---

Hej gruppe. jeg har en stationær Hewlett Packard. den er forbundet til
en Zyxel router der sidder til et adsl modem fra TDC.

går jeg ind i status for LAN-forbindelse og holder øje med Sendt og
Modtaget modtager jeg i løbet af 6 min 115.900 bytes og sender ca
halvdelen!!!

Jeg har kørt adaware 6.0 og fjernet alt! jeg har kørt pandaantivirus
onlinescan og fandt intet.

hvad kan der være galt?! jeg er bange for at nogen roder med min
computer?! kan det være rigtigt?

jakob

---

On 29 Mar 2004 12:02:38 -0800, jacob wrote:

> Hej gruppe. jeg har en stationær Hewlett Packard. den er forbundet til
> en Zyxel router der sidder til et adsl modem fra TDC.
>
> går jeg ind i status for LAN-forbindelse og holder øje med Sendt og
> Modtaget modtager jeg i løbet af 6 min 115.900 bytes og sender ca
> halvdelen!!!

115.900 bytes er lidt over 14 kilobyte. Det er ikke ret meget. Det er nok
bare almindelig status trafik.

Martin
--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af Cisco/Zyxel routere.

---

> 115.900 bytes er lidt over 14 kilobyte. Det er ikke ret meget. Det er
> nok bare almindelig status trafik.


Almindelig hovedregning siger at du tager fejl og min lommeregner siger
113,18kilobyte, du skal ikke først dividere med 8 og så med 1024. Det står i
bytes, så det skal kun divideres med 1024

113 kilobyte er dog stadig ikke meget på 6 minutter. Det er slet ikke
usædvanligt at den står og snakker lidt med sig selv eller dem der vil
lytte.

--
Mvh. Kim Fritze Sillasen, Aalborg
Forget 911, I dial .357
Fjern JEGHADERSPAM for at maile mig direkte

---

On Mon, 29 Mar 2004 22:17:03 +0200, Kim Fritze Sillasen [9000] wrote:

>> 115.900 bytes er lidt over 14 kilobyte. Det er ikke ret meget. Det er
>> nok bare almindelig status trafik.
>
>
> Almindelig hovedregning siger at du tager fejl og min lommeregner siger
> 113,18kilobyte, du skal ikke først dividere med 8 og så med 1024. Det står i
> bytes, så det skal kun divideres med 1024

My bad. Jeg havde set punktummet som et komma.

>
> 113 kilobyte er dog stadig ikke meget på 6 minutter. Det er slet ikke
> usædvanligt at den står og snakker lidt med sig selv eller dem der vil
> lytte.

Det har du ret i.

Martin
--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af Cisco/Zyxel routere.

---

jacob wrote in <news:f97f99dc.0403291202.f81299@posting.google.com>:

> hvad kan der være galt?! jeg er bange for at nogen roder med min
> computer?! kan det være rigtigt?

Hvad siger 'netstat -an' ?

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Learn Postfix; live Postfix; love Postfix.

---

> > hvad kan der være galt?! jeg er bange for at nogen roder med min
> > computer?! kan det være rigtigt?
>
> Hvad siger 'netstat -an' ?

ok jeg ved ikke engang hvad netstat -an er men jeg kørte det og den
skrev følgende:
proto lokal adress
tcp 0.0.0.0:135
tcp 0.0.0.0:445
tcp 0.0.0.0:1025
tcp 0.0.0.0:1027
tcp 0.0.0.0:1106
tcp 0.0.0.0:5000
tcp 192.168.1.36:139
tcp 192.168.1.36:1104
tcp 192.168.1.36:1105
tcp 192.168.1.36:16012
UDP 0.0.0.0:135
UDP 0.0.0.0:445
UDP 0.0.0.0:1026
UDP 0.0.0.0:1028
UDP 0.0.0.0:1031
UDP 0.0.0.0:1056
UDP 0.0.0.0:1061
UDP 127.0.0.1:123
UDP 127.0.0.1:1037
UDP 127.0.0.1:1038
UDP 127.0.0.1:1900
UDP 192.168.1.36:123
UDP 192.168.1.36:137
UDP 192.168.1.36:138
UDP 192.168.1.36:1029
UDP 192.168.1.36:1900
UDP 192.168.1.36:10461

phyyy... ok alt det der siger mig ikke noget ud over at jeg tror min
ip er den sidste og så ved jeg at det efter kolon er porte.. men
ellers siger det mig ikke noget.

de andre der har svaret har sagt at det er normal traffic, og hvem ved
måske er det... men min ibm laptop med XP sender og modtager nærmest
intet i forhold!

håber i har en god påske allesammen!

Jacob

---

jacob wrote:

>> > hvad kan der være galt?! jeg er bange for at nogen roder med
>> > min computer?! kan det være rigtigt?
>>
>> Hvad siger 'netstat -an' ?
>
> ok jeg ved ikke engang hvad netstat -an er men jeg kørte det og

Netstat er et program til at vise aktive forbindelser.

> den skrev følgende:
> proto lokal adress
> tcp 0.0.0.0:135
[snip]

Der mangler noget... netstat outputter også en kolonne der hedder
"foreign address" (fremmed addresse) og en kolonne der hedder "state"
(tilstand). De mangler for at kunne sige noget ret præcist.

> tcp 0.0.0.0:5000

Den her undrer mig dog lidt. Hvad mon lytter på port 5000? Porten er
IANA-registreret til

commplex-main   5000/tcp
commplex-main   5000/udp

men kørte du den applikation (som jeg ikke kender), burde den nok også
lytte på udp:5000. Det ville bekymre mig hvis det var min maskine.

> phyyy... ok alt det der siger mig ikke noget ud over at jeg tror
> min ip er den sidste og så ved jeg at det efter kolon er porte..
> men ellers siger det mig ikke noget.
>
> de andre der har svaret har sagt at det er normal traffic, og hvem
> ved måske er det... men min ibm laptop med XP sender og modtager
> nærmest intet i forhold!

Mjaeh, jeg ville nok ikke føle mig helt tryg endnu, omend det sagtens
kan være noget uskyldigt. Prøv lige at se om ikke du kan spytte resten
af outputtet af 'netstat -an' ud. (De to sidste kolonner)

Måske andre har et bud på hvad der kunne finde på at lytte på tcp:5000?

> håber i har en god påske allesammen!

I lige måde.

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Bogus virus warnings are spam. Reject them using Postfix:
http://www.t29.dk/antiantivirus.txt

---

Ahhhh ja.. du har da ret! sorry!!!!

proto lokal adress
Fjernadresser Status
tcp 0.0.0.0:135 0.0.0.0:0
Listening
tcp 0.0.0.0:445 0.0.0.0:0
Listening
tcp 0.0.0.0:1025 0.0.0.0:0
Listening
tcp 0.0.0.0:1027 0.0.0.0:0
Listening
tcp 0.0.0.0:1106 0.0.0.0:0
Listening
tcp 0.0.0.0:5000 0.0.0.0:0
Listening
tcp 192.168.1.36:139 0.0.0.0:0
Listening
tcp 192.168.1.36:1104
195.149.159.156:80 Time_wait
tcp 192.168.1.36:1105
195.149.159.156:80 Time_wait
tcp 192.168.1.36:1106
195.149.159.156:80 Established
tcp 192.168.1.36:16012 0.0.0.0:0
Listening
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1026 *:*
UDP 0.0.0.0:1028 *:*
UDP 0.0.0.0:1031 *:*
UDP 0.0.0.0:1056 *:*
UDP 0.0.0.0:1061 *:*
UDP 127.0.0.1:123 *:*
UDP 127.0.0.1:1037 *:*
UDP 127.0.0.1:1038 *:*
UDP 127.0.0.1:1900 *:*
UDP 192.168.1.36:123 *:*
UDP 192.168.1.36:137 *:*
UDP 192.168.1.36:138 *:*
UDP 192.168.1.36:1029 *:*
UDP 192.168.1.36:1900 *:*
UDP 192.168.1.36:10461 *:*


Ved ikke lige hvad der gik galt for mig... havde simpelthen overset de
to sidste kolonner! Jeg ved godt det ikke er den mærkelige port 5000,
men denne ip (195.149.159.156:80) siger mig intet.... det er ikke min
externe?!

Jeg ved godt du sikkert er uddannet mht. til alt det her
netværkssikkerhed... men er der ikke en irc kanal eller noget man kan
være med på et dansk sted på nettet ... for det er noget der
interessere mig ret meget... jeg har også mac, og regner med at stille
en redhat (eller afaart) computer op ... vil gerne være dreven i flere
styresystemer. Og netværkssikkerhed er noget af det mest avancerede
anvendelige og mest spændende!

Nå men håber outputtet er lidt mere brugbart denne gang

og endnu en gang god påske!

J

---

POSTER IGEN FORDI DET IKKE ER TIL AT LÆSE! DET ER IKKE TIL AT FÅ DET
TIL AT SE ORDENTLIG UD::: HÅBER DET KAN LÆSES! ... Jacob

Ahhhh ja.. du har da ret! sorry!!!!

proto lokal adress Fjernadresser Status
tcp 0.0.0.0:135 0.0.0.0:0 List.
tcp 0.0.0.0:445 0.0.0.0:0 List.
tcp 0.0.0.0:1025 0.0.0.0:0 List.
tcp 0.0.0.0:1027 0.0.0.0:0 List.
tcp 0.0.0.0:1106 0.0.0.0:0 List.
tcp 0.0.0.0:5000 0.0.0.0:0 List.
tcp 192.168.1.36:139 0.0.0.0:0 List.
tcp 192.168.1.36:1104 195.149.159.156:80 Time_wait
tcp 192.168.1.36:1105 195.149.159.156:80 Time_wait
tcp 192.168.1.36:1106 195.149.159.156:80 Established
tcp 192.168.1.36:16012 0.0.0.0:0 List.
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1026 *:*
UDP 0.0.0.0:1028 *:*
UDP 0.0.0.0:1031 *:*
UDP 0.0.0.0:1056 *:*
UDP 0.0.0.0:1061 *:*
UDP 127.0.0.1:123 *:*
UDP 127.0.0.1:1037 *:*
UDP 127.0.0.1:1038 *:*
UDP 127.0.0.1:1900 *:*
UDP 192.168.1.36:123 *:*
UDP 192.168.1.36:137 *:*
UDP 192.168.1.36:138 *:*
UDP 192.168.1.36:1029 *:*
UDP 192.168.1.36:1900 *:*
UDP 192.168.1.36:10461 *:*


Ved ikke lige hvad der gik galt for mig... havde simpelthen overset de
to sidste kolonner! Jeg ved godt det ikke er den mærkelige port 5000,
men denne ip (195.149.159.156:80) siger mig intet.... det er ikke min
externe?!

Jeg ved godt du sikkert er uddannet mht. til alt det her
netværkssikkerhed... men er der ikke en irc kanal eller noget man kan
være med på et dansk sted på nettet ... for det er noget der
interessere mig ret meget... jeg har også mac, og regner med at stille
en redhat (eller afaart) computer op ... vil gerne være dreven i flere
styresystemer. Og netværkssikkerhed er noget af det mest avancerede
anvendelige og mest spændende!

Nå men håber outputtet er lidt mere brugbart denne gang

og endnu en gang god påske!

J

---

jacob wrote:

> Ved ikke lige hvad der gik galt for mig... havde simpelthen
> overset de to sidste kolonner! Jeg ved godt det ikke er den
> mærkelige port 5000, men denne ip (195.149.159.156:80) siger mig
> intet.... det er ikke min externe?!

Den behøver du formodentlig ikke bekymre dig så meget om. Det er en
webserver i Sverige (extralives-7.mon.pi.se) som du har forbindelse
til, næsten helt sikkert via din browser. Hvis du på den anden side er
sikker på du ikke havde en browser åben samtidig med, eller lige før,
du tog dit nestat snapshot, er det måske værd at undersøge nærmere.

Mere interessant er stadig den service der lytter på port 5000. Den er
du nok til til at undersøge nærmere. Start med at køre 'netstat -ano',
hvorved du får endnu en kolonne der hedder PID. Notér dig PID (process
ID) på den process der lytter på 0.0.0.0:5000. Derefter åbner du din
task manager (crtl-alt-del). Her vælger du fanebladdet "processer" og
går i menuen view->Select Columns. Her sætter du flueben ud for "PID
(process identifier)".

Nu kan du så på listen over processer finde den process der har det
samme PID som du så lytte på port 5000. Udover at poste svaret her, kan
du så evt. smide applikationens navn igennem google for at finde ud af
hvad det kan være.

> Jeg ved godt du sikkert er uddannet mht. til alt det her
> netværkssikkerhed...

Mjaeh... noget i den stil. Jeg er nu langt fra ekspert.

> men er der ikke en irc kanal eller noget man
> kan være med på et dansk sted på nettet ... for det er noget der
> interessere mig ret meget... jeg har også mac, og regner med at
> stille en redhat (eller afaart) computer op ... vil gerne være
> dreven i flere styresystemer. Og netværkssikkerhed er noget af det
> mest avancerede anvendelige og mest spændende!

Jeg er ikke så meget på irc længere, så der kan jeg ikke hjælpe dig.
Men hvis du vil starte med netværkssikkerhed, så læs dk.edb.sikkerheds
FAQ på
http://sikkerhed-faq.dk/

> Nå men håber outputtet er lidt mere brugbart denne gang

Tjoeh, det er nogenlunde lige ringe. Du vil nok med fordel kunne skifte
til en newsreader der bedre kan lade dig poste uombrudt tekst. Overvej
40tude Dialog, Thunderbird eller XNews. Eller prøv at spørge i
news://dk.edb.internet.software.mail+news

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Bogus virus warnings are spam. Reject them using Postfix:
http://www.t29.dk/antiantivirus.txt

---

>
> Mere interessant er stadig den service der lytter på port 5000. Den er
> du nok til til at undersøge nærmere. Start med at køre 'netstat -ano',
> hvorved du får endnu en kolonne der hedder PID. Notér dig PID (process
> ID) på den process der lytter på 0.0.0.0:5000. Derefter åbner du din
> task manager (crtl-alt-del). Her vælger du fanebladdet "processer" og
> går i menuen view->Select Columns. Her sætter du flueben ud for "PID
> (process identifier)".
>
> Nu kan du så på listen over processer finde den process der har det
> samme PID som du så lytte på port 5000. Udover at poste svaret her, kan
> du så evt. smide applikationens navn igennem google for at finde ud af
> hvad det kan være.
>

Hmm ok .. så har jeg endelig fået tjekket op på det. Det er et program
der hedder SVCHOST.EXE?! brugernavnet er "lokal tjeneste" hvilket ikke
sige mig noget, PID er forresten 980. Jeg slog det op på google, og
fandt bl.a. disse links:

http://www.mvps.org/sramesh2k/svchost.htm
http://www.pchell.com/virus/welchia.shtml

altså det lader til at svchost.exe er et kæmpe sikkerhedshul som
ormene kan bruge løs af.... men jeg prøvede at køre welch-fjerneren og
den fandt ingenting...

tror I det er virus? jeg har kørt panda online scan... og den fandt
ingenting...


hvad skal jeg finde på?... tænker på bare at formaterer hele lortet...
men er også bare træt af at det lader til at være den eneste sikre
løsning på de irriterende møjvirusser?!

J

---

On 05 Apr 2004 20:59:17 GMT, "Niels Callesøe" <pfy@nntp.dk> wrote:

>jacob wrote:
>
>>> > hvad kan der være galt?! jeg er bange for at nogen roder med
>>> > min computer?! kan det være rigtigt?
>>>
>>> Hvad siger 'netstat -an' ?
>>
>> ok jeg ved ikke engang hvad netstat -an er men jeg kørte det og
>
>Netstat er et program til at vise aktive forbindelser.
>
>> den skrev følgende:
>> proto lokal adress
>> tcp 0.0.0.0:135
>[snip]
>
>Der mangler noget... netstat outputter også en kolonne der hedder
>"foreign address" (fremmed addresse) og en kolonne der hedder "state"
>(tilstand). De mangler for at kunne sige noget ret præcist.
>
>> tcp 0.0.0.0:5000
>
>Den her undrer mig dog lidt. Hvad mon lytter på port 5000? Porten er
>IANA-registreret til
>
>commplex-main   5000/tcp
>commplex-main   5000/udp
>

Det er windows "UPnP device Host". Servicen lytter efter om der nogle
universal Plug 'n play enheder på netværket. Jeg har svært ved at
forestille hvor mange der bruger det. Servicen kan med fordel disables
i win..

>men kørte du den applikation (som jeg ikke kender), burde den nok også
>lytte på udp:5000. Det ville bekymre mig hvis det var min maskine.
>
>> phyyy... ok alt det der siger mig ikke noget ud over at jeg tror
>> min ip er den sidste og så ved jeg at det efter kolon er porte..
>> men ellers siger det mig ikke noget.
>>
>> de andre der har svaret har sagt at det er normal traffic, og hvem
>> ved måske er det... men min ibm laptop med XP sender og modtager
>> nærmest intet i forhold!
>
>Mjaeh, jeg ville nok ikke føle mig helt tryg endnu, omend det sagtens
>kan være noget uskyldigt. Prøv lige at se om ikke du kan spytte resten
>af outputtet af 'netstat -an' ud. (De to sidste kolonner)
>
>Måske andre har et bud på hvad der kunne finde på at lytte på tcp:5000?
>
>> håber i har en god påske allesammen!
>
>I lige måde.