wirus ?

[lewhoo]

Mam problem, po uruchomieniu kompa wyświetlił się komunikat o zmodyfikowaniu boot recordu dysku. Po jakimś czasie system przestał widzieć CD, w systemie jest "!" przy sterownikach IDE (komp wykrywa CD przy starcie). Reinstal systemu nic nie daje (dodam że to win9 próbowalem same sterowniki do dysku (model się zgadzał) przeinstalować i też nic. Programy antywirusowe nic nie wskazują (Panda i Avast) natomiast stary mks_vir (DOS) podczas sprawdzania wyświetla info, że boot sektor zmodyfikowany więc nie sprawdza Po formatowaniu był spokój na chwilę, ale problem się powtórzył. Spokój mam dopiero teraz kiedy zmieniłem partycję na NTFS i jadę na winXP. Problem w tym że potrzebny mi jest Win98
Nie wiem co z tym dalej zrobić, podejrzewam wirusa w EPROM`ie biosa - nie miałem z tym styczności i nie wiem co zrobić jeśli się nie mylę. Jeszcze dodam że cały soft zanim wgrałem na nowo postawiony win98 sprawdziłem pandą i avastem. Help

[QuatPro]

w czystym DOS'ie fdisk /mbr

[BOOTanick]

w czystym DOS'ie fdisk /mbr

i dyszke w szparke od flopa :]

nalezy uzyc plyty instalacyjnej z winda.., uzyc opcji naprawa i wpisac w linii komend: fixmbr

[QuatPro]

Win 9x naciska (chyba) F5 (albo z Shift'em) i ma czystego DOS'a ze ścieżką dostępu do C:\WINDOWS\COMMAND.

Shift+F5 zaraz jak startuje system. Zrób tak jak napisałem, tylko w ten sposób u Ciebie zadziała i duże prawdopodobieństwo, że pomoże.

[lewhoo]

dzięks w niedzielę wracam do domu i spróbuję

[lewhoo]

Naprawa boot recordu pomaga...ale do czasu stanęło na tym że wywaliłem FAT`a zainstalowałem XP i chodzi. Tak chyba musi zostać, dodam że win 98 już nawet poprawnie się nie instaluje (zawiesza się) - po restarcie niby idzie dalej itp. początkowo myślałem że win98 już tak po prostu ma...
Nawiasem mówiąc po tych doświadczeniach polecam Kaspersky jeśli chodzi o antywirus. Panda i avast nie wykrywały stuffu który KaV wykrywał.
Thx. za odpowiedzi.

Teraz inne pytanie. Mój starszy upiera się na 98 bo jego DOS`owskie programy nie chodzą na XP (działają niepoprawnie w trybie zgodności, lub się wcale nie instalują) można coś temu zaradzić?

[QuatPro]

Zainstalować dwa systemy "na raz" - na różnych partycjach dysku - zacząć od Win98, potem WinXP.

[kurczaczak]

Też to miałem.
1)Znajdź klucz HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}
2)Usuń wartości LowerFilters i UpperFilters.
Mi to pomogło.

PS. Na jakimś badziewnym forum było.

[QuatPro]

W tym wątku były poruszane conajmniej dwa problemy. Rozwiązanie na który podpowiadasz?

[max]

Witam
Czytałem przed chwilą post Asterixa z lutego (wirus jaki czy co?) i z racji braku kontynuacji tematu podepnę się tutaj. Mam problem z wydłubaniem z kompa mojej siostry rootkita (być może Asterix też to miał). Bydlak zagnieżdził się bardzo głęboko, system go nie widzi, antyvir go nie wykrywa (Nod 32 w najnowszej wersji), program antyspyware też go nie widzi. Znalazł go rootkit revealer, ale w tym programie nie ma chyba opcji usuwania, bo nie mogę takowej znaleźć. Używałem Gmera, coś znalazł, coś usunął, ale problem nie zniknął - po starcie systemu draństwo próbuje łączyć się z jakąś stroną i próbuje zassać na kompa trojana. Dostaję wtedy od Noda alert z numerem strony, z kąd chce się załadować wirus. Rootkit załadował się jak na kompie antyvirem był Avast + Zone Alarm. Zorientowałem się jak podczas aktualizacji Avasta dostałem komunikat o braku możliwości połączenia się z serwerem no i komp się zaczął mulić. Wywaliłem Avasta i chciałem zainstalować Noda i tu niespodzianka - komunikat że program jest niezgodny z systemem Windows i odmowie instalacji. Ja tego Noda instalowałem na 3 komputerach o bardzo podobnej konfiguracji i nigdzie nie było problemu. Z tym dałem sobie radę, ale od 3 dni nie mogę tego rootkita wydłubać i zaczyna mnie brać nerw, bo nie mam czasu przesiadywać u kogoś godzinami. Jeżeli ktoś ma na to jakiś dobry patent to bardzo proszę o poradę.

[max]

Jeszcze jedno pytanie.
Czy coś się stanie jak usunę element SECURITY z rejestru z gałęzi HKEY_LOCAL_MACHINE? W elemencie SECURITY niby nic nie ma, ale Rootkit Revealer pokazuje, że tam jest dalsza część gałęzi, na której końcu jest właśnie to draństwo.

[Henryk Kwinto]

Pewnie już to czytałeś, ale zamieszczę na wszelki wypadek Rootkity sterownikowe - ADS - NULL, Opisy - usuwanie - obsługa narzędzi

W moim przypadku (oczywiście po długiej walce) pomógł Panda free online antivirus, który usunął rotkita i część tego, co ściągnął. Resztę wyczyściłem już ręcznie.

[QuatPro]

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Od roku i początku użytkowania XP, cały czas bez AV i zewnętrznego FW. Skaner ArcaMicroScan jak pobiegam po głupich stronkach + oczywiście systemowy FW, aktualizacje i rozsądek/uwaga. A Panda free online antivirus instaluje bardzo dużo rzeczy? Jak pamiętam z użytkowania z 98 to dosyć dużo miesza. A! jeszcze zapomniałem: Ad-Aware.

[max]

Pewnie już to czytałeś, ale zamieszczę na wszelki wypadek Rootkity sterownikowe - ADS - NULL, Opisy - usuwanie - obsługa narzędzi

W moim przypadku (oczywiście po długiej walce) pomógł Panda free online antivirus, który usunął rotkita i część tego, co ściągnął. Resztę wyczyściłem już ręcznie.

Witam ponownie.
Jestem w trakcie lektury artykułu Picasoo o rootkitach sterownikowych - bardzo profesjonalne podejście do tematu. Ściągnąłem Gmera i skanowałem system i jak wcześniej napisałem coś znalazł i usunął, ale główny problem nie zniknął. Dzisiaj poczesałem system i zostało jeszcze to:

[max]

Od roku i początku użytkowania XP, cały czas bez AV i zewnętrznego FW. Skaner ArcaMicroScan jak pobiegam po głupich stronkach + oczywiście systemowy FW, aktualizacje i rozsądek/uwaga. A Panda free online antivirus instaluje bardzo dużo rzeczy? Jak pamiętam z użytkowania z 98 to dosyć dużo miesza. A! jeszcze zapomniałem: Ad-Aware.

Niestety kompa używają dwie osoby, które na kompach w ogóle się nie znają, a ja nie mam aż tyle czasu, aby na bieżąco patrzeć im na ręce. Podejrzewam, że podczas wędrówki po internecie był komunikat, że trzeba "coś" zainstalować, aby "coś innego mogło poprawnie pracować" i nieświadomie ktoś zassał jakiś syf. Wtedy anty-vir był Avast!, oprócz niego pracował jeszcze ZoneAlarm (osobiście go nie lubie); teraz jest najnowszy NOD32, Ad-aware i zostawiłem ZoneAlarm, chociaż zastanawiam się nad jego wymianą na coś innego - może jakieś ciekawe propozycje?
Wczoraj wpisów z RootkitRevealera było kilkanaście, dzisiaj zostały jeszcze 3.
Spróbuję jeszcze skanerów on-line - które wg was są dość skuteczne?

[max]

Sorki dla Picasso z http://www.searchengines.pl/phpbb203...77#entry352477
Wcześniej strzeliłem literówkę. Artykuł bardzo dobry - będę z niego na pewno korzystał.

[asterix]

@Max jak zauważyłeś , brak kontynuacji mojego postu zapewne był spowodowany zakłopotaniem dla niejednej tegiej głowy , w moim przypadku nod32 conieco wyczyścił ( posiadam zfixowaną wersję serwerową ) ale i tak xp szwankował , nie chcąc dalej zanudzać swoimi problemami zrobiłem formata i mam spokój , od tamtej pory systemu broni tylko nod32 i mam spokój , od czasu do czasu sprawdzam ad aware ale nic nie znajduję , więc jeśli to nie kłopot dla Ciebie to zformatuj i postaw system na nowo najpierw xp , następnie 98 z bootowaniem z cd , systemy mogą być na tej samej partycji , przy uruchamianiu bedziesz miał opcję wyboru systemu który chcesz używać , powodzenia

[max]

Masz rację Asterix, że najłatwiej jest postawić system na nowo, ale dla mnie to już nowe wyzwanie, a wolałbym choć trochę opanować problem. Po dzisiejszym podejściu z mojego wcześniejszego loga zostały 2 pierwsze pozycje, które okazały się ukrytymi wpisami Windows dla ochrony haseł komputera. Usunęłem wszystkie punkty przywracania, ponownie Gmer, Ad-Aware, NOD32, usunięcie wszelkich plików tymczasowych, ręczne usunełem wszystkie podejrzane wpisy z rejestru, na końcu jeszcze raz skanowanie RootkitRevealerem i wygląda na to, że jest czysto. Po grzebaniu w rejestrze uwaliłem tylko kilka skrótów z pulpitu i z paska szybkiego uruchamiania, więc nie jest źle. Wcześniej odinstalowałem wszystkie gry i nie istotne w tym momencie programy przez co skróciłem znacznie czas skanowania. Przy okazji odkryłem, że komp jest regularnie atakowany trojanem z adresu 208.101.56.102. NOD go zatrzymuje, ale spisałem dane z alertu i jutro idę z tym do administratora sieci (jestem za NATEM) i niech nad tym pomyśli, bo mój komp jest w tej samej sieci co ten który ratuję, ale na innym węźle i u mnie ataków nie ma.
PS. Pewnie zauważyliście, że piszę późnymi wieczorami, ale to jedyny czas kiedy mogę spokojnie usiąść do kompa. Odezwę się niebawem.

[asterix]

dobrze ze sobie poradziłeś , oby tak dalej , na zakończenie polecam Norton win doctor , dobry programik do sprzątania i porządkowania na półkach systemowych , często go używam i jestem zadowolony , powodzenia

[max]

Witam ponownie po dłuższej przerwie spowodowanej wyjazdem. Byłem u administratora sieci i tam dowiedziałem się, że mam w specyficzny sposób zmodyfikowany jakiś plik systemowy, to znaczy że otwiera on sobie jakiś port i próbuje wpuścić z określonej strony wirusa, a NOD go blokuje z tąd komunikat z ocją "rozłącz", a nie "wylecz", czy "usuń". Poradził po prostu instalkę świeżego windowsa. Z braku czasu z tytułu mojego wyjazdo tak zrobiłem i anomalie minęły, a komp śmiga jak nowonarodzony. Odkryłem też, że zablokowany mam dostęp do zapory systemowej windows, co dodatkowo zmotywowało mnie do nowej instalki. Istotne dane przeskanowałem i zgrałem, a partycja systemowa poszła pod format. Szkoda mi trochę, że nie rozgryzłem do końca problemu, ale jak widać jest to dla mnie jeszcze wyższa szkoła jazdy. Na razie temat uważam za załatwiony.
Jeszcze jedna sprawa: któryś z kolegów potrzebował Easy Recovery Pro. Wyczyściłem skrzynkę nie zapisawszy adresu. Mam go i chętnie podeślę do przetestowania pod wskazany adres. Wystarczy prywatna wiadomość. Ma nieco ponad 30MB.