Vraag & Antwoord

Beveiliging & privacy

Er gebeuren nog steeds vreemde dingen op mijn PC...

14 antwoorden
  • Mijn Internetserver wordt nog steeds gebruikt om rotzooi door te geven. Eerst laat ik een stukje zien van mijn weblog, en daaronder een HiJackThis log. Hier een weergave van mijn weblog: 14:06:33;211.90.241.120;2504;.Default;;;00-00-00-00-00-00;partners.mygeek.com;80;2006-07-25 14:06:32;2006-07-25 14:06:33;624;2019,/presults.jsp, http[HTTP] 14:06:34;211.90.241.120;2644;.Default;;;00-00-00-00-00-00;partners.mygeek.com;80;2006-07-25 14:06:33;2006-07-25 14:06:34;565;2019,/presults.jsp, http[HTTP] 14:06:38;211.90.241.120;2663;.Default;;;00-00-00-00-00-00;www.buy4lesstuxedo.com;80;2006-07-25 14:06:33;2006-07-25 14:06:38;46557;2019,/, http[HTTP] 14:06:40;211.90.241.120;2768;.Default;;;00-00-00-00-00-00;www.3000toys.com;80;2006-07-25 14:06:34;2006-07-25 14:06:40;24409;2019,/, http[HTTP] 14:06:43;59.56.125.206;2873;.Default;;;00-00-00-00-00-00;last-dragon.com;80;2006-07-25 14:06:38;2006-07-25 14:06:43;9456;2019,/index.php, http[HTTP] 14:06:43;60.17.60.228;4582;.Default;;;00-00-00-00-00-00;www.clickingagent.com;80;2006-07-25 14:06:43;2006-07-25 14:06:43;158;2019,/proxycheck.php, http[HTTP] 14:06:46;60.17.60.228;4700;.Default;;;00-00-00-00-00-00;image2.sina.com.cn;80;2006-07-25 14:06:46;2006-07-25 14:06:46;0;2004, /pfp/ask/images/cooperate/iask56x26.gif, from cache, http[HTTP] 14:07:05;60.17.60.228;4809;.Default;;;00-00-00-00-00-00;www.iask.com;80;2006-07-25 14:06:48;2006-07-25 14:07:05;22871;2019,/w, http[HTTP] 14:07:11;60.17.60.228;1499;.Default;;;00-00-00-00-00-00;searchclick.sina.com.cn;80;2006-07-25 14:07:10;2006-07-25 14:07:11;353;2019,/cgi-bin/SearchRedirect.cgi, http[HTTP] 14:08:03;211.90.241.120;2021;.Default;;;00-00-00-00-00-00;211.90.241.120;80;2006-07-25 14:08:02;2006-07-25 14:08:03;786;2019,/prx.php, http[HTTP] 14:09:10;211.90.241.120;3537;.Default;;;00-00-00-00-00-00;211.90.241.120;80;2006-07-25 14:09:09;2006-07-25 14:09:10;786;2019,/prx.php, http[HTTP] en dit is de HiJackThis log van dit moment: Logfile of HijackThis v1.99.1 Scan saved at 2:16:31 PM, on 25/07/2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\Program Files\Common Files\Symantec Shared\ccProxy.exe C:\Program Files\Norton Internet Security\ISSVC.exe C:\WINNT\system32\svchost.exe C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\WINNT\system32\crypserv.exe C:\WINNT\System32\svchost.exe C:\Program Files\ezProxy\ezEngine.exe C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system\hplampc.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Microsoft Hardware\Keyboard\type32.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\Program Files\Dynalink\Adsl\dslstat.exe C:\Program Files\Dynalink\Adsl\dslagent.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\WINNT\system32\internat.exe C:\PROGRA~1\INTERN~2\mum.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\DGDR Hermes\DGDR Hermes.exe C:\Program Files\MightyFax\MFNTCTL.EXE C:\Program Files\FireTrust\MailWasher Pro\MailWasher.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Common Files\Symantec Shared\AdBlocking\NSMdtr.exe C:\hj\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://bluegum5/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://telstra.com O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AtiPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Dynalink\Adsl\dslstat.exe icon O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Dynalink\Adsl\dslagent.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [TClockEx] C:\Program Files\TClockEx\TCLOCKEX.EXE O4 - HKCU\..\Run: [InternodeUsage] C:\PROGRA~1\INTERN~2\mum.exe O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1 O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Hermes Messenger.lnk = C:\Program Files\DGDR Hermes\DGDR Hermes.exe O4 - Global Startup: Internode.lnk = ? O4 - Global Startup: MightyFAX Controller.lnk = C:\Program Files\MightyFax\MFNTCTL.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O14 - IERESET.INF: START_PAGE_URL=http://telstra.com O16 - DPF: {01010E00-5E80-11D8-9E86-0007E96C65AE} (SupportSoft SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab O16 - DPF: {01012101-5E80-11D8-9E86-0007E96C65AE} (SupportSoft Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021205/qtinstall.info.apple.com/drakken/us/win/QuickTimeInstaller.exe O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A0068F69-65EB-4034-9455-1AAA85E80C4A}: NameServer = 192.231.203.132 192.231.203.3 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = vic.bigpond.net.au O17 - HKLM\System\CS1\Services\VxD\MSTCP: SearchList = vic.bigpond.net.au O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = vic.bigpond.net.au O17 - HKLM\System\CS2\Services\VxD\MSTCP: SearchList = vic.bigpond.net.au O17 - HKLM\System\CCS\Services\VxD\MSTCP: SearchList = vic.bigpond.net.au O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = vic.bigpond.net.au O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINNT\SYSTEM32\crypserv.exe O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: ezProxy - Unknown owner - C:\Program Files\ezProxy\ezEngine.exe O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: ShareMail - Unknown owner - C:\Program Files\LavaSoft\ShareMail\ShareMail.exe (file missing) O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe Suggesties? Help!
  • Nog even een toevoeging: ik heb een dynamisch IP-adres. Dus het lijkt me dat al die muk getriggerd wordt door een programmaatje op mijn Internetserver... Marcel
  • a) haal je server onmiddelijk offline. Jouw server is gecompromiteerd en je hebt er niet langer de complete controle over. Je bent wél volledig verantwoordelijk voor de bagger die het over de digi-wereld uitstort! b) Win-OS is niet geschikt als serverplatform, het is "broken by design" :-? Stap over op Unix of Linux. Informeer je verder op http://www.linux.org/
  • Helaas, beide suggesties zijn geen reële opties voor mij... Marcel
  • Windows 2003 server? Maar als ie is gecompromitteerd, inderdaad meteen offline halen en opnieuw installeren c.q. je backup terugzetten. Voorzover mogelijk wel uitzoeken hoe je server besmet is geraakt. En kijken of je daar iets tegen kunt doen. Dit om herhaling te voorkomen.
  • Nee, dat is het niet: Platform: Windows 2000 SP4 (WinNT 5.00.2195) (zie de HiJackThis log) Deze PC wordt gebruikt als verbinding naar het internet. Alle andere PCs in het network (Windows workgroup, niet een domain netwerk) gebruiken deze PC.
  • Het was een suggestie om het te gaan gebruiken. Als je de computer als router, webserver etc. gebruikt, zou ik toch eens naar iets als clarkconnect kijken.
  • [quote:18a891080d="Xpoes"]Helaas, beide suggesties zijn geen reële opties voor mij... [/quote:18a891080d] Je wacht liever op de autoriteit die je komt vertellen dat je kinderprono aan het verspreiden bent? Ik hoop bovendien dat je -met een dergelijke halsstarrige houding- zelf gebombardeerd wordt met spam en virii door gelijkgestemden. En dan nog eens nadenken of je een gecompromitteerde server al dan niet afkoppelen moet...
  • Klein vraagje: Hoe zien jullie dat de server gecompromitteerd is ? ? ?
  • [quote:ae2da9589a="Xpoes"]Helaas, beide suggesties zijn geen reële opties voor mij... Marcel[/quote:ae2da9589a] en ondertussen maar blijven spammen zeker of heet je toevallig Martijn Bevelander (spamkoning) en is het je werk ?
  • Deze posting komt vanaf mijn stand-alone laptop... En voor alle duidelijkheid, ik probeer vragen te stellen die mijn probleem oplossen, niet om meer spam de wereld in te helpen. Wellicht dat ik me wat ongelukkig uitdruk, dat komt omdat ik een programmeur ben, niet een full-time systeembeheerder. Ik heb een paar vragen, maar eerst even een beschrijving van mijn netwerk. Het netwerk bestaat uit 4 PCs, eentje via welke alle andere PCs naar het internet gaan, eentje om alle bestanden op te slaan en twee waar mijn eega en ik op werken. De software waar wij mee werken draait alleen onder Windows, niet onder Linux. 3 van de 4 PCs draaien onder W2K, en de vierde heeft XP geinstalleerd. 3 PCs hebben Norton AV erop, en de Internet PC is uitgerust Norton Internet Security. De Internet PC heeft een proxy-programma, waardoor de andere drie PCs met het Internet in verbinding staan (EzProxy). Ik ben van plan om al mijn PCs opnieuw te gaan installeren. Het kan zijn dat de Internet PC wat opgelopen heeft, maar het kan net zo goed een andere PC in het netwerk zijn. Zeker weten doe ik het niet. Voor ik daar aan begin graag wat (opbouwend) commentaar. 1. Ik gebruik nu Norton Internet Security. Is een softwarematige firewall slechter dan een hardwarematige? Is iedere firewall zo goed als wat je er zelf doorheen laat komen, of ligt dat anders? Ik bedoel, dat ik bij de meeste programma's van Norton specifiek toestemming moet geven of ze het Internet op mogen, is dat bij een router anders? 2. Als er een router zou komen, heb ik dan nog een speciale Internetcomputer nodig? 3. Als er een speciale Internet PC nodig is, kan ik die dan onder Linux laten draaien en de rest onder Windows, en toch 1 netwerk hebben? 4. Als de Internet PC onder Linux zou draaien, zou deze PC dan niet mneer gebruikt kunnen worden voor het doorsluisen van allerlei troep? 5. Als er geen Internet PC meer nodig is, is een Windows for Workgroups netwerk dan goed genoeg, of moet het echt een domain wezen, met W2003-server? Marcel
  • 1. Ik zou liever een andere firewall gebruiken. NIS is niet zo geweldig. Kijk eens naar Kerio. Een hardware firewall helpt wel wat, maar is toch duidelijk beperkt in zijn mogelijkheden. 2. Nee 3. Ja 4. Niet zonder meer. Maar hij is wel een stuk veiliger. 5. Je kunt een netwerk zowel met als zonder dedicated server draaien. Met slechts 2 gebruikers is een aparte server een beetje overkill. Maar je kunt wel centraal backuppen. Werk je beide aan dezelfde bestanden, dan is er ook minder risico op verschillende versies. Je kunt, als je toch een linux pc inricht, ook samba gebruiken.
  • [quote:a29d306b59="Xpoes"]Deze posting komt vanaf mijn stand-alone laptop... En voor alle duidelijkheid, ik probeer vragen te stellen die mijn probleem oplossen, niet om meer spam de wereld in te helpen. Wellicht dat ik me wat ongelukkig uitdruk, dat komt omdat ik een programmeur ben, niet een full-time systeembeheerder Marcel[/quote:a29d306b59] euh tjah sorry, misschien was het de warmte wel die voor zo'n felle reaktie zorgde :lol:
  • Dank voor beide reakties. Nog een vraag (ik weet helemaal niets van Linux): waar kan ik het best beginnen op het web, om mijn probleem te tackelen. Ik denk er dan over om op de Internet PC Linux te zetten, met de rest zoals het nu is (wel met een re-install van alle PCs, natuurlijk). En wat voor firewall heb ik daarbij nodig? Marcel

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.