"file.exe" + 5 min. lange poortscan. Security thre

[anoniem]

Hoi. Ik heb net wat amok gehad met een file op me puter. Ik weet niet hoe die op me pc is gekomen ondanks me firewall en nod32 anti virus. Het bestand heet "file.exe" van ene "awmdabest.com" Het probeerde contact te zoeken en werd gestopt door mn sygate frewall. Het verscheen ook als process onder ctrl-alt-del/processes. Op mn harde schijf kon ik het bestand "file.exe" niet vinden. Wel vond ik in windows/prefetch/FILE.EXE-09F6674D Deze heb ik verwijderd en in quarantaine gezet. Weet me god niet waar het voor dient en is recentelijk aangemaakt. Ik heb Hijackthis laten scannen en de entry "file.exe awmdabest.com" weglaten halen, kon niet wachten. Is dit mischien bekend bij jullie? google geeft me vage zoekresultaten. Ik wordt trouwens nu net 5 minuten lang gescand.. (portscan) erg vreemd. daniel

[anoniem]

Die portscan gaat gewoon door.. Portscan van IP: 81.86.217.223 Een backtrace levert weinig op. Krijg alleen maar als resultaat Hop1 194.134.5.71 (en alles wat er tussen ligt) daniel

[anoniem]

Je hebt/had een dialer op je systeem. Blijkbaar heb je deze al laten fixen in hijackthis: O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.awmdabest.com/dial/119/2.chm::/file.exe Installeer beter ook [url=http://www.javacoolsoftware.com/spywareblaster.html]spywareblaster[/url] Die voorkomt zo'n toestanden als dialers en andere ongewenste activeX. Post hier voor de zekerheid eens een hijackthislogje

[anoniem]

Er wordt nu nog steeds gescand vanaf dezelfde IP.. :( Log net weer in. dowload spyblaster nu. Hoe kan je hier vanaf komen? Straks blijft het scannen tot het een gaatje vindt.. :x Hier me Hijackthis log: Logfile of HijackThis v1.98.2 Scan saved at 15:54:35, on 9-10-2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Syperfall\smc.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Eset\nod32kui.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\SpeedTouchUSB\Dragdiag.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\hh.exe C:\Program Files\Hi-jackThis!\HijackThis.exe O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYPERF~1\smc.exe -startgui O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\SpeedTouchUSB\Dragdiag.exe" /icon O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.awmdabest.com/bltd/116.chm::/file.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{961849B7-A112-483B-AECE-38B4EE3835C3}: NameServer = 194.134.5.5 194.134.0.97 zo te zien is file.exe weer terrug.. uh oh. Hoe installeerd het zich? Trouwens. Kan ik gewoon mn c:\windows\prefetch\* legen ?? wie weet staat daar nog wat oongewenste zooi in daniel

[anoniem]

deze fixen met Hijackthis: [b:4db6ab4898]O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.awmdabest.com/bltd/116.chm::/file.exe[/b:4db6ab4898] Prefetch map mag je helemaal leegmaken. Je begint hier wel een vaste klant te worden...