Veel FTP's

M

Multispeed †

Addicted Member
Lid sinds
8 feb 2001
Berichten
1.447
Waarderingsscore
0
Punten
0
Locatie
Down Under
Veel FTP’s bezig met luisteren.

Ik draai met XP home, incidenteel kijk ik bij CMD met

netstat –a welke verbindingen er actief zijn.

Wat me de laatste tijd opvalt is dat er erg veel ftp’s bezig

zijn met luisteren, tussen de 18 tot 24 stuks, zelfs als ik

mijn internetverbinding uitschakel.

Ik heb lange tijd gedraaid met Joomla en op mijn PC de

software XAMP geinstalleerd gehad.

Alles inmiddels verwijderd, kan dat de oorzaak zijn?

Kan zoveel FTP's bezig met luisteren kwaad en wat kan

ik er aan doen.

Al mijn beveiligingsprogramma’s, virusscanner, firewall

en Spybot geven geen meldingen van bijzonderheden.

Multispeed

 
Je zou eens een regcleaner kunnen gebruiken om mee te beginnen.

Maar ook het scannen met Malware Bytes (malwarebytes.org) zou geen kwaad kunnen. Normaliter moet je namelijk niet veel ftp's luisterend hebben. Sterker nog, normaliter heb je helemaal geen FTP's luisterend.

Heb je misschien nog IIS geinstalleerd of actief staan?

Als dat allemaal niet het geval is zou je pc ook nog geinfecteerd kunnen zijn met een trojan of een rootkit, vandaar dat scannen zeer raadzaam is.

 
Malware Bytes heb ik al gedraaid, niets gevonden.

IIS heb ik niet geïnstalleerd althans niet dat ik weet.

Ik zal regcleaner eens laten testen.

Dank voor je reply.

Multispeed

---------- Dubbelpost automatisch samengevoegd om 21:01 uur ----------

Met regcleaner aan de slag geweest maar is complexer

dan ik dacht, ik zal toch eerst moeten snappen wat ik

wel of niet kan doen.

Lezen dus.

Mogelijk dat toch het hele Joomla gedoe er iets mee te

maken heeft zodra ik explorer start komen er meerdere

localhost:XXXX in beeld bij netstat -a.

Maar nog niets van teruggevonden.

Multispeed

 
zodra ik explorer start komen er
Klik om te vergroten...
Ik had ook al het vermoeden dat er nog iets gekoppeld staat en dat het daarom mis is. Vandaar ook die regcleaner, zodat die de registry eens kan opschonen. Dat kan eventueel wel een beetje oplettendheid verdienen inderdaad.

Ik neem aan dat je Internet Explorer bedoeld. Misschien is het mogelijk deze te uninstalleren en daarna weer opnieuw te installeren.

Er zijn registry entry's die met explorer zaken kunnen laten opstarten, daar zal het wellicht inzitten maar die registry benaming schiet me zo vlug niet te binnen.

Een andere oplossing is eens Hijackthis draaien vanuit een lege dir bijv. een directory test die je aan kunt maken en dan de output hier posten.

Wellicht is er wel iets aan te ontdekken.

 
HijackThis gedraaid en daar komt een hele partij in beeld.

Ik zie allemaal dingen waarvan ik denk "What The F**K."

Ik ga nu eerst een complete backup maken van al mijn


belangrijke gegevens.

De uitdraai:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:00:59, on 26-06-2009

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\ATI-CPanel\atiptaxx.exe

C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe

C:\WINDOWS\System32\LVCOMSX.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\Sitecom\Sitecom Wireless Network USB Adapter Turbo G WL-172\Installer\WLANUTL.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\System32\cmd.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Testdirectory\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fleuraison.nl/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.zonnet.nl/Multispeed (Raar 2 startpagina's)

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [gfoym.exe] C:\WINDOWS\System32\gfoym.exe

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Sitecom Wireless Utility.lnk = C:\Program Files\Sitecom\Sitecom Wireless Network USB Adapter Turbo G WL-172\Installer\WLANUTL.EXE

O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Toevoegen aan Mobiele favorieten - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Toevoegen aan Mobiele favorieten... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\PROGRA~1\ELTIMA~1\FLASHD~1\iebt.dll (file missing) (HKCU)

O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\PROGRA~1\ELTIMA~1\FLASHD~1\iebt.dll (file missing) (HKCU)

O15 - Trusted Zone: *.amaena.com

O15 - Trusted Zone: *.avsystemcare.com

O15 - Trusted Zone: *.gomyhit.com

O15 - Trusted Zone: *.imageservr.com

O15 - Trusted Zone: *.imagesrvr.com

O15 - Trusted Zone: *.onerateld.com

O15 - Trusted Zone: *.safetydownload.com

O15 - Trusted Zone: *.storageguardsoft.com

O15 - Trusted Zone: *.trustedantivirus.com

O15 - Trusted Zone: *.virusschlacht.com

O15 - Trusted Zone: *.amaena.com (HKLM)

O15 - Trusted Zone: *.avsystemcare.com (HKLM)

O15 - Trusted Zone: *.gomyhit.com (HKLM)

O15 - Trusted Zone: *.imageservr.com (HKLM)

O15 - Trusted Zone: *.imagesrvr.com (HKLM)

O15 - Trusted Zone: *.onerateld.com (HKLM)

O15 - Trusted Zone: *.safetydownload.com (HKLM)

O15 - Trusted Zone: *.storageguardsoft.com (HKLM)

O15 - Trusted Zone: *.trustedantivirus.com (HKLM)

O15 - Trusted Zone: *.virusschlacht.com (HKLM)

O16 - DPF: {1D185838-009D-47C8-824B-B65B4854430E} (Installer Class) - http://quickfix2.chello.nl/quickfix2/asp/chelloInstall.CAB

O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://fotoalbum.seniorennet.be/incl/uploader/ImageUploader5.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096459171025

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {C58EFA10-2CC0-4C50-8C77-B326555EC1B7} (clsDefault Class) - http://quickfix2.chello.nl/quickfix2/asp/LaunchApp.CAB

O16 - DPF: {E9348280-2D74-4933-BE25-73D946926795} (DeviceEnum Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpbasicdetection3.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3C1845FD-7FC1-4A71-86DE-62B09497C3DA}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{5F8F8F75-950D-4CF1-8245-E56362F062D3}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{66FA83A4-AFB2-42C4-BB64-08C2614FACF4}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{F6E44659-F53E-428A-9091-8E6E799AB4A9}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Indexing-service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--

End of file - 8150 bytes

Multispeed

---------- Dubbelpost automatisch samengevoegd om 23:34 uur ----------

@BT, ik meld wel even dat de PC gewoon vlekkeloos functioneert

dus steek er niet teveel tijd in je hebt al druk genoeg.

Zolang het niet meer wordt dan alleen dat luisteren probeer ik

me er niet druk over te maken.

Multispeed

 
Die twee startpagina's is verklaarbaar.

Daarvoor moet je de betekenis van de afkortingen aan het begin van de regel kennen.

HKLM staat voor HKey Local Machine.

HKCU staat voor HKey Current User.

Alle gebruikers hebben dus de zonnet startpagina, maar jij hebt voor jezelf een andere ingesteld.

De trusted zones ( O15--) klinken mij niet fris, maar ik weet niet of je deze zelf ergens hebt opgegeven.

Ik heb even gegoogled naar die sites (ze niet bezocht), en mijn gevoel van hierboven werd bevestigd: de meeste zijn nep antivirussen en daarmee gevaarlijk.

O4 - HKLM\..\Run: [gfoym.exe] C:\WINDOWS\System32\gfoym.exe

Dit betekent dat het programma "gfoym.exe" voor alle gebruikers (= local machine) gestart word tijdens opstarten van het systeem.

Ik ken "gfoym.exe" niet, en google ook niet.

De bestandsnaam ziet er nogal random uit, en das een trekje van een viezerikje.

Kijk daarom in de genoemde directory (/windows/system32) of je daar dat bestand kunt vinden, en hernoem het zodanig dat je de oude naam ook nog kunt herstellen mocht dat nodig zijn.

Dan maak je er bijvoorbeeld gfoym.exe.NOT van, lijkt me zeer eenvoudig te herstellen.

Dit alleen zal niet voldoende zijn, meestal als je dit oploopt, worden dit soort viezeriken ook nog op andere wijzen gegenereerd.

Maar je kunt wel zien of het verschil maakt.

Je kan op deze manier naar meer verdachte namen zoeken, maar wees daar wel voorzichtig mee.

Je hebt bijvoorbeeld een ATI product in je pc, en de drivers en hulpprogramma's daarvan kunnen ook van die vreemde namen hebben (ze beginnen wel allemaal met ATI).

Heel goed dat je begint met een back up van je register, voordat je je eventueel stort op dit soort experimenten.

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

Dat lijkt ook op een random naam, maar is het niet.

Vriend google leert me dat dit gelieerd is aan je logitech webcam.

De regels welke RELATED hebben, kunnen verwijderd worden.

Die verwijzen naar iets dat er niet meer is, vermoedelijk omdat die bestanden er het eerste uitvliegen als je een spyware scan doet.

De verwijzingen in het register zouden dan dus nog kunnen achterblijven, en daarom duiken ze nu op in Hijack this.

Sowieso kunnen de (file missing) items verwijderd worden.

Die wijzen op een achtergebleven verwijzing van een programma dat verwijderd is (of slecht gedeïnstalleerd).

Ik hoop dat je er iets mee kunt.

 
MAS3 bedankt.

Ik kan er zeker iets mee en sommige dingen heb je me

duidelijk gemaakt.

Bijna alles bij 015 en 016 zal ik stap voor stap verwijderen

en natuurlijk de door jou bij naam genoemde items.

Ik moet eerlijk toegegeven dat ik zolang ik deze PC heb

niet éénmaal de Registry heb opgeschoond, wel eens

bekeken maar uit onwetendheid niets durven veranderen.

Nogmaals bedankt, ik ga aan de gang.

Multispeed

 
Mas 3 heeft al een verdachte opgenoemd waar ik ook al naar zat te kijken.

Bijna alles bij 015
Klik om te vergroten...
Hoezo "bijna"... ik zou echt ALLES weghalen bij 015 en de 016 zou ik afblijven. Vermits je tenminste chello internet hebt anders kunnen die ook weg.

De "file missing" entry's in de 09 kunnen ook weg.

Ik zie echter vooralsnog helaas nog niets wat de FTP's opstart of het zou die gfoym.exe moeten zijn.

Ben eens benieuwd al je niets doet of hij er dan weer staat, of als je hem renamed, zoals Mas3 aangeeft en dan de pc herstart, of er dan een andere vreemde .exe in plaats komt of dat de vermelding echt weg is.

Succes alvast!

 
Ik zou alles weghalen bij 015 en de 016 zou ik afblijven. Vermits je tenminste chello internet hebt anders kunnen die ook weg.De "file missing" entry's in de 09 kunnen ook weg.

Succes alvast!
Klik om te vergroten...
Zal ik doen.

Ik heb nog even niets gedaan want ik maak eerst de maandelijkse

partij facturen en de kwartaalgegevens voor de boekhouder af.

Zodra ik veranderingen gepleegd heb zal ik ze hier melden.

Bedankt voor jullie moeite.

Multispeed

 
Wat ik vergeten was te noemen, is dat je dat renamen mogelijk in de veilige modus moet doen.

Een bestand dat in gebruik is kun je namelijk niet bewerken.

In de veilige modus worden alleen noodzakelijke drivers enzo geladen en dus over het algemeen geen viezeriken.

 
Thank You.

Multispeed

 
Ik heb het nodige verwijderd ondanks dat toch nog veel

TCP's luisterend, wel minder.

Hier de huidige Hijackthis log.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:14:55, on 06-07-2009

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\ATI-CPanel\atiptaxx.exe

C:\WINDOWS\System32\LVCOMSX.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\Sitecom\Sitecom Wireless Network USB Adapter Turbo G WL-172\Installer\WLANUTL.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Testdirectory\HijackThis.exe

C:\WINDOWS\System32\cmd.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fleuraison.nl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Sitecom Wireless Utility.lnk = C:\Program Files\Sitecom\Sitecom Wireless Network USB Adapter Turbo G WL-172\Installer\WLANUTL.EXE

O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Toevoegen aan Mobiele favorieten - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Toevoegen aan Mobiele favorieten... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096459171025

O16 - DPF: {E9348280-2D74-4933-BE25-73D946926795} (DeviceEnum Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpbasicdetection3.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3C1845FD-7FC1-4A71-86DE-62B09497C3DA}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{5F8F8F75-950D-4CF1-8245-E56362F062D3}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{66FA83A4-AFB2-42C4-BB64-08C2614FACF4}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{F6E44659-F53E-428A-9091-8E6E799AB4A9}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Indexing-service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing) (Ik neem aan dat deze ook weg kan.)

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--

End of file - 5897 bytes

Graag jullie mening, wat kan er nog meer weg?

Bijvoorbaat dank.

Multispeed

---------- Dubbelpost automatisch samengevoegd om 14:45 uur ----------

Is IE vervangen door Firefox een optie?

Multispeed

 
Hoi.

Ik weet niet wat dat verhaal achter de O17 regels is, vind het een beetje veel verwijzingen naar (dezelfde) nameservers.

Ik zie dat de verwijzing gaat naar servers van OpenDNS das dus eigenlijk wel vertrouwd.

Die regel waar je stelt dat die wel weg zou mogen, dat kan ik wel beamen.

Verder zie ik niet direct iets vreemds of opmerkelijks.

Firefox vervangt IE niet 100 %.

Dat ligt niet aan Firefox of de makers, maar aan M$.

M$ ondersteunt bepaalde zaken namelijk uitsluitend in IE.

Zo kun je met Firefox wel je mail van de zaak ophalen, maar een echte integratie met de outlook server op de zaak is uitsluitend mogelijk met IE.

Ook windhoos updates kan alleen met DirectX en dus ook alleen via IE.

M$ vind dat een veiligheids maatregel.

Desondanks ben ik een trouwe Firefox gebruiker (nu v3.5), en gebruik alleen nog IE als ome Bill me daartoe verplicht.

 
Ik moet dus iets binnen gehaald hebben wat al die TCP gebruikt/opstart.

Ik zoek verder.

Bedankt.

Mutispeed

 
Ik ben het met Mas3 eens.

V.w.b. het veel TCP's in gebruik hebben, dat hoeft geen probleem te zijn, dat kan normaal zijn, zeker gezien hetgeen je allemaal hebt draaien, Avast, Zonealarm en HPupdate nemen bijv. al de nodige luister tcp's in beslag en dan heb je ook nog de standaard windows zaken.

Kijk je had het eerst over veel FTP verbindingen die bezig waren met luisteren. Een lijstje met TCP verbindingen die luisteren is normaal.

Zo heb ik nu heel weinig draaien, maar toch 17 TCP luisterkanalen en 16 stuks voor UDP, samen toch 33 stuks.

Doe gewoon eens netstat, dus zonder toevoegingen, dan zal het een heel sutk minder zijn. Verder is het luisteren niet zo'n probleem. Je zult je dan eerder zorgen moeten maken als er veel "ESTABLISHED" verbindingen zijn.

Maar nogmaals... als je dus niet veel FTP verbindingen hebt en alleen nog maar een reeksje TCP verbindingen... dan kun je gerust zijn, da's normaal.;)

 
Kijk je had het eerst over veel FTP verbindingen die bezig waren met luisteren.
Klik om te vergroten...

De opmerking FTP verbindingen is inderdaad een foutje van mijn kant.


Het gaat over TCP's, inmiddels via internet verder gezocht en het zou wel


eens veroorzaakt kunnen worden door Avast.

Ik kom op het Avastforum veel vragen tegen over veel localhost tegelijk

"Luisterend" of "Established".

Ik ben pas overgestapt naar Avast voorheen had ik AVG.

Ik ga Avast eens verwijderen en kijken wat er dan gebeurt.

N.a.v. de Hijacklog is het normaal dat er zoveel "ctfmon.exe" in staan?

Multispeed

---------- Dubbelpost automatisch samengevoegd om 13:33 uur ----------

Na uninstall van Avast slechts een enkele (6) localhost in beeld.

Dus Avast is de veroorzaker, ga Avast nu weer installleren.

Dank voor al jullie moeite.

Ex-Multilocalhost :biggrin:

 
Ik ga Avast eens verwijderen en kijken wat er dan gebeurt.
Klik om te vergroten...
Zoals je ontdekt hebt wordt het dan een stuk minder. Maar dat is omdat bij Avast niet alleen een virusscanner actief is maar ook nog zo'n ander bolletje mee draait. Dat kun je wel integreren zodat je maar 1 bolletje ziet in je werkbalk bij het klokje.

Die controleert ook nog het nodige dacht ik en daar zijn uiteraard weer poorten voor nodig.

Dat met CTFmon is normaal, dat komt omdat het met office te maken heeft en die is ook op meerdere plaatsen in de registrie geregistreerd.

Bij Microsoft support vindt je de nodige info omtrent wat het is en wat het doet.

 
Ik heb inmiddels een andere Registry Cleaner erop los gelaten

en die heeft 2315 registrysleutel problemen gedetecteerd.

Daar zijn ook een aantal bij die automatisch worden aangemaakt.

Het aantal TCP's is niet minder maar zoveel bagger in een registry

verdient m.i. niet de schoonheid- en snelheid-prijs lijkt me.

Het programma het geheel laten repareren en na opnieuw scannen

nog maar 24 registrysleutel problemen dus dat zullen wel de

automatische aangemaakte zijn.

Verder geen verandering in de werking van mijn computer gemerkt.

Multispeed

 
Da's mooi. Overigens kunnen registry cleaners ook tot problemen leiden dus het is altijd effe opletten welke je neemt.

Welke heb je deze keer gebruikt?

 
@BT Eusing Free Registry, min of meer na lezen op peek.com.

Tot nu toe werkt alles nog perfect.

Multispeed

 
Je moet ingelogd zijn om te kunnen reageren. Log in | Registreer



Hosting Fun

SPECIALE SERVICE

  » Fun op Twitter
  » Fun op Facebook
  » Image hosting
  » Internet Radio

Advertenties

Terug
Bovenaan Onderaan