incomming poort 500 in ontvangst genomen door LSA Shell - Privacy en beveiliging

dinsdag 23 maart 2004 20:13

Acties:

leend3rs.nl

Topicstarter

Ik heb deze Windows XP al een dikke 1,5 jaar draaien, met dezelfde firewall, en nog nooit heb ik een verzoek gehad voor: poort 500, naar het process LSA Shell (Export Version). Deze aanvragen (UDP) komen zo ongeveer om de 20 minuten binnen, een stuk of 8 achter elkaar en iedere keer vanaf hetzelfde IP adres: 65.120.76.11

Ik heb de afgelopen week niks aan de Windows installatie veranderd, en nu krijg ik dit verzoekje 2x binnen een kwartier. Is dit een hack poging of ben ik besmet door een virus?

Momenteel laat ik Kaspersky mijn c schijf scannen (ik ben tot nog toe alleen virussen tegen gekomen die zich in de systeem partitie nestellen..), maar momenteel nog niks gevonden..

De laatste tijd krijg ik wel vaker virussen binnen, op verschillende mail adressen. Mijn mail client (Thunderbird) raakt door m'n virusscanner geblokkeerd, waardoor ik eerst de achtergrond scanner uitschakel om het virus vervolgens te verwijderen uit mijn inbox. Het is inderdaad niet de handigste optie, maar helaas de enige werkende om het virus te verwijderen. Bovendien vertrouw ik er op dat virussen vanuit Thunderbird niet geactiveerd kunnen worden.

Verder heb ik ook wat zoekwerk verricht naar het proces waarnaar het verzoekje gedaan word. Het schijnt een proces te zijn dat iets te maken heeft met het inlog systeem van windows: Verwijderd in "Koe produktie omlaag. Virus?". Als ik dat zo lees lijkt het er sterk op dat het gewoon hack pogingen zijn...

Een whois naar het ip 65.120.76.11 levert mij het volgende op:

code:

Country: Unknown

Looking up !NET-65-120-76-0-1 at whois.arin.net.

NOTE: More information appears to be available at SM1278-ARIN.

Using cached answer (or, you can get fresh results).


OrgName:    CENTER FO DENFENSE INFORMATION 
OrgID:      CFDI-1
Address:    1779 MASSACHUSETTS AVE. N.W.
City:       WASHINGTON
StateProv:  DC
PostalCode: 20036
Country:    US

NetRange:   65.120.76.0 - 65.120.76.255 
CIDR:       65.120.76.0/24 
NetName:    Q1011-65-120-76-0
NetHandle:  NET-65-120-76-0-1
Parent:     NET-65-112-0-0-1
NetType:    Reassigned
Comment:    
RegDate:    2001-10-12
Updated:    2001-10-12

TechHandle: SM1278-ARIN
TechName:   Moutanabbih, Samy 
TechPhone:  +1-202-320-0600
TechEmail:  samym@cdi.org 

# ARIN WHOIS database, last updated 2003-11-12 19:15
# Enter ? for additional hints on searching ARIN's WHOIS database.

Center fo denfense information? Er staat geeneens een abuse mail adres in de whois vermeld!?

Ook heb ik Hijackthis 1.97.7 even gedraait, te zien in de 2e post van dit topic.

Iemand enig idee wat er aan de hand kan zijn? Voorlopig block ik die requests, ik heb geen behoefte aan rondneuzende mensen op mijn computer.

^{Onder het schrijven van deze post is er ook nog een 3e verzoek binnen gekomen...}

[ Voor 55% gewijzigd door jules op 23-03-2004 22:24 ]

Foto Portfolio Follow me on Twitter!



dinsdag 23 maart 2004 22:23

Acties:

jules

leend3rs.nl

Topicstarter

Omdat mijn startpost een beetje vernaggeld en moeilijk te lezen is door de hijackthis output, heb ik hem hier maar ingezet.

code:

Logfile of HijackThis v1.97.7
Scan saved at 19:47:25, on 23-03-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Promise\FastTrak\FtrakSvc.exe
C:\Program Files\Atguard\iamserv.exe
C:\WINDOWS\System32\PGPsdkServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\G-VGA.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\PROGRA~1\KM9801U\MMHotKey.EXE
C:\PROGRA~1\Atguard\iamapp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
C:\Program Files\MSI\Live Update 3\LMonitor.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\NetLimiter\NetLimiter.exe
C:\client(0.18beta)[AMD]\client.exe
C:\PROGRA~1\KM9801U\HokHIDKC.EXE
C:\Program Files\MICROSTAR\Bluetooth Software\BTTray.exe
C:\Program Files\Promise\FastTrak\RAIDeUtility.exe
C:\Program Files\PGP Corporation\PGP for Windows XP\PGPtray.exe
C:\Program Files\Sync2It\Sync2It.exe
C:\PROGRA~1\MI43DA~1\BLUETO~1\BTSTAC~1.EXE
D:\KaZaA\_ApzZ\system utils\_Internet prog's\Mail\thunderbird-0.5-win32\thunderbird\thunderbird.exe
C:\Program Files\GrabIt\GrabIt.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Winamp\Winamp.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\Avp32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\Avp32.exe
C:\Documents and Settings\Ch!pY-J\Desktop\HijackThis 1.97.7\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.0.1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 148.233.111.232:80
O1 - Hosts: 208.254.0.49 www.spamcop.net
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VGAUtil] C:\WINDOWS\System32\G-VGA.exe
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [hplampc] C:\WINDOWS\system32\hplampc.exe
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [KM9801U] C:\PROGRA~1\KM9801U\MMHotKey.EXE
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ThrustTSR] C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\RunServices: [RunAlert] C:\Program Files\MSI\PC Alert III\AService.exe
O4 - HKCU\..\Run: [Uptime-Project] C:\client(0.18beta)[AMD]\client.exe
O4 - Startup: Sync2It.lnk = C:\Program Files\Sync2It\Sync2It.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: FastCheck Monitoring Utility.lnk = C:\Program Files\Promise\FastTrak\RAIDeUtility.exe
O4 - Global Startup: Internet access.lnk = ?
O4 - Global Startup: PGPtray.lnk = ?
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O15 - Trusted Zone: *.postbank.nl
O15 - Trusted Zone: *.rabobank.nl
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5930043B-CB02-4DA1-B69C-75B5B04432AA}: NameServer = 194.134.5.55,194.134.5.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1274776-F647-46E4-AC51-87273487C15C}: NameServer = 194.134.5.5,194.134.5.55,194.109.6.66,194.109.9.99,194.159.73.135,194.159.73.136,194.159.73.137,194.159.73.138,195.121.1.34,195.121.1.66,194.134.0.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{5930043B-CB02-4DA1-B69C-75B5B04432AA}: NameServer = 194.134.5.55,194.134.5.5

Foto Portfolio Follow me on Twitter!



woensdag 24 maart 2004 13:15

Acties:

BoGhi

Volgens mij ben je (onbedoeld, neem ik aan) opgenomen in een VPN. Misschien kun je toch in contact komen met de verzendende kant, zodat ze je IP weer kunnen verwijderen.

500/TCP -- ISAKMP
Internet Security Association and Key Management Protocol (ISAKMP) or IKE (for Windows 2000) is the key exchange mechanism for a virtual private network (VPN). ISAKMP manages the exchange of cryptographic keys and uses a two-phase process for establishing the Internet Protocol security (IPSec) connection between two gateways.

Programmers don't die. They GOSUB without RETURN

woensdag 24 maart 2004 13:27

Acties:

jules

leend3rs.nl

Topicstarter

Jammer dat er geen abuse adres bij staat, nu moet ik maar een mailtje sturen naar samym@cdi.org. Eerst nog maar eens wachten of dat het wellicht al over is..

Mochten ze niet reageren terwijl ik nog steeds die verzoeken krijg, dan reset ik mijn cable modem ff. Heb ik tenminste weer een ander IP adres

Foto Portfolio Follow me on Twitter!



woensdag 24 maart 2004 14:27

Acties:

Verwijderd

Misschien hoort het bij jouw wel zo, maar ik dacht, toch maar even vragen.
Je proxy staat ingesteld op 148.233.111.232.
148.233.111.232 lijk me een mexicaans ip

woensdag 24 maart 2004 15:49

Acties:

jules

leend3rs.nl

Topicstarter

Verwijderd schreef op 24 maart 2004 @ 14:27:
Misschien hoort het bij jouw wel zo, maar ik dacht, toch maar even vragen.
Je proxy staat ingesteld op 148.233.111.232.
148.233.111.232 lijk me een mexicaans ip

Het viel me inderdaad ook op dat die proxy vermeld stond... Maar het is een proxy die ik een hele enkele keer gebruikte om te internetten. Staat momenteel in ieder geval niet ingeschakeld.. Die info word trouwens uit Internet Explorer gehaald, terwijl ik momenteel met Firefox lekker aan het browsen ben..

Trouwens, de laatste keer dat ik die proxy gebruikte was ie super, maar dan ook echt super traag. Veel disconnects enzo, halve pagina's die geladen werden.

maw, die proxy is niet van belang...

Foto Portfolio Follow me on Twitter!



donderdag 25 maart 2004 11:06

Acties:

jules

leend3rs.nl

Topicstarter

Requests zijn opgehouden, het lijkt er idd voorlopig op dat iemand een VPN wilde opzetten oid, vanwege het feit dat de requests nu zijn opgehouden....

Foto Portfolio Follow me on Twitter!

