[Hoax?] Mail van ISP ivm. het versturen van spam * - Privacy en beveiliging

maandag 8 maart 2004 12:38

Acties:

Topicstarter

Geachte klant,

Wij hebben meldingen gekregen dat er via uw verbinding spam wordt
gestuurd. (Zie
http://www.spamcop.net/w3...heckblock&ip=xxx.demon.nl).

Vermoedelijk is er op uw computer stiekem een programma geinstalleerd
(een open proxy) die door de spammers misbruikt kan worden. Naast de
overlast voor derden zal uw eigen verbinding er waarschijnlijk ook last
van hebben. Dit is waarschijnlijk gebeurd via een virus/trojan op uw
computer. Daarom is het verstandig uw computer te laten scannen op
http://security.symantec.com/nl/ (let erop dat uw eigen anti-virus-
programma aangetast kan zijn door het virus). Ook een firewall/router
kan helpen (dit kan de poort blokkeren die het programma gebruikt).
Indien u een Zyxel heeft, kunt u overwegen deze als router in te
stellen. We geven hier geen support over, maar op de volgende pagina
staat er uitleg over: http://www.zyxel.nl/p650/z009.html

Wij willen u er ook op wijzen dat wij ons het recht voorbehouden uw
verbinding en/of toegang tot post.demon.nl tijdelijk af te sluiten,
indien blijkt dat de overlast blijft voortduren. Dit kan nodig zijn om
te voorkomen dat mail van onze klanten door andere providers
geblokkeerd
wordt.

Zie ook onderstaand artikel voor achtergrondinformatie:
http://www.silicon.com/ne.../1/6412.html?nl=d20031016

Met vriendelijke groet/kind regards,
Dimitri Reinderman

--
/\_/\ Demon Internet Abuse Department
( o.o ) Postbus 15829 1001 NH Amsterdam - 0800 3366668
> - < http://www.demon.nl/ - abuse@demon.nl

Ik kreeg deze email vanochtend, lijkt me stug dat hij echt is want de email van die gozer klopt voor geen zak (CC: nlabuse@nl.demon.net)
Dat moet dan toch gewoon abuse@demon.nl zijn en niet nl.demon.net?
En dat smileytje op het laatst lijkt me dan ook erg onprofesioneel.
Zou graag willen weten wat jullie hier over denken.

Alvast bedankt, blix

maandag 8 maart 2004 12:41

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

0800-3366668

Exchange en Office 365 specialist. Mijn blog.

maandag 8 maart 2004 12:41

Acties:

ADH_ED

Hoogbevaagd

blix schreef op 08 maart 2004 @ 12:38:

Vermoedelijk is er op uw computer stiekem een programma geinstalleerd

Dit taalgebruik kun je niet serieus nemen, een bedrijf zal zo'n woord niet gebruiken, eerder ongeoorloofd of dergelijk.

Lijkt me stug dat dit echt is, maar je weet het nooit

maandag 8 maart 2004 12:41

Acties:

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Deze lijkt me redelijk echt hoor...

nlabuse = nl abuse
nl.demon.net => Demon zit ook in andere landen...

Verder is het een beetje een pruts0rig mailtje, dat ben ik niet van Demon gewend, maar het is niet zo erg dat het niet meer geloofwaardig is.

Belt ze effe zou ik zeggen...

[ Voor 47% gewijzigd door RobIII op 08-03-2004 12:42 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

maandag 8 maart 2004 12:42

Acties:

blix

Topicstarter

Jazzy schreef op 08 maart 2004 @ 12:41:
0800-3366668

Dan moet ik dus gemiddeld 2 uur wachten echt geen zin in.

Hij man/helpdesk of whatever mailde ook onder Dimitri Reinderman, normaal mailt een helpdesk toch gewoon onder helpdesk/klachten/spam@demon.nl? zo iets?

[ Voor 32% gewijzigd door blix op 08-03-2004 12:43 ]

maandag 8 maart 2004 12:42

Acties:

blackd

En wat vertelt die spamcop link je? Ik neem aan dat je jouw systeemnaam hebt vervangen door xxx.

blix schreef op 08 maart 2004 @ 12:42:
Dan moet ik dus gemiddeld 2 uur wachten echt geen zin in.

Je bent potentieel spamhost en je hebt geen zin om dat te verifieren ?

Hij man/helpdesk of whatever mailde ook onder Dimitri Reinderman, normaal mailt een helpdesk toch gewoon onder helpdesk/klachten/spam@demon.nl? zo iets?

Waarom zou dat?

[ Voor 69% gewijzigd door blackd op 08-03-2004 12:44 ]

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

maandag 8 maart 2004 12:43

Acties:

Hahn

Controleer je PC of je inderdaad zo'n spamprogramma hebt, mail terug met een vraag om wat meer verklaring. En post de headers, daar is meestal wat meer uit te halen

The devil is in the details.

maandag 8 maart 2004 12:44

Acties:

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

blix schreef op 08 maart 2004 @ 12:42:
[...]

Dan moet ik dus gemiddeld 2 uur wachten echt geen zin in.

offtopic:
http://www.demon.nl/producten/
Onderaan je nummer invullen en wachten tot ze jou bellen

Heb je wel sales aan de lijn i.p.v. support

Draai eens een virusscan/adaware/hijackthis whatever.... ????

[ Voor 9% gewijzigd door RobIII op 08-03-2004 12:44 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

maandag 8 maart 2004 12:44

Acties:

ADH_ED

Hoogbevaagd

waar slaat het kind regards op als de gehele mail in het Nederlands is

maandag 8 maart 2004 12:44

Acties:

blix

Topicstarter

Ja ik heb dus gescanned en niks gevonden.

Bunghole schreef op 08 maart 2004 @ 12:44:
waar slaat het kind regards op als de gehele mail in het Nederlands is

vond ik ook al raar.

[ Voor 72% gewijzigd door blix op 08-03-2004 12:45 ]

maandag 8 maart 2004 12:44

Acties:

wildhagen

Blablabla

Dat nl.demon.net kan wel degelijk, Demon is een Engelse provider met een Nederlandse afdeling erbij.

Maar willen we er iets zinnig over kunnen zeggen, zou je toch de headers moeten posten.

Ziet er zo op het oog in ieder geval wel degelijk echt uit.

Virussen? Scan ze hier!

maandag 8 maart 2004 12:45

Acties:

blackd

Bunghole schreef op 08 maart 2004 @ 12:44:
waar slaat het kind regards op als de gehele mail in het Nederlands is

Nooit gehoord van een standaard signature? Nooit gehoord dat Demon niet alleen in NL actief is?

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

maandag 8 maart 2004 12:45

Acties:

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Bunghole schreef op 08 maart 2004 @ 12:44:
waar slaat het kind regards op als de gehele mail in het Nederlands is

Demon communiceert normaliter in NL en EN in hun berichten. Lijkt me dus een standaard signature.

/spuit 11

[ Voor 7% gewijzigd door RobIII op 08-03-2004 12:45 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

maandag 8 maart 2004 12:45

Acties:

Verwijderd

Headers zouden leuk zijn, post die eens.

De mail oogt niet echt officieel, maar ik acht de kans dat het echt is niet onmogelijk.

Al een virusscan gedaan? Portcheck? etc etc

Titeledit, "echt of nep?" is niet echt duidelijk, let daar in het vervolg aub zelf een beetje op.

maandag 8 maart 2004 12:46

Acties:

blix

Topicstarter

bij dat spamcop geeft ie aan dat ik wel spam heb verzonden inderdaad, gvd hij vind dus gewoon niks!

maandag 8 maart 2004 12:46

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

blix schreef op 08 maart 2004 @ 12:42:
[...]

Dan moet ik dus gemiddeld 2 uur wachten echt geen zin in.

Hij man/helpdesk of whatever mailde ook onder Dimitri Reinderman, normaal mailt een helpdesk toch gewoon onder helpdesk/klachten/spam@demon.nl? zo iets?

Ik zie je probleem niet, als ik je namens ons bedrijf een email stuur dan kan daar ook het woord 'stiekem' in staan en is het afzenderadres: jetze.mellema@capway.nl, niet info@capway.nl oid.

Maar goed, anders negeer je het gewoon. Het houdt vanzelf op.

Exchange en Office 365 specialist. Mijn blog.

maandag 8 maart 2004 12:46

Acties:

ADH_ED

Hoogbevaagd

Ok, ok, ik wist dus niet dan Demon van oorsprong Engels is

maandag 8 maart 2004 12:48

Acties:

blix

Topicstarter

Ja ik ga het dus niet ignoren want straks is het wel echt en wordt me verbinding afgesloten.

Spamcop link : http://www.spamcop.net/w3...ckblock&ip=teije.demon.nl

maandag 8 maart 2004 12:49

Acties:

blix

Topicstarter

Wel leuk dat hij met een gratis scanner dus wel shit vind, en me norton 2003 niet.

C:\WINDOWS\svchost.exe is geïnfecteerd met Bloodhound.Packed
C:\WINDOWS\system32\msrexe.exe is geïnfecteerd met Backdoor.Jeem
C:\WINDOWS\system32\drivers\svchost.exe is geïnfecteerd met W32.Welchia.B.Worm
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CBYL09YN\WksPatch[1].exe is geïnfecteerd met W32.Welchia.B.Worm
C:\WINDOWS\system\mcireg.dll is geïnfecteerd met Keylogger.Trojan
C:\Program Files\Outlook Express\outl32c.exe is geïnfecteerd met Backdoor.Jeem

maandag 8 maart 2004 12:52

Acties:

dreeke

outdated icon

Er wordt dus inderdaad spam verstuurd vanaf jouw IP adres.

edit: Voortaan eerst ff F5

edit2: Als je NAV2003 die allemaal niet vindt gaat er toch iets heel fout

Want dat is wel meer dan 1 virus/trojan

[ Voor 64% gewijzigd door dreeke op 08-03-2004 12:53 ]

Bij gebrek aan uw reclame staat hier mijn handtekening.

maandag 8 maart 2004 12:52

Acties:

Verwijderd

Hmm...
Als ik dat zo snel bekijk zie ik daar geen TrojanProxy tussenstaan.
Btw, die gratis scanner = NAV.

Scan eens met een virusscanner die goed is met backdoors.
KAV of eventueel McAfee dus, hoewel de eerste de laatste tijd toch weer een stuk beter lijkt te zijn.

Edit:

The Trojan opens three TCP ports to allow the hacker to remotely control the infected computer. One TCP port is used for SMTP service; this allows the hacker to send email through the compromised system.

http://securityresponse.s...c/data/backdoor.jeem.html

Zat ernaast dus.

Maar ik raad je nog steeds aan met betere AV te scannen.
Dat ding is al OUD, dus er is al gelange tijd iets serieus fout met je bak.

(Je behoort een AV te updaten btw)

[ Voor 48% gewijzigd door Verwijderd op 08-03-2004 12:55 ]

maandag 8 maart 2004 12:53

Acties:

blix

Topicstarter

Ja KAV heb ik dus niet.

Is er geen goede andere online virus scanner?

[ Voor 52% gewijzigd door blix op 08-03-2004 12:56 ]

maandag 8 maart 2004 12:56

Acties:

Verwijderd

blix schreef op 08 maart 2004 @ 12:53:
Ja KAV heb ik dus niet.

Zie ook nog mijn edit van post hierboven.

http://kasperskylab.co.uk/files/homeuser/kavpers45.exe
Installeer desnoods alleen de on-demand scanner, update ding, scan ermee en flikker hem erna er eventueel weer vanaf.

maandag 8 maart 2004 12:57

Acties:

blix

Topicstarter

Verwijderd schreef op 08 maart 2004 @ 12:56:
[...]

Zie ook nog mijn edit van post hierboven.

http://kasperskylab.co.uk/files/homeuser/kavpers45.exe
Installeer desnoods alleen de on-demand scanner, update ding, scan ermee en flikker hem erna er eventueel weer vanaf.

Bedankt! zal zeker ff gebruiken.

maandag 8 maart 2004 12:59

Acties:

LuCarD

Certified BUFH

blix schreef op 08 maart 2004 @ 12:49:
Wel leuk dat hij met een gratis scanner dus wel shit vind, en me norton 2003 niet.

C:\WINDOWS\svchost.exe is geïnfecteerd met Bloodhound.Packed
C:\WINDOWS\system32\msrexe.exe is geïnfecteerd met Backdoor.Jeem
C:\WINDOWS\system32\drivers\svchost.exe is geïnfecteerd met W32.Welchia.B.Worm
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CBYL09YN\WksPatch[1].exe is geïnfecteerd met W32.Welchia.B.Worm
C:\WINDOWS\system\mcireg.dll is geïnfecteerd met Keylogger.Trojan
C:\Program Files\Outlook Express\outl32c.exe is geïnfecteerd met Backdoor.Jeem

ik kan niet voorstellen dat norton dit niet kon vinden . Draait Live-Update wel goed?

Programmer - an organism that turns coffee into software.

maandag 8 maart 2004 13:01

Acties:

Verwijderd

LuCarD schreef op 08 maart 2004 @ 12:59:
[...]

ik kan niet voorstellen dat norton dit niet kon vinden . Draait Live-Update wel goed?

Zoals ik al zei: Dit zijn NAV namen/detecties.
Of TS heeft nooit ge-update of hij heeft nog wat anders eropstaan wat z'n NAV onwerkbaar heeft gemaakt.

maandag 8 maart 2004 13:04

Acties:

blix

Topicstarter

Ja Norton Antivirus 2004 + de live updates

maandag 8 maart 2004 13:05

Acties:

blix

Topicstarter

Kaspersky vind btw alles, ty

maandag 8 maart 2004 13:06

Acties:

Verwijderd

C:\WINDOWS\svchost.exe is geïnfecteerd met Bloodhound.Packed

Zou je me trouwens deze file kunnen/willen sturen?
Dit is een heuristics detectie namelijk.
Zie sig voor mail.

Edit: Vindt die nog wat wat NAV niet vindt?
Wel interessant om te weten eigenlijk, om te zien of het alleen die ene backdoor was of niet.

[ Voor 29% gewijzigd door Verwijderd op 08-03-2004 13:07 ]

maandag 8 maart 2004 13:07

Acties:

SkyStreaker

Move on up!

Bunghole schreef op 08 maart 2004 @ 12:41:
[...]

Dit taalgebruik kun je niet serieus nemen, een bedrijf zal zo'n woord niet gebruiken, eerder ongeoorloofd of dergelijk.

Lijkt me stug dat dit echt is, maar je weet het nooit

Alleen dat woord al.... Ik zou het woord ongeoorloofd gebruiken.

Hoe kom je achter een hoax? Slecht taalgebruik, al deze grapjassen hebben altijd slecht taalgebruik....

maandag 8 maart 2004 13:07

Acties:

blix

Topicstarter

Wat betaald het?!

Stuur het wel ff op, momentje

Weet niet of ie nog meer vindt, hijs nog bezig met scannen.

[ Voor 37% gewijzigd door blix op 08-03-2004 13:08 ]

maandag 8 maart 2004 13:11

Acties:

blix

Topicstarter

Hij geeft bijd ie svchost aan dat hij hem wil delete of gewoon laten? dus ik kan hem niet reparen?
Schiet ik dus toch nog niks mee op.

Mail is verstuurt schouw.

[ Voor 10% gewijzigd door blix op 08-03-2004 13:11 ]

maandag 8 maart 2004 13:12

Acties:

Verwijderd

blix schreef op 08 maart 2004 @ 13:11:
Hij geeft bijd ie svchost aan dat hij hem wil delete of gewoon laten? dus ik kan hem niet reparen?
Schiet ik dus toch nog niks mee op.

Over welke scanner heb je het nu?
Als het over KAV gaat: welke naam geeft ie aan het beestje?

maandag 8 maart 2004 13:12

Acties:

MadMurdock

heb je geen firewall draaien? Klein scannetje levert dit:

code:

# nmap teije.demon.nl

Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on teije.demon.nl (82.161.81.217):
(The 1549 ports scanned but not shown below are in state: closed)
Port       State       Service
135/tcp    open        loc-srv
139/tcp    open        netbios-ssn
445/tcp    open        microsoft-ds
1025/tcp   open        listen
5000/tcp   open        fics


Nmap run completed -- 1 IP address (1 host up) scanned in 4 seconds

maandag 8 maart 2004 13:18

Acties:

blix

Topicstarter

Verwijderd schreef op 08 maart 2004 @ 13:12:
[...]

Over welke scanner heb je het nu?
Als het over KAV gaat: welke naam geeft ie aan het beestje?

Hij heeft het virus de naam Worm.Win32.Welchia.B

En dan krijg ik de opties : Report Only, Delete Object.

Ik heb wel een firewall draaien, dat geeft hij aan in ieder geval!

maandag 8 maart 2004 13:26

Acties:

Verwijderd

Nou die firewall doet niet veel.

Helemaal niets zelfs.. Ik hoop dat je inziet dat dit niet bepaald veilig is.

Die svchost.exe is bloedje nieuw, de enige reden dat NAV hem flagt is omdat het ding met een aangepaste UPX versie is gepackt.

Geen enkele AV lijkt svchost.exe te detecteren.
Heb getest met: KAV, NAI, Dr. Web, NOD32, RAV en BD.
Dat de eerste 4 van dat rijtje hem niet flaggen --> geen enkele AV flagt hem.(Dit klopt waarschijnlijk in 99% van de gevallen)

Edit: Welchia mag je gewoon deleten.

[ Voor 5% gewijzigd door Verwijderd op 08-03-2004 13:27 ]

maandag 8 maart 2004 13:27

Acties:

blix

Topicstarter

Dus komt er op neer dat ik er niets aan kan doen?
Ik kan hem dus gewoon delete? maar boot me systeem dan nog wel ?

[ Voor 41% gewijzigd door blix op 08-03-2004 13:28 ]

maandag 8 maart 2004 13:28

Acties:

Verwijderd

blix schreef op 08 maart 2004 @ 13:27:
Dus komt er op neer dat ik er niets aan kan doen?
Ik kan hem dus gewoon delete? maar boot me systeem dan nog wel ?

Hoe bedoel je? @ niets aan kan doen.
Welchia.b krijg je alleen als je al besmet was met een ander virus.

Die firewall heeft nooit veel gedaan volgens mij.

Over welke file heb je het mbt. deleten/sys nog wel booten?

[ Voor 32% gewijzigd door Verwijderd op 08-03-2004 13:30 ]

maandag 8 maart 2004 13:31

Acties:

blix

Topicstarter

svchost.exe Daar vind hij die Witchina ? die kan je niet delete toch? want dan boot je systeem niet meer ?

maandag 8 maart 2004 13:32

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

TS: Zoals je inmiddels door hebt, hangt je systeem vrijwel onbeveiligd aan internet. Aangezien dat hier door duizenden handige jongens en meisjes gelezen wordt zou het misschien slim zijn om je computer uit te zetten/de stekker er uit te halen.

Met een computer vol met backdoors is het eigenlijk alleen maar verstandig om hem schoon in te richten. Zorg dan dat je firewall en virusscanner draaien voordat je internet op gaat.

Exchange en Office 365 specialist. Mijn blog.

maandag 8 maart 2004 13:32

Acties:

Verwijderd

blix schreef op 08 maart 2004 @ 13:31:
svchost.exe Daar vind hij die Witchina ? die kan je niet delete toch? want dan boot je systeem niet meer ?

Check de dir.

Die kun je zo wegmikken.
(Zie nu pas dat je meerdere malware hebt die svchost.exe heet).

Edit:
Helemaal true @ Jazzy.
Is KAV inmiddels klaar met scannen? Zo ja: heeft die nog wat anders gevonden?

[ Voor 16% gewijzigd door Verwijderd op 08-03-2004 13:33 ]

maandag 8 maart 2004 13:33

Acties:

blix

Topicstarter

Ok bedankt, dan zijn al de virusen weg, hij vindt iig niks meer.

maandag 8 maart 2004 13:35

Acties:

Verwijderd

blix schreef op 08 maart 2004 @ 13:33:
Ok bedankt, dan zijn al de virusen weg, hij vindt iig niks meer.

Nou dat durf ik te betwijfelen..
Je hebt al minstens 1 ding dat niet wordt gedetecteerd door de vendors, kans is dan groot dat je nog wel meer erop hebt.

Ik zou zelf eens kijken of er eventueel niet nog steeds iets verdacht bezig is.
-zo ja: submitten, zorgen dat de vendors detectie ervoor kunnen ontwikkelen, daarna format
-zo nee: direct format.

En zorg dat je dan wat aan je beveiliging doet want dit is echt om te janken.

maandag 8 maart 2004 13:39

Acties:

blix

Topicstarter

Kan jij maybe zien of me firewall nu wel up is? moet nu wel werken als het goed is

maandag 8 maart 2004 13:45

Acties:

Verwijderd

blix schreef op 08 maart 2004 @ 13:39:
Kan jij maybe zien of me firewall nu wel up is? moet nu wel werken als het goed is

Als die vraag direct aan mij gericht is: Daar doe ik niet aan.

Daarnaast zou ik echt aanraden dat je je bak schoonveegt.
Heb je die svchost.exe uit je windowsroot al weggemikt?

Dat is ook een backdoor.

Added as Backdoor.Delf.lo

maandag 8 maart 2004 13:46

Acties:

blix

Topicstarter

Ja ik kan dat nu dus ff niet doen want heb deze week paar belangrijke bf matches, dus kan niet formatten.
Ja heb nu alles weggegooit, ben nu nog een keer voor de tweede keer aan het scannen, kijken of ie nog wat vind.

[ Voor 35% gewijzigd door blix op 08-03-2004 13:48 ]

maandag 8 maart 2004 16:58

Acties:

LuCarD

Certified BUFH

blix schreef op 08 maart 2004 @ 13:46:
Ja ik kan dat nu dus ff niet doen want heb deze week paar belangrijke bf matches, dus kan niet formatten.
Ja heb nu alles weggegooit, ben nu nog een keer voor de tweede keer aan het scannen, kijken of ie nog wat vind.

Wat zijn BF matches ?

Programmer - an organism that turns coffee into software.

maandag 8 maart 2004 17:01

Acties:

Oogje

offtopic : BF - battlefield 1942

Any errors in spelling, tact, or fact are transmission errors.

maandag 8 maart 2004 17:15

Acties:

blix

Topicstarter

Deadeye schreef op 08 maart 2004 @ 17:01:
offtopic : BF - battlefield 1942

maandag 8 maart 2004 17:23

Acties:

Spider.007

* Tetragrammaton

http://security.symantec....mhome&langid=ie&venid=sym

Daar kun je volgens mij ook een gedeeltelijke portscan laten doen

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

Pagina: 1

Reageer