Nem tudom, de minden esetre már csak jövőre nyúlok a géphez. Addig is mindenkinek köszönöm a segítséget, és BUÉK.

A Network funkció egyáltalán kell valamire, vagy ki lehet kepcsolni ?

Ennek örömére végigcsináltam a leírtakat. De a DiskJuggler indításakor mégis megjelenik a riasztás. Mit tegyek a NPF-val, hogy ne csesztessen?

Lehet benne hatalmas igazság, mivel most megnéztem, és közvetlenül a dj megnyitása után, és a másolás megkezdésekor jelentkezik a riasztás.

Ha jól értem és jól olvastam a linkeket, a Disc juggler használja ezeket a portoka. Mivel a portal of doom (ha feljut a gépre) is ezt használja a norton firewall nem nézi, hogy melyik process akar kijutni, csak blokkolja a portot. Jól értem?

Laali: ennek nagyon bingo szaga van...

http://www.cdrinfo.com/Sections/Article ... T&Series=0

Lehet, hogy tévedek, de azt hiszem, hogy a Disk Juggler programot láttam hasonló összefüggésben valahol.
cdj.exe néven ez a program fut is.
Lehetséges, hogy ennek a hálózati része, amely a riasztást okozza...ez használja a 3700-as portot...

Nem az általam ajánlott linkre (az ott írtakból semmi nem stimmel a te esetedre, ezért is gondolok vakriasztásra) gondoltam, hanem a Laali által ajánlottra:
http://service1.symantec.com/SUPPORT/ni ... ar_sch_nam

Ha esetleg ez a link sem működne nálad, a következőt kéne megpróbálni:

To configure NIS and NPF exclusions
Exit all open programs.
Open Norton Internet Security or Norton Personal Firewall.
Double-click Intrusion Detection, and then click Signatures. This opens the Signature Exclusions list.
Choose Invalid IP Flags from the list, and then click Exclude.
Click OK, and then click OK again.

Nem próbáltam, aminek két oka van:
1. az általad beírt linket nem találja az exlorer
2. http://www.dark-e.com/archive/trojans/pod/index.shtml
az itt leírtak szerint ezeket a portokat a trójai használja, ha kikapcsolom a figyelését, félek, hogy szabad lesz a jövés menés. Az már egy érdekesebb kérdés, hogy az inbound megjelölés külső behatolási kísérletet jelez, vagy belűlről kifelé irányuló forgalmat!? Mert kérdés, hogy a trójai valóban bent van-e, vagy bejutni próbál. Erre tud walaki választ adni?

Ja: ezek itt alant Tigryss futó dolgai. Én nem látok semmi Portal of Doomra utalót benne.

Tigryss: annál a műholdas gubancnál ajánlott "Invalid IP Flags"-figyelés kikapcsolást próbáltad?

Dobtam mélt. A kérdésedre nem tudom a választ.

A riasztásban az "inbound" befelé irányuló forgalmat, kintről az Internet felől, jelent ?

Ha elküldöd a képet a johnnyrotten(kukac)mailbox.hu címre, én szívesen kirakom ide.

Ebben valószínűen nincs ilyen program.
Még kellene a másik lista is, ha abban látható egyáltalán...

Autoruns.txt a riasztáskor:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit

+ C:WINDOWSsystem32userinit.exe

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell

+ Explorer.exe

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemShell

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

+ "C:Program FilesCommon FilesSymantec SharedccApp.exe"

+ "C:Program FilesCommon FilesSymantec SharedccRegVfy.exe"

+ RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup

+ nwiz.exe /install

+ "F:DVDClone DVDElbyCheck.exe" /L ElbyDelay

+ C:WINDOWSsystem32NeroCheck.exe

+ "F:Cd írókCloneCDElbyCheck.exe" /L ElbyCDFL

+ "C:Program FilesTrojanHunter 3.7THGuard.exe"

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

+ "C:Program FilesBuyPin SoftwareAdvertising Killerakiller.exe"

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce

HKCUSoftwareMicrosoftWindowsCurrentVersionRunServices

HKCUSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce

C:Documents and SettingsAll UsersStart MenuProgramsIndítópult

+ GetRight - Tray Icon.lnk -> F:GetRightgetright.exe

+ InterVideo WinCinema Manager.lnk -> F:DVDCommonBinWinCinemaMgr.exe

+ Microsoft Office.lnk -> C:Program FilesMicrosoft OfficeOffice10OSA.EXE

C:Documents and SettingsJohnnyStart MenuProgramsIndítópult

HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad

+ PostBootReminder -> C:WINDOWSsystem32shell32.dll

+ CDBurn -> C:WINDOWSsystem32shell32.dll

+ WebCheck -> C:WINDOWSsystem32webcheck.dll

+ SysTray -> C:WINDOWSsystem32stobject.dll

HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsRun

HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsLoad

HKCUSoftwarePoliciesMicrosoftWindowsSystemScripts

HKLMSoftwarePoliciesMicrosoftWindowsSystemScripts

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun

HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun

HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce

HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnceEx

C:WINDOWSwin.ini

Task Scheduler

+ C:Program FilesSymantecLiveUpdateNDETECT.EXE

Az adatokból ez az Internet a TEREZVAROS-KTV-NET Terezvaros Cable Television Ltd.
Lehet, hogy a szolgáltatót kellene megkérdezni, hogy nem a rendszer valamelyik része használja-e az adott portot, hasonlóan a Symantec által adott műholdas leíráshoz.

Az autoruns-ból menthető szöveges állományba, vagy kiteszi a vágólapra szövegként, ahonnan beilleszthető.

Ha még nincs, regisztrálsz valahol tárhelyet (pl. http:
//csucs.hu/ ), felnyomod a képet, simán idelinkeled, és
kész.

Ha walaki megmondja hogyan tudom ide másolni a képeket. Már teszem is fel. a norton ezt írja róla:


Details: Rule "Default Block Portal of Doom Trojan horse" blocked (bsaftpz-0h0cqov(193.110.58.142),3700)
Inbound UDP packet
Local address,service is (255.255.255.255,3700)
Remote address,service is (bsaftpz-0h0cqov(193.110.58.142),1093)
Process name is "N/A"

Nekem is hasonló problémám van, de Valakik szerint az én gépemen mindenféle trójai található.
HELP ME!!!
PLEASE!!!

Nekem is hasonló problémám van, de Valakik szerint az én gépemen mindenféle trójai található.
HELP ME!!!
PLEASE!!!

Nekem is hasonló problémám van, de Valakik szerint az én gépemen mindenféle trójai található.
HELP ME!!!
PLEASE!!!

> Feladó: Laci_L <lnagyl@ixxxx.xx>
> Címzett: <>
> Dátum: 2003-12-28 19:46:18
>
> Most jut eszebe, az MBR-ben is megbújhat valami, hiába tölöd ki akármivel,
> bootoláskor újra írja.
> csak Win98 és társainál:
>
> DOS -ban idítsd a gépet
> fdisk /mbr (ez kitörli az MBR-t)
> Utána: sys c: (ez visszaállítja, de ha volt benne valami, az már nem lesz
> ott)
>
> Hátha. XP-re ilyen ötletem nincs, ha van is, nem ismerem.

A jelenleg tárgyalt témában szerintem nincs ennek túl sok értelme, de azért pontosítsunk, mert így nem lesz jó:

fdisk /mbr: az MBR-ben található betöltőkódot írja felül standard DOS formátumra. Ez a parancs bármilyen oprendszer esetében alkalmazható, mert a szabványos MBR, illetve partíciós tábla egységesen használatosak a különféle oprendszerek által, legalábbis a "hagyományos" 32 bites PC-ken.

Fixmbr: 2k/XP Javítókonzolban működik, gyakorlatilag ugyanaz, mint az fdisk /mbr.

SYS C: az aktív partíció bootszektorában lévő betöltőkódot írja felül olyanra, ami kimondottan egy DOS alapú rendszerhez való, és az io.sys megfelelő indítását szolgálja. Továbbá létrehoz/felülír néhány rendszerfájlt (io.sys, command.com, msdos.sys), így a verziószám sem közömbös.

Fixboot: hasonló, mint a SYS parancs, de Win2k/XP-hez való és csak bootszektor javítást csinál. Az így kialakított boot-kód az ntldr indítását szolgálja.

Pl. valami ilyesmi sokat segítene, hogy segíthessünk:

http://www.startadsl.hu/johnnyrotten/tasklist.png

Próbáld meg az autoruns program által készített listát, meg a riasztáskor futó programok listáját a task menedzserből, kitenni ide a fórumra.
Hátha megtalálható benne valamilyen program....

Nos az én gépemen XP van. Ami bosszant az az, hogy a norton firewall látja a trójait, a NAV 2003 meg nem találja. És hogy még mi nem? PestPatrol, Advanced administrativ tools, Trojan hunter 3.7. Az utóbbi még a víruslistája szerint ismeri is, de nem találja. Kezdek idegalapon lenni a probléma miatt.

Most jut eszebe, az MBR-ben is megbújhat valami, hiába tölöd ki akármivel, bootoláskor újra írja.
csak Win98 és társainál:

DOS -ban idítsd a gépet
fdisk /mbr (ez kitörli az MBR-t)
Utána: sys c: (ez visszaállítja, de ha volt benne valami, az már nem lesz ott)

Hátha. XP-re ilyen ötletem nincs, ha van is, nem ismerem.

Korai volt az öröm. Ismét riasztás hegyek. Walaki tudna gyógyírt???

Tudsz erre valamilyen módszert? Az átjáró címéhez adott hozzá egy 1500-2000 közötti számot. Azóta nem volt riasztás, kivéve azt a kedves illetőt aki a terézváros kábeltévés netjéről próbálkozik naponta több alkalommal. A Portal of Doom azóta nem jelentkezett.

A leírásban arról volt szó, hogy az adott portot nem a vírus használja, hanem ebben az esetben egy hasznos program a komunikációra. Lehetséges ilyen is, a víruskereső ezért nem találja meg.

Nem hiszem, hogy így megoldódott volna a probléma. Valahogy meg kellen nézni, hogy pontosan melyik az a program, és az tényleg vírus-e, vagy valamihez kell.

Ennek örülnék a legjobban!!! regnap 10 riasztás volt, ma csak kettő az is délelőtt. Remélem, hogy vége...

Egy hamis riasztás leírását találtam még, de ez műholdas Internetnél van:
http://service1.symantec.com/SUPPORT/ni ... ar_sch_nam

Ezt már signal is elküldte, de nincs ilye file ill. registri bejegyzés a gépen.

Talán egy megoldás...
http://www.dark-e.com/archive/trojans/pod/index.shtml

Tanácstalanságom egyre nő. Signal az általad ajánlott prg sem mutatott gyanús prohttp://www.dark-e.com/archive/trojan ... shtmlcesst. Az itt fellelhető összes fájlra rákerestem, eredmény nélkül. Az adaware sem talált semmit 1. Trojan Defense Suite 3.20
2. Trojan Remover 6.1.3
3. The Cleaner 4.0 Build 4138
sem. Pedig a Firewall szerint itt van.

Kereshetsz azért a vinyón ljsgz.exe nevű fájlt, ha nincs akkor úgylátszik többféle változata van a trójainak.

Van egy jó kis proram:

http://www.sysinternals.com/ntw2k/freew ... runs.shtml

Áttekinthetően megmutat minden eldugott reg. kulcsot, ahol automatikusan induló programok előfordulhatnak, így rögtön feltűnhet ami gyanús, nem odavaló:

http://www.sysinternals.com/images/scre ... unshot.gif

Figyelj, az előbb lemaradt:
Ad-Aware Prof 6.181
Próbáld meg. Minden Spyware -t kiszed. A registry -ből is!
Hátha ez is benne van.
Ha nem, marad amit Signal írt.

Tanulság: Zone Alarm és Norton Antivirus. Így már szinete tutti a biztonság. 100% nincs. Az a kikapcsolt gép.

Walaki segítsen please!!!

Én tök lámer vagyok az ilyen mélységű turkáláshoz, de nem találok RunServices-t. Run-ból van 3-is: Run, RunOnce, RunOnceEx. Egyikben sincs String. ljsgz.exe futó prg sincs.A Norton Personal firevall üzenete kb 20 percenként: Attempt to connect to local computer using the portal of doom trojan horse blocked.+idő+dátum, prtocol UDP, Remote adress: a saját IP cimem:1042 vagy valami hasonló szám.
Közli velem a leírásben, hogy semmit sem kell tennem, futtassak system scant, és a norton majd jól megtalálja. Nem ez történik.
VALAKI SEGÍTSEN LÉGYSZI LÉGYSZI!!!!

http://www.dark-e.com/archive/trojans/pod/index.shtml

Manual removal:

1.Remove the String key in the registry located at HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
Which can be done with regedit or any other registry editing program.

2. Reboot the computer or close ljsgz.exe.

3. Delete the trojan file ljsgz.exe in the windows system directory.

Eredmények:
Ceaner: semmit nem talált
PDG: 3 trójai, de egyik sem a portal of doom
PestPatrol: Talált néhány szemetet, de nem engedi kitörölni, mivel nincs regisztrálva. (egyik sem a Portal of doom, vagy annak része)
Segtítsetek kérlek. A fent említett trójai még mindig próbálkozik a netre menni. Tehát van.
Ha valami megoldó prg-tek van: johnnyp@hdsnet.hu-ra küldjétek.
Előre is köszönöm.
Tigryss

http://www.pestpatrol.com/pestinfo/p/portal_of_doom.asp

(Manual removal)

Vagy egy remek komplett PestPatrol...

Próbáld meg:
1. Trojan Defense Suite 3.20 (elég macerás frissíteni ha nem vetted meg)
2. Trojan Remover 6.1.3
3. The Cleaner 4.0 Build 4138

Leszedhető (nem tudom melyikről jöttek, de ezeket az oldalakat NAPONTA érdemes figyelni)

http://www.e-lunatic.org.uk/
http://www.appzplanet.com/
http://www.directdl.com/
http://www.0daycn.net/new/0daycn_1.htm

Valamelyik biztos rálel. Addig ne nagyon Internetezz. Sok szerencsét.

Sziasztok!
A norton personal firewall, naponta tobbször jelzi, hogy a fent leírt trójai ki akart menni a netre, de nem engedte. A nav 2003 nem találja (fullra frissítve). Cleaner nem találja. Az AAtools megtalálja a registriben, kitörlöm, de egy óra múlva újra él. Segítsetek, hogyan lehet eltávolítani!
Boldog karácsonyt mindenkinek.