Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

probleem met spam-abuse + hijackthis logfile checks

HyperBart
2 antwoorden
  • ik kamp momenteel met een hardnekkig probleem dat ik beschuldigingen krijg van HCCnet dat ik de abuse-policy zou overtreden omdat er spam vanuit mijn ip-adres verstuurd zou worden. omdat dit probleem al maanden sleept zal ik proberen het zo duidelijk mogelijk uiteen te zetten:

    26 nov 2004: ik ontvang mijn eerste mailtje van abuse@hccnet dat er spam van mijn ip-adres zou worden verzonden. duidelijk wordt gezegd dat ik dit mogelijk zelf niet eens in de gaten heb. mij wordt verzocht al mijn virusscanners en anti-spyware software up-to-date te brengen en na te lopen of er niets verkeerd gaat met mijn mail-servers (die ik niet heb).

    in de dagen daarop: in reactie op het mailtje loop ik alle 3 de computers achter mijn router na, al mijn virusscanners en ad-awares zijn up-to-date en mijn computers zijn volgens deze programma's helemaal clean. op de hccnet site lees ik over een W32.Sober worm die het internet rondgaat en ik download 2 aparte scanners die op deze worm zoeken, er wordt niets gevonden. voor de zekerheid besluit ik 2 vd 3 computers leeg te halen, ze konden toch wel een frisse start gebruiken.

    een paar dagen later kan ik geen e-mail meer verzenden via mijn hccnet adressen (foutmelding: i cannot talk to possible open relays) en op 5 dec 2004 ontvang ik een 2e mailtje dat mij vertelt dat er nog steeds spam wordt verstuurd van mijn adres en als er niets veranderd ze mijn verbinding misschien wel af zullen moeten sluiten, op dat moment hebben ze dus al mijn uitgaande post al afgesloten. ik sta kennelijk op een zogenaamde 'black list'.

    ik stuur een mailtje terug met complete uitleg wat ik allemaal wel niet heb gedaan om alles tegen te gaan en dat ik niet weet wat meer te doen. als antwoord krijg ik de geruststelling dat ze inderdaad geen last meer hebben gehad in de afgelopen dagen en dat ik mijzelf van de black list mag verwijderen dmv een verzoek. dit doe ik, het wordt goedgekeurd en ik kan weer mail verzenden. het probleem lijkt opgelost.

    24 dec 2004: ik krijg eenzelfde mailtje als op 26 november, het probleem lijkt zich nu te gaan herhalen. eindelijk kon ik weer mail verzenden en alles lijkt nu weer fout te gaan. ik raak het spoor bijster, alle computers lijken clean. ik kan nog steeds mail verzenden dus ik laat het probleem eventjes links liggen, omdat ik ook geen idee heb hoe dit op te lossen.

    3 jan 2005: ik krijg een brief per post binnen waarin mij wordt verteld dat er van 24 nov 2004 t/m 29 dec 2004 veelvuldig spam is verzonden vanaf mijn ip-adres. het is de zoveelste standaard brief/mail die ik krijg die mij niet verder helpt dit probleem op te lossen. er wordt gedreigd met extra maatregelen tegen mij enzovoorts, maar er worden geen concrete oplossingen of oorzaken van het probleem aangedragen. ik merk laatst wel dat het ip-adres van 1 vd computers niet langer 10.0.0.150 is maar 169.254.81.187, wat ik ook probeer, op de een of andere manier veranderd dit steeds terug, dat is wel vreemd…

    wat moet ik doen?

    ik heb een standaard alcatel 510 router met daarachter 3 computers voorzien van windows xp sp1, ad-aware 6, norton antivirus 2003. deze 3 computers zijn in de afgelopen maand allemaal eens helemaal leeggehaald en opnieuw geinstalleerd. hier is de hijacklog file van 1 vd computers, de andere 2 post ik spoedig.

    Logfile of HijackThis v1.99.0
    Scan saved at 14:07:27, on 5-1-2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe
    C:\WINDOWS\System32\CTSvcCDA.EXE
    C:\Program Files\Norton AntiVirus
    avapsvc.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\System32\sstray.exe
    C:\WINDOWS\System32\CTHELPER.EXE
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Program Files\D-Tools\daemon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Creative\MediaSource\RemoteControl\RCMan.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
    C:\WINDOWS\System32\MsPMSPSv.exe
    C:\Program Files\Mozilla\mozilla.exe
    C:\Program Files\Messenger\msmsgs.exe
    D:\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe

    O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
    O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
    O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe

    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\RunOnce: [Q828026] "C:\WINDOWS\INF\unregmp2.exe" /UpdateWMP
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\MediaSource\RemoteControl\RCMan.EXE
    O8 - Extra context menu item: Verzenden naar &Bluetooth - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
    O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by20fd.bay20.hotmail.msn.com
    esources/MsnPUpld.cab
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe
    O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
    O23 - Service: Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus
    avapsvc.exe
    O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
    O23 - Service: Ulead Burning Helper - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe



    bij voorbaat dank voor uw hulp.
  • De enige fout in jou log die ik kan vinden is

    [b:f45a54606c]O4 - HKLM\..\RunOnce: [Q828026] "C:\WINDOWS\INF\unregmp2.exe" /UpdateWMP [/b:f45a54606c]

    Deze kan je fixen maar is niet het probleem.

    Ik zou je willen adviseren om Norton Internet Security 2005 te installeren. Je gebruikt nu alleen de antivirus 2003.

    Met NIS wordt ook in kaart gebracht welke programma's er contact naar internet zoeken. Onbekende programma's (trojans) kan je hierdoor snel detecteren.

    Heb je ook de laatste windows updates geinstalleerd?
    SP2 is nog niet op je computer maar met SP1 en de nodige security updates moet je ook kunnen werken.

    Sjaak

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.