Toon posts:

Vage dingen mbt netwerkverkeer

Pagina: 1
Acties:

donderdag 11 maart 2004 20:56

Acties:
  • Signs
  • Registratie: Januari 2003
  • Laatst online: 01-12 19:28

Signs

Topicstarter
Windows 2000 SP4

Telkens krijg ik vage meldingen. Er komt een venstertje (zomaar) tevoorschijn. In dit venstertje staat "unresolve". Met een button OK. Deze komt telkens. Dit heb ik alleen als ik verbonden ben met internet

Als ik een netstat doe, dan zie je dat er verbinding wordt gemaakt met: quebecbdsm.com:15000 ESTABLISHED

Copy Paste van dit adres in IE geeft een net geinstalleerde Apache webserver weer. Tevens vindt ik rare bestandsnamen. Bijv. fqvevsc.exe ofzoiets, deze staan dan in winnt\system32.

Waarschijnlijk probeert er "iets"te connecten naar het internet, maar wat ?

Hebben jullie een idee ?

donderdag 11 maart 2004 20:58

Acties:
  • G33rt
  • Registratie: Februari 2002
  • Laatst online: 22-06-2022

G33rt

Heb je misschien een screenshot van dit "vage venstertje"?

donderdag 11 maart 2004 21:07

Acties:
  • Signs
  • Registratie: Januari 2003
  • Laatst online: 01-12 19:28

Signs

Topicstarter
Jup ff heel snel een screenie

http://schermpje.ikhouvandebbie.nl/schermpje.bmp

donderdag 11 maart 2004 21:21

Acties:
  • Signs
  • Registratie: Januari 2003
  • Laatst online: 01-12 19:28

Signs

Topicstarter
Tevens valt het mij op bij netstat, dat er extreem veel TCP porten naar 1 doel connect. Zie voorbeeld

TCP ruygt-9pc8ghfhs:2479 gathering.tweakers.net:http TIME_WAIT
TCP ruygt-9pc8ghfhs:2480 gathering.tweakers.net:http TIME_WAIT
TCP ruygt-9pc8ghfhs:2483 gathering.tweakers.net:http TIME_WAIT
TCP ruygt-9pc8ghfhs:2488 gathering.tweakers.net:http TIME_WAIT
TCP ruygt-9pc8ghfhs:2491 gathering.tweakers.net:http TIME_WAIT
TCP ruygt-9pc8ghfhs:2492 gathering.tweakers.net:http TIME_WAIT
TCP ruygt-9pc8ghfhs:2495 gathering.tweakers.net:http TIME_WAIT
TCP ruygt-9pc8ghfhs:2499 gathering.tweakers.net:http TIME_WAIT
TCP ruygt-9pc8ghfhs:2500 gathering.tweakers.net:http TIME_WAIT
TCP ruygt-9pc8ghfhs:2501 gathering.tweakers.net:http TIME_WAIT
TCP ruygt-9pc8ghfhs:2502 gathering.tweakers.net:http TIME_WAIT
TCP ruygt-9pc8ghfhs:2503 gathering.tweakers.net:http TIME_WAIT
TCP ruygt-9pc8ghfhs:2504 gathering.tweakers.net:http TIME_WAIT
TCP ruygt-9pc8ghfhs:2505 gathering.tweakers.net:http TIME_WAIT
TCP ruygt-9pc8ghfhs:2507 gathering.tweakers.net:http TIME_WAIT
TCP ruygt-9pc8ghfhs:2508 gathering.tweakers.net:http TIME_WAIT
TCP ruygt-9pc8ghfhs:2509 gathering.tweakers.net:http TIME_WAIT
TCP ruygt-9pc8ghfhs:2513 gathering.tweakers.net:http TIME_WAIT
TCP ruygt-9pc8ghfhs:2533 customers.webc.lyceu.net:http TIME_WAIT
TCP ruygt-9pc8ghfhs:2534 customers.webc.lyceu.net:http TIME_WAIT
TCP ruygt-9pc8ghfhs:2535 customers.webc.lyceu.net:http TIME_WAIT

donderdag 11 maart 2004 23:50

Acties:
  • momania
  • Registratie: Mei 2000
  • Laatst online: 05:21

momania

iPhone 30! Bam!

Lijk mij meer op een virusje/wormpje/spyware dingetje.

Move dus van Windows Operated Systems naar Beveiliging & Virussen ;)

Neem je whisky mee, is het te weinig... *zucht*

donderdag 11 maart 2004 23:53

Acties:
  • eborn
  • Registratie: April 2000
  • Laatst online: 28-11 20:40

eborn

Het is in ieder geval 'iets nieuws'. De twee resultaten die Google Groups teruggeeft zijn van 10 en 11 maart.

donderdag 11 maart 2004 23:55

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Ik denk dat dit alle symptomen van een virus of trojan heeft - vreemde popups, tcp connecties, en ook nog eens 'rare' filenames - alle ingredienten die malware heeft.

Ik kan in je topic echter niets terugvinden wat je zelf al hebt gedaan. Heb je al eens met (meerdere) virusscanners getest? Heb je al eens een HijackThis gedraaid? Een trojan scanner? Al met al proef ik niet zo heel veel eigen initiatief uit je topic :)

donderdag 11 maart 2004 23:58

Acties:

Verwijderd

Post eens een HijackThis log.
Verdachte bestanden, zoals fqvevsc.exe, wil ik graag eens zien, zie sig voor mail.

vrijdag 12 maart 2004 07:23

Acties:
  • Signs
  • Registratie: Januari 2003
  • Laatst online: 01-12 19:28

Signs

Topicstarter
Vanavond zal ik even HijackThis proberen.

Ik heb norton AV gedraaid en deze vindt niets. Ad-aware geeft 16 objecten weer, maar dat waren cookies.

@eborn kan je misschien de link geven waar je dat gevonden had ?


Ivm werk, laat ik vanavond/morgenochtend zeker van mij horen!

zaterdag 13 maart 2004 15:31

Acties:
  • Signs
  • Registratie: Januari 2003
  • Laatst online: 01-12 19:28

Signs

Topicstarter
Dit is de logfile

Ik merk ook op dat er op dit moment names mij emailtje gestuurd worden

Logfile of HijackThis v1.97.5
Scan saved at 15:38:00, on 13-3-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\nvsvc32.exe
C:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINNT\system32\qscsdq.exe
C:\WINNT\system32\fqdvdvz.exe
C:\WINNT\system32\qxaw.exe
C:\WINNT\SYSTEM32\ytjfvcsy.exe
C:\WINNT\system32\shrl.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\EFFICI~1\ENTERN~1\app\EnterNet.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\cmd.exe
C:\WINNT\system32\NETSTAT.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Ruygt\LOCALS~1\Temp\Rar$EX00.403\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: LBBHO - {EFD84954-6B46-42f4-81F3-94CE9A77052D} - C:\WINNT\lbbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [systems] D:\WINDOWS\System32\sys\win32.exe
O4 - HKLM\..\Run: [Synchronization Agent] mobsynca.exe
O4 - HKLM\..\Run: [Micosoft Logon] qscsdq.exe
O4 - HKLM\..\Run: [Windows NNT] C:\WINNT\system32\fqdvdvz.exe
O4 - HKLM\..\Run: [Micosoft Loggen] qxaw.exe
O4 - HKLM\..\Run: [svchosts32] C:\WINNT\SYSTEM32\ytjfvcsy.exe
O4 - HKLM\..\Run: [Micosoftartup] shrl.exe
O4 - HKLM\..\RunServices: [Synchronization Agent] mobsynca.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O16 - DPF: {58304D2C-DB55-4463-97CC-AFD9DE752205} (IN_DB Control) - http://infrahelp.tudelft.nl/INFRA_CONTROLS.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m...uctl.CAB?38045.0540856481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab
O16 - DPF: {EBF0E6DC-7CDA-4FE4-A10E-2EDB53BEAC97} (wrapperClass Object) - http://infrahelp.tudelft.nl/in_wrapper.CAB

zaterdag 13 maart 2004 15:41

Acties:
  • bigfoot1942
  • Registratie: Juni 2003
  • Niet online

bigfoot1942

hidserv.exe

lijkt me wel genoeg zeggen. Om over de andere opmerkelijke bestandsnamen maar niet te spreken.

zaterdag 13 maart 2004 15:42

Acties:
  • Signs
  • Registratie: Januari 2003
  • Laatst online: 01-12 19:28

Signs

Topicstarter
En dan betekent ?

zaterdag 13 maart 2004 16:27

Acties:

Verwijderd

O4 - HKLM\..\Run: [systems] D:\WINDOWS\System32\sys\win32.exe
O4 - HKLM\..\Run: [Micosoft Logon] qscsdq.exe
O4 - HKLM\..\Run: [Windows NNT] C:\WINNT\system32\fqdvdvz.exe
O4 - HKLM\..\Run: [Micosoft Loggen] qxaw.exe
O4 - HKLM\..\Run: [svchosts32] C:\WINNT\SYSTEM32\ytjfvcsy.exe
O4 - HKLM\..\Run: [Micosoftartup] shrl.exe

Dat ziet er allemaal niet echt fris uit.
Zou je die kunnen mailen? Zie sig voor mail.
Als het meer dan 1 MB is, gaarne password protected in zip of rar archief naar mijn tweakers adres sturen.

Heb je die cmd.exe bewust openstaan?

zaterdag 13 maart 2004 16:36

Acties:
  • Resistor
  • Registratie: April 2001
  • Niet online

Resistor

Niet meggeren!

bigfoot1942 schreef op 13 maart 2004 @ 15:41:
hidserv.exe

lijkt me wel genoeg zeggen. Om over de andere opmerkelijke bestandsnamen maar niet te spreken.
Oh ja? klik (kan een popupje bij komen)

Hidserv is een heel normaal programma als je een toetsenbord aan de USB hebt hangen.
Ik heb het ook met W98SE.

What will end humanity? Artificial intelligence or natural stupidity?

zaterdag 13 maart 2004 17:19

Acties:
  • chromeeh
  • Registratie: Oktober 2001
  • Laatst online: 10:12

chromeeh

the Gnome

PestPatrol al eens geprobeerd :?
Kijken of die wat vind.....

Je kunt ook online scannen op hun site, alleen zul je een full version moeten hebben om automatisch te kunnen cleanen....

[ Voor 58% gewijzigd door chromeeh op 13-03-2004 17:23 ]

"Some day, I hope to find the nuggets on a chicken."

zaterdag 13 maart 2004 17:56

Acties:
  • Signs
  • Registratie: Januari 2003
  • Laatst online: 01-12 19:28

Signs

Topicstarter
Ik heb dingen waarvan ik weet dat ze niet van windows zijn, verwijderd.

Het lijkt erop dat alles weer werkt. Sorry dat ik het bestandje niet naar je toe kan mailen. Maar toch bedankt voor jullie gedachtes!

zaterdag 13 maart 2004 18:21

Acties:

Verwijderd

Signs schreef op 13 maart 2004 @ 17:56:
Ik heb dingen waarvan ik weet dat ze niet van windows zijn, verwijderd.

Het lijkt erop dat alles weer werkt. Sorry dat ik het bestandje niet naar je toe kan mailen. Maar toch bedankt voor jullie gedachtes!
Dit is dus _niet slim_.
Nu heb je echt geen idee hoe en wat.

Als je het fatsoenlijk wil aanpakken, heb je je nu tot een format verdoemd.
Ik geloof eigenlijk niet dat nu alles weg is, zo werkt het tegenwoordig niet meer.
HijackThis is echt niet zo geweldig tegen bijvoorbeeld een Ago.

Was het nou zoveel moeite om eerst nog die dingen te mailen?
Dan heeft je infectie ook nog nut(gehad).

zondag 14 maart 2004 12:25

Acties:
  • Spivvi
  • Registratie: April 2003
  • Laatst online: 06-11 11:50

Spivvi

De kans dat je nu helemaal schoon bent is idd erg klein. Misschien merk je er op dit moment zelf nix van omdat je geen vage meldingen meer krijgt, maar meestal blijft er wel troep achter op je pc.

vrijdag 19 maart 2004 14:52

Acties:

Verwijderd

Update, TS heeft me file gemaild.

FYI:
qfabgxw\qfabgxw.old;is a modification of a backdoor Backdoor.SdBot.ev
qfabgxw\qfabgxw.old is a backdoor Backdoor.SdBot.gu
Het is dus een SdBot variant.
Je bent een IRC-controlled bot geweest.

Paar write-ups:
http://www.viruslist.com/eng/viruslist.html?id=51544
http://www.f-secure.com/v-descs/sdbot.shtml
http://us.mcafee.com/viru...description&virus_k=99410
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq