Aktív témák
-
malter
csendes tag
Nekem a következő bajom van:
A symantech/sheared könyvtárából néha ki akar menni egy DJSMTBURN.dll nevű valamicsoda. És a szintén symanteches tűzfalam unrecognised process ként ismeri föl. Ez pedig nekem elég furcsa. Mi lehet ez?
Már hallottam hogy van olyan trójai ami a vírusírók és tűzfalak saját processeit használják a csatlakozáshoz és ezeknek a könyvtárába rakják be magukat.
Akinek Nortonja van megnézné hogy neki is ott van e légyszi? -
divot
veterán
Ismételten köszönöm a segítségedet, asszem ezen mindenkinek egyszer túl kell esnie, hogy valóban komolyan vegye a lehetséges veszélyeket.
Megnéztem a PC-cillin tűzfalának adatbáizisát. Az lehetséges, hogy a kártevő leállította egy időre? Mert épp abban az időszakban, amikor jelentkeztek a gondok, nincs semmiféle bejegyzés.
Azóta pedig volt 18 Ping Attac (Ez konkrétan azt jelenti, hogy valaki megpingelte a gépemet?), öt IP címről... :F -
salazol
őstag
Akkor fellégezhetsz, de javaslom, hogy nézd át a fentebb bemásolt programlistában, amiket leállít a gaster, hogy van-e olyan ami mondjuk a pc-cillin része.
A tűzfalát meg vedd komolyan, ha csilingel.
Alapszabályok:
Ne legyen a gépeden olyan dokumentum, amelyben személyes adatok szerepelnek, főleg nem bankszámlainformációk, céges papírok, önéletrajz, stb.
Személyes fényképekkel (grat az új gépedhez, jó kis darab) is óvatosan.
Az ilyesmiket külső adattárolón tartom és nem hagyom mindíg rádugva a gépre, csak amikor szükség van rá.
Jelszavakat ne mentesd el a böngészővel vagy windows-zal, ftp-klienssel.
Paranoia rulz.
Üdv salazol -
salazol
őstag
Na úgy néz ki, nincs több modulja.
Elnézést, kicsit hosszú lesz:
When Backdoor.Gaster is executed, it does the following:
1. Copies itself as %System%ibot4.exe.
2. Adds the value:
''Shmgrate.exe''=''%Sysdir%ibot4.exe''
to the registry key:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
so that the Trojan runs when you start Windows.
3. Terminates the following processes:
* ATUPDATER.EXE
* AVWUPD32.EXE
* AVPUPD.EXE
* LUALL.EXE
* DRWEBUPW.EXE
* ICSSUPPNT.EXE
* ICSUPP95.EXE
* UPDATE.EXE
* NUPGRADE.EXE
* ATUPDATER.EXE
* AUPDATE.EXE
* AUTODOWN.EXE
* AUTOTRACE.EXE
* AUTOUPDATE.EXE
* AVXQUAR.EXE
* CFIAUDIT.EXE
* MCUPDATE.EXE
* NUPGRADE.EXE
4. Adds the values:
''Pid''=''<processid>''
''Uid''=''<userid>''
''port''=''<port number>''
to the registry key:
HKEY_CURRENT_USERSOFTWAREDateTime
5. Opens up TCP port 19937 by default, giving an attacker access to your computer.
6. Sends the open port information back to the following urls:
* www.block-investment.de/images/nro2.php
* www.gasterixx.de/gfx/nro2.php
* www.deadlygames.de/DG/BF/BF-Links/clans/nro2.php
* www.o-problemo.de/gaestebuch/nro2.php
* www.tv87.de/subdomain_la/Fachwart/nro2.php
* www.ranknet.de/LVS/pics/_notes/nro2.php
* www.remix-world.de/in2site/images/nro2.php
* www.joerrens.de/system/include/nro2.php
* www.bbszene.de/store/images/video_amazon/nro2.php
* www.nikofor.com/images/nro2.php
* www.dyna-maik.de/silent_shoes/DHCExport/DreamHC/Download/nro2.php
* www.werk3.de/tmv/popup/popup/img/nro2.php
* www.gebr-wachs.de/mod/san_beratung/thumb/nro2.php
* www.rgs-rostock.de/img/nro2.php
* www.lords-of-havoc.de/Avatare/nro2.php -
salazol
őstag
Azért még nem kell teljesen fellélegezni. A backdoor modult kiirtottad (ja igen, töröld a vinyóról is), de még lehetnek egyéb célú moduljai a gépen.
Ezért nem ártana valami jó keresőt beszerezni. Pl. Agnitum tauscan 30 napig működik.
www.agnitum.com , hátha talál még valamit. -
salazol
őstag
-
divot
veterán
Salazol: köszönöm a segítséget, megnéztem, restart után már nem írta vissza magát. Mégeccer köszi!
Biker: igen, megy a realtime monitor, és volt is kiscsengő, de már nincs, megoldódott a probléma. Azt hiszem tudom, hogy honnan, és mikor szívtam be, majd szólok az illetőnek is, hogy nézzen szét a gépén. -
-
.rewerse.
tag
xp.. mondjuk elso dolgom, hogy atnyalazom a registry-t es tweak proggikkal letiltok
mindenfele automata dolgot.. pl a windoz alltal frankon nyitva hagyott service celokra
fentartott ''ablakait'' is letiltom.. bar szerintem ez inkabb csak elovigyazatossag! :))
mellesleg debian router is van mar jo ideje.. szal ezzel sem igazan kell foglalkoznom.. bar
ehez mar kell egy kis rutin is.. marmint egy linux router telepitesehez es karbantartasahoz..
btw ez a 135 es 139-es port mi a tok? ezek azok a bizonyos service portok? -
biker
nagyúr
restart safe mode
víruskeresés, ekkor lehet hogy kiugrik
de a logokban (pc cillin logok) megnézheted mi történt eddig
svchost, és a többi az nem gond, azok ''beépített'' dolgok többségében
amugy pccillin real time monitor fut?
amikor épp ''aatack'' van, akkor kis csengőt kell kinyomjon a tálcára -
salazol
őstag
Divot!
Először Ctrl+Alt+Del, a folyamatok közül lődd le az ibot4.exe-t.
Aztán futtatás: regedit.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
Néz be ezekre a helyekre a registrybe. Ott kell lennie valamelyiknél az ibot4.exe indításának, azt töröld ki, aztán índítsd újra a gépet, majd térj vissza a registrybe, hogy nem írta-e vissza magát.
[Szerkesztve] -
.rewerse.
tag
vajon miert van az, hogy tobb mint 6-7 eve folyamatos internet hasznalat mellet 1-2
adware-n kivul soha semmit nem szoptam be? ja es soha nem hasznaltam es nem is fogok
hasznalni firewall-t..
on:
javaslom a kezzel valo takaritast + egy fw telepiteset ha hajlamos vagy megnyitni
mindenfele dolgot amit ''idegenektol'' kapsz.. de inkabb torolj mindent ami kicsit is gyanusan
erkezik hozzad! :) -
salazol
őstag
A víruskeresők nem a trójaikra vannak kiélezve, hanem a vírusokra.
Egy jobb tűzfal viszont figyelmeztet, ha ki akar jutni egy új alkalmazás. Csak az a fontos, hogy nem szabad automatikusan a permit gombot nyomni, ha a tűzfal jelez, henem elolvasni, mit is ír ki, az alapján dönteni. -
divot
veterán
Köszi a tippet.
A tcpview szerint:
[System Process]:0 TCP pc.chello.hu:3248 prohardver2.tvnet.hu:http TIME_WAIT
[System Process]:0 TCP pc.chello.hu:3249 prohardver2.tvnet.hu:http TIME_WAIT
[System Process]:0 TCP pc.chello.hu:3253 prohardver2.tvnet.hu:http TIME_WAIT
[System Process]:0 TCP pc.chello.hu:3254 prohardver2.tvnet.hu:http TIME_WAIT
ALG.EXE:1408 TCP Pc:3001 Pc:0 LISTENING
IBOT4.EXE:840 TCP Pc:39999 Pc:0 LISTENING
IBOT4.EXE:840 UDP Pc:3031 *:*
LSASS.EXE:592 UDP Pc:isakmp *:*
Pop3trap.exe:556 TCP Pc:pop3 Pc:0 LISTENING
SNMP.EXE:1628 UDP Pc:snmp *:*
SVCHOST.EXE:1028 TCP Pc:5000 Pc:0 LISTENING
SVCHOST.EXE:1028 UDP pc.chello.hu:1900 *:*
SVCHOST.EXE:1028 UDP Pc:1900 *:*
SVCHOST.EXE:792 TCP Pc:epmap Pc:0 LISTENING
SVCHOST.EXE:844 TCP Pc:1025 Pc:0 LISTENING
SVCHOST.EXE:844 TCP Pc:3002 Pc:0 LISTENING
SVCHOST.EXE:844 TCP Pc:3003 Pc:0 LISTENING
SVCHOST.EXE:844 UDP pc.chello.hu:ntp *:*
SVCHOST.EXE:844 UDP Pc:ntp *:*
SVCHOST.EXE:964 UDP Pc:3004 *:*
SVCHOST.EXE:964 UDP Pc:3037 *:*
System:4 TCP Pc:microsoft-ds Pc:0 LISTENING
System:4 TCP Pc:1026 Pc:0 LISTENING
System:4 TCP pc.chello.hu:netbios-ssn Pc:0 LISTENING
System:4 UDP Pc:microsoft-ds *:*
System:4 UDP pc.chello.hu:netbios-ns *:*
System:4 UDP pc.chello.hu:netbios-dgm *:* -
salazol
őstag
Sajnos a PC-cillint nem ismerem, az XP tűzfala sajnos kifelé minden kapcsolódást enged, tehát, ha letöltöttél vagy levélben kaptál valami trójai programot, azt nem fogja meg az XP tűzfal.
Vagy meg kell nézegetned a PC-cillin tűzfalát, hogy hol mutatja a kapcsolatok listáját, vagy tegyél fel egy másikat.
A kerio-t merem javasolni, elég szemléletesen mutatja a kapcsolódásokat, minden információjukkal. -
divot
veterán
Tegnap este figyeltem föl rá, hogy folyamatosan világítanak a ledek a modemen. Csak aztán nem volt időm foglalkozni az üggyel, alvásból kifolyólag. Ma reggel is ugyanez a helyet: megnéztem AIDA-val, hát folyamatosan 1-2KB/s az adatforgalom mindkét irányban, úgy, hogy közben nem vagyok fönt a világhálón. (Persze a chello kapcsolat ugye folyamatosan él.)
A PC-cillin 2002 legújabb frissítéssel sem talált semmit, mint ahogy az Ad-aware6, illetve a Spybot sem. De akkor mivel/kivel kommunikál folyamatosan a gép? :F
Aktív témák
- Windows 11
- Abarth, Alfa Romeo, Fiat, Lancia topik
- NVIDIA GeForce RTX 5080 / 5090 (GB203 / 202)
- Autós topik
- Gamescom 2025 - Az összes bejelentés egy helyen
- gban: Ingyen kellene, de tegnapra
- exHWSW - Értünk mindenhez IS
- Fejhallgató erősítő és DAC topik
- Bambu Lab 3D nyomtatók
- Apple MacBook
- További aktív témák...
- Kingston FURY 64GB KIT DDR4 3200MHz CL16 Beast Black
- PlayStation Portal 2026.12.03-ig gyári garanciával eladó!
- ASRock B560 Steel Legend + i5 11500 + ID-Cooling + 16 Gb Corsair Vengeance RGB Beszámitok!
- Samsung Galaxy A26 5G 128GB, Kártyafüggetlen, 1 Év Garanciával
- Apple iPhone 14 128GB, Kártyafüggetlen, 1 Év Garanciával
- Bomba ár! HP Elitebook 840 G1 - i5-4GEN I 8GB I 180GB SSD I 14" HD+ I Cam I W10 I Garancia!
- Bomba ár! HP 255 G7 - AMD A4 I 4GB I 128SSD I HDMI I 15,6" FHD I Radeon I HDMI I W11 I Cam I Gari!
- Azonnali készpénzes Apple Macbook Air felvásárlás személyesen / csomagküldéssel korrekt áron
- AM 4 alaplapok! Kamatmentes rèszletre is!
- Surface Pro 7+ i5-1135G7 16G 256GB 1 év garancia
Állásajánlatok
Cég: FOTC
Város: Budapest