| Terminál Fórum https://www.technokrata.hu/forum/ |
|
| Portal of Doom trójai help!!! https://www.technokrata.hu/forum/viewtopic.php?f=20&t=9080 |
Oldal: 1 / 1 |
| Szerző: | Tigryss [ szer. dec. 31, 2003 12:34 ] |
| Hozzászólás témája: | |
Nem tudom, de minden esetre már csak jövőre nyúlok a géphez. Addig is mindenkinek köszönöm a segítséget, és BUÉK. |
|
| Szerző: | Laali [ szer. dec. 31, 2003 8:38 ] |
| Hozzászólás témája: | |
A Network funkció egyáltalán kell valamire, vagy ki lehet kepcsolni ? |
|
| Szerző: | Tigryss [ szer. dec. 31, 2003 0:13 ] |
| Hozzászólás témája: | |
Ennek örömére végigcsináltam a leírtakat. De a DiskJuggler indításakor mégis megjelenik a riasztás. Mit tegyek a NPF-val, hogy ne csesztessen? |
|
| Szerző: | Tigryss [ kedd dec. 30, 2003 23:07 ] |
| Hozzászólás témája: | |
Lehet benne hatalmas igazság, mivel most megnéztem, és közvetlenül a dj megnyitása után, és a másolás megkezdésekor jelentkezik a riasztás. |
|
| Szerző: | Tigryss [ kedd dec. 30, 2003 23:05 ] |
| Hozzászólás témája: | |
Ha jól értem és jól olvastam a linkeket, a Disc juggler használja ezeket a portoka. Mivel a portal of doom (ha feljut a gépre) is ezt használja a norton firewall nem nézi, hogy melyik process akar kijutni, csak blokkolja a portot. Jól értem? |
|
| Szerző: | johnnyrotten [ kedd dec. 30, 2003 21:42 ] |
| Hozzászólás témája: | |
Laali: ennek nagyon bingo szaga van... http://www.cdrinfo.com/Sections/Article ... T&Series=0 |
|
| Szerző: | Laali [ kedd dec. 30, 2003 21:39 ] |
| Hozzászólás témája: | |
http://www.padus.com/support/manuals/40 ... Server.htm |
|
| Szerző: | Laali [ kedd dec. 30, 2003 21:31 ] |
| Hozzászólás témája: | |
Lehet, hogy tévedek, de azt hiszem, hogy a Disk Juggler programot láttam hasonló összefüggésben valahol. cdj.exe néven ez a program fut is. Lehetséges, hogy ennek a hálózati része, amely a riasztást okozza...ez használja a 3700-as portot... |
|
| Szerző: | johnnyrotten [ kedd dec. 30, 2003 21:04 ] |
| Hozzászólás témája: | |
Nem az általam ajánlott linkre (az ott írtakból semmi nem stimmel a te esetedre, ezért is gondolok vakriasztásra) gondoltam, hanem a Laali által ajánlottra: http://service1.symantec.com/SUPPORT/ni ... ar_sch_nam Ha esetleg ez a link sem működne nálad, a következőt kéne megpróbálni: To configure NIS and NPF exclusions Exit all open programs. Open Norton Internet Security or Norton Personal Firewall. Double-click Intrusion Detection, and then click Signatures. This opens the Signature Exclusions list. Choose Invalid IP Flags from the list, and then click Exclude. Click OK, and then click OK again. |
|
| Szerző: | Tigryss [ kedd dec. 30, 2003 20:55 ] |
| Hozzászólás témája: | |
Nem próbáltam, aminek két oka van: 1. az általad beírt linket nem találja az exlorer 2. http://www.dark-e.com/archive/trojans/pod/index.shtml az itt leírtak szerint ezeket a portokat a trójai használja, ha kikapcsolom a figyelését, félek, hogy szabad lesz a jövés menés. Az már egy érdekesebb kérdés, hogy az inbound megjelölés külső behatolási kísérletet jelez, vagy belűlről kifelé irányuló forgalmat!? Mert kérdés, hogy a trójai valóban bent van-e, vagy bejutni próbál. Erre tud walaki választ adni? |
|
| Szerző: | johnnyrotten [ kedd dec. 30, 2003 20:01 ] |
| Hozzászólás témája: | |
Ja: ezek itt alant Tigryss futó dolgai. Én nem látok semmi Portal of Doomra utalót benne. Tigryss: annál a műholdas gubancnál ajánlott "Invalid IP Flags"-figyelés kikapcsolást próbáltad? |
|
| Szerző: | johnnyrotten [ kedd dec. 30, 2003 19:25 ] |
| Hozzászólás témája: | |
http://www.startadsl.hu/johnnyrotten/image001.jpg |
|
| Szerző: | Tigryss [ kedd dec. 30, 2003 17:03 ] |
| Hozzászólás témája: | |
Dobtam mélt. A kérdésedre nem tudom a választ. |
|
| Szerző: | Laali [ kedd dec. 30, 2003 14:46 ] |
| Hozzászólás témája: | |
A riasztásban az "inbound" befelé irányuló forgalmat, kintről az Internet felől, jelent ? |
|
| Szerző: | johnnyrotten [ kedd dec. 30, 2003 13:24 ] |
| Hozzászólás témája: | |
Ha elküldöd a képet a johnnyrotten(kukac)mailbox.hu címre, én szívesen kirakom ide. |
|
| Szerző: | Laali [ kedd dec. 30, 2003 13:06 ] |
| Hozzászólás témája: | |
Ebben valószínűen nincs ilyen program. Még kellene a másik lista is, ha abban látható egyáltalán... |
|
| Szerző: | Tigryss [ kedd dec. 30, 2003 11:41 ] |
| Hozzászólás témája: | |
Autoruns.txt a riasztáskor: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit + C:WINDOWSsystem32userinit.exe HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell + Explorer.exe HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemShell HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun + "C:Program FilesCommon FilesSymantec SharedccApp.exe" + "C:Program FilesCommon FilesSymantec SharedccRegVfy.exe" + RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup + nwiz.exe /install + "F:DVDClone DVDElbyCheck.exe" /L ElbyDelay + C:WINDOWSsystem32NeroCheck.exe + "F:Cd írókCloneCDElbyCheck.exe" /L ElbyCDFL + "C:Program FilesTrojanHunter 3.7THGuard.exe" HKCUSoftwareMicrosoftWindowsCurrentVersionRun + "C:Program FilesBuyPin SoftwareAdvertising Killerakiller.exe" HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce HKCUSoftwareMicrosoftWindowsCurrentVersionRunServices HKCUSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce C:Documents and SettingsAll UsersStart MenuProgramsIndítópult + GetRight - Tray Icon.lnk -> F:GetRightgetright.exe + InterVideo WinCinema Manager.lnk -> F:DVDCommonBinWinCinemaMgr.exe + Microsoft Office.lnk -> C:Program FilesMicrosoft OfficeOffice10OSA.EXE C:Documents and SettingsJohnnyStart MenuProgramsIndítópult HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad + PostBootReminder -> C:WINDOWSsystem32shell32.dll + CDBurn -> C:WINDOWSsystem32shell32.dll + WebCheck -> C:WINDOWSsystem32webcheck.dll + SysTray -> C:WINDOWSsystem32stobject.dll HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsRun HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsLoad HKCUSoftwarePoliciesMicrosoftWindowsSystemScripts HKLMSoftwarePoliciesMicrosoftWindowsSystemScripts HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnceEx C:WINDOWSwin.ini Task Scheduler + C:Program FilesSymantecLiveUpdateNDETECT.EXE |
|
| Szerző: | Laali [ kedd dec. 30, 2003 9:53 ] |
| Hozzászólás témája: | |
Az adatokból ez az Internet a TEREZVAROS-KTV-NET Terezvaros Cable Television Ltd. Lehet, hogy a szolgáltatót kellene megkérdezni, hogy nem a rendszer valamelyik része használja-e az adott portot, hasonlóan a Symantec által adott műholdas leíráshoz. |
|
| Szerző: | Laali [ kedd dec. 30, 2003 9:35 ] |
| Hozzászólás témája: | |
Az autoruns-ból menthető szöveges állományba, vagy kiteszi a vágólapra szövegként, ahonnan beilleszthető. |
|
| Szerző: | johnnyrotten [ kedd dec. 30, 2003 9:23 ] |
| Hozzászólás témája: | |
Ha még nincs, regisztrálsz valahol tárhelyet (pl. http: //csucs.hu/ ), felnyomod a képet, simán idelinkeled, és kész. |
|
| Szerző: | Tigryss [ kedd dec. 30, 2003 0:53 ] |
| Hozzászólás témája: | |
Ha walaki megmondja hogyan tudom ide másolni a képeket. Már teszem is fel. a norton ezt írja róla: Details: Rule "Default Block Portal of Doom Trojan horse" blocked (bsaftpz-0h0cqov(193.110.58.142),3700) Inbound UDP packet Local address,service is (255.255.255.255,3700) Remote address,service is (bsaftpz-0h0cqov(193.110.58.142),1093) Process name is "N/A" |
|
| Szerző: | pazsitfu [ hétf. dec. 29, 2003 20:54 ] |
| Hozzászólás témája: | |
Nekem is hasonló problémám van, de Valakik szerint az én gépemen mindenféle trójai található. HELP ME!!! PLEASE!!! |
|
| Szerző: | pazsitfu [ hétf. dec. 29, 2003 20:54 ] |
| Hozzászólás témája: | |
Nekem is hasonló problémám van, de Valakik szerint az én gépemen mindenféle trójai található. HELP ME!!! PLEASE!!! |
|
| Szerző: | pazsitfu [ hétf. dec. 29, 2003 20:54 ] |
| Hozzászólás témája: | |
Nekem is hasonló problémám van, de Valakik szerint az én gépemen mindenféle trójai található. HELP ME!!! PLEASE!!! |
|
| Szerző: | Signal [ hétf. dec. 29, 2003 15:08 ] |
| Hozzászólás témája: | |
> Feladó: Laci_L <lnagyl@ixxxx.xx> > Címzett: <> > Dátum: 2003-12-28 19:46:18 > > Most jut eszebe, az MBR-ben is megbújhat valami, hiába tölöd ki akármivel, > bootoláskor újra írja. > csak Win98 és társainál: > > DOS -ban idítsd a gépet > fdisk /mbr (ez kitörli az MBR-t) > Utána: sys c: (ez visszaállítja, de ha volt benne valami, az már nem lesz > ott) > > Hátha. XP-re ilyen ötletem nincs, ha van is, nem ismerem. A jelenleg tárgyalt témában szerintem nincs ennek túl sok értelme, de azért pontosítsunk, mert így nem lesz jó: fdisk /mbr: az MBR-ben található betöltőkódot írja felül standard DOS formátumra. Ez a parancs bármilyen oprendszer esetében alkalmazható, mert a szabványos MBR, illetve partíciós tábla egységesen használatosak a különféle oprendszerek által, legalábbis a "hagyományos" 32 bites PC-ken. Fixmbr: 2k/XP Javítókonzolban működik, gyakorlatilag ugyanaz, mint az fdisk /mbr. SYS C: az aktív partíció bootszektorában lévő betöltőkódot írja felül olyanra, ami kimondottan egy DOS alapú rendszerhez való, és az io.sys megfelelő indítását szolgálja. Továbbá létrehoz/felülír néhány rendszerfájlt (io.sys, command.com, msdos.sys), így a verziószám sem közömbös. Fixboot: hasonló, mint a SYS parancs, de Win2k/XP-hez való és csak bootszektor javítást csinál. Az így kialakított boot-kód az ntldr indítását szolgálja. |
|
| Szerző: | johnnyrotten [ hétf. dec. 29, 2003 11:25 ] |
| Hozzászólás témája: | |
Pl. valami ilyesmi sokat segítene, hogy segíthessünk: http://www.startadsl.hu/johnnyrotten/tasklist.png |
|
| Szerző: | Laali [ hétf. dec. 29, 2003 10:34 ] |
| Hozzászólás témája: | |
Próbáld meg az autoruns program által készített listát, meg a riasztáskor futó programok listáját a task menedzserből, kitenni ide a fórumra. Hátha megtalálható benne valamilyen program.... |
|
| Szerző: | Tigryss [ vas. dec. 28, 2003 23:13 ] |
| Hozzászólás témája: | |
Nos az én gépemen XP van. Ami bosszant az az, hogy a norton firewall látja a trójait, a NAV 2003 meg nem találja. És hogy még mi nem? PestPatrol, Advanced administrativ tools, Trojan hunter 3.7. Az utóbbi még a víruslistája szerint ismeri is, de nem találja. Kezdek idegalapon lenni a probléma miatt. |
|
| Szerző: | Laci_L [ vas. dec. 28, 2003 19:46 ] |
| Hozzászólás témája: | |
Most jut eszebe, az MBR-ben is megbújhat valami, hiába tölöd ki akármivel, bootoláskor újra írja. csak Win98 és társainál: DOS -ban idítsd a gépet fdisk /mbr (ez kitörli az MBR-t) Utána: sys c: (ez visszaállítja, de ha volt benne valami, az már nem lesz ott) Hátha. XP-re ilyen ötletem nincs, ha van is, nem ismerem. |
|
| Szerző: | Tigryss [ szomb. dec. 27, 2003 23:47 ] |
| Hozzászólás témája: | |
Korai volt az öröm. Ismét riasztás hegyek. Walaki tudna gyógyírt??? |
|
| Szerző: | Tigryss [ szomb. dec. 27, 2003 12:21 ] |
| Hozzászólás témája: | |
Tudsz erre valamilyen módszert? Az átjáró címéhez adott hozzá egy 1500-2000 közötti számot. Azóta nem volt riasztás, kivéve azt a kedves illetőt aki a terézváros kábeltévés netjéről próbálkozik naponta több alkalommal. A Portal of Doom azóta nem jelentkezett. |
|
| Szerző: | Laali [ pén. dec. 26, 2003 10:17 ] |
| Hozzászólás témája: | |
A leírásban arról volt szó, hogy az adott portot nem a vírus használja, hanem ebben az esetben egy hasznos program a komunikációra. Lehetséges ilyen is, a víruskereső ezért nem találja meg. Nem hiszem, hogy így megoldódott volna a probléma. Valahogy meg kellen nézni, hogy pontosan melyik az a program, és az tényleg vírus-e, vagy valamihez kell. |
|
| Szerző: | Tigryss [ csüt. dec. 25, 2003 19:37 ] |
| Hozzászólás témája: | |
Ennek örülnék a legjobban!!! regnap 10 riasztás volt, ma csak kettő az is délelőtt. Remélem, hogy vége... |
|
| Szerző: | Laali [ csüt. dec. 25, 2003 11:01 ] |
| Hozzászólás témája: | |
Egy hamis riasztás leírását találtam még, de ez műholdas Internetnél van: http://service1.symantec.com/SUPPORT/ni ... ar_sch_nam |
|
| Szerző: | Tigryss [ csüt. dec. 25, 2003 10:02 ] |
| Hozzászólás témája: | |
Ezt már signal is elküldte, de nincs ilye file ill. registri bejegyzés a gépen. |
|
| Szerző: | Laali [ szer. dec. 24, 2003 19:36 ] |
| Hozzászólás témája: | |
Talán egy megoldás... http://www.dark-e.com/archive/trojans/pod/index.shtml |
|
| Szerző: | Tigryss [ szer. dec. 24, 2003 15:24 ] |
| Hozzászólás témája: | |
Tanácstalanságom egyre nő. Signal az általad ajánlott prg sem mutatott gyanús prohttp://www.dark-e.com/archive/trojan ... shtmlcesst. Az itt fellelhető összes fájlra rákerestem, eredmény nélkül. Az adaware sem talált semmit 1. Trojan Defense Suite 3.20 2. Trojan Remover 6.1.3 3. The Cleaner 4.0 Build 4138 sem. Pedig a Firewall szerint itt van. |
|
| Szerző: | Signal [ szer. dec. 24, 2003 12:46 ] |
| Hozzászólás témája: | |
Kereshetsz azért a vinyón ljsgz.exe nevű fájlt, ha nincs akkor úgylátszik többféle változata van a trójainak. Van egy jó kis proram: http://www.sysinternals.com/ntw2k/freew ... runs.shtml Áttekinthetően megmutat minden eldugott reg. kulcsot, ahol automatikusan induló programok előfordulhatnak, így rögtön feltűnhet ami gyanús, nem odavaló: http://www.sysinternals.com/images/scre ... unshot.gif |
|
| Szerző: | Laci_L [ szer. dec. 24, 2003 11:30 ] |
| Hozzászólás témája: | |
Figyelj, az előbb lemaradt: Ad-Aware Prof 6.181 Próbáld meg. Minden Spyware -t kiszed. A registry -ből is! Hátha ez is benne van. Ha nem, marad amit Signal írt. Tanulság: Zone Alarm és Norton Antivirus. Így már szinete tutti a biztonság. 100% nincs. Az a kikapcsolt gép. |
|
| Szerző: | Tigryss [ szer. dec. 24, 2003 11:28 ] |
| Hozzászólás témája: | |
Walaki segítsen please!!! |
|
| Szerző: | Tigryss [ szer. dec. 24, 2003 9:57 ] |
| Hozzászólás témája: | |
Én tök lámer vagyok az ilyen mélységű turkáláshoz, de nem találok RunServices-t. Run-ból van 3-is: Run, RunOnce, RunOnceEx. Egyikben sincs String. ljsgz.exe futó prg sincs.A Norton Personal firevall üzenete kb 20 percenként: Attempt to connect to local computer using the portal of doom trojan horse blocked.+idő+dátum, prtocol UDP, Remote adress: a saját IP cimem:1042 vagy valami hasonló szám. Közli velem a leírásben, hogy semmit sem kell tennem, futtassak system scant, és a norton majd jól megtalálja. Nem ez történik. VALAKI SEGÍTSEN LÉGYSZI LÉGYSZI!!!! |
|
| Szerző: | Signal [ szer. dec. 24, 2003 9:08 ] |
| Hozzászólás témája: | |
http://www.dark-e.com/archive/trojans/pod/index.shtml Manual removal: 1.Remove the String key in the registry located at HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices Which can be done with regedit or any other registry editing program. 2. Reboot the computer or close ljsgz.exe. 3. Delete the trojan file ljsgz.exe in the windows system directory. |
|
| Szerző: | Tigryss [ szer. dec. 24, 2003 8:05 ] |
| Hozzászólás témája: | |
Eredmények: Ceaner: semmit nem talált PDG: 3 trójai, de egyik sem a portal of doom PestPatrol: Talált néhány szemetet, de nem engedi kitörölni, mivel nincs regisztrálva. (egyik sem a Portal of doom, vagy annak része) Segtítsetek kérlek. A fent említett trójai még mindig próbálkozik a netre menni. Tehát van. Ha valami megoldó prg-tek van: johnnyp@hdsnet.hu-ra küldjétek. Előre is köszönöm. Tigryss |
|
| Szerző: | johnnyrotten [ kedd dec. 23, 2003 22:49 ] |
| Hozzászólás témája: | |
http://www.pestpatrol.com/pestinfo/p/portal_of_doom.asp (Manual removal) Vagy egy remek komplett PestPatrol... |
|
| Szerző: | Laci_L [ kedd dec. 23, 2003 16:01 ] |
| Hozzászólás témája: | |
Próbáld meg: 1. Trojan Defense Suite 3.20 (elég macerás frissíteni ha nem vetted meg) 2. Trojan Remover 6.1.3 3. The Cleaner 4.0 Build 4138 Leszedhető (nem tudom melyikről jöttek, de ezeket az oldalakat NAPONTA érdemes figyelni) http://www.e-lunatic.org.uk/ http://www.appzplanet.com/ http://www.directdl.com/ http://www.0daycn.net/new/0daycn_1.htm Valamelyik biztos rálel. Addig ne nagyon Internetezz. Sok szerencsét. |
|
| Szerző: | Tigryss [ kedd dec. 23, 2003 12:24 ] |
| Hozzászólás témája: | |
Sziasztok! A norton personal firewall, naponta tobbször jelzi, hogy a fent leírt trójai ki akart menni a netre, de nem engedte. A nav 2003 nem találja (fullra frissítve). Cleaner nem találja. Az AAtools megtalálja a registriben, kitörlöm, de egy óra múlva újra él. Segítsetek, hogyan lehet eltávolítani! Boldog karácsonyt mindenkinek. |
|
| Oldal: 1 / 1 | Időzóna: UTC + 1 óra |
| Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group http://www.phpbb.com/ |
|
