vraag over NOD32

[jack]

Ik krijg steeds een melding van NOD32 dat die een ip adres heeft geblokkeerd

kan iemand mij zeggen wat dit precies betekend, het gaat om ip: 203.162.57.28:80

Als ik dit opzoek kom ik bij deze site terug, zover ik kan zien komt het uit Vietnam en is het niet gevaarlijk of zo.

http://www.urlvoid.com/scan/wwfas52.vn/

 

[Black Tiger]

Allereerst even een tip. Je kunt niet aan de hand van een ip adres bepalen of het gevaarlijk is of niet.
Een ip adres op zich is niet gevaarlijk, maar het gaat om de data die er naar toe gaat of die er vanaf komt. Het kan dus best wel gevaarlijk zijn.
De reden dat Nod32 dat ip blokkeert zal zeker een reden hebben.

De vraag is nu.... waarom blokkeert Nod32 dit. Is het de virusscanner dit dit blokkeert? Of heeft jouw Nod32 een ingebouwde firewall?
En is het uitgaand verkeer wat naar dat ip gaat wat geblokkeerd wordt (wel gevaarlijk) of is het inkomend verkeer wat geblokkeerd wordt.
Bij inkomend verkeer is het misschien ook gevaarlijk want pc's zitten tegenwoordig in de meeste gevallen achter een router. Dus als een ip van buitenaf tot bij jouw pc kan komenen het is bijv. niet de site die de virusscanner mag updaten etc., dan kan er best nog wel iets aan de hand zijn.

Alles staat of valt dus met de reden waarom het ip geblokkeerd wordt, inkomend of uitgaand verkeer en of jij op je pc een intern of extern ip adres hebt.
Men kan dus niet eenvoudig concluderen dat het niet gevaarlijk is.

 

[jack]

ik krijg alleen maar steeds de melding:

addres has been blocked
URL address:ww.fas52.vn/8.php
IP address: 203.162.57.28:80

dat krijg ik soms tig malen achter elkaar als ik gewoon aan het surfen ben, ook nu kwam het weer toen ik dit berichtje typte.

Ik heb gewoon een ziggo modem die met kabel aangesloten zit met mijn computer.
NOD32 is toch een virusscanner en heeft toch geen firewall

Ik weet verder ook niet wat ik hier mee aan moet verder.

Trouwens nog een klein vraagje, kan je alles in de map: C:\windows\prefetch verwijderen of mag da tniet.

 

[hangslot]

Doe er rustig een beetje voorzichtig mee.
Dat IP adres staat op een Russische site voor annonieme proxy's.
http://www.proxy-base.org/f8/16_01_2012_connect_tunnel_irc_14357_a-11751.html
Iets of iemand probeert dus waarschijnlijk heel gericht op jouw pc'tje in te breken, dus wees blij dat het of hij wordt geblokt.
Wellicht kan je ergens in NOD32 alleen de melding uitzetten.

 

[Black Tiger]

Het is in elk geval een Vietnamees ip adres.
Heb je en firewall geinstalleerd? Ik hoop het voor je, zonee, zet er eens een goede op.

[noparse]De site www.fas52.vn/8.php heb ik nagekeken en is niet meer beschikbaar, vermoedelijk uit de lucht gehaald.[/noparse]
Maar het ziet er naar uit dat jouw pc daar wel informatie probeert op te halen, dat 8.php bestand voorspelt niet veel goeds.
Daarnaast zit jouw pc dus rechtstreeks op het Ziggo modem en is dus rechtstreeks van buitenaf te bereiken, hetgeen het ook al wat gevaarlijker maakt.

Ik krijg de verdenking dat jouw pc in een botnet zit en probeert via die site zijn commando's binnen te krijgen of zoiets. Het kan ook iets anders zijn maar dit lijkt me toch ernstiger dan het uitziet.

Mijn dringend advies zou dan zijn deze informatie eens op Nucia (klik) te plaatsen.

Doe wel eerst even wat hier (klik) allemaal staat, zodat je meteen je topic kan voorzien van de nodige informatie, die ze anders alsnog van je gaan vragen.

 

[jack]

Mijn PC zit niet helemaal rechtstreeks op de modem van Ziggo, er zit nog wel een router tussen, en Ziggo modem heeft toch ook al een firewall erin zitten.

Ik heb wel inmiddels geconstateerd dat er wel iets raars is, als ik bv. mijn internet snelheid wil checken op de ziggo site wil die dat niet echt doen, da duurt het heel lang voordat die met de download test begint en komt die niet verder dan 7 MB download snelheid doet die wel weer goed.

Maar ik kan niet merken dat ik langzamer internet heb.

Wat mij ook op viel als ik een filmpje of zoiets va een website wil downloaden en ik het op wil slaan dat dan het venstertje van de download in firefox dan wel op komt maar het de hele tijd blijft staan op download start zo meteen en gebeurd het alleen niet en dan gebruikt FireFox 100 % CPU.

Als ik de download dan weer cancel is het weer allemaal normaal.

Is de optie Format C geen optie en weer eens een hele schone pc te hebben kost wel weer allemaal tijd maar als dat zou helpen ga ik dat misschien maar eens doen.


mijn andere pc die ook op de router zit die doet het verder wel goed.

 

[Kilroy]

Kijk toch verdorie goed uit man!
Al eens met malwarebytes gescand?

Het is normaal dat een virusscanner begint te mauwen als hij iets verdachts ziet, en ook als het een verdachte website is.
Althans dat doet AVG hier ook, en vermoedelijk staat het web gedeelte automatisch aan.

Als het goed is heb je ook het virusshield aan staan, dat is tenminste de bedoeling.
Die merkt direkt of er een foute .exe ergens bezig is.
De virusscanner scant of de hele pc, of de folders die je geselecteerd hebt.
De .exe of .scr files zijn vaker in rars verpakt dus die ook altijd scannen.
Maar het is ook goed mogelijk dat je op een website via een javascript iets hebt opgelopen.

Een firewall moet je sowiezo ook naast de hardware-firewall hebben lopen.
Bij windows is dat vaak de eigen maar je kunt ook bv zonealarm gebruiken zoals ik ook doe.

Grtz.

 

[jack]

Ik heb firewall aan staan van zowel windows als ziggo modem en volgens mij heeft de router er ook nog een.


Ik zie dit net in de log file staan van NOD32, weet iemand wat dit inhoud of hoe ik hier van af kom.

30-7-2012 21:17:44 Startup scanner file Operating memory ? explorer.exe(424) a variant of Win32/Spy.Zbot.AAO trojan unable to clean

 

[gallia]

check deze eens

http://www.hijackthis.nl/forum/viewtopic.php?f=4&t=32732

 

[jack]

Alles werkt alweer perfect, grote dank aan BT, nadat ik combofix had gedraaid van die website werd er van alles en nog wat verwijderd en nu werkt alles weer perfect

 

[jack]

Jij ook bedankt Gallia, dit was inderdaad dezelfde melding die ik kreeg van NOD32 en nu doet die dat niet meer nadat ik die combofix had gedraaid

 

[jack]

Wel ik heb te vroeg gejuicht, vandaag de pc aan en kreeg gelijk weer dezelfde melding van NoD 32

 

[jack]

Ik heb Bitdefender eens laten draaien online en die vond ook weer iets, en zei dat ik het moest downloaden dus heb het gedownload en op mijn pc gezet, en het lijkt er nu echt op dat het allemaal weer goed is, gisterenavond pc weer opgestart en werkte alles nog goed, vond een keytje voor Bitdefender dus die is nu nog 540 dagen geldig en heb NOD32 maar verwijderd nu.

 

[Black Tiger]

Het was dus precies die waar ik al voor waarschuwde.
Inderdaad helpt alleen Combofix daar niet voor, daar moet je wel iets meer voor doen.
Ik hoop voor je dat het nu echt weg is met die Bitdefender oplossing. Want de explorer moet echt gecleaned worden.
De beste oplossing is toch echt om die explorer.* bestanden te vervangen door die van de installatiecd. En dan daarna pas nog eens die scans te doen.