Diros world mirc - Privacy en beveiliging

woensdag 10 maart 2004 16:56

Acties:

Verwijderd

Topicstarter

Ik ben gisteren even op irc.tweakers.net geweest met mirc, verder heb ik mirc niet gebruikt. Nu is er een ()#$*# zooi troep van ene Diros op m'n pc die niet zulke leuke dingen doet. Elke keer als de pc opstart draait mirc, of een fake mirc, en wordt de worm opgestart. Ik kon op symantec niks vinden. Bij processen zag ik world.exe draaien en allemaal nets, en internet was niet vooruit te branden omdat microsoft achter elkaar wordt aangevallen. Het programma bevindt zich in

C:\WINDOWS\system32\diros

en bestaat uit een hele reeks bat bestanden en een paar executables.
Mijn vraag is nu, hoe ben ik aan deze zooi gekomen? Ik kan me nauwelijks voorstellen dat het via mirc gebeurd is, ik heb immers niks gedaan daar. 1 minuut verbinding gemaakt en gedisconnected. Ik heb ook geen zooi gedownload.

Een andere vraag: ik heb sinds kort geen softwarematige firewall meer omdat ik gek wordt van die dingen. Zonealarm vreet cpu tijd en gaat zelfs tot 100% na een paar uur, en andere gratis dingen zoals kerio blijken na 30 dagen niet echt meer gratis te zijn en houden op met werken. Sygate vond ik niet prettig. Maar ik zit achter een hardware matige router. Die zou in principe toch ook attacks zoals RCP etc. moeten tegenhouden als alle porten dicht zitten?

UPDATE: blijkt dat ik alle poorten van de router doorgelust had naar m'n pc als defserver wat ik jaren geleden heb ingesteld.....

Snel verandert nu natuurlijk...

Dus nu is mijn vraag: Hoeveel ellende kan een persoon aanrichten op windows xp met net bios maar geen gesharede mappen en die pc staat volkomen open?

[ Voor 13% gewijzigd door Verwijderd op 11-03-2004 18:30 ]

woensdag 10 maart 2004 16:57

Acties:

GGS_206

Oranje!

Heb je toevallig op een vage link geklikt in mIRC

T.net ID. Bekijk het maar es eem..
‹(◕‿◕)›

woensdag 10 maart 2004 16:58

Acties:

Verwijderd

Topicstarter

GGS_VR6 schreef op 10 maart 2004 @ 16:57:
Heb je toevallig op een vage link geklikt in mIRC

nee, niet gedaan. Uit ervaring van andere mensen weet ik wat er dan kan gebeuren

woensdag 10 maart 2004 17:02

Acties:

GGS_206

Oranje!

Heb je op spyware gescand? Adaware, spybot of hijackthis?

T.net ID. Bekijk het maar es eem..
‹(◕‿◕)›

woensdag 10 maart 2004 17:04

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Een hardware router zou inderdaad aanvallen op je PC stoppen die van buiten komen (als er geen portmappings zijn natuurlijk).

Maar dat veranderd niets aan het feit dat een programma als mIrc bugs / veiligheidslekken kan hebben. Een minuutje kan in principe genoeg zijn. Niet heel waarschijnlijk maar zeker niet onmogelijk.

Scannen met een andere, uptodate, virusscanner zou ik zeker doen, ook eventueel een scanner specifiek voor trojaanse paarden (waar heel wat virusscanners best slecht mee om gaan). Geef ook even je Hijackthis log, zodat we mee kunnen denken

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 10 maart 2004 17:10

Acties:

Verwijderd

Topicstarter

F_J_K schreef op 10 maart 2004 @ 17:04:
Geef ook even je Hijackthis log, zodat we mee kunnen denken

M'n hijackthis log, wat is dat? Je bedoelt security log van een softwarematige firewall?

woensdag 10 maart 2004 17:16

Acties:

MAZZA

Barbie is er weer!

Verwijderd schreef op 10 maart 2004 @ 17:10:
[...]

M'n hijackthis log, wat is dat? Je bedoelt security log van een softwarematige firewall?

http://www.spychecker.com/program/hijackthis.html

woensdag 10 maart 2004 17:28

Acties:

Verwijderd

Topicstarter

hijackthis is een handig programmaatje. Hij vind inderdaad die world.exe als worm.
Ik heb net norton geinstalleerd en die geeft ook alles aan, als een bat.trojan en irc trojan. En ook een ander virus W32.HLLW.Gaobot.gen in winhlpp32.exe en wump.exe...

donderdag 11 maart 2004 11:06

Acties:

Verwijderd

LOL dat zijn er nogal wat. Tijd voor een goede virusscanner dus!

donderdag 11 maart 2004 18:31

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 11 maart 2004 @ 11:06:
LOL dat zijn er nogal wat. Tijd voor een goede virusscanner dus!

Ik had vandaag weer een nieuwe te pakken... Ik denk dat op de een of andere manier ik virussen cadeau krijg als er geen firewall aanstaat, ook al doe ik niks. Ik krijg achter elkaar trojans en hack tools volgens norton antivirus.

donderdag 11 maart 2004 18:33

Acties:

Verwijderd

Verwijderd schreef op 11 maart 2004 @ 18:31:
[...]

Ik had vandaag weer een nieuwe te pakken... Ik denk dat op de een of andere manier ik virussen cadeau krijg als er geen firewall aanstaat, ook al doe ik niks. Ik krijg achter elkaar trojans en hack tools volgens norton antivirus.

Dan wil ik eerlijk gezegd wel eens weten wat er nog meer opstaat..
Ago's verspreiden zich o.a. dmv. het gebruik van exploits.
(DCOM, webdav etc)

Scan eens met een AV die wel goed is met backdoors aub.
Vraag me af hoeveel spam je hebt verstuurd/zit te versturen.

Edit: en post je HijackThis evengoed maar eens.

[ Voor 5% gewijzigd door Verwijderd op 11-03-2004 18:36 ]

donderdag 11 maart 2004 18:51

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 11 maart 2004 @ 18:33:
[...]

Vraag me af hoeveel spam je hebt verstuurd/zit te versturen.

Edit: en post je HijackThis evengoed maar eens.

Ik vraag me af hoe jij zo'n beschuldiging kan impliceren zonder dat je weet wie ik ben of wat ik doe. Ik begrijp dat je dat soort dingen kan gaan denken als je duizenden posts leest, maar dit is zeker niet waar en ook ongepast om het zo neer te zetten.

Logfile of HijackThis v1.97.5
Scan saved at 18:41:20, on 11-3-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Program Files\NavNT\vptray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\WinShell\WinShell.exe
C:\Program Files\Ghostgum\gsview\gsview32.exe
C:\WINDOWS\System32\PSEXESVC.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\cmd.exe
C:\Documents and Settings\*\Local Settings\Temp\Tijdelijke map 2 voor hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

[ Voor 4% gewijzigd door Verwijderd op 11-03-2004 18:52 ]

donderdag 11 maart 2004 18:52

Acties:

Verwijderd

Topicstarter

verkeerde knop... quote ipv edit

[ Voor 99% gewijzigd door Verwijderd op 11-03-2004 18:52 ]

donderdag 11 maart 2004 19:05

Acties:

Verwijderd

Ik vraag me af hoe jij zo'n beschuldiging kan impliceren zonder dat je weet wie ik ben of wat ik doe.

Je hebt die Ago er toch op gehad? Waar denk je dat die voor bedoeld is?

Scan eens met de laatste versie van HT aub. Welke hier gevonden kan worden.
Tevens ziet je log er niet helemaal compleet uit eigenlijk, daarnaast is het nut van HT zéér te betwijfelen bij de meeste Ago's, het zegt niet ontzettend veel als je HT log clean lijkt.

donderdag 11 maart 2004 19:14

Acties:

Verwijderd

Topicstarter

de nieuwe versie geeft dezelfde logfile. Wat is een Ago? Ik heb die term nooit eerder gehoord.

donderdag 11 maart 2004 19:36

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Verwijderd schreef op 11 maart 2004 @ 18:51:
Ik vraag me af hoe jij zo'n beschuldiging kan impliceren zonder dat je weet wie ik ben of wat ik doe.

W32.HLLW.Gaobot.DK is a worm that uses several exploits to spread. It acts as a spam proxy, using the infected computer to send large numbers of unsolicited emails using its own SMTP engine. This worm also opens a backdoor to a predetermined IRC channel.

Kort gezegd: als je eenmaal besmet bent, kunnen 'de baasje' van de worm met je PC doen wat ze willen. Waaronder spammen of voor geld je besmette PC laten misbruiken een spammer

[ Voor 3% gewijzigd door F_J_K op 11-03-2004 19:36 . Reden: statement iets aangepast :P ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 11 maart 2004 19:40

Acties:

Verwijderd

Topicstarter

F_J_K schreef op 11 maart 2004 @ 19:36:
[...]

[...]

Kort gezegd: als je eenmaal besmet bent, kunnen 'de baasje' van de worm met je PC doen wat ze willen. Waaronder spammen of voor geld je besmette PC laten misbruiken een spammer

aha, dat bedoelde Schouw. Sorry Schouw,

, ik dacht dat je mij persoonlijk bedoelde, dat ik zat te spammen en daardoor al die trojans kreeg...

[ Voor 5% gewijzigd door Verwijderd op 11-03-2004 19:41 ]

donderdag 11 maart 2004 19:45

Acties:

Verwijderd

C:\Program Files\WinShell\WinShell.exe

Heb je die er zelf opgegooid?

C:\WINDOWS\System32\PSEXESVC.EXE

Zelfde geldt voor deze.

C:\WINDOWS\system32\cmd.exe

Heb/had je deze bewust draaien?

Ago = Agobot = genoemde backdoor.

donderdag 11 maart 2004 19:52

Acties:

Verwijderd

Topicstarter

C:\Program Files\WinShell\WinShell.exe
is van mezelf ja, latex editor.
C:\WINDOWS\System32\PSEXESVC.EXE
geen idee, vond die ook al vreemd. Eigenschappen zegt sysinternals van ene Mark Russinovich.

C:\WINDOWS\system32\cmd.exe
die had ik bewust draaien ja, ik kijk continu met netstat wat er gebeurd

donderdag 11 maart 2004 20:03

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

PSExec heeft een "legaal" gebruik, kan erg handig zijn. Ik gebruik het ook een enkele keer. Sysinternals.com beschouw ik zelfs in of meer verplichte kost voor een (Windows) tweaker. Check zijn TCPview ook even voor een "uitgebreidere netstat"

Maar het lijkt me handig als je ondertussen even een goede virusscanner download & installeert aangezien de huidige blijkbaar niet voldoet. Bijvoorbeeld de trial van KAV.
_{Als Schouw het niet noemt, doe ik het wel even}
Of natuurlijk (ook) een losse trojan scanner.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 11 maart 2004 20:07

Acties:

Verwijderd

Verwijderd schreef op 11 maart 2004 @ 19:52:
C:\WINDOWS\System32\PSEXESVC.EXE
geen idee, vond die ook al vreemd. Eigenschappen zegt sysinternals van ene Mark Russinovich.

Remote command tool..

-Scan eens met KAV using x(redundant)bases.
Je moet dan wel updatedirectory veranderen.
Van /updates --> /updates_x
Naar bijvoorbeeld deze: ftp://ftp.avp.ru/updates_x
Trial: http://kasperskylab.co.uk/files/homeuser/
-Scan eens met een uptodate McAfee met scan for potential unwanted programs optie aan.

Het beste is om uit te zoeken heeft hoe dit heeft kunnen gebeuren, eventueel nieuwe malware te submitten en dan je bak schoon te vegen, en te zorgen dat dit niet meer gebeurd.

_{Nee, ik bedoelde niet dat je bewust aan het spammen was}

donderdag 11 maart 2004 20:10

Acties:

Verwijderd

Topicstarter

Norton doet het best goed, ik had hem alleen hiervoor niet geinstalleerd, pas sinds een paar dagen. Ik ga windows opnieuw installeren, dan weet ik zeker dat alles safe en clean is. Of misschien ga ik weer terug naar linux, daar had ik in ieder geval geen last van deze zooi

.
Op deze manier weet ik het toch niet zeker wat er in godsnaam allemaal binnen is gekomen. Bedankt voor jullie reacties.

Pagina: 1

Reageer