[XP] Veel connecties naar ms-sql-s poort - Privacy en beveiliging

zaterdag 19 juni 2004 12:14

Acties:

Topicstarter

Mijn computer is veel connecties aan het maken naar ms-sql-s vanaf poort 1000 t/m 30000...

Nestat -a:

code:

  TCP    desktop:26624          adsl-068-153-211-181.sip.bct.bellsouth.net:ms-sq
l-s  TIME_WAIT       0
  TCP    desktop:26625          68.167.234.16:ms-sql-s  TIME_WAIT       0
  TCP    desktop:26626          68.17.20.15:ms-sql-s   TIME_WAIT       0
  TCP    desktop:26627          divegearflorida.com:ms-sql-s  TIME_WAIT       0
  TCP    desktop:26628          ip68-12-63-208.tu.ok.cox.net:ms-sql-s  TIME_WAIT
       0
  TCP    desktop:26629          ool-44c322c3.dyn.optonline.net:ms-sql-s  TIME_WA
IT       0
  TCP    desktop:26630          adsl-068-213-080-202.sip.sdf.bellsouth.net:ms-sq
l-s  TIME_WAIT       0
  TCP    desktop:26631          cpe-68-118-251-84.ma.charter.com:ms-sql-s  TIME_
WAIT       0
  TCP    desktop:26632          c68.187.156.230.stc.mn.charter.com:ms-sql-s  TIM
E_WAIT       0
  TCP    desktop:26633          h-68-166-1-156.sndacagl.covad.net:ms-sql-s  TIME
_WAIT       0
  TCP    desktop:26634          h-68-165-148-4.cmbrmaor.covad.net:ms-sql-s  TIME
_WAIT       0
  TCP    desktop:26636          triton.dev.connexxia.com:ms-sql-s  TIME_WAIT
   0
  TCP    desktop:26638          pcp09648496pcs.mnhwkn01.nj.comcast.net:ms-sql-s
 TIME_WAIT       0

Dit is nog maar een heel klein gedeelte ervan.

Ik heb zojuist een volledige virusscan, Ad-Aware en Spybot S&D gedraaid. Allen zonder resultaat.

Ik had ook MS SQL Server draaien, die heb ik gisteren (toen dit probleem zich ook voordeed, na een reboot was het weg) gedeinstalleerd. Verder heb ik ook nog Apache en MySQL draaien.

Iemand enig idee wat dit is? En beter nog hoe gaat dit weg

zaterdag 19 juni 2004 12:17

Acties:

Verwijderd

Beveiliging en Virussen - Nieuw topic starten
Post je HT log eens nav. bovenstaand topic/sticky.

Wat ook nog kan, doe eens een "nestat -ano", kijk wel pid er aan die outgoing connections zit, check met taskmanager welk prog verantwoordelijk hiervoor is, als die je onbekend voorkomt, scannen:
http://www.kaspersky.com/scanforvirus.html

zaterdag 19 juni 2004 12:19

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Vanaf welk proces komt dit?
http://www.sysinternals.com/ntw2k/source/tcpview.shtml

Verder geef je aan een volledige virusscan gedaan te hebben; met welke scanner? Doe het ook even met een andere.

Ondertussen verplaats ik je vraag naar Beveiliging & Virussen < -- er is niet voor niets een heel subforum voor (gebrek aan

) beveiligingszaken

Check de sticky topics daar even en interpreteer en geef je HJT log dan even

edit:

Hoi Schouw

[ Voor 5% gewijzigd door F_J_K op 19-06-2004 12:19 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zaterdag 19 juni 2004 12:20

Acties:

R_W

Topicstarter

Wat bedoel je met HJT log? HijackThis natuurlijk, heeft dat wel nut als Ad-Aware Spybot S&D en nu ook nog Spysweeper niets vinden?

Ik was al bezig met een screenshot van mn processenlijst:
Afbeeldingslocatie: http://www.avanti31.nl/process.GIF

Afbeeldingslocatie: http://www.avanti31.nl/process.GIF

In de TS staat al dat ik een volledige scan heb gedraaid.

Processid: 3912, svchost.exe

Had ik ook al nagekeken maar hier word ik niet veel wijzer van.

[edit]
Met deze scanner:
http://housecall.trendmicro.com/housecall/start_corp.asp

[ Voor 59% gewijzigd door R_W op 19-06-2004 12:27 ]

zaterdag 19 juni 2004 12:25

Acties:

Verwijderd

Hmm zoek eens uit waar die svchost.exe staat...
Maar het lijkt me handiger om gewoon een HijackThis log te posten.

zaterdag 19 juni 2004 12:26

Acties:

wildhagen

Blablabla

Aan zo'n screenshot hebben we niks, omdat we zo geen locaties zien... HijackThis is écht een stuk praktischer...

Virussen? Scan ze hier!

zaterdag 19 juni 2004 12:31

Acties:

R_W

Topicstarter

HJT-log

Hmm. "c:\system volume information\catalog\{f750e6c3-38ee-11d1-85e5-00c04fc295ee}\backup\svchost.exe" daar ga ik ns even naar kijken...

[ Voor 56% gewijzigd door R_W op 19-06-2004 12:32 ]

zaterdag 19 juni 2004 12:33

Acties:

wildhagen

Blablabla

Deze is verdacht, haal hem maar eens door de Jotti-scan: http://virusscan.jotti.dhs.org/

code:

1 2	C:\WINDOWS\system32\TcpIp.exe c:\system volume information\catalog\{f750e6c3-38ee-11d1-85e5-00c04fc295ee}\backup\svchost.exe

Je hebt ook een cmd.exe (Command prompt) open staan. Ik neem aan dat dat bewust is?

[ Voor 18% gewijzigd door wildhagen op 19-06-2004 12:34 ]

Virussen? Scan ze hier!

zaterdag 19 juni 2004 12:37

Acties:

R_W

Topicstarter

Ok, ik denk dat we er zijn

File: svchost.exe
Status:
INFECTED/MALWARE

AntiVir
No viruses found (1.35 seconds taken)
BitDefender
No viruses found (2.78 seconds taken)
F-Prot Antivirus
No viruses found (0.41 seconds taken)
F-Secure Anti-Virus
HackTool.Win32.SqlCrack (3.56 seconds taken)
Kaspersky Anti-Virus
HackTool.Win32.SqlCrack (3.94 seconds taken)
McAfee VirusScan
No viruses found (2.28 seconds taken)
Norman Virus Control
W32/Sqlck.A (1.05 seconds taken)

Ik zal nog even kijken naar dat TcpIp.exe. Die cmd.exe is bewust idd.

Ik heb zojuist die svchost.exe gekilled en mn verbinding is weer normaal

[ Voor 3% gewijzigd door R_W op 19-06-2004 12:38 ]

zaterdag 19 juni 2004 12:38

Acties:

Verwijderd

Die Hacktool komt er niet vanuit het niets.
Normaal gesproken is dat een _gedeelte_ van een (backdoor)package...

zaterdag 19 juni 2004 12:41

Acties:

R_W

Topicstarter

Ik denk dat het binnen is gekomen door de MSSQL Server die ik er gisteren nog op had staan, maar die is nu dus verwijderd. Lekker is dat