Tegnap este figyeltem föl rá, hogy folyamatosan világítanak a ledek a modemen. Csak aztán nem volt időm foglalkozni az üggyel, alvásból kifolyólag. Ma reggel is ugyanez a helyet: megnéztem AIDA-val, hát folyamatosan 1-2KB/s az adatforgalom mindkét irányban, úgy, hogy közben nem vagyok fönt a világhálón. (Persze a chello kapcsolat ugye folyamatosan él.)

A PC-cillin 2002 legújabb frissítéssel sem talált semmit, mint ahogy az Ad-aware6, illetve a Spybot sem. De akkor mivel/kivel kommunikál folyamatosan a gép? :F

Mit jelez a tűzfalad, milyen működő kapcsolatokat? Milyen port, milyen IP, milyen alkalmazás?

a rendszer utolért.... ;]

Nem vagyok intelligens. Én AMDligens vagyok...

Ebben teljesen járatlan vagyok (tudom, szégyen :B). Hol lehet megnézni, hogy miféle események zajlanak?

Ááááááá Beeboy... :O Nagyon friss vagy ma reggel.

1. milyen tűzfalat használsz?
2. az ikonkájára a tálca jobb alsó részén kattintva elő kell jönnie a űzfalnak, benne a kapcsolatok listájával.
Ha nem ilyen a tűzfalad, akkor cseréld le.

A legegyszerűbb megnézni:

parancssor
netstat

Csak ez nem sokat mond, ehhez kicsit kell tudni pár dolgot.
Egy közepes vagy jobb tűzfal szemléletesebb.
kerio, sygate

Ki mondta, hogy használ egyátalán tűzfalat?

Aki hülye, haljon meg!

A PC-cillinben van tűzfal opció, az természetesen engedélyezve van, plusz az XP tűzfala is.

Ezt feltételezem minden netezőről, aki eljut odáig, hogy a prohardvert olvasgatja, és mondjuk látott már olyan topikot, hogy ''segitség, RPC hibával visszaszámol s gépem''.
Ha meg nem használ, akkor mostantól fog.

hát szerintem szerezz be egy personal firewall-t, mert az ami van a windowsba, az édeskevés
...tépem a szám én, aki linux tűzfal mögül van:)

Illusztrálok, tehát vagyok

Sajnos a PC-cillint nem ismerem, az XP tűzfala sajnos kifelé minden kapcsolódást enged, tehát, ha letöltöttél vagy levélben kaptál valami trójai programot, azt nem fogja meg az XP tűzfal.
Vagy meg kell nézegetned a PC-cillin tűzfalát, hogy hol mutatja a kapcsolatok listáját, vagy tegyél fel egy másikat.
A kerio-t merem javasolni, elég szemléletesen mutatja a kapcsolódásokat, minden információjukkal.

Nem akarod ide bemásolni, mit ír ki a netstat?
Nyitsz egy parancssor ablakot.
beirod a következőket:
cd asztal [enter]
netstat >list.txt [enter]
majd az asztalon létrejövő list.txt tartalmát bemásolod ide a hozzászólásba.

ajánlom a tcpview nevű progit, szépen kilistázza, h milyen progijaid, milyen portokon, kivel kommunikálnak

Sautia

sequator

Köszi a tippet.

A tcpview szerint:

[System Process]:0 TCP pc.chello.hu:3248 prohardver2.tvnet.hu:http TIME_WAIT
[System Process]:0 TCP pc.chello.hu:3249 prohardver2.tvnet.hu:http TIME_WAIT
[System Process]:0 TCP pc.chello.hu:3253 prohardver2.tvnet.hu:http TIME_WAIT
[System Process]:0 TCP pc.chello.hu:3254 prohardver2.tvnet.hu:http TIME_WAIT
ALG.EXE:1408 TCP Pc:3001 Pc:0 LISTENING
IBOT4.EXE:840 TCP Pc:39999 Pc:0 LISTENING
IBOT4.EXE:840 UDP Pc:3031 *:*
LSASS.EXE:592 UDP Pc:isakmp *:*
Pop3trap.exe:556 TCP Pc:pop3 Pc:0 LISTENING
SNMP.EXE:1628 UDP Pc:snmp *:*
SVCHOST.EXE:1028 TCP Pc:5000 Pc:0 LISTENING
SVCHOST.EXE:1028 UDP pc.chello.hu:1900 *:*
SVCHOST.EXE:1028 UDP Pc:1900 *:*
SVCHOST.EXE:792 TCP Pc:epmap Pc:0 LISTENING
SVCHOST.EXE:844 TCP Pc:1025 Pc:0 LISTENING
SVCHOST.EXE:844 TCP Pc:3002 Pc:0 LISTENING
SVCHOST.EXE:844 TCP Pc:3003 Pc:0 LISTENING
SVCHOST.EXE:844 UDP pc.chello.hu:ntp *:*
SVCHOST.EXE:844 UDP Pc:ntp *:*
SVCHOST.EXE:964 UDP Pc:3004 *:*
SVCHOST.EXE:964 UDP Pc:3037 *:*
System:4 TCP Pc:microsoft-ds Pc:0 LISTENING
System:4 TCP Pc:1026 Pc:0 LISTENING
System:4 TCP pc.chello.hu:netbios-ssn Pc:0 LISTENING
System:4 UDP Pc:microsoft-ds *:*
System:4 UDP pc.chello.hu:netbios-ns *:*
System:4 UDP pc.chello.hu:netbios-dgm *:*

Az IBO4.exe az mi nálad?

Megvan, az ibot4.exe egy backdoor trójai.

Backdoor.W32/Gaster

Azannyja! :O

És az említett programok miért nem tudnak végezni vele?

nekem a pc cillin 2002 firewall high-on, és minden teszt szerint fasza.
tesztek: symantec online firewall teszt, ipagent, társai.

biztos highon van a csuszka?

Elektromos autó töltő berendezések | Mesterséges növényvilágítás | Mai ajánlatunk: www.gerisoft.hu | www.e-autotoltokabel.hu | www.agrar-vilagitas.hu |

A víruskeresők nem a trójaikra vannak kiélezve, hanem a vírusokra.
Egy jobb tűzfal viszont figyelmeztet, ha ki akar jutni egy új alkalmazás. Csak az a fontos, hogy nem szabad automatikusan a permit gombot nyomni, ha a tűzfal jelez, henem elolvasni, mit is ír ki, az alapján dönteni.

vajon miert van az, hogy tobb mint 6-7 eve folyamatos internet hasznalat mellet 1-2
adware-n kivul soha semmit nem szoptam be? ja es soha nem hasznaltam es nem is fogok
hasznalni firewall-t..

on:

javaslom a kezzel valo takaritast + egy fw telepiteset ha hajlamos vagy megnyitni
mindenfele dolgot amit ''idegenektol'' kapsz.. de inkabb torolj mindent ami kicsit is gyanusan
erkezik hozzad! :)

may da Force be with ya!

hello, a remote address-nel mit jelent a *.*? az hun van? mindenhol? :D tudom, lama kerdes...

Üdv

Divot!

Először Ctrl+Alt+Del, a folyamatok közül lődd le az ibot4.exe-t.

Aztán futtatás: regedit.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
Néz be ezekre a helyekre a registrybe. Ott kell lennie valamelyiknél az ibot4.exe indításának, azt töröld ki, aztán índítsd újra a gépet, majd térj vissza a registrybe, hogy nem írta-e vissza magát.


[Szerkesztve]

:)
csak épp win2000/xp alatt a 135 és 139-es port befelé járható, és már megy is a dolog...

vagy osztod az észt, és linuxozol :D

Elektromos autó töltő berendezések | Mesterséges növényvilágítás | Mai ajánlatunk: www.gerisoft.hu | www.e-autotoltokabel.hu | www.agrar-vilagitas.hu |

High a csúszka.

Ez a vacak még akkor csúszhatott, be, amikor a régebbi verzsönt használtam.

És most mi a teendő: :F

[Szerkesztve]

Csak gondolom, hogy azt jelentheti:
Listening (figyelő) állapotban van a port és minden IP-ről fogadja a kéréseket.
Mivel én nem a tcpview-t használom, nálam nem *.* van, hanem ilyenkor nincs kitöltve a public IP.

restart safe mode
víruskeresés, ekkor lehet hogy kiugrik

de a logokban (pc cillin logok) megnézheted mi történt eddig

svchost, és a többi az nem gond, azok ''beépített'' dolgok többségében

amugy pccillin real time monitor fut?
amikor épp ''aatack'' van, akkor kis csengőt kell kinyomjon a tálcára

Elektromos autó töltő berendezések | Mesterséges növényvilágítás | Mai ajánlatunk: www.gerisoft.hu | www.e-autotoltokabel.hu | www.agrar-vilagitas.hu |

xp.. mondjuk elso dolgom, hogy atnyalazom a registry-t es tweak proggikkal letiltok
mindenfele automata dolgot.. pl a windoz alltal frankon nyitva hagyott service celokra
fentartott ''ablakait'' is letiltom.. bar szerintem ez inkabb csak elovigyazatossag! :))

mellesleg debian router is van mar jo ideje.. szal ezzel sem igazan kell foglalkoznom.. bar
ehez mar kell egy kis rutin is.. marmint egy linux router telepitesehez es karbantartasahoz..

btw ez a 135 es 139-es port mi a tok? ezek azok a bizonyos service portok?

may da Force be with ya!

A #24-et is olvasd el.
Egyébként neked valami mutáció lehet már, mert az eredeti más porton kommunikált.
Már az eredeti is képes volt hatástalanítani egy csomó védelmi eszközt, ez lehet, hogy még ''intelligensebb''.

Azok a microsoft hálózat portjai. Az XP tűzfala is zárja őket az internet felől.
Azon jön pl. a blaster.

OFF
Nektek is belassult a prohardver?
On

OFFOFF
Nagymama, miért olyan nagy az arcod?
Mert Debian-t használok.
OnOn

OffOff2
Meg ne sértődj, csak vicc
OnOn2

én a NAV-ba kaptam egy olyat, ami hatástalanította a védelmet. olyan volt, mint ami keres, de semmit nem lelt, és közben volt egy trojaim. :)

Elektromos autó töltő berendezések | Mesterséges növényvilágítás | Mai ajánlatunk: www.gerisoft.hu | www.e-autotoltokabel.hu | www.agrar-vilagitas.hu |

belassult.. nem is kicsit.. :)

off:
egyebkent +ban is novesztem egy kicsit az arcom ok? :)

bar mostanaban sajnos mas miatt nem volt idejuk megtelepedni nalam ezeknek a
dolgoknak. :( 2 honap alatt 3 reinstall xp.. :(

may da Force be with ya!

Salazol: köszönöm a segítséget, megnéztem, restart után már nem írta vissza magát. Mégeccer köszi!

Biker: igen, megy a realtime monitor, és volt is kiscsengő, de már nincs, megoldódott a probléma. Azt hiszem tudom, hogy honnan, és mikor szívtam be, majd szólok az illetőnek is, hogy nézzen szét a gépén.

Grat.
Nekem csak egy coppermine-os régi notebook.
Viszont nem tudott még vírus bejönni. Az is igaz, hogy az erőforrások nagy részét a védelem emészti fel.
Múltkor a mozillámat törte meg valaki, gyorsan száműztem, most már nem bízok egy böngészőben sem.
Paranoia rulz.

Azért még nem kell teljesen fellélegezni. A backdoor modult kiirtottad (ja igen, töröld a vinyóról is), de még lehetnek egyéb célú moduljai a gépen.
Ezért nem ártana valami jó keresőt beszerezni. Pl. Agnitum tauscan 30 napig működik.
www.agnitum.com , hátha talál még valamit.

Na úgy néz ki, nincs több modulja.

Elnézést, kicsit hosszú lesz:


When Backdoor.Gaster is executed, it does the following:
1. Copies itself as %System%ibot4.exe.

2. Adds the value:

''Shmgrate.exe''=''%Sysdir%ibot4.exe''

to the registry key:

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

so that the Trojan runs when you start Windows.
3. Terminates the following processes:
* ATUPDATER.EXE
* AVWUPD32.EXE
* AVPUPD.EXE
* LUALL.EXE
* DRWEBUPW.EXE
* ICSSUPPNT.EXE
* ICSUPP95.EXE
* UPDATE.EXE
* NUPGRADE.EXE
* ATUPDATER.EXE
* AUPDATE.EXE
* AUTODOWN.EXE
* AUTOTRACE.EXE
* AUTOUPDATE.EXE
* AVXQUAR.EXE
* CFIAUDIT.EXE
* MCUPDATE.EXE
* NUPGRADE.EXE
4. Adds the values:

''Pid''=''<processid>''
''Uid''=''<userid>''
''port''=''<port number>''

to the registry key:

HKEY_CURRENT_USERSOFTWAREDateTime
5. Opens up TCP port 19937 by default, giving an attacker access to your computer.
6. Sends the open port information back to the following urls:
* www.block-investment.de/images/nro2.php
* www.gasterixx.de/gfx/nro2.php
* www.deadlygames.de/DG/BF/BF-Links/clans/nro2.php
* www.o-problemo.de/gaestebuch/nro2.php
* www.tv87.de/subdomain_la/Fachwart/nro2.php
* www.ranknet.de/LVS/pics/_notes/nro2.php
* www.remix-world.de/in2site/images/nro2.php
* www.joerrens.de/system/include/nro2.php
* www.bbszene.de/store/images/video_amazon/nro2.php
* www.nikofor.com/images/nro2.php
* www.dyna-maik.de/silent_shoes/DHCExport/DreamHC/Download/nro2.php
* www.werk3.de/tmv/popup/popup/img/nro2.php
* www.gebr-wachs.de/mod/san_beratung/thumb/nro2.php
* www.rgs-rostock.de/img/nro2.php
* www.lords-of-havoc.de/Avatare/nro2.php

Még ennyit, bár nincs nagy jelentősége:

regedit:


delete the following key:

HKEY_CURRENT_USERSOFTWAREDateTime

Tauscan sem talált trójait.

Akkor fellégezhetsz, de javaslom, hogy nézd át a fentebb bemásolt programlistában, amiket leállít a gaster, hogy van-e olyan ami mondjuk a pc-cillin része.
A tűzfalát meg vedd komolyan, ha csilingel.
Alapszabályok:
Ne legyen a gépeden olyan dokumentum, amelyben személyes adatok szerepelnek, főleg nem bankszámlainformációk, céges papírok, önéletrajz, stb.
Személyes fényképekkel (grat az új gépedhez, jó kis darab) is óvatosan.
Az ilyesmiket külső adattárolón tartom és nem hagyom mindíg rádugva a gépre, csak amikor szükség van rá.
Jelszavakat ne mentesd el a böngészővel vagy windows-zal, ftp-klienssel.

Paranoia rulz.
Üdv salazol

Ismételten köszönöm a segítségedet, asszem ezen mindenkinek egyszer túl kell esnie, hogy valóban komolyan vegye a lehetséges veszélyeket.

Megnéztem a PC-cillin tűzfalának adatbáizisát. Az lehetséges, hogy a kártevő leállította egy időre? Mert épp abban az időszakban, amikor jelentkeztek a gondok, nincs semmiféle bejegyzés.
Azóta pedig volt 18 Ping Attac (Ez konkrétan azt jelenti, hogy valaki megpingelte a gépemet?), öt IP címről... :F

nekem is vmi hasonló bajom lehet, de nem találom a tcpview-t, segítsetek, mit tegyek?

''Gee, Brain, what do you want to do tonight?'' ''The same thing we do every night, Pinky: Try to take over the world!''

Csináld végig lépésről-lépésre, amit Salazol javasolt.

tcpview-t itt találod:

[L]http://www.sysinternals.com[/L]

az egészséges, hogy az iexplore.exe vagy 1000szer megjelenik a tcpview szerint?

''Gee, Brain, what do you want to do tonight?'' ''The same thing we do every night, Pinky: Try to take over the world!''

Nekem a következő bajom van:
A symantech/sheared könyvtárából néha ki akar menni egy DJSMTBURN.dll nevű valamicsoda. És a szintén symanteches tűzfalam unrecognised process ként ismeri föl. Ez pedig nekem elég furcsa. Mi lehet ez?
Már hallottam hogy van olyan trójai ami a vírusírók és tűzfalak saját processeit használják a csatlakozáshoz és ezeknek a könyvtárába rakják be magukat.
Akinek Nortonja van megnézné hogy neki is ott van e légyszi?

nem tudom még?

Salazol, ha erre jársz: a Ping Attack normális jelenség? Vagy a tórjai egy-két aktív órájának gyümölcse? :F

Láp

Na tehát mi is pontosan az a Ping Attack?

Szerintem semmi különös, valaki rádpingel kívülről. Én ezt nem látom, mert már a router megfogja, a személyi tűzfal ezért nem is jelez ilyet.