Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Er gebeuren nog steeds vreemde dingen op mijn PC...

gerben
14 antwoorden
  • Mijn Internetserver wordt nog steeds gebruikt om rotzooi door te geven.
    Eerst laat ik een stukje zien van mijn weblog, en daaronder een HiJackThis log.

    Hier een weergave van mijn weblog:

    14:06:33;211.90.241.120;2504;.Default;;;00-00-00-00-00-00;partners.mygeek.com;80;2006-07-25 14:06:32;2006-07-25 14:06:33;624;2019,/presults.jsp, http[HTTP]
    14:06:34;211.90.241.120;2644;.Default;;;00-00-00-00-00-00;partners.mygeek.com;80;2006-07-25 14:06:33;2006-07-25 14:06:34;565;2019,/presults.jsp, http[HTTP]
    14:06:38;211.90.241.120;2663;.Default;;;00-00-00-00-00-00;www.buy4lesstuxedo.com;80;2006-07-25 14:06:33;2006-07-25 14:06:38;46557;2019,/, http[HTTP]
    14:06:40;211.90.241.120;2768;.Default;;;00-00-00-00-00-00;www.3000toys.com;80;2006-07-25 14:06:34;2006-07-25 14:06:40;24409;2019,/, http[HTTP]
    14:06:43;59.56.125.206;2873;.Default;;;00-00-00-00-00-00;last-dragon.com;80;2006-07-25 14:06:38;2006-07-25 14:06:43;9456;2019,/index.php, http[HTTP]
    14:06:43;60.17.60.228;4582;.Default;;;00-00-00-00-00-00;www.clickingagent.com;80;2006-07-25 14:06:43;2006-07-25 14:06:43;158;2019,/proxycheck.php, http[HTTP]
    14:06:46;60.17.60.228;4700;.Default;;;00-00-00-00-00-00;image2.sina.com.cn;80;2006-07-25 14:06:46;2006-07-25 14:06:46;0;2004, /pfp/ask/images/cooperate/iask56x26.gif, from cache, http[HTTP]
    14:07:05;60.17.60.228;4809;.Default;;;00-00-00-00-00-00;www.iask.com;80;2006-07-25 14:06:48;2006-07-25 14:07:05;22871;2019,/w, http[HTTP]
    14:07:11;60.17.60.228;1499;.Default;;;00-00-00-00-00-00;searchclick.sina.com.cn;80;2006-07-25 14:07:10;2006-07-25 14:07:11;353;2019,/cgi-bin/SearchRedirect.cgi, http[HTTP]
    14:08:03;211.90.241.120;2021;.Default;;;00-00-00-00-00-00;211.90.241.120;80;2006-07-25 14:08:02;2006-07-25 14:08:03;786;2019,/prx.php, http[HTTP]
    14:09:10;211.90.241.120;3537;.Default;;;00-00-00-00-00-00;211.90.241.120;80;2006-07-25 14:09:09;2006-07-25 14:09:10;786;2019,/prx.php, http[HTTP]


    en dit is de HiJackThis log van dit moment:

    Logfile of HijackThis v1.99.1
    Scan saved at 2:16:31 PM, on 25/07/2006
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\Ati2evxx.exe
    C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
    C:\Program Files\Norton Internet Security\ISSVC.exe
    C:\WINNT\system32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    C:\WINNT\system32\crypserv.exe
    C:\WINNT\System32\svchost.exe
    C:\Program Files\ezProxy\ezEngine.exe
    C:\Program Files\Norton Internet Security\Norton AntiVirus
    avapsvc.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\stisvc.exe
    C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system\hplampc.exe
    C:\WINNT\system32\Ati2evxx.exe
    C:\WINNT\Explorer.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\Program Files\Dynalink\Adsl\dslstat.exe
    C:\Program Files\Dynalink\Adsl\dslagent.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\WINNT\system32\internat.exe
    C:\PROGRA~1\INTERN~2\mum.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\DGDR Hermes\DGDR Hermes.exe
    C:\Program Files\MightyFax\MFNTCTL.EXE
    C:\Program Files\FireTrust\MailWasher Pro\MailWasher.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Common Files\Symantec Shared\AdBlocking\NSMdtr.exe
    C:\hj\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://bluegum5/index.php
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://telstra.com
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [AtiPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
    O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Dynalink\Adsl\dslstat.exe icon
    O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Dynalink\Adsl\dslagent.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - HKCU\..\Run: [TClockEx] C:\Program Files\TClockEx\TCLOCKEX.EXE
    O4 - HKCU\..\Run: [InternodeUsage] C:\PROGRA~1\INTERN~2\mum.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Hermes Messenger.lnk = C:\Program Files\DGDR Hermes\DGDR Hermes.exe
    O4 - Global Startup: Internode.lnk = ?
    O4 - Global Startup: MightyFAX Controller.lnk = C:\Program Files\MightyFax\MFNTCTL.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O14 - IERESET.INF: START_PAGE_URL=http://telstra.com
    O16 - DPF: {01010E00-5E80-11D8-9E86-0007E96C65AE} (SupportSoft SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab
    O16 - DPF: {01012101-5E80-11D8-9E86-0007E96C65AE} (SupportSoft Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab
    O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021205/qtinstall.info.apple.com/drakken/us/win/QuickTimeInstaller.exe
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
    O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
    O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A0068F69-65EB-4034-9455-1AAA85E80C4A}: NameServer = 192.231.203.132 192.231.203.3
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = vic.bigpond.net.au
    O17 - HKLM\System\CS1\Services\VxD\MSTCP: SearchList = vic.bigpond.net.au
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = vic.bigpond.net.au
    O17 - HKLM\System\CS2\Services\VxD\MSTCP: SearchList = vic.bigpond.net.au
    O17 - HKLM\System\CCS\Services\VxD\MSTCP: SearchList = vic.bigpond.net.au
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = vic.bigpond.net.au
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
    O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINNT\SYSTEM32\crypserv.exe
    O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: ezProxy - Unknown owner - C:\Program Files\ezProxy\ezEngine.exe
    O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus
    avapsvc.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: ShareMail - Unknown owner - C:\Program Files\LavaSoft\ShareMail\ShareMail.exe (file missing)
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

    Suggesties?
    Help!

  • Nog even een toevoeging:
    ik heb een dynamisch IP-adres. Dus het lijkt me dat al die muk getriggerd wordt door een programmaatje op mijn Internetserver…
    Marcel
  • a) haal je server onmiddelijk offline. Jouw server is gecompromiteerd en je hebt er niet langer de complete controle over. Je bent wél volledig verantwoordelijk voor de bagger die het over de digi-wereld uitstort!
    b) Win-OS is niet geschikt als serverplatform, het is "broken by design" :-? Stap over op Unix of Linux. Informeer je verder op http://www.linux.org/
  • Helaas, beide suggesties zijn geen reële opties voor mij…
    Marcel
  • Windows 2003 server?

    Maar als ie is gecompromitteerd, inderdaad meteen offline halen en opnieuw installeren c.q. je backup terugzetten. Voorzover mogelijk wel uitzoeken hoe je server besmet is geraakt. En kijken of je daar iets tegen kunt doen. Dit om herhaling te voorkomen.
  • Nee, dat is het niet:

    Platform: Windows 2000 SP4 (WinNT 5.00.2195) (zie de HiJackThis log)

    Deze PC wordt gebruikt als verbinding naar het internet. Alle andere PCs in het network (Windows workgroup, niet een domain netwerk) gebruiken deze PC.
  • Het was een suggestie om het te gaan gebruiken.

    Als je de computer als router, webserver etc. gebruikt, zou ik toch eens naar iets als clarkconnect kijken.
  • [quote:18a891080d="Xpoes"]Helaas, beide suggesties zijn geen reële opties voor mij…
    [/quote:18a891080d]
    Je wacht liever op de autoriteit die je komt vertellen dat je kinderprono aan het verspreiden bent?

    Ik hoop bovendien dat je -met een dergelijke halsstarrige houding- zelf gebombardeerd wordt met spam en virii door gelijkgestemden.
    En dan nog eens nadenken of je een gecompromitteerde server al dan niet afkoppelen moet…
  • Klein vraagje:
    Hoe zien jullie dat de server gecompromitteerd is ? ? ?
  • [quote:ae2da9589a="Xpoes"]Helaas, beide suggesties zijn geen reële opties voor mij…
    Marcel[/quote:ae2da9589a]
    en ondertussen maar blijven spammen zeker
    of heet je toevallig Martijn Bevelander (spamkoning) en is het je werk ?
  • Deze posting komt vanaf mijn stand-alone laptop…

    En voor alle duidelijkheid, ik probeer vragen te stellen die mijn probleem oplossen, niet om meer spam de wereld in te helpen. Wellicht dat ik me wat ongelukkig uitdruk, dat komt omdat ik een programmeur ben, niet een full-time systeembeheerder.

    Ik heb een paar vragen, maar eerst even een beschrijving van mijn netwerk.
    Het netwerk bestaat uit 4 PCs, eentje via welke alle andere PCs naar het internet gaan, eentje om alle bestanden op te slaan en twee waar mijn eega en ik op werken. De software waar wij mee werken draait alleen onder Windows, niet onder Linux. 3 van de 4 PCs draaien onder W2K, en de vierde heeft XP geinstalleerd. 3 PCs hebben Norton AV erop, en de Internet PC is uitgerust Norton Internet Security. De Internet PC heeft een proxy-programma, waardoor de andere drie PCs met het Internet in verbinding staan (EzProxy).

    Ik ben van plan om al mijn PCs opnieuw te gaan installeren. Het kan zijn dat de Internet PC wat opgelopen heeft, maar het kan net zo goed een andere PC in het netwerk zijn. Zeker weten doe ik het niet. Voor ik daar aan begin graag wat (opbouwend) commentaar.

    1. Ik gebruik nu Norton Internet Security. Is een softwarematige firewall slechter dan een hardwarematige? Is iedere firewall zo goed als wat je er zelf doorheen laat komen, of ligt dat anders? Ik bedoel, dat ik bij de meeste programma's van Norton specifiek toestemming moet geven of ze het Internet op mogen, is dat bij een router anders?

    2. Als er een router zou komen, heb ik dan nog een speciale Internetcomputer nodig?

    3. Als er een speciale Internet PC nodig is, kan ik die dan onder Linux laten draaien en de rest onder Windows, en toch 1 netwerk hebben?

    4. Als de Internet PC onder Linux zou draaien, zou deze PC dan niet mneer gebruikt kunnen worden voor het doorsluisen van allerlei troep?

    5. Als er geen Internet PC meer nodig is, is een Windows for Workgroups netwerk dan goed genoeg, of moet het echt een domain wezen, met W2003-server?

    Marcel
  • 1. Ik zou liever een andere firewall gebruiken. NIS is niet zo geweldig. Kijk eens naar Kerio. Een hardware firewall helpt wel wat, maar is toch duidelijk beperkt in zijn mogelijkheden.

    2. Nee

    3. Ja

    4. Niet zonder meer. Maar hij is wel een stuk veiliger.

    5. Je kunt een netwerk zowel met als zonder dedicated server draaien. Met slechts 2 gebruikers is een aparte server een beetje overkill. Maar je kunt wel centraal backuppen. Werk je beide aan dezelfde bestanden, dan is er ook minder risico op verschillende versies. Je kunt, als je toch een linux pc inricht, ook samba gebruiken.
  • [quote:a29d306b59="Xpoes"]Deze posting komt vanaf mijn stand-alone laptop…

    En voor alle duidelijkheid, ik probeer vragen te stellen die mijn probleem oplossen, niet om meer spam de wereld in te helpen. Wellicht dat ik me wat ongelukkig uitdruk, dat komt omdat ik een programmeur ben, niet een full-time systeembeheerder

    Marcel[/quote:a29d306b59]

    euh tjah sorry, misschien was het de warmte wel die voor zo'n felle reaktie zorgde :lol:
  • Dank voor beide reakties.

    Nog een vraag (ik weet helemaal niets van Linux): waar kan ik het best beginnen op het web, om mijn probleem te tackelen.
    Ik denk er dan over om op de Internet PC Linux te zetten, met de rest zoals het nu is (wel met een re-install van alle PCs, natuurlijk).
    En wat voor firewall heb ik daarbij nodig?

    Marcel

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.