[Virus?] Computers blijven portscannen - Privacy en beveiliging

donderdag 21 oktober 2004 20:01

Acties:

Topicstarter

tjah, dit is een nogal vreemd probleem geloof ik, kan er niks over vinden op google/gotsearch..

ik heb sinds kort een router aan het netwerk hangen (e-tech RTVP03) en ik werd steeds gedisconnect van irc/msn e.d. ik heb gelijk logs aangezet op de router zelf (firewall staat aan op router) en nu krijg ik dit:

code:

2004-10-21 20:01:41 TCP from 192.168.1.2:4217 to 192.168.236.201:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4218 to 192.168.88.251:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4219 to 192.168.108.212:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4220 to 152.222.134.215:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4221 to 107.238.149.43:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4222 to 223.86.223.233:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4223 to 60.112.63.142:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4224 to 185.225.56.236:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4226 to 55.245.44.148:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4228 to 172.46.132.68:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4229 to 105.47.10.128:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4230 to 19.125.42.186:445
2004-10-21 20:01:41 TCP from 192.168.1.3:4545 to 192.168.19.27:445
2004-10-21 20:01:41 TCP from 192.168.1.3:4546 to 192.168.213.10:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4232 to 192.168.18.114:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4234 to 10.191.226.59:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4235 to 76.255.89.180:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4236 to 160.251.72.253:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4237 to 192.168.3.84:445
2004-10-21 20:01:41 TCP from 192.168.1.3:4547 to 192.168.233.120:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4238 to 152.196.63.255:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4239 to 199.241.209.112:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4240 to 1.189.195.109:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4241 to 192.168.194.138:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4242 to 192.168.185.28:445
2004-10-21 20:01:41 TCP from 192.168.1.3:4548 to 192.168.104.230:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4243 to 210.11.180.19:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4244 to 192.168.219.93:445
2004-10-21 20:01:41 TCP from 192.168.1.3:4549 to 192.168.37.208:445
2004-10-21 20:01:41 TCP from 192.168.1.3:4550 to 192.168.96.37:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4245 to 192.168.185.245:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4246 to 39.76.181.207:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4247 to 118.71.66.57:445
2004-10-21 20:01:41 TCP from 192.168.1.3:4551 to 192.168.34.147:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4249 to 192.168.242.252:445
2004-10-21 20:01:41 TCP from 192.168.1.3:4552 to 192.168.54.225:445
2004-10-21 20:01:41 TCP from 192.168.1.3:4553 to 192.168.216.168:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4252 to 192.168.96.227:445
2004-10-21 20:01:41 TCP from 192.168.1.3:4554 to 192.168.165.239:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4253 to 192.168.161.101:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4254 to 120.247.23.123:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4255 to 57.61.91.241:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4256 to 197.193.146.29:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4257 to 92.197.237.159:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4258 to 114.136.129.85:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4259 to 158.162.192.65:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4260 to 192.168.114.249:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4261 to 192.168.148.226:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4262 to 192.168.145.251:445
2004-10-21 20:01:41 TCP from 192.168.1.3:4555 to 192.168.251.192:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4264 to 192.168.131.13:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4265 to 192.168.155.108:445
2004-10-21 20:01:41 TCP from 192.168.1.3:4556 to 192.168.207.92:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4266 to 192.168.237.224:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4267 to 192.168.88.176:445
2004-10-21 20:01:41 TCP from 192.168.1.2:4268 to 192.168.156.42:445

let op, dit is dus slechts 1 seconde!!

ik heb adaware gedraait, spybot s&d, avg antivirus (compleet geupdate), alle windows security patches..
op beide computers waar dit gebeurd ( workstation en laptop doen dit dus allebei)
Het lijkt erop alsof mijn computer gehacked is en er via mij geportscanned wordt... alleen.. naar niet bestaande netwerk ipadressen?

(mijn netwerk range is dus 192.168.1.* )

ik ben radeloos, heeft iemand hier misschien een suggestie/oplossing voor me?

Power corrupts. Knowledge is power. Study hard. Be evil.

donderdag 21 oktober 2004 20:10

Acties:

Erkens

Fotograaf

van welk proces komen deze packets?

http://www.sysinternals.com/ntw2k/source/tcpview.shtml

donderdag 21 oktober 2004 20:16

Acties:

Eeruku

Topicstarter

Erkens schreef op 21 oktober 2004 @ 20:10:
van welk proces komen deze packets?

http://www.sysinternals.com/ntw2k/source/tcpview.shtml

wewt... thx voor de link

(20:14:46) (|3CLipZ|) wvsvc.exe
(20:14:49) (|3CLipZ|) ;x
(20:14:50) —› mode: (ChanServ) sets (+o Rafe)
(20:14:50) —› nick: (Pyrus[WA12SE]) is now known as (Pyrus[foon])
(20:15:01) (@Rafe) http://www.google.com/search?q=wvsvc.exe
(20:15:08) (@Rafe) WORM_RBOT.QQ
(20:15:09) (@Rafe)

Power corrupts. Knowledge is power. Study hard. Be evil.

donderdag 21 oktober 2004 20:40

Acties:

Eeruku

Topicstarter

ok.. dit is niet liev -_-
mijn laptop heeft een andere vorm van deze worm...

het zit nu in Explorer.Exe

en dat is wel HEEEEEEEEL erg evil

Power corrupts. Knowledge is power. Study hard. Be evil.

donderdag 21 oktober 2004 20:47

Acties:

Erkens

Fotograaf

* Erkens mompelt iets over format c

donderdag 21 oktober 2004 21:16

Acties:

Verwijderd

Post je HT log eens..

Zoek de betreffende(verdachte) file(s) en scan deze hier: http://virusscan.jotti.dhs.org/
De vraag is meer hoe lang dit beestje al actief is om een format noodzaak te maken, misschien iets te voorbarig Erkens.

En Rafe zou beter moeten weten als te 'flaggen op filename'.

Hoewel het zeer waarschijnlijk wel een Ago/Sd/Rbot is.

donderdag 21 oktober 2004 21:24

Acties:

Eeruku

Topicstarter

tis nu eindelijk gefixed, als ik explorer.exe opnieuw startte was et weg..
bleek er een evil filetje in mn startup te zitten dat dit veroorzaakte...
alles weer normaal nu

was wel dezelfde worm, maar op een andere manier ge-execute

Power corrupts. Knowledge is power. Study hard. Be evil.

donderdag 21 oktober 2004 21:26

Acties:

Verwijderd

Heb je de file gescand?
Ben je er al achter hoe deze op het systeem is gekomen? Heb je daarvoor maatregelen genomen?
Weet je zeker dat je systemen nu clean zijn?

De/één infectie verwijderen is maar de helft van het verhaal natuurlijk..

donderdag 21 oktober 2004 21:29

Acties:

Eeruku

Topicstarter

mja, ik kreeg de worm waarschijnlijk al voordat ik de router firewall had.. ik gok dat hij via een van de andere computers hier is binnengekomen

nu staan er ook overal virusscanners te draaien

[ Voor 16% gewijzigd door Eeruku op 21-10-2004 21:29 ]

Power corrupts. Knowledge is power. Study hard. Be evil.

donderdag 21 oktober 2004 21:36

Acties:

alt-92

ye olde farte

Wat doe jij nog online eigenlijk?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 21 oktober 2004 21:47

Acties:

Eeruku

Topicstarter

BackSlash32 schreef op 21 oktober 2004 @ 21:36:
Wat doe jij nog online eigenlijk?

elaborate?

Power corrupts. Knowledge is power. Study hard. Be evil.

donderdag 21 oktober 2004 21:49

Acties:

Zwelgje

3CLipZ schreef op 21 oktober 2004 @ 21:47:
[...]

elaborate?

als je onder de virussen zit hoor je niet meer online te zijn vanuit jouw netwerk

A wise man's life is based around fuck you

donderdag 21 oktober 2004 21:50

Acties:

Eeruku

Topicstarter

zwelgje schreef op 21 oktober 2004 @ 21:49:
[...]

als je onder de virussen zit hoor je niet meer online te zijn vanuit jouw netwerk

ik zit niet onder de virussen -_-

1 worm die zich onder het netwerk heeft uitgebreid.. valt nog mee denk ik zo

Power corrupts. Knowledge is power. Study hard. Be evil.

donderdag 21 oktober 2004 22:47

Acties:

alt-92

ye olde farte

tuurlijk jongen

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 22 oktober 2004 00:36

Acties:

Eeruku

Topicstarter

BackSlash32 schreef op 21 oktober 2004 @ 22:47:
tuurlijk jongen

of je maakt ff geen nutteloze reply..
Ik kom hier met een probleem, zoek help.. en wat doe jij? beetje afzeiken >_>

zoek een leuke hobby zou ik zeggen

[ Voor 4% gewijzigd door Eeruku op 22-10-2004 00:37 ]

Power corrupts. Knowledge is power. Study hard. Be evil.

vrijdag 22 oktober 2004 07:10

Acties:

Jordi

#1#1

Nou eh... je komt hier "radeloos" vragen wat er allemaal met jouw edele machientjes aan de hand is en zodra je 1 dingetje van je bak gemieterd hebt -waarvan ik gemakshalve maar even aanneem dat het goed gebeurd is-, vind je het allemaal "wel meevallen", terwijl je zelf zegt dat er een worm op je netwerk zit of heeft gezeten en je niet weet hoe het is binnen gekomen... vind je het gek dat je zo'n reactie krijgt?

Het zal wel niet, maar het zou maar wel.

Pagina: 1

Reageer