Trojans of niet..........

Status
Niet open voor verdere reacties.
Elisa

Elisa

Inventaris
Lid geworden
5 feb 2002
Berichten
12.800
Hallo,

Sinds het ontdekken van trojan backdoor.sdbot heb ik al 3 keer geformatteerd. Volgens een tread hier moest scannen in veilige modus voldoende zijn.
Toch heb ik steeds na format vreemde dingen gezien.
B.v. 'iets' dat er uitgaat bij ongebruikte poorten. Iets met MSSQL of.
Nu zag ik weer het onderstaande in mijn log van Norton.
Eerlijk gezegd hier wordt ik nou echt paranoide van.
Wie wil me helpen?
attachment.php
 
Laatst bewerkt:
Zijn dat niet gewoon portscans vanaf het internet? Daar kan je eigenlijk weinig aan doen. Scans naar 1080 en 1243 zie je erg vaak. MSSQL 1434udp is de poort van de sql slammer worm, die zal je dus ook nog vaak tegenkomen.
 
In het log van Norton zie ik ms-sql-m (1434) met de pijl naar binnen.
En dezelfde ging naar buiten via 1027 naar ms-sql-m (1034)

Ik vraag me dan af of dit normaal is.
Zijn er andere programma's die deze poorten gebruiken?
 
Een uitgaande verbinding naar een sql server (ik neem aan dat je poort 1434 ipv 1034 bedoelt) zou je inderdaad niet verwachten...
Heb je al eens de verbinding met internet verbroken en gekeken of je toch misschien niet per ongeluk een vorm van sql server draait met:

netstat -an

(en dan kijken of je daar 1433 of 1434 ziet staan bij een poort)

Kan je anders dat gedeelte van het log posten?
 
Met netstat -an zag ik heel snel een dosschermpje voorbij fietsen maar kon niets lezen.

Heb je trouwens die site ingetikt? Beetje raar vind ik het wel als ik iets van hacken zie staan.

En wat die mogelijke typefout betreft.....toen mijn man de pc niet meer nodig had waren de vermeldingen verdwenen.
Onder services staat Symantec met pasword validation
als gestopt.
Ik let wel op wat die ms...betreft. Zag em te vaak dus die krijg je nog wel te zien. Alleen zou ik niet weten hoe ik dat in en uitgaan moet voorkomen met Norton. Zone Alarm vond ik handiger.
Je hoort nog van me. Zo langzamerhand sloopt dit me wel.
 
Geplaatst door Elisa
Met netstat -an zag ik heel snel een dosschermpje voorbij fietsen maar kon niets lezen.
Klik om te vergroten...

Voordat je nestat -an intypt elisa, typ in start uitvoeren eerst cmd. Dan netstat -an, hierdoor blijft het scherm wel in beeld.
 
Een beetje laat maar hier ben ik. Ik moet de pc delen en mijn man zit al heel opgewekt zijn boekhouding er op te zetten. :confused: Ik geloof er niet in.
Nu is Internet Explorer ook al kapot. Krijg ik een schermpje of ik iets wil downloaden van tw.msi.com.tw
Die eerste tw heb ik nooit hoeven tikken maar ik ben wel gek om iets te downloaden :) als ik de exlorer aanklik. Allemaal zulke rare dingen.
Met netstat lukte het dus wel.
Ik zie c:\documents and settings\Elisa staan.
Is dat goed?
 
En hier is de backdoor weer. Of intrepeteer ik dat nou verkeerd?
attachment.php
 
Laatst bewerkt:
Zoveel kijkers en niemand die me verder kan helpen?
Inmiddels heb ik voor de 4e keer geformatteerd.
En wat zie ik: Backoor in en uit.
attachment.php
 
Laatst bewerkt:
Nou, die backdoor is een lekkere jongen.
Is er nou echt niemand die hier mee kan helpen?
Kijk HIER en huiver :eek:
 
Dat plaatje wat je laat zien is niet van netstat, maar van Norton. Wat laat netstat -an zien?

1) Check de status van je poorten. Doe een full scan:
http://grc.com/x/ne.dll?rh1dkyd2

Zijn al je poorten stealth?

2) Post nogmaals een Hijackthis-log.

Groetjes,
Bennie
 
Als ik doe wat hierboven wordt gezegd door NTeusink en Temptation dan krijg ik alleen een zwart schermpje te zien met het pad c:\documents and settings\Elisa.
zie hierboven.

Mijn poorten al tig keer gescand. Altijd perfect. Ik doe het voor jou nog een keer :-)
hier is hijackthis:
 
Laatst bewerkt:
In dat zwarte scherm tik je netstat -an in bij de prompt [geef enter]. Ik kijk zo naar je log.:)

Groetjes,
Bennie
 
Je log is inderdaad schoon. Ik zie echt geen trojans. Het lijkt me vals alarm.

Groetjes,
Bennie
 
Oh ja, om je tikwerk te besparen:

netstat -an >netstat.txt

Post netstat.txt

Groetjes,
Bennie
 
Voordat ik het vergeet wauclt wordt nu steeds geblokt op een van die poorten. Heel verwarrend want het is een file van Windows. Ik ben niet de enige die er last van heeft.
Als je even mee zou willen kijken?Hier
Bij GRC is alles goed Stealth maar die controleert eigenlijk maar tot 1100 dus daar heb ik niets aan.
Ik zie steeds die msq..... die nu door mij geblokt is :cool:
Nu even netstat an. Ik heb de verbinding afgesloten.
Heb ik het zo goed gedaan?
attachment.php
 
Laatst bewerkt:
Nee, de verbinding moet wel aanstaan:)

Het gaat vooral om de volgende gegevens:
UDP 0.0.0.0:31337 *:*

[etc.]

Groetjes,
Bennie
 
Zo, het commando was iets anders maar ik ben er uit.
Ik heb verschillende uitdraaien. 'k Zal eerst maar netstat -an geven. Het rose is mijn ip nummer Anders krijg ik nog meer visite :cool:
attachment.php
 
Laatst bewerkt:
Misschien heb je hier ook nog wat aan. Ik mis nog een parser van Adobe dus ik kan niet afknippen.
Sinds ik trouwens handmatig 3 poorten heb gesloten heb ik niet meer iets voorbij zien komen met de tracker.
attachment.php
 
Laatst bewerkt:
Ik zie geen verdacht gesnuffel. Het gaat overigens om het UDP-protocol - niet TCP.

Groetjes,
Bennie
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan