Vraag & Antwoord

Beveiliging & privacy

Traag systeem door niet afrondende TCP verbinding?

Anoniem
[DarthV]
11 antwoorden
  • Lekkere title, maargoed :P

    Ik zit hier achter een systeem dat af en toe een halve minuut totaal vast zit. Aangezien dit niet het geval was zonder netwerkverbinding, heb ik gekeken welke verbindingen er gemaakt worden, en het lijkt samen te hangen met een TCP verbinding naar 83.138.187.18:445 . Dit adres hoort bij een bij mij onbekend bedrijf in Groot-Brittannie.

    Aangezien deze verbinding in syn_sent blijft staan, wordt de request duidelijk niet beantwoord, waardoor op een gegeven moment een timeout volgt; deze timeout zorgt er dan voor dat ik weer gewoon kan werken :)

    De verbinding wordt opgezet door process System, en wordt o.a. opgezet bij het starten van winword.

    Natuurlijk een hjt-logje gemaakt, maar ik kon er niet veel in vinden, behalve O4 - HKCU\..\Run: [HXIUL.EXE] C:\Program Files\Alset\HelpExpress\HXIUL.EXE - maar dit bestand bestaat helemaal niet :/ (natuurlijk ook een goede reden om hem te fixxen, maar dan nog, en ja, ik heb verborgen bestanden ed weergegeven)

    logje:
    [quote:2580be10e7]Logfile of HijackThis v1.99.1
    Scan saved at 16:40:52, on 5-4-2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\System32\Ati2evxx.exe
    C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
    C:\PROGRA~1\Compaq\COMPAQ~2\hibserv.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\System32\mspmspsv.exe
    C:\WINNT\system32\svchost.exe
    C:\Program Files\Network Associates\VirusScan\VsStat.exe
    C:\Program Files\Network Associates\VirusScan\Vshwin32.exe
    C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
    C:\Program Files\Network Associates\VirusScan\Webscanx.exe
    C:\Program Files\Network Associates\VirusScan\Avconsol.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\system32\atiptaxx.exe
    C:\Program Files\Compaq\HotKey Software\hkss.exe
    C:\Program Files\Compaq\Compaq EAB Software\cpqek.exe
    C:\WINNT\system32\ltmsg.exe
    C:\Program Files\Hewlett-Packard\HP OfficeJet Series 600 NT\Bin\HPOstr05.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Program Files\SMC\SMC2835W 54 Mbps WLAN Utility\SMCUTIL.exe
    C:\Program Files\Hewlett-Packard\HP OfficeJet Series 600 NT\bin\HPOVDX05.EXE
    C:\WINNT\system32\hpoipm07.exe
    C:\PROGRA~1\WINZIP\winzip32.exe
    C:\MozillaFirebird\MozillaFirebird.exe
    C:\Documents and Settings\hansje\Bureaublad\hjt\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O1 - Hosts file is located at: C:\WINNT\System32\drivers\etc\hosts
    O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [hkss] C:\Program Files\Compaq\HotKey Software\hkss.exe
    O4 - HKLM\..\Run: [cpqek] C:\Program Files\Compaq\Compaq EAB Software\cpqek.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
    O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
    O4 - HKLM\..\Run: [3COMMonitor] C:\Program Files\3Com\3Com Wireless Card Manager\Monitor.exe
    O4 - HKCU\..\Run: [HXIUL.EXE] C:\Program Files\Alset\HelpExpress\HXIUL.EXE
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: HP OfficeJet Series 600 Opstartmenu.lnk = C:\Program Files\Hewlett-Packard\HP OfficeJet Series 600 NT\Bin\HPOstr05.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O4 - Global Startup: SMC2835W 54 Mbps WLAN Utility.lnk = C:\Program Files\SMC\SMC2835W 54 Mbps WLAN Utility\SMCUTIL.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
    O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
    O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: Hibernation - Unknown owner - C:\PROGRA~1\Compaq\COMPAQ~2\hibserv.exe
    O23 - Service: McShield - Unknown owner - C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
    O23 - Service: PSEXESVC - Sysinternals - C:\WINNT\System32\PSEXESVC.EXE
    [/quote:2580be10e7]

    tsja, verder ook nog geen methode gevonden om een specifiek IP-adres de verbinding te weigeren, en ik ga maar niet meer kloten met mn router, heb hem net ook al bijna over de kop gekregen :P
  • [quote:be57407cd4]maar ik kon er niet veel in vinden, behalve O4 - HKCU\..\Run: [HXIUL.EXE] C:\Program Files\Alset\HelpExpress\HXIUL.EXE[/quote:be57407cd4]Het is inderdaad spyware, maar niet als "running process" aanwezig dus het bestand kan evengoed al verwijderd zijn.
    [quote:be57407cd4]Help Express is likely spyware and as such, presents a serious vulnerability which should be fixed immediately! Delaying the removal of hxiul.exe may cause serious harm to your system and will likely cause a number of problems, such as slow performance, loss of data or leaking private information.[/quote:be57407cd4]Meer info:

    http://www.auditmypc.com/process/hxiul.asp

    Daarnaast vindt ik deze:
    [b:be57407cd4]O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm [/b:be57407cd4]

    Dat is Alexa en die wordt o.a. door Ad-Aware wel aangezien als spyware, maar of het dat ook echt is daarover zijn de meningen verdeeld.

    Zie ook:

    http://www.imilly.com/alexa.htm
  • Gefixxed, maar geen verbetering, ook niet na reboot.

    Toen ik die file echter in killbox invoerde voor een "delete on reboot", werd deze registry entry gewist door een ander proces :/
  • [quote:0122524999="webspider"]Gefixxed, maar geen verbetering, ook niet na reboot.

    Toen ik die file echter in killbox invoerde voor een "delete on reboot", werd deze registry entry gewist door een ander proces :/[/quote:0122524999]Heb je dit ook al in "veilige modus" geprobeerd?
    [quote:0122524999]Aangezien dit niet het geval was zonder netwerkverbinding, heb ik gekeken welke verbindingen er gemaakt worden, en het lijkt samen te hangen met een TCP verbinding naar 83.138.187.18:445 . Dit adres hoort bij een bij mij onbekend bedrijf in Groot-Brittannie.[/quote:0122524999]Het bestand hosts zou ook gewijzigd kunnen zijn:
    [b:0122524999]C:\WINNT\System32\drivers\etc\hosts[/b:0122524999]

    Zoek het bestand eens op met de verkenner, open het daarna met kladblok en post de inhoud hier.
  • Nee, hosts is niet gewijzigd. En ja, ik weet echt wel wat hosts doet :P

    Ten eerste zouden zowel TCPDump als ping -a zouden dan ook gewoon aan moeten geven welk adres het om gaat, ten tweede heeft hijackthis tegenwoordig ook een mooie hosts. optie en is het bestand niet veranderd.

    Veilige modus zal ik nog even proberen…
  • Unistall kan soms ook via: Configuratiescherm–>Software–>Installeren en verwijderen

    Kijk of HelpExpress daar staat en dan verwijderen

    als dit niet lukt: http://www.2-spyware.com/remove-helpexpress.html
  • Wat ik nog even mis is het feit of de spyware nou verbinding maakt met die server ?? Want in eerste instantie lijkt het mij meer dat de pc gebruikt wordt als bot voor een denial of service aanval ook gekeken naar de processor belasting… :

    http://www.vnunet.com/news/1131065

    Kijk ook eens met tcpview van sysinternals om te zien welk proces de verbinding maakt:

    http://www.sysinternals.com/ntw2k/source/tcpview.shtml

    Ook zou je eens met ethereal kunnen kijken die vind ik zelf wel makkelijk werken. http://www.ethereal.com/

    Probeer eens een remote portscan op jezelf via http://www.grc.com misschien staan er bij jezelf ook een aantal poorten open ?

    Grt
  • Jahoor, een DDOS met één verbinding.. geloof je het zelf?

    Verder, zoals ook in de startpost staat:
    [quote:95015505b0]De verbinding wordt opgezet door process System, en wordt o.a. opgezet bij het starten van winword.[/quote:95015505b0]

    en ja, er staan een aantal poorten open, nogal obvious, ik draai hier een aantal servers. Er zijn echter geen poorten gemapt naar die laptop…



    EDIT:
    probleem is opgelost.
    In de HJT log stonden ook enkele entry's die ik hier om veiligheidsredenen niet gepost heb (bedrijfsnaam + username geef ik IMO te veel info mee weg). Deze entry's waren echter toch het probleem - het bedrijfsdomein is bedrijf.nl, deze waren bedrijf.net - vandaar dat ze me niet opvielen. bedrijf.net was echter gekaapt; de rest kan je zelf wel bedenken :)

    O17 tcp/ip defaultdomain entry's zijn vervelend…

    Ik houd het er tot nu doe nog even op dat de systeembeheerder van dat bedrijf aan het slapen is geweest en dat er nog geen spyware is die zó slim is :P
  • [quote:200e0ef207]Jahoor, een DDOS met één verbinding.. geloof je het zelf?[/quote:200e0ef207]

    Oh ja had ik moeten weten he er zijn zoveel programma's die een outgoing verbinding met een poort 445 maken :roll: genoeg wormen die eerst checken op een SYN/ACK voordat ze verder gaan met sturen. Of menig virus/worm die zich op deze manier vermenigvuldigd etc en die kunnen vanuit system opgestart worden.

    [quote:200e0ef207]en ja, er staan een aantal poorten open, nogal obvious, ik draai hier een aantal servers.[/quote:200e0ef207]

    Het zou kunnen dat je ergens mee besmet was…en aangezien je de router ook bijna over de kop had gekregen is het te hopen dat je de servers wel een beetje redelijk geconfigureerd krijgt


    :wink:
  • [quote:503a13ce43="[DarthV]"]genoeg wormen die eerst checken op een SYN/ACK[/quote:503a13ce43]
    Ze zullen wel moeten, dat is het begin van een TCP/IP connection…

    [quote:503a13ce43]en aangezien je de router ook bijna over de kop had gekregen[/quote:503a13ce43]
    Gekraakte speedtouch home hé? :P (die dingen zijn instabiel als de pest als je dingen verandert, en erg goed gedocumenteerd zij ze ook al niet)

    [quote:503a13ce43]is het te hopen dat je de servers wel een beetje redelijk geconfigureerd krijgt[/quote:503a13ce43]
    ..
    dank je :roll:



    uit mijn startpost:
    [quote:503a13ce43] met een TCP verbinding naar 83.138.187.18:445[/quote:503a13ce43]
    dat impliceert toch dat het niet om een grote hoeveelheid verbindingen gaat ;)
  • [quote:6805cdbe1b="webspider"]probleem is opgelost.
    In de HJT log stonden ook enkele entry's die ik hier om veiligheidsredenen niet gepost heb (bedrijfsnaam + username geef ik IMO te veel info mee weg). Deze entry's waren echter toch het probleem[/quote:6805cdbe1b]We kunnen hier veel zien in een HijackThis log, maar helderziend zijn we (gelukkig) nog steeds niet :lol:

    In ieder geval ben ik blij dat je het probleem gevonden hebt :wink:

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.