Usædvanlig mange pakker/bytes sendes og modtages

hent process hacker

her kan du se alt hvad der arbejder på din pc
der må vøre en mulighed for at du den vej kan finde den store synder
så er der ikke så meget gætteri

det kan stoppe og starte servicess - ja selv vira kan den stoppe

http://processhacker.sourceforge.net/

du kan trykke og højre klikke på næsten alt på en service men pas lidt på

m.v.h

Er det ikke bare det samme som processexplorer fra sysinternal?

Det ligner meget det samme, men det her viser lidt mere, men jeg ved ikke hvad jeg skal kigge efter.

Jeg kan jo igen bare se at der stadig er ufattelig mange dns.exe som køre, men ikke hvorfor.

gør det nu ikke sværere end det er.
hvis du højre klikker på den du vil undersøge er der jo noget der hedder properties og denne vej vil jo så vise dig hvad det er for noget den kører
der ligger også længere nede search online
der viser google dig hvad det er
se også under services hvad der kører
når du finder

ofte er det dit virus program og andet der hele tiden tjekker

dns.exe køre med 2500 processer og der er ikke noget i processhacker eller processexplorer der fortæller mig hvorfor.

http://www.google.dk/#hl=da&cp=8&gs_id=4&xhr=t&q=dns.exe+port+6666&pf=p&sclient=psy-ab&site=&source=hp&pbx=1&oq=dns.exe+&aq=0&aqi=g4&aql=&gs_sm=&gs_upl=&bav=on.2,or.r_gc.r_pw.r_cp.,cf.osb&fp=2ff9a6709f26f58a&biw=1227&bih=844

bruger du mcafee

Nej jeg bruger ikke mcafee

begynder at mistænke du er ramt af en rootkit af en slags
hvilket virus program kører du med
en opstarts scaning af maskinen kunne jo være en løsning

http://www.mcafee.com/us/downloads/free-tools/stinger.aspx

du kunne prøve med denne her

http://www.softpedia.com/dyn-postdownload.php?p=7356&t=0&i=1

m.v.h

Jeg har allerede scannet med F-Secure Blacklight, McAfee Stinger og Sophos og der er ikke nogen af dem der finder noget. Jeg har prøvet og scanne med RootKitRevealer fra Sysinternal men jeg kan ikke få den til og køre via fjernskrivebord.

hent og opdater mailware bytes slå den over på fuld scaning og lad den fjerne hvad den finder

den er helt gratis men husk i freeware versionen skal du SELV hver dag opdatere den - det sker auto i den købte version

http://www.malwarebytes.org/

hent den her auto

http://download.cnet.com/3001-8022_4-10804572.html?spi=6bc08a5daf30555fe7302ee50c6d65bc&part=dl-10804572

m.v.h

jamen endnu en gang
hvad hedder dit virus program

her kan du se under min process hacker at det er heimdal agenten der bruges

http://www.imgplace.com/viewimg827/5539/55netvrksproblemer.jpg

heimdal agent bruger jeg til at opdatere auto adobe og andre programmer med
det kunne process hacker let vise mig
det kan den altså også i din

som vist ved de 2 pile nederst
så længe du ikke stopper noget sker der intet ved at højre klikke på noget
det er det samme du kan i windows men her er den bar meget mere detaljeret og kan så jo også en del mere
den kan stoppe og fjerne tjenester der kører via spyware så man har muligheden for at fjerne dem når de er deaktiveret
brug lidt tid på den - den er ikke så svær at finde ud af

hvis vi ikke finder den så ominstaler dit styresystem når alt andet er svipset
så er den men ikke hvis den ligger i et backup - der skal den også fjernes fra

Vil du forklare hvordan det lidt. Jeg kan ikke se hvordan jeg via det program kan se hvad der bruger dns.exe og får dns.exe køre omkring 2500 gange. Som du kan se her så kan jeg via TCPview se at dns.exe kan ufattelig mange gange http://peecee.dk/upload/view/339428 det er jo ikke normalt.

det er meningen du skal kigge på det billede jeg lavede til dig
højre klik på dns og der ligger mulighederne klar til brug
et stykke nede kam du trykke på properties
der er mange muligheder

http://www.imgplace.com/viewimg827/5539/55netvrksproblemer.jpg


den mulighed kan jeg ikke på din maskine

Jeg ved godt du ikke kan gøre det på min server, men du kan fortælle mig hvor jeg skal kigge hvis jeg fx. vælger egenskaber på dns.exe

du starter process hacker op
processes
finder den du har mistanke til og højre klikker på den

Ja men hvad skal jeg kigge efter

dit problem er

"Usædvanlig mange pakker/bytes sendes og modtages"

du skal jo så se hvad det er der sender hele tiden

har du tjekket den med mailware bytes som jeg skrev i link 11

Jeg har lige kørt en skanning og den finder ikke noget.

Prøv og se egenskaberne for dns.exe, fortæller det dig noget?
http://peecee.dk/upload/view/340458

det jeg så var denne her men ved ikke om det er korrekt

http://spywarefiles.prevx.com/RRFIGF43265352/ADVAPL32.DLL.html

men i det tilfælde er det muligvis spyware relateret

denne her skal være der som der står

http://www.imgplace.com/viewimg708/4859/81spywarerealitet.jpg

rens din maskine med ccleaner

ccleaner free

http://www.piriform.com/ccleaner/download

hvilket virus program bruger du

http://www.eksperten.dk/list/aabnespoergsmaal/thomasmyg

procecces-services-network-disk
i process hacker slå den over på

services og se hvilke der kører

eller over på network
det må være muligt den vej at finde den

Jeg går ud fra at du mener advapi32.dll.......... og jeg har googlet filen og jeg kan ikke se nogen steder at det skulle være en "dårlig" fil.

Her er mine kilder: http://www.processlibrary.com/directory/files/advapi32/22015/

http://msdn.microsoft.com/en-us/library/windows/desktop/aa379180(v=vs.85).aspx

Hvad er dine kilder, som siger det er en "dårlig" fil?

nej jeg er ikke sikker på noget som helst
det kan være helt naturligt den skal gøre det - jeg viste dig bare et værktøj der har fantastisk mange muligheder

det kan være ting du har inde - programmer eller andet der hele tiden søger online at opdaterere - her er virus programmer ofte synderen

hvis det er vira eller spyware havde du muligheden at stoppe den service via process hacker og fjerne den fordi det kan den

ellers ved jeg ikke hvad det er

Jeg har scannet med flere antivirus og antirootkit programmer og der bliver ikke fundet noget.

Jeg har ikke nogen programmer installeret som ikke har noget med windows og gøre.

Har du overvejet bare at starte med en kommando prompt og så skrive: netstat -b

så kan du ihvertilfælde se forbindelser der bruger dns.exe

Såfremt det er en masse eksterne addresser der prøver at få fat på den, vil jeg foreslå dig at tjekke din firewall igennem for huller i opsætningen.

2500 kørende processer der alle er dns.exe virker meget voldsomt.

For mere omkring monitorering af performance på dns, kig her.

http://technet.microsoft.com/en-us/library/cc778608.aspx

hvorofor bruger du svar der kun er til lukning darkingdk

det skal du kun bruge hvis du bliver bedt om det

Ja det er nemlig mange, er der en kommando så man kan få netstat til at skrive resultatet i en tekst fil?

Hej Thomas.

Alle dos Kommandoer kan pipes direkte til en text fil, du gør bare sådan her.

netstat -b >C:\dnsliste.txt

> piper altid skærm output direkte ned i en fil, som du angiver efter pipen

treatmenice: Jeg ved ikke lige helt hvad du snakker om?

Jeg gav svar på spørgsmålet, som var hvordan man så hvor dns requests kom fra.

Jeg har prøvet nogle forskellige variationer fx. netstat -b <C:\dnsliste.txt> men jeg får ikke nogen tekst fil på C:

Du skal sørge for at vende pipen korrekt ;-)

netstat -b >C:\test.txt

hvis den vender sådan her > sender den indhold til en fil
hvis den vender den anden vej, kan man potientielt kaste indhold ind i noget andet, dette virker dog normalt ikke på programmer :)

Nu får jeg så bare access denied og det er selvom jeg køre cmd som administrator.

Pas, kørte du det ikke på en Domaincontroller?

Normalt ville access denied være noget UAC i f.eks windows 7 der forhindre dig i at gemme på C:\ drevet, ved ikke lige om en Server gør det.

Jo det er på en domain controller.

Jeg er ikke kommet tættere på en løsning, vil lukke spørgsmålet. Vender tilbage hvis der skulle komme en løsning.