IE9 en WMP12 blijven 20 sec hangen na opstarten.

[stuffie]

Beste Computerexperts,

Ik heb een probleem met twee van mijn computers. Allebei draaien ze een up-to-date Windows 7, de ene 32 bit en de ander 64 bit. Ze hebben allebei het volgende probleem:

Als ik Internet Explorer 9 of Windows Media Player 12 start, dan komt het venster en kan ik 20 seconden niks met dit programma doen. Daarna werkt alles perfect. Firefox heeft dit probleem niet. Nu ben ik al een paar dagen aan het pielen en het volgende geprobeerd:

1. IE9 opgestart met alle add-ons uitgeschakeld: geen effect
2. Windows gestart zonder third-party software (via msconfig): geen effect
3. Full system scan met Avira: helemaal niets gevonden
4. Mallwarebytes full system scan: niets gevonden.

Daarna ben ik met ProcMon gaan zoeken en heb misschien iets gevonden. Tijdens het 'hangen' probeert zowel IE9 als WMP12 verbinding te maken met europe.dsnexgen.com. Volgens mij hoort dat niet.

Logging van ProcMon voor IE9:

18:57:33,7242301	iexplore.exe	5396	TCP Connect	stuffie:49324 -> europe.dsnexgen.com:http	SUCCESS	Length: 0, mss: 1212, sackopt: 0, tsopt: 0, wsopt: 0, rcvwin: 65448, rcvwinscale: 0, sndwinscale: 0, seqnum: 0, connid: 0
18:57:34,0244623	iexplore.exe	5396	TCP Retransmit	stuffie:49324 -> europe.dsnexgen.com:http	SUCCESS	Length: 0, seqnum: 0, connid: 0
18:57:34,6244897	iexplore.exe	5396	TCP Retransmit	stuffie:49324 -> europe.dsnexgen.com:http	SUCCESS	Length: 0, seqnum: 0, connid: 0
18:57:35,8245413	iexplore.exe	5396	TCP Retransmit	stuffie:49324 -> europe.dsnexgen.com:http	SUCCESS	Length: 0, seqnum: 0, connid: 0
18:57:37,0245950	iexplore.exe	5396	TCP Retransmit	stuffie:49324 -> europe.dsnexgen.com:http	SUCCESS	Length: 0, seqnum: 0, connid: 0
18:57:38,2246470	iexplore.exe	5396	TCP Retransmit	stuffie:49324 -> europe.dsnexgen.com:http	SUCCESS	Length: 0, seqnum: 0, connid: 0
18:57:40,6247499	iexplore.exe	5396	TCP Retransmit	stuffie:49324 -> europe.dsnexgen.com:http	SUCCESS	Length: 0, seqnum: 0, connid: 0
18:57:45,4249619	iexplore.exe	5396	TCP Retransmit	stuffie:49324 -> europe.dsnexgen.com:http	SUCCESS	Length: 0, seqnum: 0, connid: 0
18:57:55,0254132	iexplore.exe	5396	TCP Receive	stuffie:49324 -> europe.dsnexgen.com:http	SUCCESS	Length: 0, seqnum: 0, connid: 0
18:57:55,0254615	iexplore.exe	5396	TCP Disconnect	stuffie:49324 -> europe.dsnexgen.com:http	SUCCESS	Length: 0, seqnum: 0, connid: 0

Logging van ProcMon voor WMP12:

18:53:49,9136708	wmplayer.exe	4112	TCP Connect	stuffie:49227 -> europe.dsnexgen.com:http	SUCCESS	Length: 0, mss: 1212, sackopt: 0, tsopt: 0, wsopt: 0, rcvwin: 65448, rcvwinscale: 0, sndwinscale: 0, seqnum: 0, connid: 0
18:53:50,2129104	wmplayer.exe	4112	TCP Retransmit	stuffie:49227 -> europe.dsnexgen.com:http	SUCCESS	Length: 0, seqnum: 0, connid: 0
18:53:50,8129537	wmplayer.exe	4112	TCP Retransmit	stuffie:49227 -> europe.dsnexgen.com:http	SUCCESS	Length: 0, seqnum: 0, connid: 0
18:53:52,0129850	wmplayer.exe	4112	TCP Retransmit	stuffie:49227 -> europe.dsnexgen.com:http	SUCCESS	Length: 0, seqnum: 0, connid: 0
18:53:54,4150916	wmplayer.exe	4112	TCP Retransmit	stuffie:49227 -> europe.dsnexgen.com:http	SUCCESS	Length: 0, seqnum: 0, connid: 0
18:53:59,2083001	wmplayer.exe	4112	TCP Retransmit	stuffie:49227 -> europe.dsnexgen.com:http	SUCCESS	Length: 0, seqnum: 0, connid: 0
18:54:08,8147676	wmplayer.exe	4112	TCP Receive	stuffie:49227 -> europe.dsnexgen.com:http	SUCCESS	Length: 0, seqnum: 0, connid: 0
18:54:08,8148510	wmplayer.exe	4112	TCP Disconnect	stuffie:49227 -> europe.dsnexgen.com:http	SUCCESS	Length: 0, seqnum: 0, connid: 0

Ik heb gegoogled, maar kan niks vinden. Nu weet ik niet hoe ik verder moet, aangezien zowel Avira als Malwarebytes niets kunnen vinden. Ik vermoed toch een virus.

Iemand een idee?

 

[coenraad]

Gooi IE9 eraf.
Dat doe je via je configuratiescherm, progamma's etc.
Klik de windows updates aan en deinstalleer IE9.
Dan krijg je automatisch IE8 weer terug.
Je zult zien dat je problemen over zijn.
IE9 heeft nog enkele bugs.

 

[dnties]

Als ik de gegevens op deze link mag geloven is het een 'verzamelserver' van verschillende webservers. Zie dat daar een hoop .nl domeinennamen bij staan. Ik heb het zelf gecheckt, en een hoop van die informatie lijkt te kloppen (dus dat die genoemde www-domeinnamen inderdaad verwijzen naar europe.dsnexgen.com (208.73.214.9)).
Ik verwacht dus dat jij in WMPlayer of in IE expliciet of impliciet iets ophaalt bij (een van) die webservers

EDIT: Schrijffoutje verbeterd. Geen inhoudelijke wijziging.

Tijs.

 

[CB01]

Gooi IE9 eraf.
Dat doe je via je configuratiescherm, progamma's etc.
Klik de windows updates aan en deinstalleer IE9.
Dan krijg je automatisch IE8 weer terug.
Je zult zien dat je problemen over zijn.
IE9 heeft nog enkele bugs.

IE9 is inderdaad geen succes op dit moment. Heb daar ook last van gehad en heb de update verwijderd.

 

[stuffie]

En Windows Media Player dan?

 

[dnties]

Ik ben het met stuffie eens dat problemen met IE9 niet verklaren waarom WMPlayer met dezelfde webserver verbinding legt.

@stuffie: Kijk eerst eens mijn posting na (posting #3). Je hebt daar nog helemaal niet op gereageerd!

Tijs.

 

[CB01]

Van Media Player zou ik je het niet kunnen vertellen. Heb daar geen problemen mee kunnen constateren. Ik gebruik die ook veel te weinig. Ben blij met VLC Player.

Maar je kunt ook de update van media Player verwijderen om het effect te testen.

 

[stuffie]

@dnties: ik heb niet gereageerd, omdat ik je posting niet begrijp. Je link verwijst naar www.ond-films.nl en je hebt het over europe.nexgen.com, maar ik had het over europe.dsnexgen.com. Ik krijg daar geen gegevens over. DNS geeft niet eens een IP-adres terug. Als ik google op dsnexgen.com, dan krijg ik hits over malware, maar ik kan geen malware vinden.

Ik kan me trouwens ook niet voorstellen dat dit een probleem met IE9 en/of WMP12 is en maar moet worden opgelost door een andere browser en media player te gebruiken.

 

[dnties]

Dat ik in mijn posting (per ongeluk: schrijffout) schreef europe.nexgen.com doet niets af aan de link die ik gaf, waar wél gewoon informatie staat over europe.dsnexgen.com.
Ik heb het wel verbeterd nu. Dus graag even volgen/lezen waar ik het over had in posting #3.

Tijs.

 

[dnties]

[...]Ik krijg daar geen gegevens over. DNS geeft niet eens een IP-adres terug.[...]

Dat is omdat het een reverse DNS adres betreft. Per slot is jouw logging programma alleen een ip-adres bekend. Hieruit wordt een DNS-naam afgeleid in jouw logjes, en dat is de reverse DNS-entry.
Technisch is er geen verplichting dat er een forward DNS-entry bestaat voor hetgeen met reverse DNS als naam gevonden is. In dit concrete geval betekent het dat europe.dsnexgen.com niet resolvet naar een ip-adres.

Mocht je geïnteresseerd zijn hoe je zelf reverse DNS kunt opvragen:
[Windows-toets]r toetscombinatie -> cmd /k nslookup -type=ptr 208.73.214.9

Tijs.

 

[Driesiooo]

De site staat inderdaad gemeld als gebruikt voor geïnfecteerde doeleinden.

Doe de ESET online scan (Klik).

• Klik op de knop ESET Online Scanner
• Zet een vinkje bij YES, I accept the Terms of Use
• Klik op Start
• Sta het ActiveX control toe om te installeren.
• Klik op "Advanced settings"
• Zet een vinkje bij de volgende opties:
  • Remove found threats
  • Scan archives
  • Scan for potentially unwanted applications
  • Scan for potentially unsafe applications
  • Enable Anti-Stealth technology
• Klik op Start
• De computer wordt nu gescand. Dit kan best lang duren, heb dus geduld.
• Je mag het venster sluiten wanneer de scan klaar is.
• Gebruik Kladblok om het logje te openen. Dit logje vind je in de lokatie C:\Program Files\EsetOnlineScanner\log.txt
• Kopieer en plak de inhoud van dit logje in je volgende bericht.

 

[dnties]

Uitstekend dat Driesiooo verwijst naar een extra scan, maar zoals stuffie al aangaf hebben checks via anti-virus en MBAM geen infecties gevonden. Tevens gaf ik door dat het ip-adres europe.dsnexgen.com (=208.73.214.9) door een heleboel websites wordt gebruikt, waaronder veel nederlandse websites.

Blijft dus (naast de extra scan zoals aangegeven door Driesiooo) over dat stuffie eens duidelijk maakt op welke website hij (op het moment van loggen) aan het kijken was. Staat daar gewoon één of ander onschuldig filmpje op de site dat met WMPlayer (in zijn browser) wordt afgespeeld, dan is er hoogstwaarschijnlijk helemaal geen malware aan de hand. Het zou dan gewoon kunnen zijn dat het af te spelen filmpje wordt gecached/gedownload op dat moment, en daarmee de vertraging van een aantal seconden verklaart.

Natuurlijk is het een andere situatie als altijd verbinding wordt gelegd met europe.dsnexgen.com, onafhankelijk van welke webpagina er bekeken wordt. In dat geval moet er inderdaad iets aan de hand zijn, zoals een (ongewenste) proxy-instelling in de webbrowser die alles omleidt via een (malware-)site die (toevallig) op het ip-adres van europe.dsnexgen.com wordt gehost.

Wat ik hiermee maar wil aangeven is dat we niet alleen van malware moeten uitgaan, maar dat het ook kan zijn dat het aan het surfgedrag van stuffie ligt dat (regelmatig) verbinding wordt gezocht met europe.dsnexgen.com (bijvoorbeeld omdat hij een .NL site bezoekt die op dat adres wordt gehost).

@Driesiooo: Mooie tip. Heb 'm zelf ook even aangeroepen.

Tijs.

 

[stuffie]

Ok dnties, ik begrijp nu wat je bedoelt. Ik ben nu nog op vakantie dus ik kan niets testen nu. Verder kan ik nog wel vertellen dat er altijd verbinding met europe.dsnexgen.com wordt gemaakt tijdens het starten. Ik heb dus geen website opgevraagd en startpagina is blank. Ook treedt het probleem op als alle add-ons zijn uitgeschakeld. Dus ik klik op IE, het venster verschijnt, kan 20 seconden niets met IE doen en daarna werkt alles ok. Precies hetzelfde met WMP.

 

[dnties]

@stuffie: In dat geval zou ik ook malware vermoeden, zoals Driesiooo. Doe zijn scan, doe ook een scan met SuperAntiSpyware Portable Edt.. Check of het gedrag er dan nog steeds is. Indien ja, post daarna eens in Nucia.eu website (instructies: hier. Forumsectie waarin je de gevraagde informatie post: hier. Maak een nieuw Nucia forum-account aan, zodat je de vraag ook posten kunt.)

Succes,

Tijs.

 

[stuffie]

ok, ga ik doen, als ik weer thuis ben...

 

[stuffie]

Nou breekt mijn klomp. Ik kom thuis en alles werkt weer perfect, op beide computers. Er wordt helemaal geen verbinding meer gemaakt met genoemd IP-adres. terwijl ik voor de vakantie dagen bezig ben geweest.

:shocked:

Het enige dat ik kan bedenken is een Avira update. Dat is wat allebei de computers nog even snel na het starten hebben gedaan. Wat zou het anders kunnen zijn?

Ik kijk het nog even aan, maar ik ben bang dat al het onderzoek voor niets is geweest. Natuurlijk toch bedankt voor alle hulp.