Hallo

Welkom, Gast. Alsjeblieft inloggen of registreren.

Recent

216 gasten, 0 leden

Welkom, Gast. Alsjeblieft inloggen of registreren.

28 maart 2024, 20:37:07

Login met gebruikersnaam, wachtwoord en sessielengte

Nieuws

Welkom op het vernieuwde NL Computer Forum!

Auteur Topic: Vreemde connecties  (gelezen 11806 keer)

0 leden en 1 gast bekijken dit topic.

Offline NLCOMP

  • Forumheld
  • *****
  • Berichten: 14.666
    • NL Computer Forum
Vreemde connecties
« Gepost op: 8 november 2009, 19:56:07 »
Bericht 1 van 6

NL Computer Forum ~ Computerbeveiligin g
 Van:David EikelenboomDatum:10-11-2005
 Aan:AllenMsgID:2584.1
 Onderwerp:Vreemde connectiesForum:ws-nlcomputer
Hallo forumleden.
Ik zit al een poos te puzzelen op het volgende probleem. Na het aanzetten van mijn computer ontstaan er bij iedere applicatie die ik opstart, connecties die meestal nergens aan connecten, maar soms wel.
Hierbij een voorbeeld:
netstat -n
Active Connections
  Proto  Local Address          Foreign Address        State
  TCP    62.51.85.31:1049       64.236.47.39:80        TIME_WAIT
  TCP    62.51.85.31:1051       64.236.46.79:80        TIME_WAIT
  TCP    62.51.85.31:1052       64.236.46.79:80        ESTABLISHED
Deze vreemde connecties ontstaan ook bij het opstarten van totaal niet aan internet gerelateerde programma's (minesweeper, calculator, freecel etc.)
Ik heb er al de nodige spyware en virusscanners op losgelaten (adaware, spybot S&D, ewido, NOD32, AVG7 free), en ze vinden niets....
Na het nodige sloopwerk met de Recovery Console, zoals het weggooien van de internet cache, de geschiedenis etc.. en ook een in mijn ogen zinloze directory "microsoft frontpage" en alles wat eronder hangt in mijn program files directory (die frontpage directory bevat alleen lege mappen, maar als je ze met de gewone command promt wegpleurt, begint windows te klagen dat dit door een ander proces in gebruik zou zijn), zijn de connecties binnen een dag weer terug.
Het IP adres 62.236.47.79 is onderdeel van het AOL Transit Data Network, maar geeft geen DNS naam terug (zoiets als bla.atdn.net).
Kan iemand mij op het juiste spoor zetten wat er hier gebeurt?
Bij voorbaat dank
David.
 


Bericht 2 van 6

NL Computer Forum ~ Computerbeveiligin g
 Van:PeterDatum:10-11-2005
 Aan:David EikelenboomMsgID:2584.2
 Onderwerp:Vreemde connectiesForum:ws-nlcomputer
Hoi David,

>>Kan iemand mij op het juiste spoor zetten wat er hier gebeurt?<<

Vermoedelijk staat de Windows Time service actief. Ga naar start > uitvoeren > type services.msc en druk op <enter>
Bijna onderaan staat deze service. Je kunt hem eens stoppen om te testen.

De beschrijving luidt:
Zorgt voor de datum- en tijdsynchronisatie van alle clients en servers binnen het netwerk. Als de service is gestopt, is de datum- en tijdsynchronisatie onbeschikbaar. Als de service wordt uitgeschakeld, kunnen  de services die afhankelijk van deze service niet worden gestart.


groeten, Peter




Bericht 3 van 6

NL Computer Forum ~ Computerbeveiligin g
 Van:David EikelenboomDatum:12-11-2005
 Aan:PeterMsgID:2584.3
 Onderwerp:Vreemde connectiesForum:ws-nlcomputer
Hoi Peter.
Het uitschakelen van de Windows Time Service lost het probleem niet op, maar de suggestie dat het 'em in die Services zit klopt waarschijnlijk wel. Het uitschakelen van de WebClient service verhelpt het probleem in ieder geval gedeeltelijk. Dat ding laat zich niet zomaar uitzetten. Na het veranderen van het opstarttype naar handmatig, en een reboot zag ik nogmaals een tot stand gekomen verbinding naar 64.236.47.39. Vervolgens waren de verschijnselen weg bij de command prompt, minesweeper, freecell, Internet Explorer en Outlook Express.
CompuServe 6.0, NOD 32 On demand scanner en Media Classic Player proberen nog wel te connecten aan 64.236.47.39, maar die connecties worden niet beantwoord. Deze connecties naar Nowhere City ontstaan slechts éénmaal bij het opstarten van een applicatie na een (her)start. Elke volgende start van dezelfde app leveren gaan rare connecties op.
Ik verdenk één (of een combinatie) van de dll's die worden opgestart door svchost.exe, maar welke ben ik nog niet uit. Het zijn er nogal wat, type (als je XPPro draait) maar eens "tasklist /svc" op de command prompt, dan zie je wat ik bedoel.
Een volledige herinstallatie zal het probleem ook wel oplossen, maar dat is mijn eer te na. Ik wil (desnoods tot op het bot) uitzoeken wat er aan de hand is. Een reinstall is mijn allerlaatste optie.
Je zou haast gaan denken dat ze bij AOL zelf in de spywarehandel zijn gegaan, maar dat lijkt mij onwaarschijnlijk.
 
Groeten,
David.


Bericht 4 van 6

NL Computer Forum ~ Computerbeveiligin g
 Van:PeterDatum:13-11-2005
 Aan:David EikelenboomMsgID:2584.4
 Onderwerp:Vreemde connectiesForum:ws-nlcomputer
Hoi David,

>>Het uitschakelen van de WebClient service verhelpt het probleem in ieder geval gedeeltelijk<<
Staat bij mij op handmatig.

Tasklist kun je ook draaien op XP Home, nadat je het gedownload hebt.

Laat even weten als je weet welke service het probleem veroorzaakte.

groeten, Peter



Bericht 5 van 6

NL Computer Forum ~ Computerbeveiligin g
 Van:David EikelenboomDatum:28-11-2005
 Aan:PeterMsgID:2584.5
 Onderwerp:Vreemde connectiesForum:ws-nlcomputer
Hoi Peter.
Het blijkt, na enig speurwerk en afsniffen van het verkeer, een lekke firewall service (vsmon). Een goede firewall is blijkbaar alleen een hardware firewall, de Draytek Vigor router komt er erg snel (als jij of iemand anders een betere weet hoor ik het graag).
Ik kwam er gisteren achter de DNS naam van de machine die een established connectie naar mijn bak had, pa2.zonelabs.com. Toen gelijk een nslookup gedraaid:
nslookup pa2.zonelabs.com
Server:  los-dhcpns1.ns.aol.com
Address:  195.93.16.82
 Non-authoritative answer:
Name:    a1981.g.akamai.net
Addresses:  64.236.46.79, 64.236.46.88
Aliases:  pa2.zonelabs.com, pa2.zonelabs.com.edgesuite.net
 Vandaag hetzelfde gedaan: nslookup pa2.zonelabs.com
Server:  los-dhcpns1.ns.aol.com
Address:  195.93.16.82
 Non-authoritative answer:
Name:    a1981.g.akamai.net
Addresses:  64.236.46.88, 64.236.46.103
Aliases:  pa2.zonelabs.com, pa2.zonelabs.com.edgesuite.net
 Ik laat ZA voor wat het is.Groeten,David. 


Bericht 6 van 6

NL Computer Forum ~ Computerbeveiligin g
 Van:PeterDatum:28-11-2005
 Aan:David EikelenboomMsgID:2584.6
 Onderwerp:Vreemde connectiesForum:ws-nlcomputer
Hoi David,

>>Ik laat ZA voor wat het is.<<

ZoneLabs is ook overbodig als je al een hardware firewall hebt.


Bedankt nog voor het bericht, Peter