Zware upload door trojan

Met het programma TCPView kun je kijken welk programma de verbindingen maakt etc

yup en kijk eens in je processen, of je iets verdacht vind...

ook kan je nog eens een extra virus/trojanscan doen met KAV!

Loop deze even door : [rml][ Howto] Spyware scannen en opruimen[/rml]

Daar staat een link + werkwijze van het programma HijackThis waarmee je dingen kan zien die worden gestart bij het starten van Windows. Hopelijk ook dingen die hier mee te maken hebben.

Als je files tegenkomt die je onbekend zijn gooi ze dan eens door http://virusscan.jotti.dhs.org/ om te kijken of het bekende malware is

En haal je netwerkkabel even los. Je bent nu waarschijnlijk mailware aan het verspreiden

Verwijderd schreef op 19 juni 2004 @ 18:41:
Voor de duidelijkheid:

[afbeelding]

Explorer.exe is dus het proces.. gewoon de windows kernel dus. Echt een hele vieze trojan oid.

Kijk even bij process informatie (rechtermuisknop) of het wel de échte explorer.exe is (in welke map staat ie etc)...

En stuur hem ff op naar die url die Mike gaf

Verwijderd schreef op 19 juni 2004 @ 18:43:
Hoe komt dit eigenlijk langs mn firewall (standaard xp firewall)

XP firewall checkt geen uitgaand verkeer, alleen binnenkomend.

Het is vanuit de Windows machiene een legitieme aanvraag naar een Microsoft server.
SYN-SENT betekend dat ie een connectie probeert op te zetten.
Dit is typisch voor een DDoS.

SYN_SEND geeft aan dat hij nog geen ACK heeft ontvangen. Grote kans dat het dus wél geblocked wordt door je firewall (mits er dus geen ESTABLISHED er tussen hebt staan)

laat maar, had niet goed gelezen

[ Voor 87% gewijzigd door Verwijderd op 19-06-2004 18:48 ]

draai ff Hijackthis of Ad-Aware..... dan is ie zekers weg..

-GoT heeft een speciaal subforum voor trojans hoor.

Het is vanuit de Windows machiene een legitieme aanvraag naar een Microsoft server.
SYN-SENT betekend dat ie een connectie probeert op te zetten.
Dit is typisch voor een DDoS.

Nounee, dit is een request richting remote tcp 445, staat compleet los van microsoft...
Dit heeft ook niets met een DDoS te maken.

Heb explorer afgesloten (taakbalk etc. gaat ook standaard mee uiteraard)
Vervolgens zijn de connecties verdwenen.

Zal dalijk nog even rebooten om te kijken of het permanent is verdwenen.

Mócht dat het geval zijn, dan reken er maar op dat het binnen no time er weer op staat.

Je hebt een (network)worm of je hebt een selfspreading backdoor, (waarschijnlijk) in dll-variant.
Dus ook al ziet je HijackThis log er schoon uit, je bent het _niet_.

draai ff Hijackthis of Ad-Aware..... dan is ie zekers weg..

Zie bovenstaand, wat heeft ad-aware met backdoors/worms van doen? Niet bijster veel, het is dan ook anti-adv/spyware...

-> BV

microsoft-ds staat hier voor het poortnummer, en dat is in het geval van deze service poortje 445 die door bekende virussen als sasser misbruikt wordt voor de lsass vulnerability.
Kortom: je hebt een virus te pakken, en die verspreid zich via jouw computer...

crisp schreef op 20 juni 2004 @ 02:36:
Kortom: je hebt een virus te pakken, en die verspreid zich via jouw computer...

Gezien de SYN_SENT-statussen lijkt het mij dat de verbindingen door zijn ISP geblocked worden. Dus qua verspreiding lijkt het me meevallen.

Echter moet het er wel ff afgehaald worden ofcourse

Mijn advies:

1. Download zo snel mogelijk Kaspersky antivirus trial en een software firewall zoals zonealarm free, verwijder je oude antivirus "tijdelijk" en installeer de Kav-trial en laat deze updaten.

2. Haal je netwerkkabel uit je computer en laat dan pas Kav je hele pc scannen.

3. Er is een kans dat Kav (al lijkt het me klein) niks vindt, in iedergeval: Installeer zonealarm free. Stop je netwerk kabel erin en blokkeer met zonealarm ieder verdacht proces wat met jouw trojan te maken kan hebben (zie poortnummers die zonealarm erbij geeft). Probeer weer hier op GoT te komen en breng verslag uit wat Kav heeft kunnen uithalen. Vanuit hier kunnen we dan weer volgende stappen ondernemen. Suc6 ermee!

[ Voor 21% gewijzigd door Miki op 20-06-2004 14:38 ]