Vreemd (verontrustend) resultaat van Filesharing in ShieldsUp

[Yari02]

Zie hier de bijlage; printje van ShieldsUp - na opdracht Filesharing.
Drie resultaten - de 2e en 3e een goed resultaat, maar de 1e dus niet.
Als ik die tekst lees zou ik denken dat iemand - ergens - zomaar alles in mijn PC
kan lezen en er wellicht over zou kunnen beschikken.

Mijn PC is met Windows 7, x64 en verder gebruik ik een laptop (Windows Vista), gekoppeld aan een router. Kan dit soms de reden zijn; hoewel ik de laptop en PC
NIET in een netwerk heb samengebracht.

 

[Ragdoll]

Hallo Yari.

Nee hoor er is helemaal niks vreemd of iets verontrustend.
Maar je leest het een heel klein beetje verkeert door het als los van elkaar te zien.
Steve verteld het wat eenvoudiger dan je denkt ,kijk zo:

1, (word mee bedoeld als eerst een uitleg over waarom het gaat)
Shield up gaat proberen een verbinding te maken met de veborgen server.

Jou internet poort 139 blijkt niet te bestaan.
Dit komt omdat jou poort in full stealt mode werkt en onzichtbaar op internet is.
En daarom op de poging die word gedaan niet reageren.

Ben niet in staat om met NetBIOS verbinding te maken met je computer.
Alle pogingen om infomatie los te krijgen zijn mislukt.

Dus met andere woorden als één verhaal.
NetBIOS die werkt met poort 139 is de verborgen server.

Je pc is safe.:thumb:

Groetjes Ragdoll

 

[Yari02]

Vervolg - Poort 53 open

Oke, bedankt. Nog een ding. Het feit dat poort 53 open is; wat betekent dit dan volgens Shields-Up. Is dit b.v. omdat je anders geen verbinding met het internet zou kunnen hebben ? Zie bijlage.

 

[Supersnail]

Poort 53 is de standaard poort van de DNS. Dit zou dus betekenen dat je een DNS-server hebt draaien op je computer (of een andere server die poort 53 gebruikt). Er hoeft geen enkele poort open te staan om verbinding te hebben met internet.

 

[Yari02]

Ik heb geen idee wat dit betekent, ofwel in negatieve ofwel in positieve zin. Ik 'hoor' altijd wel activiteit op de harddisk, ook al ben ik nergens mee bezig ?!?!?

Kan het overigens te maken hebben met het type Harddisk, dat je gebruikt.
Mijn Systeem-informatie :
------------------------
- Moederbord : Gigabyte-GA-P55M-UD2, S1156, P55, 4XDDR3, 2xPCle, mATX
- Processor : Intel Core i7 860 2.80 Ghz, 8MB, S1156, Box
- Videokaart : Asus EAH5750/2DIS/1GD5 1 GB, 2xDVI, HDMI, DP, PCle
- Geheugen : Kingston ValueRam 4GB (2X2) DDR3 1333 Mhz C9
- Harddisk : WD RE3 Enterprise 1 TB, 32MB, SATA2- Koeler : Thermalright Ultra 120 eXtreme Rev.C, Dualfan, S1156
- Voeding : Coolermaster Real Power M520 Modular, ATX12V

 

[Ragdoll]

Hoi Yari

Oké het vervolg met poort 53 die open staat.

Aan je reactie hier over te merken heb ik het idee dat je zelf de poort niet heb geforward of om wat rede dan ook de poort uit de stealt modus heb gehaalt.

Poort 53 is inderdaad gereserveerd voor de DNS (Domain Name Server) ,en een DNS zet b.v Helpmij .nl om in een IP-adres.

Maar dat poort 53 niet in de stealt modus is zonder je hem open heb gezet omdat je een eigen DNS server draait ofzo ,is niet goed.
Er zijn niet zo veel trojan programma's bekent die poort 53 gebruiken b.v ADM worm en Lion ,maar aan andere kant staat dat ook niet stil.
Zou om wat meer zekerheid te hebben je willen vragen of je de pc wil scannen op trojans en internet wormen.
En dan ook met een online scanner ,die hebben het voordeel tegenover met de scanner die op je pc staat dat ze niet geinfecteerd zijn door de trojan,worm of virus waarmee eventueel bent geinfecteerd.

Dus tenzij er nog andere info mocht komen zou ik daar eens eerst naar gaan kijken.
En zal je een paar links geven.

http://www.windowsecurity.com/trojanscan/
http://www.kaspersky.com/kos/eng/partner/default/pages/default/check.html?n=1294861508028
http://www.pandasecurity.com/homeusers/solutions/activescan/
http://www.eset.com/online-scanner

Nee het heeft helemaal niks te maken met het type nog de harde schijf zelf.
Wat daar het dichtste in de buurt van komt is dat je een onderdeel bent van een bot-netwerk die jou harde schijf gaat gebruiken voor data opslag en dat word ook weer met een trojan gedaan.

 

[Yari02]

Beetje onrust neemt toch wel bezit van mij. Ik heb helemaal niets geforward en de laptop waar ik ook mee werk, heb ik NIET in een netwerk zitten.
Ik ga de scans nu uitvoeren !

 

[Yari02]

Ben nu bezig met de http://www.windowsecurity.com/trojanscan/
en ik zie meteen al possible-thread.patch.AnydvdIJK;
file c:=windows\system32\zipfldra.dll
file c:=windows\system32\zipfldra.dll

(deze wordt dus 2 X vermeld - Het Progje AnyDVD heb ik eens van iemand gekregen; dat heb ik onmiddellijk verwijderd)

Echter, ik zie deze filenaam in c:\windwos\system32 NIET staan; maar wel in C:\Windows\SysWOW64
Ik heb de file-extentie hernoemd naar zipfldra.old
PC herstart en er lijkt niets loos; alles werkt goed.
Kan of moet ik zipfldra.old in de veilige modus verwijderen ?

Kaspersky werkt niet; Panda en Eset moeten nog doen.
Malwarebytes vond dit : Zie bijlage

 

[Yari02]

Oh sorry, hier de bijlage (Malwarebytesscan)

 

[Ragdoll]

Goed ,verwijder dat bestand maar eens.
Controleer nog een keer alle twee de mappen c:\windows\system32 en C:\Windows\SysWOW64.
En doe nog een keer de zelfde scan.
Net zo lang tot hij niks meer vind.
En doe de poort scanners van grc nog eens.

Dat van malwarebyte is wat anders dat zijn register sleutels.

Maar volgens mij is het zipfldra.dll wat ik zocht.

 

[Yari02]

Dus de de mappen c:\windows\system32 en C:\Windows\SysWOW64
zijn kennelijk essentieel in dit verhaal. Oke, Microsoft Security Essentials en Malwarebytes vinden hier geen bad guys meer. Ga nu slapen en vanochtend laat ik de volledige online-scans er nog een keer op los (duurt nu veel te lang).

Als er nu niets meer gevonden wordt, wat dan ? Poort 53 is nog altijd open.
Wat betekent dat en wat gaan we vervolgens doen ? Ik heb e.e.a. gelezen over DNS-ervers en bot-servers en begrijp er niet veel van, behalve dat je van een bot geen slachtoffer moet zijn. Maar goed, ik kan wel zeggen dat ik op mijn HD nog nooit rare of onverklaarbare zaken ben tegengekomen e.d. Bovendien heb ik privezaken NOOIT op mijn HD.

Oh, wellicht ook vermeldenswaardig. Ik gebruik E-mule om zo nu en dan wat te downloaden. Kan dat met die DNS-Server te maken hebben ?

 

[Ragdoll]

Dat de poort 53 nog open stond verwachte ik wel ,want het ging mij veel te makelijk.
En bedoel daarmee dus dat je het bestand zipfldra kon hernoemen ,wat ik zeker niet zomaar verwacht als een backdoor succes vol werkt.

Maar blijf bij deze online scanner,daarom had ik hem ook bovenaan gezet.
http://www.windowsecurity.com/trojanscan/

Je bedoeld als de scanners niks meer vinden.
Then i will find a way or make one.

Oh eMule ,nee hoor.

Het heeft te maken met een oud verhaal die je wel zal kennen ,de mannen uit het houten paard zette in de stad troje de poort open.
Tja en zo kwam het leger binnen ,en lijkt er nog steeds op dat er bij jou ook een poort is open gezet.

 

[Yari02]

Doe nu de managescan (4e optie) van windows security.com. Je hoort het resultaat straks !

Wat kan overigens het meest negatieve effect van de open poort 53 zijn ?
Nogmaals, ik merk nooit iets vreemds aan mijn PC, heb er GEEN privezaken op staan en mis nooit wat. De PC is ook niet traag. Kortom, waar moet ik op bedacht zijn ?

 

[Yari02]

Nou, het enige wat er nu gevonden is - is een low risk, m.b.t. een keygenerator van een of ander programma dat ik al 10 jaar zonder enig probleem gebruik. De open poort 53is er pas sinds 'hooguit een paar weken'; want ik doe de ShieldsUp regelmatig.

Wat nu ?

 

[Supersnail]

Oh, wellicht ook vermeldenswaardig. Ik gebruik E-mule om zo nu en dan wat te downloaden. Kan dat met die DNS-Server te maken hebben ?

Alleen als je eMule hebt ingesteld om poort 53 te gebruiken en eMule aan stond op het moment van de scan.

Wat je ook nog eens kan proberen is om in een DOS-prompt het commando "telnet localhost 53" (zonder aanhalingstekens) in te geven. Mogelijk dat je dan te zien krijgt wat er draait.

 

[Ragdoll]

Goede middag Yari.

Wat nu ? ,blijven lachen natuurlijk.

Ik zit te wachten op een uitslag van de trojan scanner.
http://www.windowsecurity.com/trojanscan/

By the way, die online trojan scan is van Emsisoft (Emsi Software GmbH) dat bedrijf komt voort uit a-squared en die maakte maar 1 programma ,en dat is een anti-trojan scanner en die maakte ze zo goed als jaren eerder voordat de zo genaamde specialisten en het andere personeel van grote bedrijven zoals Norton nog nooit van een trojan had gehoord of er ooit 1 had gezien en gewoon domweg maar bleef ontkennen dat ze bestonden.
En daarom gaf ik je die link en ben ik benieuwd naar een nieuwe uitslag daarvan.
En voor jou is het zo iets makelijker.

Goed luister het is niet om je bang of ongerust te maken hoor.
Een trojan die ook maar het aller kleinste nadelig gevolg op je computer zou hebben ,is een waardeloos flut programma die helemaal niet goed werkt of het is helemaal geen trojan.
Want dat is helemaal niet de bedoeling van een trojan ,een trojan heeft bedoeling om totaal niet op te vallen en dood stil op je computer aanwezig te zijn.

Wat kan het meest negatieve effect van de open poort door een trojan/backdoor zijn ,is je vraag.
Nog erger dan wat toen met de stad troje gebeurde.
Het zal toen voor de stad troje de hel op aarde zijn geweest die ze niet hebben overleeft.
Het kan ook de levende hel op aarde worden en de negatieve effecten die door poort zijn gekomen bij zullen blijven.
Dus al slechte en het verkeerde van de hele wereld kan in feite door een open poort (backdoor) komen want met het internet ben je de hele wereld verbonden.

Termen als een security risico en dat een backdoor een gevaarlijk programma is.
Is dus voor de computer bedoeld maar voor de gene die achter de computer zit.

Maar goed natuurlijk wel gewoon blijven lachen ,want je heb zelf ondekt dat er een poort open staat door er naar te kijken en gaat informatie zoeken omdat je het vreemd vind.
Ik vind dat in ieder geval al helemaal fantasties. :thumb::thumb::thumb:

Voor de duidelijheid nog even in het kort.
Gebruik nu alleen maar de trojan scanner en geen enkele andere scanner meer.

 

[Yari02]

Oke, de scans geven geen waarschuwingen meer (behalve die low risk, waar ik eerder over schreef). Ik kan het voorstel van Supersnail ook eens uitvoeren :

Wat je ook nog eens kan proberen is om in een DOS-prompt het commando "telnet localhost 53" (zonder aanhalingstekens) in te geven. Mogelijk dat je dan te zien krijgt wat er draait.

 

[Yari02]

Zie de twee bijlagen :
De een (NoMalwarefound.jpg), geeft de uitslag van de laatste trojanscan.
De ander (Netwerk.jpg), geeft de inhoud van Netwerk (Map, te zien in de verkenner) : Onder Computer zie je twee computers vermeld staan : "Mijn Desktop PC en de Laptop (internet van de latop loopt via de Wireless Router WL-303 van Sitecom, 300N XR)". Nognmaals, die heb ik nooit bewust in een netwerk geplaatst.
En onder Multi-Media-apparaten staat eveneens mijn Desktop-PC vermeld. Wat houdt dit in, heeft dit soms met de poort 53 te maken ? Heb ik nooit bewust iets voor gedaan; doet Windows 7 home x64 dit zelf via de updates of zo ?

 

[Ellasar]

Voer ook eens in een commandprompt "netstat -a -b -n" uit.
Dan krijg je een lijst van poorten op jou machine en welke executable de poort open zet.
zoek dan even poort 53 op.

Maar ik vermoed dat poort 53 open staat op je router en dat die een dns server herbergt.

p.s. haal ook even de afbeeldingen weg waar je ip adres in vermeld staat. is niet nodig

 

[Yari02]

telnet localhost 53 en netstat -a -b -n

Ik heb zonet via Uitvoeren cmd.exe
de dosprompt opgevraagd en het commando telnet localhost 53 in getypt;
ik krijg dan de melding : telnet wordt niet herkend als een interne of externe opdracht, programma of batchbestand

Heb ook geprobeerd met : netstat -a -b -n en krijg dan de melding : U hebt niet de benodigde bevoegdheden voor deze bewerking.

OF.......moet ik de PC in de veilige modus opstarten en dan naar de dosprompt gaan en deze commando's intypen ?