Helpmij door mij geblokt????

[saldos]

Hallo Elisa,
Ring Zero is een trojan die informatie geeft aan www.rusftpsearch.net (die niet meer bestaat) over mensen die een proxy gebruiken.
Ik neem aan dat je een proxy gebruikt, en dat is ook de reden dat poort 8080 open staat.
Maar de firewall had poort 8080 moeten sluiten.

Ik geloof niet dat je daadwerkelijk een trojan hebt tenzij je deze bestanden heb, dan zou je wel besmet moeten zijn:

TELNET23.EXE
EXPLUPD.EXE
PCT.EXE
ITS.EXE
RING0.VXD
A.EXE

in C: \Windows\System (of system32)\ of in je de Run sleutels in de registry in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Wat ik in iedere geval zou doen is die rule verwijderen die je hebt gemaakt in je firewall.

Sterker nog: verwijder je firewall en installeer hem opnieuw en kijk dan of er nog steeds een poort open staat daarna.

{Off topic} bedankt voor alles. Ik zal je niet vergeten.

 

[Elisa]

Ho ho ho, niet zo snel
Als je het over firewall hebt bedoel je dan die van de router? Norton heb ik er alleen op staan voor controle op binnenverkeer maar voor het verkeer van buitenaf is het niet noodzakelijk. Of zie ik dat verkeerd?
Ik had vandaag visite. Mijn plan was al om te kijken by Sygate of er stond " wordt gebruikt door Trojan Ring Zero".
Alles wat jij noemde staat niet op mijn pc. Gelukkig. "Run" ziet er keurig uit en Symantec voert de boventoon

Welke rule moet ik verwijderen? Ik neem aan dat het Norton is maar is de router niet de boosdoener? Hoe kan Sygate me anders verwelkomen met mijn IP?

P.S. Ik zit niet achter een proxy.

 

[nteusink]

Mijn theorieen nog even

Over poort 8080, tenzij dat je deze poort specifiek hebt doorgezet met port redirection op je router (of de DMZ host optie aan hebt staan), is er kans dat deze open staat op de router zelf. Heb je "Allow management from the Internet" soms aanstaan? Zie:

http://www.draytek.nl/router/v2x00.php?type=2200e&fw=2.00a&show=acontrol.sht

Je kan ook met het commando netstat -an kijken welke poorten er luisteren op je pc.

Dit zou duiden op een open poort 8080 op je pc (ip adressen kunnen verschillen):

C:\Documents and Settings\Niels>netstat -an
(...)
  TCP    0.0.0.0:8080           0.0.0.0:0              Bezig met luisteren
(...)

Over die poort 1167, heb je toenvallig een regel in je firewall staan welke verkeer met die poort blokkeert? Waarschijnlijk is het gewoon toeval dat je browser die poort heeft gekozen als source poort, en je firewall het verkeer toen geblokkeerd heeft. Waarschijnlijk heb je de pagina even gerefreshed, waardoor IE een andere poort koos en je gewoon weer op helpmij kon.

Je ip adres zal de website/host aan de andere kant altijd kunnen zien, hij moet immers weten naar wie hij responses moet terugsturen , heeft hij je ip adres niet, dan kan hij niet met je communiceren. firewalls beschermen je hier niet tegen omdat je internet dan niet meer zou werken. De enige manier om je ip af te schermen is door een proxy server te gebruiken, dan verloopt alle communicatie dus via de proxy en is er geen direct contact tussen jouw pc en de webserver.

 

[Elisa]

Wat het laatste betreft, het staat er duidelijk onder. This is the public IP address that is visible to the internet. Note: this may not be your IP address if you are connecting through a router, proxy or firewall.
En dat doe ik dus wel

Ja, die poort 1167 heb ik geblokt. Is het dus zo dat een browser niet altijd dezelfde poort neemt? Dat wist ik niet. Het was ook zo'n rare gewaarwording

Netstat -an liet me erg veel luisterende poorten zien maar geen 8080. Vanmorgen gaf Sygate me trouwens weer dezelfde uitslag.
Symantec daarentegen gaf 1723 op en ging niet zo hoog in nummers controleren. Tunnelprotocol of zo. Heb ik dus maar geblokt in de hoop dat het netwerk niet helemaal naar de knoppen is

Is netstat -an een afschrift van je pc zeg maar of is het de router (aan de publieke kant) Als het de publieke kant is laat ik Sygate lekker waaien ;-)

 

[saldos]

Geplaatst door Elisa
Ho ho ho, niet zo snel
Als je het over firewall hebt bedoel je dan die van de router? Norton heb ik er alleen op staan voor controle op binnenverkeer maar voor het verkeer van buitenaf is het niet noodzakelijk. Of zie ik dat verkeerd?
Ik had vandaag visite. Mijn plan was al om te kijken by Sygate of er stond " wordt gebruikt door Trojan Ring Zero".
Alles wat jij noemde staat niet op mijn pc. Gelukkig. "Run" ziet er keurig uit en Symantec voert de boventoon
Welke rule moet ik verwijderen? Ik neem aan dat het Norton is maar is de router niet de boosdoener? Hoe kan Sygate me anders verwelkomen met mijn IP?
P.S. Ik zit niet achter een proxy.

Oke Elisa, luister.
Ik heb begrepen van je dat je niet achter een proxy zit, maar dat je wel een Norton firewall hebt.
Nu is het zo dat je in je Norton firewall een rule (een regel) hebt gemaakt. Die moet je zelf gemaakt hebben. Die rule (regel) heet "445,1167,137,138,139" (waar de rule van Norton staat kun je zien in de link die ik heb geplaatst op het eind van mijn bericht.
Die rule moet je dus verwijderen van Norton.

Wat je daarnaast moet doen is de proxy in je internet explorer uitzetten. Ik neem aan dat je internet explorer gebruikt.
Dat doe je door te gaan naar configuratiescherm-internet opties-verbindingen-lan instellingen-en zorg ervoor dat alle 4 de opties van je proxy uitstaan (zie bijlage).

Heb je dan nog steeds het probleem dat poort 8080 open is, open Norton en maar een nieuwe rule aan die poort 8080 sluit.

Zie hier hoe dan moet:

http://service1.symantec.com/SUPPOR...88256b08002fe184?OpenDocument&src=bar_sch_nam

Maar in plaats van poort 135, doe je het met poort 8080.

 

[Elisa]

Saldos,

Die rule die ik zelf gemaakt heb wil ik wel verwijderen maar wat dan? Dan loopt Windows weer in en uit op 445.
Begint Symantec te piepen dat de naam van mijn pc te zien is en voor die anderen zal ik ook wel een reden hebben gehad. Weet je zeker dat je grote vriend (de mijne is van 2003) dit aan kan? Als Norton weer begint te piepen over de naam o.i.d. dan kom ik terug hoor!!!
Die proxy staat goed. Daar kan het dus niet inzitten.
8080 heb ik natuurlijk al lang geblokt. En helemaal alleen LOL. Kleine meisje worden groot!
Sinds ik die trojan heb gehad ken ik Norton van binnen en van buiten. Maar ik moet eerlijk zeggen locale of remote poorten dat vind ik moeilijk.
Dus wat doe ik? Ik blok ze beide als ik twijfel. En dat daar nou nog wat doorheen kan komen????????
Dus als je daar nog een leuk linkje over hebt m.b.t. dit onderwerp....... :love:

Welterusten!

 

[saldos]

Elisa,
Bijna alle links gaan over de proxy server en die heb jij niet.

Gebruik je misschien een andere programma die ook webcache opslaat?
Adshield is bijvoorbeeld ook zo een programma.
Zet die eens uit en kijk of je nog steeds last ervan hebt.

Leeg ook je cookies en de temporary internet files.

Zet de privacy control in je Norton firewall ook aan en kijk of dat verschil maakt.

Hoe dan ook of je een programma hebt die webcache opslaat of niet: je Norton firewall hoort poort 8080 gewoon te sluiten.
Dus Als de Norton firewall dat niet doet, dan moet je die verwijderen en opnieuw installeren en dan met de standaard waarden van Norton opnieuw testen.

 

[nteusink]

Geplaatst door Elisa
Wat het laatste betreft, het staat er duidelijk onder. This is the public IP address that is visible to the internet. Note: this may not be your IP address if you are connecting through a router, proxy or firewall.
En dat doe ik dus wel

Daar bedoelen ze mee dat je niet je interne ip adres ziet. De computer waar je op internet heeft waarschijnlijk een 192.168.x.x adres ofzo, maar dat zie je dus niet terug op die pagina omdat je via de router internet (en omdat het geen internet ip adres is).

Netstat -an liet me erg veel luisterende poorten zien maar geen 8080. Vanmorgen gaf Sygate me trouwens weer dezelfde uitslag.
Symantec daarentegen gaf 1723 op en ging niet zo hoog in nummers controleren. Tunnelprotocol of zo. Heb ik dus maar geblokt in de hoop dat het netwerk niet helemaal naar de knoppen is

1723 is van PPTP, wat gebruikt wordt door adsl verbindingen, niets raars dus

Is netstat -an een afschrift van je pc zeg maar of is het de router (aan de publieke kant) Als het de publieke kant is laat ik Sygate lekker waaien ;-)

netstat -an is specifiek van je pc. sygate kijkt naar de publieke kant inderdaad. het is een leuke manier om er achter te komen waar de poort openstaat maar extern kijken wat erdoor komt is inderdaad betrouwbaarder.

Ik denk nog steeds dat die poort op de router zelf openstaat, en dan kan norton er erg weinig aan doen

 

[Elisa]

Dank jullie allebei voor de reactie. Ik zit op haast.
Mijn moeder wil het een en ander met me doen.
Vanavond heb ik weer tijd waarschijnlijk.
Goed?

Groetjes Elisa

 

[Elisa]

Hallo,

NTeusink, dank je wel voor je uitleg. Dat is nu duidelijk.Ik denk nog steeds dat die poort op de router zelf openstaat, en dan kan norton er erg weinig aan doen
Ik vrees dat je gelijk hebt. Daarom heb ik weer alles nagelopen.
Dms host : niet ingevuld
Allow management from the internet: niet aangevinkt
Daaronder is PING wel aangevinkt.
Ik zag wel 23 Telnet en 80 http ingevuld. Heb ik die 23 wel nodig?
IP Filter/Firewall setup gaf een default call filter en default data filter.
Redirection heb ik er 4 ingevuld maar niet actief. Geen 8080.
Bij remote acces control setup stonden 3 vinkjes bij VPN en remote setup.

Saldos, ik heb gedaan wat je zei en heb alles weer teruggedraaid van die poorten.
Vervolgens de Stealth scan gedaan by Sygate met Norton. Resultaat 8080 Stealth.
Daarna firewall uitgeschakeld. Resultaat 8080 Stealth.
De trojan-scan gaf me dit:

Het is toch om niet goed van te worden
TCP scan is goed.
Daarna ga ik naar Symantec en doe wat daar mogelijk is.

Gebruik je misschien een andere programma die ook webcache opslaat?
Bedoel je zoiets als internet explorer? Niet dat ik weet.
Wat ik zelf niet vertrouw maar nog heb is een bittorrent van Azureus. Geen idee hoe zoiets functioneert maar Norton was veel te druk als Java nog liep.

 

[saldos]

Dat is inderdaad wel vreemd elisa.
Ik heb zelf even die sygate scan gecheckt.
Met mijn firewall aan stond was dit het resultaat:

quick scan-alle poorten stealth
stealth scan- alle poorten stealth
trojan scan-alle poorten stealth
tcp scan-alle poorten stealth
udp scan alle poorten-stealth

Nu deed ik mijn firewall uit en deed ik opnieuw een scan dit was het resultaat:

quick scan-alle poorten gesloten
stealth scan-alle poorten gesloten
trojan scan-alle poorten gesloten
tcp scan-alle poorten gesloten
udp scan-alle poorten gesloten behalve deze poorten:

67,135,137,138,139,445

Maar nu komt het rare: ik deed opnieuw de udp scan zonder firewall en nu waren deze poorten open:

67,135,445

Het is vrij normaal dat deze poorten open zijn zonder firewall in windows xp.

Maar wat ik ermee wil zeggen is dat de sygate scan ook niet echt consequent is.

Het enige wat ik me kan bedenken is dat je nog een prgramma gebruikt op dat ogenblik waarin je de proxy ingevuld hebt.
Dit kunnen verschillende programma's zijn. Enkele voorbeelden zijn:
Een browser (netscape, opera, mozilla), icq, msn, realplayer etc.
Die moet je dan uitzetten en dan de scan opnieuw doen.

Het beste is dan om alt-ctrl-del te drukken en dan alle programma's sluiten die je kunt sluiten en dan de scan opniew doen en kijk dan of die poort nog steeds open staat nog steeds.

 

[Elisa]

Ik was nog met bovenstaand bericht bezig dus wie weet zie je nog iets staan.

MSN zit er op net als bij de halve wereld maar hij is nooit actief. Die andere progjes heb ik niet.
In taakbeheer zag ik:
Mailwasher mail
ePrompter mail
RoboTaskbar of Roboform. (vult formulieren in)
Verder 2 die ik nog niet goed onthou maar volgens mij wel nagekeken.Wisptis en Locator. (1e is goed, 2e niet duidelijk)
Ik kan me niet voorstellen dat hier iets in zit.Het beste is dan om alt-ctrl-del te drukken en dan alle programma's sluiten die je kunt sluiten en dan de scan opniew doen en kijk dan of die poort nog steeds open staat nog steeds.
Ja, is een goeie! Doe ik morgen.
Symantec is klaar. Alleen weer poort 1723. Toch maar weer blokken?
Niets over 8080. Vreemd.
Ik zoek nog een andere scanner morgen. Wie weet is die van Sygate wel constant in de war

Het is bedtijd.
Welterusten al weer! :thumb:

 

[Elisa]

Gisteren heb ik bovengenoemde progjes uitgeschakel en ook die Locator. Misschien heb ik ten onrecht gedacht dat het Windows was. Er is iets als RPC locator of zo.
Plotseling was de poort dicht. Het is duidelijk dat, zoals Nteusink zegt, de poort bij de router openstaat. Ook dat het zoals Saldos zegt, aan een progje ligt.
Ik heb duidelijk iemand toestemming gegeven bij Norton of er is iets anders aan de hand.
Vandaag delete ik weer, scan en zet er weer 1 progje bij. Zo kom ik er wel achter tenzij iemand het sneller weet

 

[saldos]

Geplaatst door Elisa
Gisteren heb ik bovengenoemde progjes uitgeschakel en ook die Locator. Misschien heb ik ten onrecht gedacht dat het Windows was. Er is iets als RPC locator of zo.
Plotseling was de poort dicht.

Die rpc locator is ook een windows pragramma. Het is Remote Procedure Call (RPC) Locator Service.
Het is dus een service. Die service kun je het beste op handmatig zetten in de services.

 

[Elisa]

Handmatig gestart?

 

[Bugs Bunny]

Hoi Elis,

Volgens mij kan PRC op automatic of manual gezet worden.
Wat extra info vind je hier: http://www.blackviper.com/WinXP/service411.htm

Groetjes
Bugs

 

[Elisa]

Dank je wel Bugs Bunny.
Het uitschakelen van mijn progjes bracht nu niet het gewenste resultaat dus ik loop via jouw site en Win Task alles na.
Deze is gek:
Process Information
Process File: system or system.exe
Process Name: System
Description: Net Controller 1.08 Trojan.
Company: N/A
System Process: No
Security Risk ( Virus/Trojan/Worm/Adware/Spyware ): Yes
Common Errors: N/A

Is dit nou van Windows of een trojan? Ik dacht altijd dat het Windows was.

 

[@temptation]

Dit is een trojan idd.
Je systeem is nu niet meer veilig te noemen, je kunt het beste een backup terugzetten op je boot partitie.

 

[Elisa]

Ja, ik had die informatie ook daar vandaan.

Het enige waar ik over twijfel:
Er staat alleen system in taakbeheer en geen system.exe. Bovendien krijg ik die System niet uitgeschakeld. Dus.......... Is het nou wel of niet Windows.

 

[nteusink]

Geen paniek Is een normaal proces. Kijk op een willekeurige windows xp/2000 pc en je ziet t staan.