Ongewenst dataverkeer - Netwerken

zondag 4 juli 2004 23:10

Acties:

Topicstarter

Hallo,

Ik heb een beetje een probleem.

Tijdelijk hebben we per maand maar 250 MB dataverkeer.
Maar wat het is, ik heb even dataverkeer gemeten als ik géén internet of email aan heb staan, maar het is 200KB per minuut?!?!

Dan ben ik er dus nog sneller doorheen. Ondertussen zit ik alleen vandaag al op over de 100, doordat alleen de pc aanstaat.

Ik heb nog even een spyware check gedaan met ad-aware, maar niks gevonden.

Kan iemand me helpen??

Alvast bedankt, Marco

*als dit het verkeerde forum is, sorry*

[ Voor 5% gewijzigd door marcovtwout op 04-07-2004 23:12 ]

zondag 4 juli 2004 23:15

Acties:

Verwijderd

Heb je dan niet een of ander virus/worm draaien dat een DDOS uitvoert?
Check eens of je geen vreemde processen ziet draaien in je taakbeheer.
Scan eens met een virusscan als AVG of Norton.

zondag 4 juli 2004 23:15

Acties:

Osiris

Pak even een sniffer zoals Ethereal en kijk eens wat voor traffic je PC (of PC's) maken

zondag 4 juli 2004 23:16

Acties:

BraveWorld

En met ZoneAlarm kan je ook zien welke applicaties dataverkeer hebben en deze blokkeren.

Dit is geen signature...

zondag 4 juli 2004 23:17

Acties:

T-Junkie

user brain not connected...

hijackthis:
[rml][ Howto] Spyware scannen en opruimen[/rml]

meuktracker: HijackThis 1.98.0

Met prog kan je kijken wat er verbind.

[XP] Probeer anders:
Start - Run - type: cmd - type: netstat -a
Dat zijn je actiefe verbindingen.
Die kan je ook bekijken met TCPview.
http://www.sysinternals.com/ntw2k/source/tcpview.shtml

Of gewoon XP firewall aanzetten.
Kan het simpele gebeuren misschien al geblockt worden.

[ Voor 13% gewijzigd door T-Junkie op 04-07-2004 23:19 ]

zondag 4 juli 2004 23:25

Acties:

marcovtwout

Topicstarter

Bedankt jongens

Ik heb even netstat -a gedaan, hier is het resultaat:

Actieve verbindingen

Proto Lokaal adres Extern adres Status
TCP PACKARDBELL:echo PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:discard PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:daytime PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:qotd PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:chargen PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:http PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:epmap PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:microsoft-ds PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:1025 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:1027 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:3306 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:4013 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:4016 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:4021 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:4022 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:4023 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:5000 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:netbios-ssn PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:4013 baym-cs228.msgr.hotmail.com:1863 ESTABLISHED
TCP PACKARDBELL:4021 rad.msn.com:http CLOSE_WAIT
TCP PACKARDBELL:4022 baym-sb25.msgr.hotmail.com:1863 ESTABLISHED
TCP PACKARDBELL:4023 194.109.218.35:http CLOSE_WAIT
TCP PACKARDBELL:3001 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:3002 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:3003 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:3038 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:netbios-ssn PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:echo PACKARDBELL:0 Bezig met luisteren 0
TCP PACKARDBELL:discard PACKARDBELL:0 Bezig met luisteren 0
TCP PACKARDBELL:daytime PACKARDBELL:0 Bezig met luisteren 0
TCP PACKARDBELL:qotd PACKARDBELL:0 Bezig met luisteren 0
TCP PACKARDBELL:chargen PACKARDBELL:0 Bezig met luisteren 0
TCP PACKARDBELL:epmap PACKARDBELL:0 Bezig met luisteren 0
TCP PACKARDBELL:1025 PACKARDBELL:0 Bezig met luisteren 0
UDP PACKARDBELL:echo *:*
UDP PACKARDBELL:discard *:*
UDP PACKARDBELL:daytime *:*
UDP PACKARDBELL:qotd *:*
UDP PACKARDBELL:chargen *:*
UDP PACKARDBELL:snmp *:*
UDP PACKARDBELL:microsoft-ds *:*
UDP PACKARDBELL:isakmp *:*
UDP PACKARDBELL:syslog *:*
UDP PACKARDBELL:1026 *:*
UDP PACKARDBELL:3120 *:*
UDP PACKARDBELL:3128 *:*
UDP PACKARDBELL:3158 *:*
UDP PACKARDBELL:3544 *:*
UDP PACKARDBELL:4019 *:*
UDP PACKARDBELL:ntp *:*
UDP PACKARDBELL:netbios-ns *:*
UDP PACKARDBELL:netbios-dgm *:*
UDP PACKARDBELL:router *:*
UDP PACKARDBELL:1900 *:*
UDP PACKARDBELL:3103 *:*
UDP PACKARDBELL:3104 *:*
UDP PACKARDBELL:3105 *:*
UDP PACKARDBELL:3118 *:*
UDP PACKARDBELL:3235 *:*
UDP PACKARDBELL:24545 *:*
UDP PACKARDBELL:35591 *:*
UDP PACKARDBELL:ntp *:*
UDP PACKARDBELL:1900 *:*
UDP PACKARDBELL:3017 *:*
UDP PACKARDBELL:3019 *:*
UDP PACKARDBELL:4014 *:*
UDP PACKARDBELL:4024 *:*
UDP PACKARDBELL:ntp *:*
UDP PACKARDBELL:netbios-ns *:*
UDP PACKARDBELL:netbios-dgm *:*
UDP PACKARDBELL:router *:*
UDP PACKARDBELL:1900 *:*
UDP PACKARDBELL:3006 *:*
UDP PACKARDBELL:3034 *:*
UDP PACKARDBELL:3040 *:*
UDP PACKARDBELL:3235 *:*
UDP PACKARDBELL:12161 *:*
UDP PACKARDBELL:28701 *:*
UDP PACKARDBELL:echo *:*
UDP PACKARDBELL:discard *:*
UDP PACKARDBELL:daytime *:*
UDP PACKARDBELL:qotd *:*
UDP PACKARDBELL:chargen *:*

Experts?

En ik heb HijackThis al gebruikt.

zondag 4 juli 2004 23:28

Acties:

geforce5_guy

Hmmm heb je windows update aanstaan ?? mischien dat die wat aan het downloaden is.

[ Voor 58% gewijzigd door geforce5_guy op 04-07-2004 23:29 ]

zondag 4 juli 2004 23:29

Acties:

Noork

Gooi eerst een je outlook/hotmail/ internet browser (alle internet programma's) uit en doe dan nog eens de netstat.

zondag 4 juli 2004 23:32

Acties:

DaRealRenzel

Overtuigd Dipsomaan

Heb je ADSL of Kabel ? En geen LAN (dus maar 1 PC op je ADSL)? Doe dan het volgende:

Op je netwerkkaart doe voor je ADSL/Kabel gebruikt wordt verwijder je de Client voor Microsoft Networks en de File en Print Servvice voor Microsoft (en eventueel ook andere dingen die daar staan, zoals QoS. Alleen TCP/IP moet je laten staan
In Control Panel / programma's kies je voor Windows Onderdelen, en daar in netwerkdiensten kun je eigenlijk alles uit zetten. Op die manier zet je in elk geval een hele hoop poorten die nu open staan weer dicht.
Ik zie ook dat je MSN hebt draaien. Die genereert ook verkeer, zelfs al ben je niet ingelogged. Last but not least zou ook je modem een soort van keepalive kunnen genereren. Het beste is dus even een packet Analyser (zijn er voldoende van, TCPView is een goede keus) laten draaien en kijken wie je data stuurt cq. wat jij aan data ophaalt.

Nothing is a problem once you've debugged the code

zondag 4 juli 2004 23:36

Acties:

Erkens

Fotograaf

marcovtwout schreef op 04 juli 2004 @ 23:25:
TCP PACKARDBELL:echo PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:discard PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:daytime PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:qotd PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:chargen PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:http PACKARDBELL:0 Bezig met luisteren

waarom heb je deze services draaien?
ok, http kan ik me nog wel bedenken (check de logfiles van je webserver, wellicht zit iemand gewoon wat files te downloaden

)

zondag 4 juli 2004 23:48

Acties:

marcovtwout

Topicstarter

Bedankt, ik ga zo even die dingen uitzetten.

MSN heeft niet veel invloed, het blijft 200KB per minuut

Ik maak eerst ff mn online virusscan af, dan ga ik weer verder met jullie tips.

Weet nog iemand iets?

O, en hoe check ik of iemand files zit te downen, en hoe bedoel je dat? Ik heb geen webserver volgens mij

(behalve apache, maar die is offline)

En ik heb inderdaad 1 PC met ADSL via mijn speedtouch 510i router

Kan ik trouwens makkelijk een printje maken van de processen die draaien? Misschien kan een van jullie er naar kijken.

Trackz: alleen serieuze antwoorden graag, dat had ik ook nog wel door hoor..

[ Voor 56% gewijzigd door marcovtwout op 04-07-2004 23:54 ]

zondag 4 juli 2004 23:53

Acties:

Verwijderd

Ik maak eerst ff mn online virusscan af

Hallo!?!?! Wat denk je dat dat voor dataverkeer met zich meebrengt?

Zo'n scan zal echt niet raden wat voor bestanden jij op je PC hebt hoor. Moet toch echt iets gedownload worden naar die 'scan-server'

[ Voor 44% gewijzigd door Verwijderd op 04-07-2004 23:55 ]

zondag 4 juli 2004 23:57

Acties:

marteltor

draai anders fport eens (als je winxp/2k hebt):
http://www.foundstone.com...ources/proddesc/fport.htm
kun je zien welke programma's welke poort gebruiken

dan krijg je zoiets:
C:\>fport
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid Process Port Proto Path
392 svchost -> 135 TCP C:\WINNT\system32\svchost.exe
8 System -> 139 TCP
8 System -> 445 TCP
508 MSTask -> 1025 TCP C:\WINNT\system32\MSTask.exe
392 svchost -> 135 UDP C:\WINNT\system32\svchost.exe
8 System -> 137 UDP
8 System -> 138 UDP
8 System -> 445 UDP
224 lsass -> 500 UDP C:\WINNT\system32\lsass.exe
212 services -> 1026 UDP C:\WINNT\system32\services.exe

[ Voor 57% gewijzigd door marteltor op 04-07-2004 23:58 ]

zondag 4 juli 2004 23:57

Acties:

CyBeR

💩

Verwijderd schreef op 04 juli 2004 @ 23:53:
[...]

Hallo!?!?! Wat denk je dat dat voor dataverkeer met zich meebrengt?
Zo'n scan zal echt niet raden wat voor bestanden jij op je PC hebt hoor. Moet toch echt iets gedownload worden naar die 'scan-server'

Eh, nee hoor. Dat zou namelijk betekeken in sommige gevallen dat je een paar honderd gig zou moeten uploaden. Die virusscan draait lekker lokaal in de browser

All my posts are provided as-is. They come with NO WARRANTY at all.

zondag 4 juli 2004 23:58

Acties:

Verwijderd

Verwijderd schreef op 04 juli 2004 @ 23:53:
[...]

Hallo!?!?! Wat denk je dat dat voor dataverkeer met zich meebrengt?
Zo'n scan zal echt niet raden wat voor bestanden jij op je PC hebt hoor. Moet toch echt iets gedownload worden naar die 'scan-server'

Denk je dat nou echt?

Je moet niet voor niets ActiveX hebben draaien..

maandag 5 juli 2004 00:00

Acties:

Noork

En wat heb jij voor abonnement? 200KB snelheid met een limiet van 250MB? En is dat upload of download?

Bedoel je niet 200kb. dus kilobits?

[ Voor 12% gewijzigd door Noork op 05-07-2004 00:00 ]

maandag 5 juli 2004 00:03

Acties:

marcovtwout

Topicstarter

Nee joh.

Mn snelheid is 416/160 kilobit.

En als ik een minuutje niks doe is het 200 KILOBYTE per minuut.

Ik heb de progjes gedownt, komt zo een log..

Ik heb dat gemeten met DU Meter, en ja het is echt KILOBYTE.

Hier even een log van netstat -a met zoveel mogelijk uit

Actieve verbindingen

Proto Lokaal adres Extern adres Status
TCP PACKARDBELL:echo PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:discard PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:daytime PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:qotd PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:chargen PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:http PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:epmap PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:microsoft-ds PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:1025 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:1027 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:3306 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:5000 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:netbios-ssn PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:3001 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:3002 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:3003 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:3038 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:netbios-ssn PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:echo PACKARDBELL:0 Bezig met luisteren 0
TCP PACKARDBELL:discard PACKARDBELL:0 Bezig met luisteren 0
TCP PACKARDBELL:daytime PACKARDBELL:0 Bezig met luisteren 0
TCP PACKARDBELL:qotd PACKARDBELL:0 Bezig met luisteren 0
TCP PACKARDBELL:chargen PACKARDBELL:0 Bezig met luisteren 0
TCP PACKARDBELL:epmap PACKARDBELL:0 Bezig met luisteren 0
TCP PACKARDBELL:1025 PACKARDBELL:0 Bezig met luisteren 0
UDP PACKARDBELL:echo *:*
UDP PACKARDBELL:discard *:*
UDP PACKARDBELL:daytime *:*
UDP PACKARDBELL:qotd *:*
UDP PACKARDBELL:chargen *:*
UDP PACKARDBELL:snmp *:*
UDP PACKARDBELL:microsoft-ds *:*
UDP PACKARDBELL:isakmp *:*
UDP PACKARDBELL:syslog *:*
UDP PACKARDBELL:1026 *:*
UDP PACKARDBELL:3120 *:*
UDP PACKARDBELL:3128 *:*
UDP PACKARDBELL:3158 *:*
UDP PACKARDBELL:3544 *:*
UDP PACKARDBELL:ntp *:*
UDP PACKARDBELL:netbios-ns *:*
UDP PACKARDBELL:netbios-dgm *:*
UDP PACKARDBELL:router *:*
UDP PACKARDBELL:1900 *:*
UDP PACKARDBELL:3103 *:*
UDP PACKARDBELL:3104 *:*
UDP PACKARDBELL:3105 *:*
UDP PACKARDBELL:3118 *:*
UDP PACKARDBELL:3235 *:*
UDP PACKARDBELL:35591 *:*
UDP PACKARDBELL:ntp *:*
UDP PACKARDBELL:1900 *:*
UDP PACKARDBELL:3017 *:*
UDP PACKARDBELL:3019 *:*
UDP PACKARDBELL:ntp *:*
UDP PACKARDBELL:netbios-ns *:*
UDP PACKARDBELL:netbios-dgm *:*
UDP PACKARDBELL:router *:*
UDP PACKARDBELL:1900 *:*
UDP PACKARDBELL:3006 *:*
UDP PACKARDBELL:3034 *:*
UDP PACKARDBELL:3040 *:*
UDP PACKARDBELL:3235 *:*
UDP PACKARDBELL:33128 *:*
UDP PACKARDBELL:echo *:*
UDP PACKARDBELL:discard *:*
UDP PACKARDBELL:daytime *:*
UDP PACKARDBELL:qotd *:*
UDP PACKARDBELL:chargen *:*

en fport run ik in cmd, maar als ik wil opslaan (fport -> lijstje.txt) krijg ik iets wat ik niet nodig heb, kan dat nog op een andere manier? selecteren kan ook niet

[ Voor 94% gewijzigd door marcovtwout op 05-07-2004 00:13 ]

maandag 5 juli 2004 00:05

Acties:

ThaHandy

Discovery Channel

Noork schreef op 05 juli 2004 @ 00:00:
En wat heb jij voor abonnement? 200KB snelheid met een limiet van 250MB? En is dat upload of download?

Bedoel je niet 200kb. dus kilobits?

offtopic:
lees: 200kb per MINUT ( == 3.3kbyte/s

)

hoe heb je dat gemeten?

[ Voor 16% gewijzigd door ThaHandy op 05-07-2004 00:07 ]

maandag 5 juli 2004 00:10

Acties:

CyBeR

💩

Download anders eens een sniffer en kijk wat er over je verbinding gaat.

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 5 juli 2004 00:28

Acties:

marcovtwout

Topicstarter

Nou, na een snelle reboot (bedankt darealrenzel) heb ik weer even een log gemaakt:

netstat -a

Actieve verbindingen

Proto Lokaal adres Extern adres Status
TCP PACKARDBELL:echo PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:discard PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:daytime PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:qotd PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:chargen PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:epmap PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:microsoft-ds PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:1025 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:1027 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:3012 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:3306 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:netbios-ssn PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:3017 messenger.hotmail.com:1863 TIME_WAIT
TCP PACKARDBELL:3001 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:3002 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:3003 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:3016 PACKARDBELL:0 Bezig met luisteren
TCP PACKARDBELL:echo PACKARDBELL:0 Bezig met luisteren 0
TCP PACKARDBELL:discard PACKARDBELL:0 Bezig met luisteren 0
TCP PACKARDBELL:daytime PACKARDBELL:0 Bezig met luisteren 0
TCP PACKARDBELL:qotd PACKARDBELL:0 Bezig met luisteren 0
TCP PACKARDBELL:chargen PACKARDBELL:0 Bezig met luisteren 0
TCP PACKARDBELL:epmap PACKARDBELL:0 Bezig met luisteren 0
TCP PACKARDBELL:1025 PACKARDBELL:0 Bezig met luisteren 0
UDP PACKARDBELL:echo *:*
UDP PACKARDBELL:discard *:*
UDP PACKARDBELL:daytime *:*
UDP PACKARDBELL:qotd *:*
UDP PACKARDBELL:chargen *:*
UDP PACKARDBELL:snmp *:*
UDP PACKARDBELL:microsoft-ds *:*
UDP PACKARDBELL:syslog *:*
UDP PACKARDBELL:1026 *:*
UDP PACKARDBELL:3007 *:*
UDP PACKARDBELL:3544 *:*
UDP PACKARDBELL:ntp *:*
UDP PACKARDBELL:netbios-ns *:*
UDP PACKARDBELL:netbios-dgm *:*
UDP PACKARDBELL:3005 *:*
UDP PACKARDBELL:3011 *:*
UDP PACKARDBELL:3014 *:*
UDP PACKARDBELL:3015 *:*
UDP PACKARDBELL:3235 *:*
UDP PACKARDBELL:57513 *:*
UDP PACKARDBELL:ntp *:*
UDP PACKARDBELL:echo *:*
UDP PACKARDBELL:discard *:*
UDP PACKARDBELL:daytime *:*
UDP PACKARDBELL:qotd *:*
UDP PACKARDBELL:chargen *:*

tcpview

alg.exe:1168 TCP PACKARDBELL:3001 PACKARDBELL:0 LISTENING
CCAPP.EXE:1280 TCP PACKARDBELL:3012 PACKARDBELL:0 LISTENING
CCAPP.EXE:1280 TCP packardbell.lan:3012 crl.verisign.com:http ESTABLISHED
CCAPP.EXE:1280 TCP PACKARDBELL:3016 PACKARDBELL:0 LISTENING
drst.exe:1628 UDP packardbell.lan:3011 *:*
drst.exe:1628 UDP packardbell.lan:3014 *:*
drst.exe:1628 UDP packardbell.lan:3015 *:*
drst.exe:1628 UDP packardbell.lan:3235 *:*
drst.exe:1628 UDP packardbell.lan:3235 *:*
drst.exe:1628 UDP packardbell.lan:3235 *:*
mysqld.exe:1776 TCP PACKARDBELL:3306 PACKARDBELL:0 LISTENING
snmp.exe:2492 UDP PACKARDBELL:snmp *:*
svchost.exe:616 TCP PACKARDBELL:epmap PACKARDBELL:0 LISTENING
svchost.exe:640 TCP PACKARDBELL:1025 PACKARDBELL:0 LISTENING
svchost.exe:640 TCP PACKARDBELL:3002 PACKARDBELL:0 LISTENING
svchost.exe:640 TCP PACKARDBELL:3003 PACKARDBELL:0 LISTENING
svchost.exe:640 UDP PACKARDBELL:3007 *:*
svchost.exe:640 UDP PACKARDBELL:3544 *:*
svchost.exe:640 UDP packardbell.lan:ntp *:*
svchost.exe:640 UDP packardbell.lan:3005 *:*
svchost.exe:640 UDP packardbell.lan:57513 *:*
svchost.exe:640 UDP PACKARDBELL:ntp *:*
svchost.exe:764 UDP PACKARDBELL:1026 *:*
System:4 TCP PACKARDBELL:microsoft-ds PACKARDBELL:0 LISTENING
System:4 TCP PACKARDBELL:1027 PACKARDBELL:0 LISTENING
System:4 TCP packardbell.lan:netbios-ssn PACKARDBELL:0 LISTENING
System:4 UDP PACKARDBELL:microsoft-ds *:*
System:4 UDP packardbell.lan:netbios-ns *:*
System:4 UDP packardbell.lan:netbios-dgm *:*
tcpsvcs.exe:2436 TCP PACKARDBELL:echo PACKARDBELL:0 LISTENING
tcpsvcs.exe:2436 TCP PACKARDBELL:discard PACKARDBELL:0 LISTENING
tcpsvcs.exe:2436 TCP PACKARDBELL:daytime PACKARDBELL:0 LISTENING
tcpsvcs.exe:2436 TCP PACKARDBELL:qotd PACKARDBELL:0 LISTENING
tcpsvcs.exe:2436 TCP PACKARDBELL:chargen PACKARDBELL:0 LISTENING
tcpsvcs.exe:2436 UDP PACKARDBELL:echo *:*
tcpsvcs.exe:2436 UDP PACKARDBELL:discard *:*
tcpsvcs.exe:2436 UDP PACKARDBELL:daytime *:*
tcpsvcs.exe:2436 UDP PACKARDBELL:qotd *:*
tcpsvcs.exe:2436 UDP PACKARDBELL:chargen *:*
watch.exe:1336 UDP PACKARDBELL:syslog *:*

ik heb ook nog winpcap gedownt, dat moet een sniffer zijn? en wat moet ik daar openen?

mn dataverkeer is inmiddels afgenomen naar 130 KB/minuut
ik wil iedereen alvast bedanken voor de hulp

maandag 5 juli 2004 00:30

Acties:

Osiris

winpcap is volgens mij een soort driver-iets waar sniffers gebruik van maken

Bekijk anders de url die ik bovenaan dit topic plaatste nog eens

maandag 5 juli 2004 00:32

Acties:

Verwijderd

en je had dataverkeer toen je deze lijsten maakte ??

Die CCAPP is Norton hé ? Kan het zijn dat ie constant probeert te updaten en dat het telkens mislukt ofzo?

Winpcap is dd een driver die ervoor zorgt dat diverse programma's (waaronder ethereal) in kunnen haken op je tcp stack (ff simpel uitgelegd)

[ Voor 34% gewijzigd door Verwijderd op 05-07-2004 00:33 ]

maandag 5 juli 2004 00:38

Acties:

marcovtwout

Topicstarter

die lijsten maakte ik direct na een reboot, apache uitgeschakelt
ik had dus wel verbinding en ccapp is inderdaad norton
maar die kan ik ook niet uitzetten, of ik moet hem killen via taskmon, wat wel kan trouwens. doen?

oh en ik heb de binaries nu gevonden, bedankt, ik had die link gevolgt hoor

ow, ik weet niet of dit goed is, het heet iig geen ethereal, weer hetzelfde
o toch wel gevonden:)

ik kan de windowsxp firewall aanzetten, maar er zit er al een in mn router, wat zal ik doen?

ja dat had ik gedaan, maar hij staat er toch weer op! Nu veranderd, maar nog steeds evenveel dataverkeer, volgens een vast patroon trouwens, elke 5 sec zie ik een streepje van 5 pixels (top van grafiek is 384kbps).

[ Voor 61% gewijzigd door marcovtwout op 05-07-2004 00:45 ]

maandag 5 juli 2004 00:38

Acties:

Verwijderd

zet er anders ff een firewall op en alleen poorten openzetten van programma's die je vertrouwd.

maandag 5 juli 2004 00:41

Acties:

Verwijderd

Heb je in DU meter wel aangegeven dat ie alleen de UITGAANDE netwerk kaart moet gebruiken en niet de loopback interface (all interfaces optie) ? anders tikt het wel lekker aan

[ Voor 7% gewijzigd door Verwijderd op 05-07-2004 00:42 ]

maandag 5 juli 2004 00:41

Acties:

Verwijderd

Wat verder ook nog prima zou kunnen is dat ze een ftptje hebben opgezet @ je bak. Meestal in C:/RECYCLER, check es hoe je zit met je harddisk space?

maandag 5 juli 2004 00:43

Acties:

Erkens

Fotograaf

Verwijderd schreef op 05 juli 2004 @ 00:41:
Wat verder ook nog prima zou kunnen is dat ze een ftptje hebben opgezet @ je bak. Meestal in C:/RECYCLER, check es hoe je zit met je harddisk space?

dan had die wel in dat netstat lijstje gestaan denk je niet

maandag 5 juli 2004 00:44

Acties:

Verwijderd

Erkens schreef op 05 juli 2004 @ 00:43:
[...]

dan had die wel in dat netstat lijstje gestaan denk je niet

Hiderun.exe gaat dat tegenwoordig met wat ander spul tot heel ver tegen, trust me.

maandag 5 juli 2004 00:48

Acties:

marcovtwout

Topicstarter

euh, er zit 1 verborgen map in RECYCLER, 1 lange string van ong 30 tekens.
maar ik weet niet of dat het wel is.

en nogmaals, het gaat volgens een vast patroon, elke 5 seconden een streepje van 5 pixels in DU Meter (top = 384kbps)

ik heb net ff gereboot. Eerst had ik 1,5 minuut lang geen dataverkeer (zoals het hoort) toen startte Norton en het icoontje van mn router en toen begon het weer...
Kan ik met Ethereal zien welk programma het veroorzaakt en hoe?

---------------------------

Nou jongens, ik werd het een beetje zat en ging programma's zitten killen, norton bleek geen invloed te hebben, alleen het verbindingsprogramma van de router bleek het te doen. Ik snap niet waar dat eigenlijk goed voor is, ik heb nog wel gewoon verbinding. Kan het dan zijn dat de firewall in de router nu uit is??

Ik wil iedereen bedanken voor de goeie hulp. Als ik nog eens een vraag heb weet ik waar ik terecht kan

Marco

[ Voor 104% gewijzigd door marcovtwout op 05-07-2004 01:03 ]

maandag 5 juli 2004 01:05

Acties:

Verwijderd

Universal Plug and Play Device Host staat toch ook continu te broadcasten? Dit genereert misschien niet eens zo heel veel dataverkeer, maar je kan het uitzetten via services.msc.

LET OP: NIET Plug en Play uitzetten, maar goed kijken of je Universal Plug and Play Device Host aan het uitzetten bent!

[ Voor 28% gewijzigd door Verwijderd op 05-07-2004 01:08 ]

maandag 5 juli 2004 01:09

Acties:

Osiris

marcovtwout schreef op 05 juli 2004 @ 00:48:
Kan ik met Ethereal zien welk programma het veroorzaakt en hoe?

Niet direct... Met Ethereal kun je zeg maar "zien" wat er allemaal aan verkeer door je UTP-kabeltje loopt. Dus sender-IP, destination-IP en beide poorten etc en welke protocollen en zelfs de data..
Als je verder geen programma's die verkeer veroorzaken aan hebt staan zie je dus alleen maar ongewenste pakketjes. Kijk je even bij het IP-protocol welke poorten daar staan en zoek je met bijv TCPView ofzo welk programma daar bijhoort

maandag 5 juli 2004 01:10

Acties:

hufkes

nee, daar staat niet hufter!

wat bedoel je met "het icoontje van m'n router"?
Heb je soms een progje draaien dat op bepaalde interval checkt met je router? Statistieken doorgeeft of zoiets? Dan is het gegenereerde verkeer namelijk helemaal niet erg, blijft namelijk intern.

Kijk anders eens met SysInternals TDIMon (http://www.sysinternals.com/ntw2k/freeware/tdimon.shtml) live naar je verbindingen. Netstat -a geeft alleen een momentopname, dit progje geeft continu nieuwe, veranderende en lopende verbindingen weer.

[edit] ja dus

Die kun je gerust aan laten staan wanneer je daar behoefte aan hebt aangezien al dit verkeer slechts tussen jouw pc en de router blijft en dus geen extern netwerkverkeer is.

marcovtwout schreef op 05 juli 2004 @ 00:48:Nou jongens, ik werd het een beetje zat en ging programma's zitten killen, norton bleek geen invloed te hebben, alleen het verbindingsprogramma van de router bleek het te doen. Ik snap niet waar dat eigenlijk goed voor is, ik heb nog wel gewoon verbinding. Kan het dan zijn dat de firewall in de router nu uit is??

Nee hoor, de firewall is niets meer dan een set met regels die ingesteld staan over wat hij wel en wat hij niet door mag laten. Die heeft daarvoor echt geen verbinding met jouw pc nodig. Wat het progje doet is waarschijnlijk alleen statistieken regelen of eventuele qoutum geregelde toegang. Niet noodzakelijk voor de verbinding dus. Bekijk het progje maar eens nader, zoek eventueel op op de site van de maker wat het precies kan/doet en beslis dan of je het wil laten draaien.

[ Voor 59% gewijzigd door hufkes op 05-07-2004 01:15 ]

Onderstaande signature is al >20jr oud ***hoe dan***
---
Het internet is een veelbelovend medium
....dat maar heel weinig van zijn beloftes nakomt.
Wat weg is... raak je nooit meer kwijt :P

maandag 5 juli 2004 01:16

Acties:

UltraSub

http://www.netlimiter.com/index.php

Ff installeren.. Kun je ook een hoop mee zien..

maandag 5 juli 2004 01:57

Acties:

marcovtwout

Topicstarter

Bedankt jongens, dat interne verkeer klinkt idd logisch, want DU Meter meet alles via mn NIC, dus dat waarschijnlijk ook.

Ik heb nog ff mn datastats gechecked op hetnet.nl, en het was inderdaad een stuk lager, hoewel dat misschien nog bijgewerkt moet worden.

Maar allemaal nogmaals bedankt voor de moeite!

woensdag 27 oktober 2004 23:24

Acties:

marcovtwout

Topicstarter

OK ik heb opnieuw een probleem.
Tot nu toe heeft iets 50+ MB lopen downloaden, van iets volgens netstat hard-virgins.com
Er bleek (gekeken met de PID) dat het uit firefox kwam, dichtgegooid en toen stopte het.
Maar nog niet helemaal veilig lijkt me...

**
Nou firefox opnieuw geinstalleerd enzo, netstat -o gedaan:

Actieve verbindingen

Proto Lokaal adres Extern adres Status PID
TCP PACKARDBELL:1040 baym-cs217.msgr.hotmail.com:1863 ESTABLISHED 156
TCP PACKARDBELL:1280 a194-109-192-32.deploy.akamaitechnologies.com:http TIME_WAIT 0
TCP PACKARDBELL:1330 pop.hetnet.nl:pop3 TIME_WAIT 0
TCP PACKARDBELL:1035 hard-virgins.com:1329 TIME_WAIT 0
TCP PACKARDBELL:1264 hard-virgins.com:1265 ESTABLISHED 3724
TCP PACKARDBELL:1265 hard-virgins.com:1264 ESTABLISHED 3724

3724 is de PID van firefox, het is weer terug

[ Voor 58% gewijzigd door marcovtwout op 27-10-2004 23:44 ]

donderdag 28 oktober 2004 00:08

Acties:

Verwijderd

Ik zie nog steeds niet echt initiatief zoals door Schouw in [rml]Schouw in "[ virus] hij blijft maar downloaden.."[/rml] verzocht. Heb je zelf al op spyware gechekt, Hijackthis gedaan etc.?

De regels daar gelden ook hier en ik denk dat je daar het beste terecht kunt. Loop dus Beveiliging en Virussen - Nieuw topic starten door en ga daarmee aan de slag voor een nieuw topic in Beveiliging & Virussen