door M.I.G. op 12-02-2004 09:03 ]

donderdag 12 februari 2004 09:17

Acties:

lordsnow

I know nothing

Proxy aan staan?

donderdag 12 februari 2004 09:48

Acties:

Bergen

Spellingscontroleur

Formatteren is inderdaad 'om het probleem heen werken', niet 'het probleem oplossen'. Vind ik.

Naast Ad-Aware zou je ook nog eens Spybot S&D kunnen proberen, die vindt hier soms ook dingen die Ad-Aware niet vindt.

donderdag 12 februari 2004 09:53

Acties:

Willem2

Ω is futile

Gaat de het verkeer echt over je modem (knipperende RX/TX lampjes?).
Ik heb wel eens hetzelfde gehad, en toen bleek windows druk bezig te zijn op mijn loopback interface (aka localhost / 127.0.0.1).

Er *leek* veel data uit te gaan, maar op de modem gebeurde niets... Is geen oplossing voor je probleem, maar localhost verkeer is niet iets om wakker van te liggen volgens mij!

en nee, ik houd niet van voetbal... :)

donderdag 12 februari 2004 10:22

Acties:

Whaletyr

Spliff

Topicstarter

He bedankt voor deze tips. ik ben bezig zaken uit te zoeken, vooralsnog lijkt het niet iets van een virus. wel kan ik het een en ander zien met TCPView bedankt alvast daarvoor...

Ik kan een process niet echt achterhalen

Inetinfo.exe.

Bedankt alvast

Met een aan WAANZIN grensend optimisme

donderdag 12 februari 2004 10:56

Acties:

Verwijderd

http://www.liutilities.co.../processlibrary/inetinfo/

Welke AV gebruik je?
Post je HijackThis log eens anders.(Tussen [code] tags)
Het klinkt een beetje naar afcore..

donderdag 12 februari 2004 11:00

Acties:

Bergen

Spellingscontroleur

Whaletyr schreef op 12 februari 2004 @ 10:22:
Ik kan een process niet echt achterhalen

Inetinfo.exe.

Eerste hit op Google:

inetinfo - inetinfo.exe - Process Information

Process File: inetinfo or inetinfo.exe
Process Name: IIS Admin Service Helper
Description: InetInfo, which is part of Microsoft Internet Information Services (IIS) and is used for debugging. The service is seen primarily on Windows NT 4 or 2000 Server where InetInfo provides Internet proxy and web server services.
Company: Microsoft Corp.
System Process: Yes
Security Risk ( Virus/Trojan/Worm/Adware/Spyware ): No
Common Errors: N/A

Dat had je zelf ook wel kunnen vinden.

donderdag 12 februari 2004 11:01

Acties:

jules

leend3rs.nl

Probeer eens een online virusscan van bijvoorbeeld Trend Miro. Misschien is je huidige scanner beschadigd door een eventueel virus?

Foto Portfolio Follow me on Twitter!



donderdag 12 februari 2004 11:04

Acties:

Verwijderd

Ch!pY-J schreef op 12 februari 2004 @ 11:01:
Probeer eens een online virusscan van bijvoorbeeld Trend Miro. Misschien is je huidige scanner beschadigd door een eventueel virus?

Dit verhaaltje klinkt naar backdoor.afcore, nogal wat varianten daarvan zijn backdoors die zich in ADS nestellen.
Dat kunnen maar bar weinig AVs scannen, Trend is daarop geen uitzondering.

Daarom ben ik pro-HT log posten.

donderdag 12 februari 2004 11:05

Acties:

Lord_T

moet zeggen dat kaspersky AV die backdoors redelijk goed vind

ja ja... niet iedereen heeft dezelfde kennis... wees daarom ook eens gewillig en geef een antwoord op een vraag ;)

donderdag 12 februari 2004 11:39

Acties:

jules

leend3rs.nl

Lord_T schreef op 12 februari 2004 @ 11:05:
moet zeggen dat kaspersky AV die backdoors redelijk goed vind

Die KAV slaat zelfs aan als je Serv-u en Remotely Anywhere installeert... Op zich kan ik het me wel enigszins voorstellen....
• vrijwel ongemerkt een ftp server runnen, remotely controlled!
• ongemerkt een pc remotely controllen, en tegelijkertijd een ftp server opzetten met hetzelfde programma, en vervolgens een heel netwerk "vanuit" die pc "infecteren".

offtopic:
Het verbaasde me behoorlijk toen ik vanuit de remotely control stand het programma kon installeren op diverse andere pc's via het netwerk. Gelukkig zou een firewall bepaalde dingen wel tegenhouden. Daarnaast lukte dit truukje me niet naar een W XP installatie..

Dat HT gebeuren is nog behoorlijk moeilijk te downloaden. Het lijkt er zelfs op dat die website down is..
HT zelf vind ik verder niet zo'n super bijzonder tooltje. Met MSconfig kom je ook al een heel eind... En met beide kun je je systeem overhoop halen

[ Voor 10% gewijzigd door jules op 12-02-2004 11:40 ]

Foto Portfolio Follow me on Twitter!



donderdag 12 februari 2004 11:41

Acties:

GGS_206

Oranje!

Installeer Netlimiter eens en zie welke progjes of dingen de meeste data slurpt. Dan stel je gewoon in dat dat progje geen data mag versturen

T.net ID. Bekijk het maar es eem..
‹(◕‿◕)›

donderdag 12 februari 2004 11:54

Acties:

XtremeNova

Alfa 145 Qv

Google naar "inetinfo.exe vulnerability". Schijnt dat er wel iets mee aan de hand is.
Kon zo snel forums vinden met IIS van Microsoft, POP3/SMTP issues, veel dataverkeer en 100% CPU gebruik.
Heb je je Windows de laatste tijd nog ge-update? Misschien is er een patch beschikbaar die hiervoor een oplossing heeft?

I like it red, with 150 bhp..

donderdag 12 februari 2004 11:55

Acties:

Verwijderd

Damn, derde keer dat ik dit mag posten

Site is idd down.
Ik heb maar even HT geupload, geen idee of het de laatste versie is..
HT

@Ch!pY-J

KAV is niet de enige AV die bij zulke progs aanslaat.
Daarnaast kies je er zelf voor om extended/redundant bases te draaien.

Er zijn(genoeg)'hacks' bekend waarbij alleen maar gebruik is gemaakt van legit tools, waar dus de meeste AVs helemaal niet zouden piepen..

vrijdag 12 maart 2004 00:09

Acties:

Macabre

Euhh...

Hmm leuk dat ik dit lees....

Ik heb dus zelf net KAV geinstalleerd (versie 4.5.0.48)
Ik ben dus volgens KAV geinfecteerd met het Backdoor.Afcore.af virus...
(C:\WINDOWS\System32:qhvhsdf.dll)

In mijn msconfig staat dat bestand dus ook.

Alleen kan ik em niet via die rundll regel uninstallen (kan opgegeven module niet vinden)

Alleen blijft kav om de zoveel seconden schreeuwen dat ik dus een virus heb.

Wie o wie heeft een oplossing

..:: Specs ::..

vrijdag 12 maart 2004 00:35

Acties:

Verwijderd

Hmm..
Je moet de laatste versie van KAV installen.. 4.5.0.94
Die heeft full ADS support, die wat jij hebt slechts gedeeltelijk.

Probeer eerst dit eens:

code:

1	rundll32.exe C:\WINDOWS\System32:qhvhsdf.dll, Uninstall

_{Was een topic in BV trouwens niet stukken handiger geweest?}

vrijdag 12 maart 2004 01:11

Acties:

Macabre

Euhh...

Ik heb nu net die 4.5.0.94 geinstalleerd maar hij doet psies hetzelfde....
Heb alles geupdated maar telkens krijg ik een pop-upje dat ie dat virus vind.

Verder die code werkt wel nu....bij start -> uitvoeren

Maar dan nu is dat "AF" verwijdert, hoe moet ik verder gaan ?

[ Voor 30% gewijzigd door Macabre op 12-03-2004 01:12 ]

..:: Specs ::..

vrijdag 12 maart 2004 01:14

Acties:

Verwijderd

Zoals ik al zei: Doe een on-demand scan van je systeem.
Om alleen dat ding direct uit ADS te krijgen hoef je alleen maar een on-demand scan van je C:\WINDOWS\System32 directory te doen.

vrijdag 12 maart 2004 01:20

Acties:

Macabre

Euhh...

Als ik KAV laat scannen in de system32 dir dan vind ie niets ???

..:: Specs ::..

vrijdag 12 maart 2004 01:23

Acties:

Verwijderd

Macabre schreef op 12 maart 2004 @ 01:20:
Als ik KAV laat scannen in de system32 dir dan vind ie niets ???

Hmm...
100% zeker dat je de laatste versie hebt?
Reboot eens, misschien is het ding stiekem toch al gedelete.

vrijdag 12 maart 2004 01:28

Acties:

intoxicated

Haaaai :w | ALT-S

I&T -> BV

"Anyone who does not agree with me is mentally sick, and should be shot I'm afraid to say."
- Pastor Richards @ VCPR

vrijdag 12 maart 2004 01:35

Acties:

Macabre

Euhh...

Heb pc gereboot, kav weer laten scannen en die vind niets, en de monitor vind ook niets meer..

Dus ik denk dat het hiermee is opgelost !!

Trouwes het klopt toch dat afcore ook je processen aantast als de dll is ge-installed ? (want daar begon kav dus om 10 seconden mee te komen).
Krijg nu namelijk 0 meldingen meer.

Bedankt!

..:: Specs ::..

vrijdag 12 maart 2004 01:39

Acties:

Verwijderd

Macabre schreef op 12 maart 2004 @ 01:35:
Trouwes het klopt toch dat afcore ook je processen aantast als de dll is ge-installed ? (want daar begon kav dus om 10 seconden mee te komen).
Krijg nu namelijk 0 meldingen meer.

De dll hooked zich in verschillende processen, waardoor het blijft 'voortleven' waardoor je steeds weer die melding krijgt ja.

Heb pc gereboot, kav weer laten scannen en die vind niets, en de monitor vind ook niets meer..

Dus ik denk dat het hiermee is opgelost !!

Bedankt!

Mooi.

Nu zorgen dat het niet weer gebeurt.