virusi.1dr.urbano,
Ovako,
zahvaljujuci jednom programcetu koga sam skino' sa doticnog BBS-a imam
neki ? virus na masini. Naime, virus nista gadno ne radi sem sto se svi
zarazeni fajlovi staruju x puta sporije.
Ispisuje se poruka Hi! Don't forget :Angel is watching you !
MMMMMMMMMMMMMM ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
A, posto znam ko je Angel znate sto sam u frci
SCAN ga imenuje kao VCL virus i nemoze da ga skine !!!:((((
Ako neko zna neko resenje za ovaj problem,
neka mi se (please) :)) javi (odgovori)
Vlada.
virusi.2superhik,
=:> Ako neko zna neko resenje za ovaj problem,
=:> neka mi se (please) :)) javi (odgovori)
Ako je to što ja mislim, a verovatno jeste ! (?)
Treba ti vakcina koju je napravio istoimeni Angel, pomoću nje
možeš vrlo lako da skineš virus, e sad, ta vakcina je okačena negde
u conf... pa potraži...
Probaj poruku 6.317 u pc.util 2 ili 3
TU ti je killvcl koji (možda) može da posluži...
virusi.3mboban,
=-= Ispisuje se poruka Hi! Don't forget :Angel is watching you !
Ova vakcina bi trebala da ti pomogne... Dolazi od samog Angela.
TBAV nalazi da je ovaj fajl malo sumnjiv, ali koliko mi je Angel
objasnio - fajl je sasvim regularan.
antiuni.comvirusi.4pavlovicz,
> zahvaljujuci jednom programcetu koga sam skino' sa doticnog BBS-a imam
A ime dotičnog ?
virusi.5dr.urbano,
Zahvaljujem se Superhiku i MBobanu na njihovom brzom odzivu .
Nazalost u medjuvremenu virus se prosirio i dobio sam poruku tipa
disk seriously damaged i nesto kao format will do !! :)
Tako da sam morao da obrisem sve zarazene fajlove posto sam mu dao sistemsku
Ipak vam hvala na pomoci,
Vlada
virusi.6maksa,
>> Nazalost u medjuvremenu virus se prosirio i dobio sam poruku
>> tipa disk seriously damaged i nesto kao format will do !! :)
žini se da si bio žrtva šale iz conf. VICEVI, poruka 15.249.
Dovoljno je bilo da iz autoexec.bat na svim mestima pobrišeš
pozive fajla z.com, i da obrišeš hidden fajl z.com u root-u c:
diska.
virusi.7vlad,
> žini se da si bio žrtva šale iz conf. VICEVI, poruka 15.249.
Sala je bila prilicno neslana B(. Poruku bi svakako trebalo
obrisati, a korisnika(e) upozoriti da uz ovakve "exe" posalice
obavezno kace detaljan opis sta i kako radi. Bez objasnjenja ce
se mnogi navuci da preformatiraju HD, a to bas nije prijatna
operacija.
Drugo resenje je da se u onu izjavu koja se "potpisuje" prilikom
pristupa konferenciji VICEVI doda i jedan debeo disclaimer koji
se odnosi na fajlove uz poruke.
virusi.8bulaja,
**** new file ****
MSDOS - R:\VIRUS
----------------------
tbav637 zip 309903 ThunderBYTE AntiVirus 6.37: sistem za zaštitu od virusa
1 file(s) 303 kb
6.37 Product update
-------------------
General notes:
- This is a 'preview' release of TBAV 6.40, which will have a
completely new designed heuristic engine.
The actual reason for this preview release is that we added
detection for two currently quickly spreading viruses: NightFall
and ByWay.
TbScan:
- The heuristic engine has been redesigned! Detection rate has been
improved, while the false positive rate has been significantly
reduced. Without option 'heuristics' TbScan now detects about
80% of the viruses! If you specify option 'heuristics' (the so
called 'paranoia mode'), TbScan now detects about 95% of the
viruses! The default heuristic level should never produce 'false
positives' anymore, and the amount of 'false positives' in the
paranoia mode has been reduced to 20% of what it used to be.
The next version of TbScan will be a major new version with
heuristic capabilities that are even better than it is now.
- To ease testing of the new heuristic engine, we added a new
option 'hrtest' that causes TbScan to disable signature scanning.
Viruses:
- Added signatures:
ByWay
NightFall
<Thanks to calex>
virusi.9maksa,
>> Sala je bila prilicno neslana B(.
Neslana, jeftina, i već viđena u mnogo duhovitijem obliku - Silly
DOS. čali bože uloženog truda.
virusi.10zkrstic,
U vezi fajla koji su pojedini korisnici skinuli iz conf VICEVI:
Izvinjavam se svima koji su imali problema, obzirom da sam nisam na vreme
skinuo fajl i proveriuo šta radi.
Takodje će ubuduće ovakvi fajlovi biti uklanjani po principu prvo pucam pa
pitam šta ko pije ;>
Pozdrav, Zkr
virusi.11supers,
>> Nazalost u medjuvremenu virus se prosirio i dobio sam poruku tipa
>> disk seriously damaged i nesto kao format will do !! :)
Zbilja me interesuje kako bi bilo da nadležni opomenu autora
nazovi-virusa, pošto stvar ume prilično da iznervira. Prvo sto sam
pomislio je da mi se ne znam kakva napast uselila u comp, pa sam
smesta resetovao... Pa su mi se sa sistemskoj disketi po Marfiju pojavili
bad clusteri, pa kad nijedan antivirus nista nije otkrio...
Citavo prepodne mi je otišlo na glupi nazovi-virus dok nisam shvatio
da ga treba jednostavno obrisati #$.^*
virusi.12slom,
Kojim programom moze da se ukloni MISSES virus ?
virusi.13inferno,
Ů│ ˙ Kojim programom moze da se ukloni MISSES virus ?
Programom FORMAT. Primeniti ga na disk c:. ;)
virusi.14kriss,
˙˙ Kojim programom moze da se ukloni MISSES virus ?
MISiS ili Zharinov - ako je na hard-u, probaj sa DENIKA!.ZIP, ima ga u
dir-u.
virusi.15cnenad,
Ima li nekih informacija o virusu _1376 ? U bazi podataka F-Prota ga nema
a on dotični stalno prijavljuje na jednoj mašini, i kao očisti ga ali se
on navodno stalno pojavi.
Scan nije ništa pronašao a TBAV mi nije bio pri ruci.
virusi.16mminovic,
> Ima li nekih informacija o virusu _1376 ? U bazi podataka
> F-Prota ga nema a on doticni stalno prijavljuje na jednoj
> masini, i kao ocisti ga ali se on navodno stalno pojavi.
>
> Scan nije nista pronasao a TBAV mi nije bio pri ruci.
Imao sam doticni kod sebe,ocistio ga,i nije se vise javio.
Kod drugara isto,samo sto se pojavio.
Opet sam mu ocistio i ovaj put posle ciscenja ugasio kompjuter i
vise ga nema :))
btw,tbav ga ne nalazi :((
Pozdrav,
Mindza.
P.S.Znaci cista BOOT disketa + cisti FPROT + hard. reset <> _1376 :)
virusi.17cnenad,
Subj. _1376
=> Opet sam mu ocistio i ovaj put posle ciscenja ugasio kompjuter i
=> vise ga nema :))
Nikad mi neće biti jasno zašto mora da se mašina digne sa čiste zaštićene
diskete i da se sa zaštićene antivir diskete radi čišćenje. Pre svega, virus
se ne nalazi u memoriji. Dalje, nakon čišćenja virusa mašinu nisam isključio
već sam je resetovao na RESET taster. To mu valjda dođe isto.
F-Prot je na nekim fajlovima počeo da ispisuje u petlji kako ih čisti i
jednostavno ulazio u šlog stanje. Kad resetujem mašinu i pokrenem ga ponovo
on taj fajl iz prve očisti.
žudno da ovaj virus ni Scan ne pronalazi.
Inače, o kakvom se virusu radi ?
virusi.18atech,
> Inace, o kakvom se virusu radi ?
Baci ga na mail pa cemo videti, i naravno javiti...
virusi.19zeljkoj,
> već sam je resetovao na RESET taster. To mu valjda dođe isto.
Trebalo bi da je isto, ali... meni se dogadjalo da neki GPF u Windowsu
nešto zezne, a posle se greške pojavljuju iako sam u medjuvremenu kompjuter
i hard i soft resetovao - pomagalo je samo gašenje.
virusi.20mboban,
Možda lupim, al' ajde... :)
=-= Nikad mi neće biti jasno zašto mora da se mašina digne sa čiste
=-= zaštićene diskete i da se sa zaštićene antivir diskete radi čišćenje.
Sa čiste - da bi antivirus ispravno funkcionisao, da se iz zaraženog
FAT-a ne bi kopirao virus u memoriju (vidi dole).
Sa zaštićene - da čista disketa ne bi postala "prljava". :)
=-= Pre svega, virus se ne nalazi u memoriji.
Ne znam za ovaj virus, ali u praxi se takvo čišćenje koristi za viruse
koji se smeštaju u FAT (?). So, ako ti je FAT hard diska zaražen, pri
svakom butovanju sa njega virus se kopira u memoriju (?) i zato ga na
taj način ne možeš očistiti, jer kada ga ukloniš iz memorije, on se
ponovo "vrati" iz FAT-a.
Takva su barem moja iskustva sa Mikelanđelom...
virusi.21cnenad,
=> Možda lupim, al' ajde... :)
Možda, možda :) :) :)
=> Sa čiste - da bi antivirus ispravno funkcionisao, da se iz zaraženog
=> FAT-a ne bi kopirao virus u memoriju (vidi dole).
Konkretno sam mislio na situaciju kod ovog virusa i stoga sorry što to ne
napomenuh. E sada, da je BOOT virus valjda bi i to prijavio F-Prot. Naravno
da se ovakve mere zaštite moraju primeniti kod BOOT virusa. Ono što je
zanimljivo je sledeće:
nakon čišćenja pokrenuo sam instalaciju drajvera za SB 16 i odjedanput
počne DOS da se buni kako je disketa zaštićena. Naravno, odmah je usledio
još jednom F-Prot i opet virus.
I još jedna poslastica, sve ovo je počelo da se događa na mašini kod ortaka
nakon deinstalacije (ručne ;) Windows-a '95.
virusi.22supers,
>> se ne nalazi u memoriji. Dalje, nakon čišćenja virusa mašinu nisam
>> isključio već sam je resetovao na RESET taster. To mu valjda dođe
>> isto.
Ne mora da znači. Reset se i softverski može izvršiti. Nešto
poput toga omogućava QEMM, a ima i virusa koji vrše resetovanje, ali
tako da ostanu u memoriji ;> So, Ctrl-Alt-Del samo ako si siguran da
ti je virus uklonjen.
virusi.23superhik,
=:> žudno da ovaj virus ni Scan ne pronalazi.
Probaj Tbav636/637
virusi.24mminovic,
> Konkretno sam mislio na situaciju kod ovog virusa i stoga sorry
> sto to ne napomenuh. E sada, da je BOOT virus valjda bi i to
> prijavio F-Prot. Naravno
pa pazi ovako.
nadjen je na gomili fajlova(citaj na svim exe fajlovima koji su
startovani posle njegove instalacije ;)
posle ciscenja i negasenja startovao sam pkunzip,usao u fprot
i samo pkunzip je bio zarazen :)
kada bi to bio samo fajl virus ne bi zarazivao fajlove koji
se startuju nego neke bezveze :)
Sto navodi na to da se ipak nalazi u memoriji :)
Pozdrav,
Mindza.
P.S.Sto vuce cistu i zasticenu disketu :)
P.P.S.BTW,U njega sam posumnjao kada mi je prilikom instalacije Win-a
rekao drive a: write protected(ili kako se vec pise) :))
virusi.25cnenad,
=> P.P.S.BTW,U njega sam posumnjao kada mi je prilikom instalacije Win-a
=> rekao drive a: write protected(ili kako se vec pise) :))
Instalacije Win-a, kojeg ? 95 ? Ako je tog, znači tu smo, sa njim je
dotični ALIEN i stigao ;) jer je drugar imao na mašini instaliran Win 95.
virusi.26kika,
HIma li neko iskustva sa sa One_Half. F_PROT ga pronalazi i skida sa fajlova
ali iz MRB nemoze. TBAV ga samo prijavljuje ali ne uklanja ( ili ja to neznam
da izvedem). POMAGAJTE
virusi.27kriss,
˙˙ HIma li neko iskustva sa sa One_Half. F_PROT ga pronalazi i
˙˙ skida sa fajlova ali iz MRB nemoze. TBAV ga samo prijavljuje
˙˙ ali ne uklanja ( ili ja to neznam da izvedem). POMAGAJTE
MNOGO gadan virus! Bolje nemoj da se usudiš da ga brišeš, jer ti odoše
podaci. :( Savet ti je da napraviš backup najvažnijih fajlova, pa da
obrišeš disk. Naravno, sve zaražene EXE-ove pobriši.
Virus inače ima "običaj" da polako šifruje hard disk, i ako se desi da
ga ubijete, "ubili" ste i zašifrovan deo.
virusi.28kriss,
˙˙ koji se smeštaju u FAT (?). So, ako ti je FAT hard diska
˙˙ zaražen, pri svakom butovanju sa njega virus se kopira u
˙˙ memoriju (?) i zato ga na taj način ne možeš očistiti, jer
˙˙ kada ga ukloniš iz memorije, on se ponovo "vrati" iz FAT-a.
Viđu 'vako šime: FAT ti je jedan obična (?) tabela u kojoj su podaci o
fajlovima, iliti Fajl Alokejšn Tejbl. Virus zaista može da se smesti
svuda (pa i u FAT), ali da bi se izvršio, treba neko da ga "pobudi",
tj. da startuje taj kôd. Ako se virus pri butovanju kopira u memoriju
iz FAT-a, onda to znači sledeće:
a) zaražen/izmenjen je boot sektor, pa se virus "komandom" odatle
smešta u memoriju
b) deo virusa se zakačio za neki od fajlova, pa se po startovanju
istog drugi deo prebacuje u memoriju
˙˙ Takva su barem moja iskustva sa Mikelanđelom...
Mich nema veze sa FAT-om, abr ne originalna verzija.
virusi.29superhik,
=:> podaci. :( Savet ti je da napraviš backup najvažnijih
=:> fajlova, pa da obrišeš disk. Naravno, sve zaražene EXE-ove
=:> pobriši.
=:> Virus inače ima "običaj" da polako šifruje hard disk, i ako
=:> se desi da ga ubijete, "ubili" ste i zašifrovan deo.
?????
Gore si napisao da disk TREBA da se obriše !?
Je l' treba format ili jedan po jedan EXE !?
virusi.30ab.comp,
==> HIma li neko iskustva sa sa One_Half. F_PROT ga
==> pronalazi i skida sa fajlova
Obavezno napravi bekap svih podataka sa diska, jer se može
desiti da posle uklanjanja tek ne nastane haos na disku.
Ja sam ga iz MBR-a uspešno uklonio sa FDISK-om iz Novell DOS-a.
Sve detalje sam opisao u poruci 6.576 u PC.UTIL.3.
Pozdrav
█ █ █ █
▄▄█ █ █▄▄ █▄▄
virusi.31kriss,
˙˙ Gore si napisao da disk TREBA da se obriše !?
˙˙ Je l' treba format ili jedan po jedan EXE !?
Bilo bi poželjno, tj. bar bi ja tako uradio. :( Rukovodim se onim što
piše u f-protu, pošto virus još nisam pregledao. Kad ga pogledam, moću
da kažem i više o tome, ali će čoveku tad biti kasno. :(
virusi.33pstojanovic,
Na svim novijim BIOS-ima koji podržavaju opciju System Bootup sequence A: C:
postaviti na C: A: i eto idealne zastite od boot virusa tipa Mikelandjelo i sl.
virusi.34msavkovic,
┌┌┌ Na svim novijim BIOS-ima koji podrzavaju opciju System Bootup
┌┌┌ sequence A: C: postaviti na C: A: i eto idealne zastite od boot
┌┌┌ virusa tipa Mikelandjelo i sl.
Sta je ovo? Izjava ili odgovor na vec postavljeno piranje.
Ako se virus gnezdi u boot sektor HDD-a, kakve to veze ima sa disketom,
a ako imas neki "noviji" bios imas i opciju Boot Protect :)
virusi.35pstojanovic,
> Sta je ovo? Izjava ili odgovor na vec postavljeno piranje.
Izjava.
> Ako se virus gnezdi u boot sektor HDD-a, kakve to veze ima sa
> disketom,
Boot virusi se prenose sa zaraženog boot sektora diskete (bila ona sistemska
ili ne), isključivo prilikom startovanja sistema, u memoriju računara,
(obicno vezivanjem na int 0x13) pa tek tada zaraze svaki disk, particionu
tabelu ili boot sektor, kome se odatle pristupa. Dakle, ima veze sa disketom.
Normalno je da ovo ne važi za neke egzotične kombinovane viruse (fajl+boot),
i da ne važi u već zaraženoj mreži (bar sa stanovišta servera).
> a ako imas neki "noviji" bios imas i opciju Boot Protect :)
Apsolutno. Hteo sam samo da ukažem na još jednu mogućnost. Naime, kod gomile
386 računara sa Ami biosom ne postoji Boot Protect opcija, a postoji
System Boot Up Sequence.
virusi.36vlad,
Neki dan sam se po prvi put malo vise igrao sa TBAV-om pa sam
instalirao onaj njegov "Immunize/clean partition code". Nije da
mi smeta (vrlo je brz) ali bih voleo da znam i kako da ga skinem.
Ima li nacina?
virusi.37ikordic,
RE: Immunize boot
=> instalirao onaj njegov "Immunize/clean partition code". Nije da
=> mi smeta (vrlo je brz) ali bih voleo da znam i kako da ga skinem.
fdisk /mbr
virusi.38vlad,
> fdisk /mbr
Ko bi se toga setio? B)))
Svaka cast!
virusi.39iznogud,
::> fdisk /mbr
::
:: Ko bi se toga setio? B)))
Svako ko je skidao Linuxov LILO sa diska ;)
virusi.40vlad,
> ::> fdisk /mbr
> ::
> :: Ko bi se toga setio? B)))
>
> Svako ko je skidao Linuxov LILO sa diska ;)
Ih, ja sam jedan QNX skidao Disk Editorom. Pregazio nulama prvih
stotinak sektora i mirna Backa B). Koliko se secam tu ni
kompletan fdisk nije pomagao.
virusi.41zokig,
Šta je poznato o ASSTRAL ZEUS-u i dropper-ima istog.
Vrsta ? Ćudi ? Posledice ?
... i sve o tome. :)
z
virusi.42kriss,
˙˙ Šta je poznato o ASSTRAL ZEUS-u i dropper-ima istog.
Samo ono što su drugi napisali. Pogledaj TBAV pod Viruses (ako imaš
registrovan), a ako ne, javi pa da čupamo.
virusi.43zokig,
>> ˙˙ Šta je poznato o ASSTRAL ZEUS-u i dropper-ima istog.
>>
>> Samo ono što su drugi napisali. Pogledaj TBAV pod Viruses (ako imaš
>> registrovan), a ako ne, javi pa da čupamo.
... Nogekako ... da čupamo.
Doktore ... šmrc, šmrc, jec ...
... kaži da i nije baš toliko čupavo. :(
virusi.44kriss,
˙˙ ... Nogekako ... da čupamo.
Da ne davimo ostale, eno ga na mail-u ...
˙˙ ... kaži da i nije baš toliko čupavo. :(
Nije baš toliko čupavo. ;)
A da je dlakavo - dlakavo je ...
virusi.45drakce,
U konferenciji PC.HARD.6/3.271 nalazi se arhiva $RZ1000.EXE. Unutar nje je
Word doc datoteka. TBAV v6.38 kaže da je zaražena virusom(?):
CTRLTEST.DOC - infected by WordMacro.Concept virus
U help-u nema ničeg sličnog, a ni VSUM v4.01 ga ne pominje... Kačim sumnjivi
doc uz poruku, pa kog' zanima, nek' razgleda.
wordmac.zipvirusi.46vracic,
> CTRLTEST.DOC - infected by WordMacro.Concept virus
Probaj da zameniš HIGH HEURISTIC METHOD sa AUTO (ili LOW) HEURISTIC
METHOD. Kada je uključena ova opcija program vrlo često prijavljuje
nepostojeće viruse.
Ako možeš nabavi registrovanu verziju (ako je već nemaš) jer je u
nju ugrađena opcija SECURE SCAN za proveru samo postojećih virusa.
> U help-u nema ničeg sličnog, a ni VSUM v4.01 ga ne pominje... Kačim
> sumnjivi doc uz poruku, pa kog' zanima, nek' razgleda.
VSUM je malo zastareo (iz '93. godine) pa ne prepoznaje novije viruse.
virusi.47drakce,
> CTRLTEST.DOC - infected by WordMacro.Concept virus
>> Probaj da zameniš HIGH HEURISTIC METHOD sa AUTO (ili LOW) HEURISTIC METHOD
Uključen je auto (default).
>> Ako možeš nabavi registrovanu verziju (ako je već nemaš) jer je u nju
>> ugrađena opcija SECURE SCAN za proveru samo postojećih virusa.
Registrovana je ... Mislim da ti je promakla nešto - Da je u pitanju bilo koji
drugi virus i da ga prijavljuje nad DOC fajlom, ne bih ga ni pogledao. Ali reč
je o Word dokumentu i TBAV prijavljuje postojanje nekakvog *WordMacro* virusa?
To je ono što mi celu priču čini interesantnom.
virusi.48mitcho,
> CTRLTEST.DOC - infected by WordMacro.Concept virus
Da to nije u vezi ovoga uz poruku?
A uz poruku je prikačeno objašnjenje nekog Wordovog "virusa" i "vakcina"
za njega.
virus.zipvirusi.49dr.coha,
Jel se nekom desilo da sa F-prot (najnovija verzija na sezamu 2.18a)
prilikom testiranja pobrljavi ekran? Ovo se ne desava sa starijim verzijama,
vec samo sa ovom i to posle one cuvene poruke: Ovo je vec zastarelo, nabavite
novu verziju. Probam sa starijom verzijom i sve prodje u redu. Sa ovom verzijom
je sve sljakalo dok nije pocela da se pojavljuje poruka o zastarelosti verzije.
Program pocne da testira disk i najednom, na polovini testa pocne da salje
nesto bezveze na ekran, kao dvostruko vecu frekvenciju ili nesto slicno.
Ako ima slicnih iskustava potvrdite. Da napomenem jos ada sve provere fajla
f-prot prolaze glatko! Sve je OK.
Pozdrav, Dragan.
virusi.50calex,
<!> Jel se nekom desilo da sa F-prot (najnovija verzija na sezamu 2.18a)
<!> prilikom testiranja pobrljavi ekran? Ovo se ne desava sa starijim
Ne, radi ok i u dosu i u dos promptu. :)
virusi.51gerber,
Novi TBAV 650 se nalazi na SEZAM-PRO, i to:
9.142 => TBAV 650 (DOS)
9.144 => TBAVX 650 (Optimizacija prema CPU)
9.143 => TBW95 650 (WINDOWS 95)
virusi.52calex,
<!> Word doc datoteka. TBAV v6.38 kaže da je zaražena virusom(?):
<!> CTRLTEST.DOC - infected by WordMacro.Concept virus
Kad smo kod ovoga, evo nešto iz new.220 (F-Prot 2.20)
Version 2.20 - major changes:
F-PROT will now scan .DO? (typically .DOC and .DOT) files by default.
This is done because of the Microsoft Word Macro-based viruses that
appeared recently. This behavior can be disabled with the /NODOC
command-line switch.
virusi.53cnenad,
=> Version 2.20 - major changes:
Sve je ovo lepo, vidim ovde i na IMTEL se šalju informacije o F-Prot-u 2.19
2.20 ali nigde nema programa, ajde da neka dobra duša obraduje i nas
smrtnike O:)
virusi.54evlad,
<> Sve je ovo lepo, vidim ovde i na IMTEL se šalju informacije o F-Prot-u
<> 2.19 2.20 ali nigde nema programa, ajde da neka dobra duša obraduje i
===============================
2.667 TEST.1:test
calex, 23.10.Pon 15:58, 439 chr
---------------------------------------------------------
Da preskočimo verziju 2.19? Evo o'ma novije. :))
F-PROT version 2.20 - October 1995 The F-PROT
anti-virus package contains a virus scanner
combined with a disinfection program, as well
as a resident monitoring program for
intercepting known viruses. This program is
free of charge for private users, but others
are required to register or obtain the
'Professional' version - see the
documentation for details.
----------------------------------------------- 2.667 ---
** Uz poruku 'fp-220.zip' (589845 bytes)
žika nešo pozdravi _brzog_ i niš ne brini :)
virusi.55drakce,
>> F-PROT version 2.20 - October 1995 The F-PROT
Nešto mi ovdi nije kako treba. Kada sam pokušao da proverim integritet
arhive sa PGP-om, rezultat je bio:
> Key matching expected Key ID 9E71ED29 not found
Od ranije imam autorov public key i njegov ID je:
> pub 1024/5065CFC3 1993/05/01 Fridrik Skulason <frisk@complex.is>
^^^^^^^^
Ili je čovek u međuvremenu promenio ključ, ili ... Tipujem na 2 ;)
virusi.56iznogud,
>> Od ranije imam autorov public key i njegov ID je:
>> ...
>> Ili je čovek u međuvremenu promenio ključ, ili ... Tipujem na
>> 2 ;)
Tipuj na 1.
Iz fajla NEW.220:
The instructions for uploading viruses to us have now been changed.
A different PGP key is now included with the package, so that instead
of the key belonging to Fridrik Skulason, the key that should be used
belongs to Frisk Software International. See NEW-VIR.DOC for up-to-date
information on how to send us virus samples.
The "E-mail update service" address has changed - see UPDATES.DOC.
Pz, maksa
virusi.57drakce,
>>>> Ili je čovek u međuvremenu promenio ključ, ili ... Tipujem na 2 ;)
>> Tipuj na 1.
>> A different PGP key is now included with the package, so that instead
Da citiram mog dobrog prijatelja Kisindžera, to što sam ja paranoik, ne
znači da mi ne rade o glavi ;)
Dakle, promenili su PGP ključ i obavestili nas o tome u istoj arhivi. Za
očekivati je da i Bad Guys urade istu stvar. Jel' im bilo teško da to
obaveštenje sa sve ključem potpišu starim?
Ne tvrdim ja da je to lažna verzija, al' i dalje rabim TBAV. Bar dok se
ne dokaže suprotno.
virusi.59gerber,
YR>*>Skinuto negde iz sveta ... :)
YR>*>NO JOKE, officially confirmed: virus in
windows '95
Na stranu što je poruka sa Interneta koja se nalazi u
arhivi već poznata (kao i celi slučaj, uostalom) => ne radi se
o virusu već o pominjanoj žika Bilijevoj caki sa Beta i Prew.
verzija da javlja o kontigentu programa na disku.
Dakle samo o "viralnoj rutini" u Registration WIzardu.
Ali bi bilo poželjno, ako se već ostavlja arhiva, da se
napomene šta radi i čemu služi "USEMETH.COM" fajl koji je u njoj.
Pogotovo ako poseduje ceo niz rutina "veoma zgodnih za virus", kako
ga već hvali TBAV ;))
virusi.60kriss,
˙˙ o virusu već o pominjanoj žika Bilijevoj caki sa Beta i Prew.
˙˙ verzija da javlja o kontigentu programa na disku.
Da, moja greška što nisam prethodno pogedao. :(
˙˙ Ali bi bilo poželjno, ako se već ostavlja arhiva, da se
˙˙ napomene šta radi i čemu služi "USEMETH.COM" fajl koji je u
˙˙ njoj. Pogotovo ako poseduje ceo niz rutina "veoma zgodnih za
˙˙ virus", kako ga već hvali TBAV ;))
Jes vala. Ja ga startovah, i krenuo je neki intro, nalik na one 4K
introe. Ali za svaku sigurnost, poruka je obrisana (i fajl uz nju).
virusi.61kriss,
A evo i vakcine za Word.Macro virus.
<TNX to calex>
wvfix.zipvirusi.62gerber,
YR>*> A evo i vakcine za Word.Macro virus.
Da li je, možda, isprobana na onom zaraženom fajlu koji
je išao uz CTRLTST pre neko vreme..?
virusi.63gerber,
YR>*> Jes vala. Ja ga startovah, i krenuo je neki intro, nalik na one 4K
YR>*> introe. Ali za svaku sigurnost, poruka je obrisana (i fajl uz nju).
Nisam ni pokušao, dosta sam se u zadnje vreme zezao i sa samom
W95-ticom, pa, rekoh.. :))
virusi.64drakce,
>> Dakle, promenili su PGP ključ i obavestili nas o tome u istoj arhivi.
>> Za očekivati je da i Bad Guys urade istu stvar. Jel' im bilo teško da
>> to obaveštenje sa sve ključem potpišu starim?
Nije im bilo teško, nego neko O;) nije dobro gledao. Kad se pregledaju
"certifying signatures" novog ključa <f-prot@complex.is> lepo se vidi
"fingerprint" starog <frisk@complex.is>.
Dakle, sve je OK sa F-Prot v2.20 na Sezamu, što sam ja oduvek i tvrdio :)
virusi.66calex,
<!> Dakle, sve je OK sa F-Prot v2.20 na Sezamu, što sam ja oduvek i tvrdio
Daklem, nisam više sumnjiv? ;)
BTNJ, na BBS-u koji je pomenut u zaglavlju arhive ima oko 1.4 GB
softvera, nisam primetio piratske pojave što znači da je sadržaj
_sličan_ sezamovom. Spisak je oko 1 MB. ;) Ima l' interesenata da ga
pogledaju (pod uslovom da nešto dovuku), pa da ga bačim na brzi? ;>
virusi.67kriss,
˙˙ Da li je, možda, isprobana na onom zaraženom fajlu koji
˙˙ je išao uz CTRLTST pre neko vreme..?
Ne, jer ne koristim Word. Ali pošto je u pitanju makro koji čisti
makro, :) ne verujem da može da obriše hard.
virusi.68gerber,
RE: ASSTRAL_ZEUS Virus droper
Skinuh pre dva dana sa Sezama fajl ANTIUNI.COM.
Potpuno sam i zaboravio da sam ga skinuo, a pogotovo iz
koje konferencije i čemu uopšte služi, ali me TBAV podsetio
na njega sa gore navedenom porukom. FP nije istog mišljenja,
ali ga i nema u svojo info bazi. Kako prateća dokumentacija
tvrdi pomenuti Asstral "ispušta" PS-MPC" viruse:
TBAV:
Information about the PS-MPC (encrypted) virus.
This virus is known to infect COM files, EXE files, but unknown variants
may infect other items as well.
It remains resident in memory and infects/damages its victims in the
background.
Actually, this is not just a virus, but a class of viruses. They are all
created with the same tool. It is hardly possible to divide and describe
all viruses created with this tool individually. Be aware of unknown
side-effects. It is highly recommended to restore all files from a reliable
backup.
The virus is encrypted using a trivial encryption scheme. There is no
simple signature that can be used to find it. However, the better
anti-virus scanners should not have any problems detecting this virus.
Because the source code of this virus is widely spread, there are many
variants of this virus. It is hardly possible to divide and describe all
variants individually. Be aware of unknown side-effects. It is highly
recommended to restore all files from a reliable backup.
FP:
Name: PS-MPC
The PS-MPC program is not a virus, but a virus creation tool, which can
be used to create similar, easily detected viruses - usually encrypted.
Variant: Abraxas, Alien, ARCV-1, Bamestra, Cinco, Eclypse, Gold
Jo, Kersplat, McWhale, Mimic, Page, Schrunch, Small-ARCV
Swansong, Tim, Walkabout, Warez, Z10
Variant: Math-Test
The PS-MPC.Math-test virus was found from the CD-ROM disk
"Software Vault, Collection 2" in October 1993. The infection was
discovered when a private person from Helsinki, Finland,
contacted Data Fellows Ltd at the end of October. This person's
computer was almost completely infected by the virus.
PS-MPC.Math-test is one of the viruses created with Phalcon/Skism
Mass Produced Code Generator. The virus stays resident in memory
and infects practically all executed COM and EXE programs.
antiuni.arjvirusi.69kaplan,
Neko je (nekada) tražio spisak (dopune) virusa u našim krajevima, pa evo
.....GREEN CARPENTERS.....
Tbav ga prepoznaje i upucava
virusi.70vitez.koja,
Citat iz ironmaiden.faq:
* It seems that a computer virus author who goes by the name of Dark Avenger
is an Iron Maiden fan. Many of his viruses contain references to Eddie.
Quoting from the book "Inside the Norton Anti-virus":
'Eddie is the "dead dude," a character throughout the albums of heavy
metal group Iron Maiden. The "The Somewhere in Time" album cover shows
Eddie as a sci-fi Cyborg warrior.'
'Other Dark Avenger viruses also contain references to Iron Maiden,
such as "Seventh Son of a Seventh Son." The Seventh Son virus is the
title of an album by Iron Maiden. The idea is based on the fantasy novel
series by Orson Scott Card. In this fictitious history of colonial
America, magic and folklore are more powerful than science. The seventh
son has magical power, and Alvin, the seventh son of a seventh son, and
a messiah figure, has the power to fight the Unbuilder.'
'The Evil Men virus, a variant of the Dark Avenger virus, contains
the title of a song from the Iron Maiden album, Seventh Son of a Seventh
Son, "The Evil That Men Do." The Evil Men virus and the V800 virus,
both from Bulgaria, also contain an encrypted reference to the Iron Maiden
album Live After Death.'
virusi.72dbambi,
POMAGAJTE DRUGOVI !!! :)
Evo ukratko sta se desilo mom ortaku danas, kada je pokrenuo F-PROTA 2.20
Ovaj program je nasao virus u MBR-u i krstio ga kao new or modified
Stoned.virus
E sada nasao ga, ali nije ponudio da ga skine ? Drugo, kada je video
da ima virus u comp-u, ortak je krenuo da pretrazuje sumnjive diskete
(sada se setio :() i tamo je isto u BOOT-u nasao STONED virus i
MICHELANGELO.A virus, koje je sada F-PROT hteo i uspeo da ocisti...
Dakle pitanje je zasto to ne radi i na hard-disku...
Ako F-PROT ne radi, ko radi ? Posto je i TBAV samo konstatovao virus, a
takodje i SCAN...
Jos nesto, ortak ima RESCUE disketu koju je napravio uz pomoc NU7.0, tamo
postoji opcija da se vrati BOOT sektora (ali onakav kakv je bio u Junu
mesecu) da li to vracanje podrazumeva brisanje direktorijuma koji tada nisu
postojali, ili je to bezopasna operacija posto od tada nije menjana ni
verzija DOS-a, ni STACKER-a, niti je stavljen Win95... ?
Dakle molim BRZ i jos vaznije KORISTAN odgovor kako da se ukloni ovaj
virus uz sto manje posledice....
Bambi
virusi.73fancy,
ŮŢ> Ovaj program je nasao virus u MBR-u i krstio ga kao new or modified
ŮŢ> E sada nasao ga, ali nije ponudio da ga skine ? Drugo, kada je video
A da proba FDISK /MBR ?
virusi.74kaplan,
==> Ako F-PROT ne radi, ko radi ? Posto je i TBAV samo konstatovao virus, a
==> takodje i SCAN...
Probaj sa TBAV-om na opciju IMUNIZZE (ili tako nešto). JA sam Stoned izbacio
sa diskete (bio je na BOOT-u) i uspelo je.
PS> Mnogo sreće
virusi.75supers,
>> postoji opcija da se vrati BOOT sektora (ali onakav kakv je bio u
>> Junu mesecu) da li to vracanje podrazumeva brisanje direktorijuma
>> koji tada nisu postojali, ili je to bezopasna operacija posto od
>> tada nije menjana ni verzija DOS-a, ni STACKER-a, niti je stavljen
>> Win95... ?
Najjednostavniji način za ubijanje boot virusa je C:\FDISK /MBR
Naravno, nakon podizanja sistema sa čiste diskete. To ne bi smelo da
naškodi podacima na disku jer se informacije o položaju direktorijuma,
kao i fajlova, nalaze u FATu, dakle posle boot sektora.
virusi.76ikordic,
RE: Boot virus
=> Jos nesto, ortak ima RESCUE disketu koju je napravio uz pomoc NU7.0, tamo
=> postoji opcija da se vrati BOOT sektora (ali onakav kakv je bio u Junu
Boot sektor može da povrati ili tako ili sa fdisk /mbr, i jedno i drugo raditi
nakon butovanja sa 100 % nezaražene diskete. Ne postoji opasnost po postojeće
podatke na disku.
virusi.77kriss,
˙˙ MICHELANGELO.A virus, koje je sada F-PROT hteo i uspeo da
˙˙ ocisti... Dakle pitanje je zasto to ne radi i na hard-disku...
Ne zna gde se nalazi particiona tabela. A malo je opasno da "napamet"
napravi novu. Isto važi i za MBR.
˙˙ Ako F-PROT ne radi, ko radi ? Posto je i TBAV samo konstatovao
Ja. ;) Javi se u mail, da ne gušimo ostale ...
˙˙ Jos nesto, ortak ima RESCUE disketu koju je napravio uz pomoc
˙˙ NU7.0, tamo postoji opcija da se vrati BOOT sektora (ali
˙˙ onakav kakv je bio u Junu mesecu) da li to vracanje
Ne znam za NORTON, ali ako je u pitanju SAMO boot sektor, ne bi
trebalo da bude problema. Ako će da vrati još nešto pored njega, ne
valja.
virusi.78kriss,
˙˙ Najjednostavniji način za ubijanje boot virusa je C:\FDISK
˙˙ /MBR
... i najgori za nestandardne MBR-ove. Međutim, pošto je većina
računara "standardna", ovo radi, ali budite IZUZETNO oprezni ako niste
sigurni da li imate ili ne neki specifičan MBR (linux recimo) - opcija
je nedokumentovana i niko za vaše podatke nije odgovoran.
virusi.79mjova,
> sigurni da li imate ili ne neki specifičan MBR (linux
> recimo) - opcija je nedokumentovana i niko za vaše podatke
> nije odgovoran.
a ko bi inače bio odgovoran da je /mbr dokumentovano? ;))))
virusi.80wizard,
> ... i najgori za nestandardne MBR-ove. Međutim, pošto je većina
> računara "standardna", ovo radi, ali budite IZUZETNO oprezni ako niste
> sigurni da li imate ili ne neki specifičan MBR (linux recimo) - opcija
> je nedokumentovana i niko za vaše podatke nije odgovoran.
A ako koristite OS/2 onda bolje 'FDISK /newmbr' (bilo koja
verzija OS/2).
virusi.81budim,
Pre izvesnog vremena racunar je poceo cudno da mi se ponasa...
Stalno je brljao i prijavljivao mi je u skoro svim programima pritisnut
taster u trajanju od nekoliko sekundi. Stari scan koji se nalazio na disku
nije uspeo da prepozna ji jedan virus. Ali posto sam rodjeni paranoik i
pristalica "zavera" na kompijuteru, dono' sam disketu i proverio. Kad tamo...
Kompijuter mi je prijavio cetri virusa:
KEYPRESS.1232.ITALY
KEYPRESS.1228
YANKEE.DOODLE.TP.44.A
YAN
Uspeo je da pobrise prva tri ali YAN-a nije uspeo?
Kada sam sav sretan resetovao makinu imao sam sta da vidim. Jedan bip (signal)
i nemogucnost ulaska na masinu osim preko a:...
Kada sam video da je vrag odneo salu pristupio sam spasavanju podataka. Pokupio
sam fajlove sa diska i bacio ih na diskete. To su uglavnom txt ili dbf fajlovi
navodno su nezarazeni... Ko zna?
Ni jedan exe ili com fajl koji je bio zarazen vise nije mogao da se startuje...
Ovo je prvi put da se srecem sa virusima (nadam se i poslednji) pa ako neko ima
iskustva sa ovim virusima nek writne ovde ili u mail.
Pitanja:
1.) Postoji li opasnost da su tekstovi koje sam sacuvao zarazeni iako nisu .exe
ili .com?
2.) Zasto mi je reindeksirao neke .dbf i jel' su i oni ugrozeni?
3.) Zasto scan nije cistio Yan-a?
4.) Zasto ocisceni .exe i .com fajlovi ne mogu da se pokrenu?
5.) Sta da radim?
poz,
budim
virusi.82atech,
> Kompijuter mi je prijavio cetri virusa:
> KEYPRESS.1232.ITALY
> KEYPRESS.1228
> YANKEE.DOODLE.TP.44.A
> YAN
Prva tri sam imao prilike vec da vidim, cetvrtog nisam...
> Uspeo je da pobrise prva tri ali YAN-a nije uspeo?
Koji program si koristio?
> a:... Kada sam video da je vrag odneo salu pristupio sam
> spasavanju podataka.
Pametno...:)
> Pokupio sam fajlove sa diska i bacio ih na
> diskete. To su uglavnom txt ili dbf fajlovi navodno su
> nezarazeni... Ko zna?
Ne postoji virusi koji 'inficiraju' .txt i .dbf fajlove jer se
radi o datotekama koji nisu izvrsne.Naravno mogu da ih ostete.
> Ni jedan exe ili com fajl koji je bio
> zarazen vise nije mogao da se startuje...
Najverovatnije je lose odradjeno skidanje virusa za zarazenih
fajlova.
> 1.) Postoji li opasnost da su tekstovi koje sam sacuvao
> zarazeni iako nisu .exe ili .com?
Kao sto rekoh NE. Mogu biti samo osteceni sto je mozda jos gore..
> 2.) Zasto mi je reindeksirao neke .dbf i jel' su i oni
> ugrozeni?
Da li si siguran da ti je AV program reindeksirao .dbf fajlove?
>3.) Zasto scan nije cistio Yan-a?
Zato sto McAffee nije najbolji proizvodjac AV programa. Probaj
sa TBAV-om ili sa F-PROT-om.
> 4.) Zasto ocisceni .exe i .com fajlovi ne mogu da se pokrenu?
Najverovatnije su osteceni zbog lose dezinfekcije. AKo imas backup
izbrisi ih i stavi nove, ako nemas moraces rucno da ih spasavas (ako
se ista spasiti moze)
> 5.) Sta da radim?
Proveravaj diskete koje dobijas i nabavi dobar AV softver.
Ako zelis posalji mi jedan fajl zarazen YAN-om (po mogucstvu neki
kraci jer me ovaj cps ubija) pa cu videti sta moze da se ucini...
Nesto nevezano za ovaj problem: Da li znate da su vec neko vreme
aktivni virusi koji rade i pod Windows-ima (tacnije inficiraju i win
programe)?
poz, Blagoje
virusi.83cnenad,
=> 1.) Postoji li opasnost da su tekstovi koje sam sacuvao zarazeni iako nisu
=> .exe ili .com?
Ne. Mogu i da budu ali su neoperativni tj. na datoteku je nakačeno đubre ili
možda sors virusa koji se ne može aktivirati.
=> 2.) Zasto mi je reindeksirao neke .dbf i jel' su i oni ugrozeni?
Ako DBF datoteke kao datoteke nisu oštećene (u bilo kom delu) ponovno
reindeksiranje će sve dovesti u red što treba da radi program koji obrađuje
dotične datoteke.
=> 4.) Zasto ocisceni .exe i .com fajlovi ne mogu da se pokrenu?
Zato što čišćenje nije dobro izvršeno, ili nekad ne može da se dobro uradi.
ili im je uklonjen neki deo ili promenjen koji je bitan za izvršavanje.
virusi.84zulu,
Da li neko zna kakav je WHISPER virus i kako da ga se
oslobodi fajl koji ga poseduje...
BTW virus i nije nesto posebno napadan, ali samo ponekad smeta i
prilikom startovanja nekih programa prijavljuje nedostatak memorije.
Pozdrav, Zulu
virusi.85gerber,
YR>*> Da li neko zna kakav je WHISPER virus i kako da ga se
YR>*> oslobodi fajl koji ga poseduje...
Whisper ili Tai-Pan. FP i TBAV ga mogu ukloniti, ali kako
je rezidentan u memoriji, isključivo po podizanju sistema
sa diskete.
"Tai-Pan is quite a simple virus. It stays resident in memory
and infects nearly all executed EXE files. It will not
infect files that are larger than 64kB. Infected files grow
by 438 bytes. Tai-Pan does not do anything apart from
spreading itself. "
virusi.86budim,
> Koji program si koristio?
Koristio sam Zadnji Scan sa sezama...
> Da li si siguran da ti je AV program reindeksirao .dbf fajlove?
Siguran!.
Na zalost formatirao sam disk a fajl koji je bio zarazen YAN-om sam morao da
uklonim (doskey.com)...
Hvala puno na savetima i odgovorima!!! Znacili su!
poz,
budim
virusi.87budim,
> Ako DBF datoteke kao datoteke nisu oštećene (u bilo kom delu)
> ponovno reindeksiranje će sve dovesti u red što treba da radi
> program koji obrađuje dotične datoteke.
Uradio! Hvala!
> Zato što čišćenje nije dobro izvršeno, ili nekad ne može da se
> dobro uradi. ili im je uklonjen neki deo ili promenjen koji je
> bitan za izvršavanje.
Zar Scan nije najbolji program za otklanjanje i detekciju virusa (do sada sam
bar mislio tako)? A ako nije koji program da nadjem F-prt ili tbav?
poz,
budim
virusi.88gerber,
YR>*> Zar Scan nije najbolji program za otklanjanje i detekciju virusa (do
YR>*> sada sam bar mislio tako)? A ako nije koji program da nadjem F-prt ili
Kao i u ostalim stvarima, *nema* najboljeg, kao što nema
ni najlošijeg ;) Postoji samo manji i veći stepen sigurnosti,
što se postiže upotrebom barem dva od pobrojanih. Po mogućstvu
TBAV-a i F-PROT-a. Ili neki od, isključivo, komercijalnih paketa
(DSAV, NAV, CPAV).
virusi.89budim,
> Koji program si koristio?
Koristio sam Zadnji Scan sa sezama...
> Da li si siguran da ti je AV program reindeksirao .dbf fajlove?
Siguran!.
Na zalost formatirao sam disk a fajl koji je bio zarazen YAN-om sam morao da
uklonim (doskey.com)...
Hvala puno na savetima i odgovorima!!! Znacili su!
poz,
budim
virusi.90budim,
> Ako DBF datoteke kao datoteke nisu oštećene (u bilo kom delu)
> ponovno reindeksiranje će sve dovesti u red što treba da radi
> program koji obrađuje dotične datoteke.
Uradio! Hvala!
> Zato što čišćenje nije dobro izvršeno, ili nekad ne može da se
> dobro uradi. ili im je uklonjen neki deo ili promenjen koji je
> bitan za izvršavanje.
Zar Scan nije najbolji program za otklanjanje i detekciju virusa (do sada sam
bar mislio tako)? A ako nije koji program da nadjem F-prt ili tbav?
poz,
budim
virusi.91b.jovanovic,
> BTNJ, na BBS-u koji je pomenut u zaglavlju arhive ima oko 1.4 GB
> softvera, nisam primetio piratske pojave sto znaci da je sadrzaj
> _slican_ sezamovom. Spisak je oko 1 MB. ;) Ima l' interesenata da ga
^^^^^^^^^^^^^^^^^^^
> pogledaju (pod uslovom da nesto dovuku), pa da ga bacim na brzi? ;>
Ima, Baci ga na brzi.
virusi.92haski,
Ovu poruku sam vec bio napisao u konf. PC.PROG ali joj tamo
nije mesto, pa zato:
Jel' ima neko VCL ili neki slican program?
Nisam destruktivan, verujte mi!
Hocu samo da vidim kako se sve to radi.
virusi.93gossa,
Potreban virus kiler za virus :
Ime:nepoznato
Velicina:10594
Zarazava:Samo EXE file-ove (i to velikom brzinom u dos i windows dir-u)
Manifestuje se:Pustanjem pesme "Oj svetla majska zoro" pre izvrsavanja porg.
program se potom zglavljuje.
Potpis:MicroSoft ili Borland3 ili 'A F X' (fprot i tbav ga ne registruju)
Autor:Domace delo (uknown)
Da li neko zna za lek razlicit od "del *.exe"
Ako neko zeli podrobnije da proucivirus neka ostavi poruku u MAIL-u
GOSSA
^^^^^
virusi.94atech,
> Velicina:10594
Pascal ili c? :)
> Zarazava:Samo EXE file-ove (i to velikom brzinom u dos i
> windows dir-u) Manifestuje se:Pustanjem pesme "Oj svetla majska
> zoro" pre izvrsavanja porg. program se potom zglavljuje.
Kad ga crnogorac napravi....:)
> Da li neko zna za lek razlicit od "del *.exe"
> Ako neko zeli podrobnije da proucivirus neka ostavi poruku u
> MAIL-u
Posalji mi kopiju zarazenog fajla na mail pa cu videti sta moze
da se uradi...
poz, Blagoje
virusi.95gerber,
YR>*> Nisam destruktivan, verujte mi!
YR>*> Hocu samo da vidim kako se sve to radi.
Pa kako ti ne padne na pamet da zatražiš neki primer
korisnog proograma, "da vidiš kako se to radi" ? ;>
virusi.96haski,
>Pa kako ti ne padne na pamet da zatrazis neki primer
>korisnog programa, "da vidis kako se to radi" ? ;>
E...pa nije to to :)
virusi.97zeljkoj,
>> Velicina:10594
>
> Pascal ili c? :)
Možda FORTRAN? ;>
virusi.98superhik,
Hey!
Trebaju mi neke osnovne info. u vezi virusa:
1- Kada je i gde nastao prvi virus (zašto?)
2- neke od osnovnih odlika virusa
3- koje metode širenja zaraze postoje
4- šta sve može da se zarazi
i toliko... inače, nisam duduk ali mi ove info. trebaju zbog nekog referata
O:))
Txanks!
virusi.99calex,
<!> Velicina:10594
<!> Manifestuje se:Pustanjem pesme "Oj svetla majska zoro" pre izvrsavanja
Aiiiiii. :)))))
virusi.100calex,
<!> Ima, Baci ga na brzi.
Misliš ovde? ;>
virusi.101atech,
Ok,
Danas sam dobio primerak inficiranog programa i evo izvestaja...
Naziv: MN10576 (MN je Monte Negro :)
Duzina: 10576 bajtova (Borland Pascal)
Tip: Nerezidentan, Virus direktne akcije (VDA)
Inficira: *.EXE
Opis:
Virus MN10576 spada u viruse direktne akcije (VDA). Inficira
samo EXE izvrsne fajlove. Pri svakom pokretanju inficiranog
programa virus vrsi rekurzivnu pretragu direktorijuma u potrazi za
fajlovima koji nisu zarazeni. Inficirane programe obelezava
potpisom '[MicroSoft]'. Pri svakom pokretanju virus zarazi dva
programa a sa verovatanocom 1/5 i treci program. Ukoliko je dan u
mesecu manji od 16 ili sa verovatnocom 1/5 virus na kraju
izvrsavanja svira sekvencu iz pesme 'Oj svijetla majska zoro' sto
jasno ukazuje na poreklo virusa. Pored ove cinjenice ne postoji
drugi podatak unutar virusa koji bi mogao da otkrije poreklo virusa.
Na osnovu pregleda koda (koji i nije bas mali) moze se reci da virus
ne sadrzi destruktivan kod niti na bilo koji nacin ostecuje izvrsne
fajlove (osim sto ih naravno produzuje). Virus nece inficirati
fajlove duze od 192kb i manje od 12000 bajtova. Interesantno je
napomenuti da je virus napisan u Borlan Pascalu (najverovatnije) i
koristi 386 instrukcije (moderan virus ;)
Nacin infekcije: kada virus nadje svoju zrtvu izvrsi proveru da
li je pogodna za infekciju. Izvrseno je ogranicenje infekcije
najverovatnije zbog brzine izvrsavanja zarzenih programa koja nije
mala zbog cestih pristupa disku u toku infekcije odnosno pokretanja
zarazenog programa. Naime, virus kreira tmp datoteku (c:\tmp.$$$) u
koju prvo upise svoje telo a zatim i telo zarazenog programa koje se
kasnije moze tretirati kao interni overlej. Zrtvu deli na dva dela
pri cemu prvo upisuje zadnji deo a potom i prednji. Podatke o
ofsetima ovih delova upisuje odmah iza signature '[MikroSoft]'
(jedan near i jedan far pointer). Po zavrsetku obavljenog posla
preimenuje tmp datoteku u naziv zrtve i prelazi na izvrsenje
programa koji je prvobitno startovan i to na taj nacin sto kreira
datoteku '_.EXE', potom je izvrsi koristeci dos EXEC i po zavrsetku
rada inficiranog programa brise i ovu tmp datoteku.
Uz poruku ide program za dezinfekciju (YAV v1.00 100% asm) koji
sluzi za pretragu i dezinfekciju zarazenih programa. Svaka slicnost
sa tbscan-om je sasvim slucajna :) Program nije dovoljno testiran so
ako neko uoci probleme neke javi.
btw, program se startuje sa: YAV.EXE OZNAKA_DISKA (npr YAV.EXE C:)
poz, Blagoje.
yav.exevirusi.102mboban,
=-= > Velicina:10594
=-=
=-= Pascal ili c? :)
Clipper. ;>
virusi.103msavkovic,
┌┌┌ =-= Pascal ili c? :)
┌┌┌
┌┌┌ C lipper. ;>
Clarion ;)
virusi.104vitez.koja,
#=> na izvrsenje programa koji je prvobitno startovan i to
#=> na taj nacin sto kreira datoteku '_.EXE', potom je
#=> izvrsi koristeci dos EXEC i po zavrsetku rada
#=> inficiranog programa brise i ovu tmp datoteku.
Kakav sistem ;) Očigledno da je virus pravilo neko dete.
Ipak, svaka čast omladincu što nije destruktivan.
virusi.105dikla,
> Trebaju mi neke osnovne info. u vezi virusa:
A da skineš prvo ovo, verovatno tamo ima sve o tome....
PC.UTIL.3:
6.580 ->578 virusi pedjak 11.05.žet 07:04 virusfaq.zip
virusi.106calex,
<!> A da skineš prvo ovo, verovatno tamo ima sve o tome....
Može da pogleda i PC.UTIL.3:virusi, 6.250.
virusi.107vsmrti,
Molim ovdašnje poznavaoce antivirusnih programa da mi preporuče
upotrebu nekog od dotičnih programa. Interesuju me, uglavnom, ne
oni koji se vuku po memoriji kao rezidentna zaštita, nego oni koji
deluju kao baterija SCANV/CLEAN. U stvari, ja mislim da je ova
"baterija" ;) i najbolja, ali mi nije poznato koja je njihova
poslednja verzija koja se nalazi na Sezamu. Takođe, ne znam da li
se i te novije verzije koriste prostim kucanjem u komandnoj liniji
(tipa: SCAN A: /NOMEM itd.), ili su uznapredovali tako da se
distribuiraju samo "potpisi" virusa. Ukratko, šta sa Sezama da
skinem -- that is the question. :)
Hvala!
virusi.108kant,
> poslednja verzija koja se nalazi na Sezamu. Takođe, ne znam da
> li se i te novije verzije koriste prostim kucanjem u komandnoj
> liniji (tipa: SCAN A: /NOMEM itd.), ili su uznapredovali
> tako da se distribuiraju samo "potpisi" virusa. Ukratko, šta
Koliko se ja sećam, poslednja verzija koja je bila na SEZAM-u je
223e iz juna 1995. Poslednja koja se pojavila je iz oktobra
(novembra) 1995. i nosi oznaku 227e. Obe se distribuiraju
kompletne i kuca se iz komandne linije (baš kao gore). Uz
verziju 227e stiže i fajl mvtool10.exe (samoraspakujuća arhiva)
koji prepoznaje ovaj novi Concept virus iz word-a for windows.
Nažalost, tu verziju ne mogu da okačim uz ovu poruku jer ima oko
430K, a sa mojim modemom od 2400 bps-a to bi trajalo više od 30
min...
virusi.109atech,
> virusa. Ukratko, sta sa Sezama da skinem -- that is the
> question. :) Hvala!
Nisam siguran cega sve ima u dirovima ali u svakom slucaju
mogu da preporucim f-prot i tbav. Nadji poslednje verzije ovih
programa i uzivaj...
Imam informacije da je i DR Solomons AV Kit odlican ali nisam
imao prilike da ga testiram.
Uzgred, uz poruku ide ispravljena verzija programa Yav koji
skida MonteNegro virus koji se pojavio pre nekih mesec-dva...Program
je sklepan na brzinu pa ako neko primeti bug neka javi...
poz, Blagoje.
yav100.zipvirusi.110banga,
> 223e iz juna 1995. Poslednja koja se pojavila je iz oktobra
> (novembra) 1995. i nosi oznaku 227e. Obe se distribuiraju
Evo dat file 2.28 za McAfee
Problem je sto lazno detektuju over1644 (oladio sam se kad sam video) na
fajli wyufongr.exe :)
Unutra je i mvtool10.exe
dat_9511.zipvirusi.111supers,
Čovek je tražio preporuku za detect/clean alatku, a meni treba
rezidentan antivirus koji će da sprečava upis u boot sector, čekira
na sekund diskete i slično... Nešto tipa ChipAway antivirusa koji je
implementiran u neke AMIbiose. Tu BIOS opciju sam disableovao jer se
klala sa čik pogodite kojim programom: SorPro...
Daklem, programče treba da je štedljivo po pitanju memorije (ChipAway je
zauzimao 2k) i da ne zadržava sistem pri bootovanju.
virusi.112atech,
> antivirusa koji je implementiran u neke AMIbiose. Tu BIOS
> opciju sam disableovao jer se klala sa cik pogodite kojim
> programom: SorPro...
Da li je neko na SezamuPro-u do sada dao informacije o tome
u cemu je tacno problem sa SorPro-om i ovom opcijom?
virusi.113msavkovic,
┌┌┌ Čovek je tražio preporuku za detect/clean alatku, a meni treba
┌┌┌ rezidentan antivirus koji će da sprečava upis u boot sector,
┌┌┌ čekira na sekund diskete i slično... Nešto tipa ChipAway
┌┌┌ antivirusa koji je implementiran u neke AMIbiose. Tu BIOS opciju
┌┌┌ sam disableovao jer se
Heh...pa probaj ChipAway Antivirus pcscan.exe i pcstsr.com :)
Poslacu ga kad mi proradi ul na sezamnetu.
virusi.114vlad,
> Daklem, programče treba da je štedljivo po pitanju memorije
> (ChipAway je zauzimao 2k) i da ne zadržava sistem pri bootovanju.
Jedino sto znam da sigurno zadovoljava ove uslove je imunizacija boot
sektora koju omogucava TBAV. Ne zauzima ni bajt memorije i uopste ne
zadrzava sistem pri butovanju.
virusi.115peri,
Prenosim sa SEZAM PRO-a novije verzije dva antivirus programa:
TBav 651 je prvi a F-prot drugi.
tbav651p.zipvirusi.116peri,
Evo i F-prot sa SEZAM PRO-a
fp-221.zipvirusi.117supers,
>>> antivirusa koji je implementiran u neke AMIbiose. Tu BIOS
>>> opciju sam disableovao jer se klala sa cik pogodite kojim
>>> programom: SorPro...
>>
>> Da li je neko na SezamuPro-u do sada dao informacije o tome
>> u cemu je tacno problem sa SorPro-om i ovom opcijom?
Do sada to nije razjašnjeno.
virusi.118supers,
>> Heh...pa probaj ChipAway Antivirus pcscan.exe i pcstsr.com :)
>> Poslacu ga kad mi proradi ul na sezamnetu.
Ne treba, dobio sam disketu sa dotičnima uz svoju ploču.
Ono što mi se ne sviđa kod svih tih TSRova je što ne vidim kako će da
doakaju boot virusima ako se učitavaju iz configa & autoexeca.
virusi.119supers,
>> Jedino sto znam da sigurno zadovoljava ove uslove je imunizacija
>> boot sektora koju omogucava TBAV. Ne zauzima ni bajt memorije i
>> uopste ne zadrzava sistem pri butovanju.
Privlačno zvuči. Ali, da li će mi nad glavom visiti neke nove opasnosti
ako ovo uselim u boot sector? Šta će se desiti kada budem primenjivao
fdisk /mbr i razne druge utilitye za oporavljanje od s*anja?
virusi.120ikordic,
RE: MBR
=> Privlačno zvuči. Ali, da li će mi nad glavom visiti neke nove opasnosti
=> ako ovo uselim u boot sector? Šta će se desiti kada budem primenjivao
=> fdisk /mbr i razne druge utilitye za oporavljanje od s*anja?
Sve što je bilo u boot-u gubiš sa fdisk /mbr, uključujući i TBAV i poneki
disk menadžer... ;)
virusi.121supers,
>> Sve što je bilo u boot-u gubiš sa fdisk /mbr, uključujući i TBAV i
>> poneki disk menadžer... ;)
OK, to nije problem. Dakle, ako disk sa antivirusom u bootu zabrlja,
oporavljanjem boota gubim samo antivirus? Podaci nisu u većoj frci nego
inače?
virusi.122vlad,
> Privlačno zvuči. Ali, da li će mi nad glavom visiti neke nove
> opasnosti ako ovo uselim u boot sector? Šta će se desiti kada budem
> primenjivao fdisk /mbr i razne druge utilitye za oporavljanje od
> s*anja?
Nemas brige. FDISK /MBR je i dokumentovani nacin za skidanje TBAV boot
zastite.
virusi.123nenad,
> Uzgred, uz poruku ide ispravljena verzija programa Yav koji
> skida MonteNegro virus koji se pojavio pre nekih mesec-dva...Program
> je sklepan na brzinu pa ako neko primeti bug neka javi...
Šta radi taj virus, konkretno da li i za koliko produžuje izvršne
datoteke?
virusi.124atech,
>> Uzgred, uz poruku ide ispravljena verzija programa Yav
>> koji skida MonteNegro virus koji se pojavio pre nekih
>> mesec-dva...Program je sklepan na brzinu pa ako neko primeti
> bug neka javi...
>
> Sta radi taj virus, konkretno da li i za koliko produzuje
> izvrsne datoteke?
U arhivi se nalazi i sledeci txt fajl sa detaljima....:)
Naziv: MN10576
Duzina: 10576 bajtova (Borland Pascal)
Tip: Nerezidentan, Virus direktne akcije (VDA)
Inficira: *.EXE
Opis:
Virus MN10576 spada u viruse direktne akcije (VDA). Inficira
samo EXE izvrsne fajlove. Pri svakom pokretanju inficiranog
programa virus vrsi rekurzivnu pretragu direktorijuma u potrazi za
fajlovima koji nisu zarazeni. Inficirane programe obelezava
potpisom '[MicroSoft]'. Pri svakom pokretanju virus zarazi dva
programa a sa verovatanocom 1/5 i treci program. Ukoliko je dan u
mesecu manji od 16 sa verovatnocom 1/5 virus na kraju izvrsavanja
svira sekvencu iz pesme 'Oj svijetla majska zoro' sto jasno ukazuje
na poreklo virusa. Pored ove cinjenice ne postoji drugi podatak
unutar virusa koji bi mogao da otkrije poreklo virusa. Na osnovu
pregleda koda (koji i nije bas mali) moze se reci da virus ne sadrzi
destruktivan kod niti na bilo koji nacin ostecuje izvrsne fajlove
(osim sto ih naravno produzuje). Virus nece inficirati fajlove duze
od 192kb i manje od 12000 bajtova. Interesantno je napomenuti da je
virus napisan u Borland Pascalu (najverovatnije) i koristi 386
instrukcije (moderan virus ;)
Nacin infekcije: kada virus nadje svoju zrtvu izvrsi proveru da
li je pogodna za infekciju. Izvrseno je ogranicenje infekcije
najverovatnije zbog brzine izvrsavanja zarazenih programa koja nije
mala zbog cestih pristupa disku u toku infekcije odnosno pokretanja
zarazenog programa. Naime, virus kreira tmp datoteku (c:\tmp.$$$) u
koju prvo upise svoje telo a zatim i telo zarazenog programa koje se
kasnije moze tretirati kao interni overlej. Zrtvu deli na dva dela
pri cemu prvo upisuje zadnji deo a potom i prednji. Podatke o
ofsetima ovih delova upisuje odmah iza signature '[MicroSoft]'
(jedan near i jedan far pointer). Po zavrsetku obavljenog posla
preimenuje tmp datoteku u naziv zrtve i prelazi na izvrsenje
programa koji je prvobitno startovan i to na taj nacin sto kreira
datoteku '_.EXE', potom je izvrsi koristeci dos EXEC i po zavrsetku
rada inficiranog programa brise i ovu tmp datoteku.
Uz poruku ide program za dezinfekciju (YAV v1.00 100% asm) koji
sluzi za pretragu i dezinfekciju zarazenih programa. Svaka slicnost
sa tbscan-om je sasvim slucajna :) Program nije dovoljno testiran so
ako neko uoci probleme neke javi.
Program se startuje sa: YAV.EXE OZNAKA_DISKA
────────
poz, Blagoje
virusi.125fancy,
Poznanik me je zamolio da se raspitam kako se cisti masina od
REX virusa..? Kaze da ga F-Prot ne registruje, a TBAV ne moze
da bezbedno ocisti fajlove... Virus se, po njegovim recima,
ugnjezdio u boot sectoru, a na moj komentar da proba sa fdisk /MBR
napomenuo mi je da je disk formatiran u LBA modu (850 Mb).
Any ideas..?
virusi.126atech,
> REX virusa..? Kaze da ga F-Prot ne registruje, a TBAV ne moze
> da bezbedno ocisti fajlove...
^^^^^^^
> Virus se, po njegovim recima, ugnjezdio u boot sectoru
^^^^^^^^^^^^
Nije da ih nema ali su retki virusi koji inficiraju boot i
istovremeno vrse infekciju izvrsnih fajlova? Imam stare verzije
tbav-a i f-prot koji nemaju informacije o ovom virusu.
poz, Blagoje.
virusi.127vlad,
> ugnjezdio u boot sectoru, a na moj komentar da proba sa fdisk /MBR
> napomenuo mi je da je disk formatiran u LBA modu (850 Mb).
Sta zna FDISK sta je LBA? B)
Kakve veze ima u kom je modu formatiran?
virusi.128maksa,
>> ugnjezdio u boot sectoru, a na moj komentar da proba sa fdisk
>> /MBR napomenuo mi je da je disk formatiran u LBA modu (850 Mb).
fdisk /mbr ne bi smeo da ima veze sa LBA, dapače, to je sretnija
varijanta (za fdis/mbr) nego da je korišćen neki disk menadžer.
Je l' probao baš naj-najnoviji F-Prot?
virusi.129calex,
<!> tbav-a i f-prot koji nemaju informacije o ovom virusu.
Da li se još kome TBAV čudno ponaša kada se traže informacije o
virusima na slovo S?
virusi.130gerber,
YR>*> REX virusa..? Kaze da ga F-Prot ne registruje, a TBAV ne moze
YR>*> da bezbedno ocisti fajlove... Virus se, po njegovim recima,
YR>*> ugnjezdio u boot sectoru, a na moj komentar da proba sa fdisk /MBR
YR>*> napomenuo mi je da je disk formatiran u LBA modu (850 Mb).
Takav (REX) i ne nađoh u TBAV 650, tako da ne znam šta kaže,
ali za LBA ne bi smelo da ima nikakvih problema FDISK /mbr.
To je problem sa raznim menadžerima i drajverima za velike
diskove. TBAV (DOS verzija) ima i opciju za imunizaciju
boot sektora, a može da proba i HS koji čisti boot.
HS ima i na Sezamu (barem je bio).
virusi.131gerber,
YR>*> Da li se još kome TBAV čudno ponaša kada se traže informacije o
YR>*> virusima na slovo S?
Koji TBAV i kako čudno? Sa key fajlom ili bez?
Onako po štih probi, nema nikakvih problema sa S virusima ;)
(TBAV 650).
virusi.132mboban,
=-= Ono što mi se ne sviđa kod svih tih TSRova je što ne vidim kako će da
=-= doakaju boot virusima ako se učitavaju iz configa & autoexeca.
Jesi probao kombinaciju TbDriver + TbScanX?
virusi.133budim,
:) Kakve veze ima u kom je modu formatiran?
Pitaj mog ortaka koji je izgubio pola gigabajta zbog takvog razmišljanja...
poz,
budimir
virusi.134calex,
<!> Koji TBAV i kako čudno? Sa key fajlom ili bez?
Samo TBAV651, bez ili sa key. Prethodni radi ok.
virusi.135atech,
> <!> tbav-a i f-prot koji nemaju informacije o ovom virusu.
>
> Da li se jos kome TBAV cudno ponasa kada se traze informacije o
> virusima na slovo S?
Nisam primetio nista neobicno...
virusi.136gerber,
YR>*> Samo TBAV651, bez ili sa key. Prethodni radi ok.
Još uvek sam na 650, prelazak planiram tek na 652 :)
A ume TBAV da u po nekoj verziji ima bag, recimo kao
635 koji me je koštao gomile vremena i živaca :(
virusi.137calex,
<!> Još uvek sam na 650, prelazak planiram tek na 652 :)
Ne bih bio siguran u to što kažeš. ;>>> Paz 'vako.
6.53 Product update
-------------------
General notes:
- Version 6.52 is skipped because a pre-release of 6.52 'escaped'
and could be found on some BBSes.
Treba još objašnjenja? ;)
virusi.138calex,
<!> Je l' probao baš naj-najnoviji F-Prot?
Ili neki noviji TBAV, recimo verziju 653? ;)
virusi.139calex,
Ima l' ko novijega? ;))
tbav653.zip 326455 30-01-96 Thunderbyte Anti-Virus utilities v6.53
tbav653.zipvirusi.140dselic,
Našao sam virus kod svog prijatelja pod imenom ZHARINOV
ili, kako ga zove f-prot, MISIS. Dotični virus sam pokušao
da skinem sa f-protom, scanom (starim i novim) ali nijedan
od ovih antivirusa nije uspeo da ga skine.
Odlučio sam da formatiram disk ali sam pre togo uradio
fdisk /mbr. Posle toga, gore pomenuti virus killeri više
nisu pronalazili virus u boot-sectoru. Ali još uvek
neće ortakov floppy da snima na moje diskete. Lepo snimi fajl
iz NC-a i kad chkdsk-ujem a:, chkdsk prijavi da na disketi
ima toliko i toliko lost-clustera. Da li je fdisk /mbr
stvarno zaklao virus ili je nešto drugo u pitanju?
BTW, virus sam primetio upravo zbog tog problema sa floppy-em.
virusi.142gerber,
YR>*> Treba još objašnjenja? ;)
:)) Al si brz, fajlovi su od 30.01.96 :)
A da te malo bacim u mašinu a gde su oni od 2 do 7:
* 01 tbav653.zip 326455 30-01-96* Thunderbyte Anti-Virus utilities
02 tbw95653.zip 565779 31-01-96* Thunderbyte for Windows 95!
03 tbavw653.zip 426896 30-01-96* Thunderbyte for Windows!
04 tbos2100.zip 188006 31-01-96* TBAV for OS/2 Beta version.
05 tbavn653.zip2099290 30-01-96* TBAV for Networks!
06 tbnnt653.zip3690231 30-01-96* TBAV for Networks, Windows NT
version!
07 tbavx653.zip 89229 30-01-96* TBAV processor optimized versions
;)
Q: How many mathematicians does it take to screw in a lightbulb?
A: One. He gives it to six Californians, thereby reducing the problem
to the earlier joke.
virusi.143gerber,
YR>*> ili, kako ga zove f-prot, MISIS. Dotični virus sam pokušao
Imaš !Deniku baš za MISIS (bila čak i na Sezamu, ali nema više).
Potrebno je da osim hd boota očistiš i sve diskete.
Ako je neko sačuvao mogao bi ponovo da je pošalje za stavljanje
u dir.
virusi.144mamba,
> Nasao sam virus kod svog prijatelja pod imenom ZHARINOV
> ili, kako ga zove f-prot, MISIS. Doticni virus sam pokusao
DENIKA.COM skida Zaharinova sa diska i diskete.
denika.comvirusi.145vlad,
> Pitaj mog ortaka koji je izgubio pola gigabajta zbog takvog
> razmišljanja...
Pitaj ti Boga kako je taj tvoj ortak formatirao disk B(. FDISK /MBR jos
nije naudio ni jednom disku na kome sam ga poterao, bez obzira u kom je
modu formatiran. Doticnu radnju radim kad god se setim da ne bih razmisljao
o Michelangelu i drugim BOOT virusima.
virusi.146calex,
<!> 02 tbw95653.zip 565779 31-01-96* Thunderbyte for Windows 95!
Ovo bi mogao i ti. ;)
<!> 03 tbavw653.zip 426896 30-01-96* Thunderbyte for Windows!
Ovo neću, nema svrhe.
<!> 04 tbos2100.zip 188006 31-01-96* TBAV for OS/2 Beta version.
Pukla veza, skoro preneto.
<!> 05 tbavn653.zip2099290 30-01-96* TBAV for Networks!
<!> 06 tbnnt653.zip3690231 30-01-96* TBAV for Networks, Windows NT
<!> version!
Aaaa, jock ovo, tebi ostavljam 6MB za DL.
<!> 07 tbavx653.zip 89229 30-01-96* TBAV processor optimized versions
Ovo ima. :)
tbavx653.zipvirusi.147gerber,
YR>*> Ovo bi mogao i ti. ;)
Pa ono mogao bih ;)
tbw95653.zipvirusi.148zeljkoj,
> Pitaj ti Boga kako je taj tvoj ortak formatirao disk B(. FDISK
> /MBR jos nije naudio ni jednom disku na kome sam ga poterao,
> bez obzira u kom je
Dovoljno je da u MBR bude useljen Disk Manager. :)
virusi.149ikordic,
RE: Zharinov
=> neće ortakov floppy da snima na moje diskete. Lepo snimi fajl
=> iz NC-a i kad chkdsk-ujem a:, chkdsk prijavi da na disketi
=> ima toliko i toliko lost-clustera. Da li je fdisk /mbr
Koliko se ja sećam tog govnara ;( dok je virus u memoriji, na neki način
kriptuje podatke koje snima, tako da kad ih čitaš dok je on u memoriji, sve
je OK. Kada ih čitaš na drugoj mašini, ili onoj koja je dezinfikovana, takve
diskete bidnu nečitljive.
virusi.150fancy,
ŮŢ> Takav (REX) i ne nađoh u TBAV 650, tako da ne znam šta kaže,
ŮŢ> ali za LBA ne bi smelo da ima nikakvih problema FDISK /mbr.
Ma znam, ali čovek nije odavde, a ne mogu preko telefona da ga ubedim.
virusi.151vlad,
> Dovoljno je da u MBR bude useljen Disk Manager. :)
To je verovatno uzrok problema, ali ja sam od toga operisan posto razne
softverske budzevine ne koristim pri formatiranju. B)
virusi.152gerber,
YR>*> Ma znam, ali čovek nije odavde, a ne mogu preko telefona da ga ubedim.
Evo, novi TBAV za W95 pominje REX, ali kao virus koji inficira
COM fajlove (i standardno - nove varijante mogu i ostale ;).
Ako se stvarno useljava u boot, neka potera sam TBAV (sa
čistog sistema), ali za DOS, pa onda TBAV Util - imunizacija
boot-a. Ili mu pošalji ovaj HS-35 sa Sezama. Fajlove u svakom
slučaju je bolje izbrisati.
virusi.153atech,
> Evo, novi TBAV za W95 pominje REX, ali kao virus koji inficira
> COM fajlove (i standardno - nove varijante mogu i ostale ;).
Lepo ja rekoh da su retki oni koji istovremeno inficiraju boot i
izvrsne fajlove :)
Ako tbav ne obavlja posao neka mi unesreceni ;) prebaci jedan
zarazeni com fajl na mail...
poz. Blagoje
virusi.154plovput,
Thunderbyte Anti-Virus - The most complete
anti-virus system available. Included are
TbScan, tbscanx, TbSetup, TbClean, TbDisk,
TbFile, TbMem, TbCheck, and TbUtil.
Eh da, i dalje radi key ;)
tbav700.rarvirusi.155oldtimer,
> Thunderbyte Anti-Virus - The most complete
A za 95 ?
virusi.156superhik,
=:> Thunderbyte Anti-Virus - The most complete
Sedi pet.
virusi.157gerber,
TBAV 700 4 WIN 95
tbw95700.zipvirusi.158gerber,
Optimizacija prema CPU za TBAV 700 (DOS)
tbavx700.zipvirusi.159calex,
- new -
VirusScan for DOS by McAfee, Inc. Scans and
cleans PC's/LAN's for known and new viruses.
Requires DOS 3.0+. Version 2.2.11 (9603)
03-19-96
whatsnew.txtvirusi.160calex,
- novo -
dos\virus\*.*
------------------
tbav701.zip 332k ThunderBYTE AntiVirus 7.01: sistem za zaštitu od virusa
Thunderbyte Anti-Virus - The most complete
anti-virus system available. Included are
TbScan, TbScanX, TbSetup, TbClean, TbDisk,
TbFile, TbMem, TbCheck, and TbUtil.
whatsnew.701virusi.161calex,
- novo -
dos\virus\*.*
------------------
tbavx701.zip 88k TBAV v7.01: optimizovane verzije rezidentnih alatki
virusi.162calex,
- novo -
dos\virus\*.*
------------------
fp-223.zip 724k F-prot v2.23 (5/96): odličan antivirusni program
F-PROT version 2.23 - May 1996 The F-PROT
anti-virus package contains a virus scanner
combined with a disinfection program, as well
as a resident monitoring program for
intercepting known viruses. This program is
free of charge for private users, but others
are required to register or obtain the
'Professional' version - see the
documentation for details.
new.223virusi.163calex,
<!> F-PROT version 2.23 - May 1996 The F-PROT
<!> anti-virus package contains a virus scanner
Ovo je skoro pominjano ovde:
F-PROT now detects the PKZIP 3.00B Trojan. This Trojan is, however,
not a "real" threat, but due to some unfounded hysteria, numerous
warnings about it are in circulation, far outnumbering actual copies
of the actual Trojan.
virusi.164kaplan,
Da li je neko uspeo da registruje f-prot sa fajlom fp-mcc (za registraciju) ?
virusi.165calex,
<!> Da li je neko uspeo da registruje f-prot sa fajlom fp-mcc (za
<!> registraciju) ?
Koliko znam, taj je važio za verzije do 218.
virusi.167kaplan,
Subject : B1
INFO! za one koji skupljaju informacije na ovom tlu
Na disketi (u boot-u) Tbav je otkrio virus B1. Nije ga mogao ocistiti.
Scan 2.2.9. (januarska verzija) ga uopste nije otkrila
FProt ga je otkrio i unistio.
virusi.168calex,
- novo -
dos\virus\*.*
------------------
fp-223a.zip 728k F-prot v2.23a (6/96): odličan antivirusni program
F-PROT version 2.23a - June 1996 The F-PROT
anti-virus package contains a virus scanner
combined with a disinfection program, as well
as a resident monitoring program for
intercepting known viruses. This program is
free of charge for private users, but others
are required to register or obtain the
'Professional' version - see the
documentation for details.
Version 2.23a
This version includes a few changes from 2.23, including a fix for
a bug in 2.23, where F-PROT could run out of file handles, while
doing a heuristic scan. We also added detection of a few viruses,
as well as disinfection of the polymorphic Werewolf.1500 virus,
which is "in the wild".
The F-MACRO program has also been updated to version 1.15, and several
minor bugs in it have been fixed.
The list of SimTel mirror sites has been updated.
virusi.169calex,
- novo -
dos\virus\*.*
------------------
scn-250e.zip 440k McAfee ViruScan v2.5.0: otkrivanje i uklanjanje virusa
VirusScan for DOS by McAfee, Inc. Scans
and cleans PC's/LAN's for known and
new viruses. Requires DOS 3.0+.
Version 2.50 (9606) 06-11-96
whatsnew.txtvirusi.170calex,
- novo -
windows\util\*.*
------------------
s95e4013.zip 659k SWEEP za Windows 95 verzija 2.85
Još jedan AV program za Win 95.
readme.txtvirusi.171calex,
- novo -
dos\virus\*.*
------------------
tbav702.zip 351k ThunderBYTE AntiVirus 7.02: sistem za zaštitu od virusa
Thunderbyte Anti-Virus - The most complete
anti-virus system available. Included are
TbScan, TbScanX, TbSetup, TbClean, TbDisk,
TbFile, TbMem, TbCheck, and TbUtil.
7.02 Product update
-------------------
General notes:
- Almost 600 new signatures added!
-> The Security.Doc file for PGP authenticy verification
will now be created by using our company key: ESaSS.PGP.
This key is signed by my Veldman.PGP key which is
distributed for a long time now: so you can confirm that
the new ESaSS.PGP key is valid.
- There are some new entries in TBAV.FAQ
... itd.
whatsnew.702virusi.172calex,
- novo -
windows\util\*.*
------------------
tbw95702.zip 687k ThunderBYTE AntiVirus for Windows 95 v7.02
Nešto i za pod Prozore, a čini mi se da je baš taze. ;)
7.02 Product update
-------------------
General notes:
- Almost 600 new signatures added!
->The Security.Doc file for PGP authenticy verification
will now be created by using our company key: ESaSS.PGP.
This key is signed by my Veldman.PGP key which is
distributed for a long time now: so you can confirm that
the new ESaSS.PGP key is valid.
- There are some new entries in TBAV.FAQ
TBAV for Windows 95:
- Cleaning of macro viruses! Yes, it is there, included in the
scanner itself. If TbScan detects a virus which it is able to
clean, it will offer an additional 'Clean file' menu entry.
Currently, only macro viruses can be cleaned this way.
- We added a feature to the background scanning options: when your
computer system is rebooting, TBAV for Windows 95 will scan the
floppy disk (if any) for viruses. To disable this option, use the
item 'Background Scan Module' in the 'Options' menu.
- TbScan no longer scans .XLT and .XLS files. There is no virus
that infects these macro files.
Viruses:
- Summary:
- A total of 587 additions were made in the signature database:
- 94 viruses had a name change only
- 37 viruses had a signature change to improve detection or
to detect new variants. Some of these viruses had a change
of name as well
- 1 trojan signature has been added
- 58 bootsectorvirus signatures have been added
- 389 filevirus signatures have been added
- 8 WordMacro virus signatures have been added
tbavwnew.702virusi.173pvlada,
Kako da uklonim Misis?
Moj ortak iz naselja ima Misis na disku i comp mu prepozna disk
u biosu ali kad hoce da predje na njega nemoze .
Kaze da taj drajv nepostoji.
F-prot ga otkriva ali nemoze da ga skine.
virusi.174dselic,
Skini najnoviji f-prot iz dir-a.
virusi.175pvlada,
PV>Skini najnoviji f-prot iz dir-a.
Jebiga ne radi :(
virusi.176calex,
<!> PV>Skini najnoviji f-prot iz dir-a.
<!> Jebiga ne radi :(
Šta ne radi, f-prot ne valja ili ne može da sredi virus?
virusi.178mbasta,
Dali ima nesto kao F-prot for Win95?
Pozdrav, Mbasta.
virusi.179pvlada,
PV>Dali ima nesto kao F-prot for Win95?
Imas tbav i jos neke programe .
Pogledaj u windows\util\.
Nacices tu tbav i jos neke antiviruse naravno za W95.
Cu
virusi.180iaca,
> Kako da uklonim Misis?
Cini mi se da postoji program DENIKA! u nekom direktorijumu.
Ako ga nema javi mi se, poslacu ti (zauzima oko 4 KB).
Aca
virusi.181pvlada,
PV> Cini mi se da postoji program DENIKA! u nekom direktorijumu.
PV> Ako ga nema javi mi se, poslacu ti (zauzima oko 4 KB).
Postoji, ali opet nemogu da ga skinem :(
Ranije f-prot mi je javljao da se nalazi na MBR-u diska 2, a sad
ga uopste ne nalazi .
I uopste nece da prepozna disk, u stvari bios ga prepozna ali
kada hocu da predjem na njega kaze da sam uneo pogresan drajv :(
Ipak hvala .
Cu
virusi.182bceklic,
> Ide virus RAX.???? .
> Nemam ga ja, ali moj drug da pa ako neko moze
> da mi napravi vakcinu ili kaze neki UNTIVIRUS
> program koji ga cisti. F-PROT ga vidi ali necisti,
> SCAN nevidi.
Drugu ti se bas posrecilo... :(
Fajl koji si poslao zarazen je sa virusom REX. Moj stari F-prot
2.21 i tbav iz istog perida ga ne pronalaze. Pretpostavljam da su
do sada izbacili verzije koje ga skidaju. Na osnovu desetominutne
analize mogao sam da primetim sledece: Virus je MBR + Polimorphic +
Exe/Com infector! Instalira se na vrhu donje memorije, kaci int
21h/0fh/3dh i int 16h. Daklem, pravi lepotan ... ;) Pri prvom
startovanju pokusa da inficira MBR (ukljucite AV opcije iz bios-a
ako to vec niste!). Pri svakom otvaranju fajlova (fcb/dos) trazi
*.com i *.exe fajlove u aktivnom dir-u, proverava da li su
inficirani a ako nisu baca se na posao. Svaki fajl (bilo da je to
com ili exe) zaokruzuje se na sledeci paragraf. Ovo mu pored
relokabilnosti koda omogucije i da kod .com programa koristi retf
kombinaciju umesto standardne jmp koju koristi vecina virusa za skok
na virusni kod. Generator polimorfnih rutina nije nista posebno...
poz, Blagoje.
virusi.183space.ace,
Interesuje me, ako neko prati SETNET, da li je onaj "ludi" ;))) nemesis sa
STYX sistema slao još virusa u asm kodu? Ne pratim nešto SET-NET, ali sam
ipak uhvatio "prvi talas", Day 1, kada je poslao 60 virusa, međ' kojima je
bilo i jenkija, padajućih slova, 1868, i još mnogih kojima ne mogu da se
setim imena.
virusi.184iaca,
> I uopste nece da prepozna disk, u stvari bios ga prepozna ali
> kada hocu da predjem na njega kaze da sam uneo pogresan drajv :(
Ako vec imas dva diska jesi li probao da ga formatiras pa tek onda da
primenis Deniku! ?
(I onako disku nemozes da pristupis pa su i podaci verovatno otisli)
Aca
virusi.185pvlada,
PV> Ako vec imas dva diska jesi li probao da ga formatiras pa
PV>tek onda da primenis Deniku! ?
PV> (I onako disku nemozes da pristupis pa su i podaci verovatno
PV>otisli)
Ja bi ga formatirao ali nije moj disk nego od ortaka, a on ja na
Kopu, a jos da bude gore njegova keva drzi neke vazne stvari na
disku .
Ipak hvala
Cu
virusi.186calex,
<!> Dali ima nesto kao F-prot for Win95?
Postoji i F-Prot za Windowse, samo što je komercijalan. Poslednja
verzija koju sam video je 2.19.
virusi.187dr.s,
Zna li neko nesto o virusu QUICKSILVER?
Sta radi, kako radi, koliko radi, ...
virusi.188space.ace,
Moderatore, hoće li biti zamerke ako pošaljem u temu sorsove onih virusa
što imam, pošto mi mnogo ljudi traži? Neću mnogo da ih šaljem, samo
20-tak najinteresantnijih (tequila, mix1, exe, stoned, Cascade,...).
Poslao bih i NUM1 :)
Ako ima zamerki, slaću ljudima u mail, ali mislim da je bolje ovako, neka
se svi truju.
virusi.189budim,
Na svom disku "gajim" 95-icu i četri anti-virus programa. Jedino mi u TBAV-u,
prijavljuje da je IO.SYS zaražen nekim nepoznatim virusom??? F-PROT i SCAN su
najnovije verzije, tako da mi ovo nije jasno. Zbunjuje me činjenica da mi
takođe prijavljuje nepoznati virus za register.exe (kod TBVA-a) :))))).
E sada pitanje: Da li je moguće da IO.SYS bude zaražen virusom????
poz,
budimir
virusi.190pvlada,
Ovo je conf. virusi ?
Zasto onda niko ne salje viruse :(
virusi.191lena,
>>> prijavljuje da je IO.SYS zarazen nekim nepoznatim virusom??? F-PROT i
Imao sam potpuno identican problem!
Cim prijavljuje unknown - znaci lazna uzbuna!
Kad ti TBAV prijavi virus "imenom i prezimenom",onda je panika.
>>> takode prijavljuje nepoznati virus za register.exe (kod TBVA-a) :))))).
Verujem da si nadogradjivao TBAV najnovijom verzijom.
Samo mu daj "validate" i ucutace.
poz.Stasa
virusi.192mbasta,
=> Postoji i F-Prot za Windowse, samo Üto je komercijalan. Poslednja
Za njega znam samo neŠu da ga instaliram zato Üto je za 3.11 koji radi
16-bitno (plaÜim se da mi ne uniÜti podatke), a znam da je F-Prot
neprevazidjen.
Poydrav, Mbasta.
virusi.193budim,
(:) Kad ti TBAV prijavi virus "imenom i prezimenom",onda je panika.
Hvala na informaciji, baš sam se uplašio...
poz,
budimir
virusi.194gerber,
YR>*> Na svom disku "gajim" 95-icu i četri anti-virus programa. Jedino mi u
YR>*> TBAV-u, prijavljuje da je IO.SYS zaražen nekim nepoznatim virusom???
Za detaljno pregledavanje virusa pod W95, preporučujem
da se sistem podigne sa diskete (čiste, jakako ;) sa starim
DOS-om. Imao sam slučaj da je kolegi na disk došao Parity_Boot.
Kada se sistem podigne sa W95 StartUp disketom, virus je i
dalje u memoriji, iako je sama disketa potpuno čista. Očigledno
čak i kada se diže sa diskete nešto se čita iz Boota, pa virus
dodje u memoriju. Zato ne bacajte svoje stare DOS 6 sistemske
diskete. Za ne daj bože ;)
virusi.195supers,
>> Zasto onda niko ne salje viruse :(
Ne znam za tebe lično, ali opšti mi je utisak da viruse traže
neki koji ne bi umeli ni da ih skinu sa svog kompjutera jednom kad
nastane frka... Zanimljivo...
virusi.196byte,
High...
Jel mozhe neko da mi objasni na koji nachin "rade" ansi-bombe il
bar da mi baci ptr gde bih mogao da nadjem tu informaciju ?
Pozdrav,
No CaRRieR
virusi.197mbasta,
=> Postoji i F-Prot za Windowse, samo Üto je komercijalan. Poslednja
Za njega znam samo neŠu da ga instaliram zato Üto je za 3.11 koji radi
16-bitno (plaÜim se da mi ne uniÜti podatke), a znam da je F-Prot
neprevazidjen.
Poydrav, Mbasta.
virusi.199mbasta,
=> Na svom disku "gajim" 95-icu i četri anti-virus programa. Jedino mi u
=> TBAV-u, prijavljuje da je IO.SYS zaražen nekim nepoznatim virusom???
=> F-PROT i SCAN su najnovije verzije, tako da mi ovo nije jasno. Zbunjuje me
ImaÜ F-Prot for Win95?
Pozdrav, Mbasta.
virusi.200calex,
<!> Ovo je conf. virusi ?
<!> Zasto onda niko ne salje viruse :(
Šta bi trebalo da se šalje u conf. PCHARD.6:laseri? ;))
virusi.201space.ace,
## Zasto onda niko ne salje viruse :(
Ja pitah ovde da mi monderator odgovori da li da šaljem sorsove virusa,
a niko ništa...
virusi.203space.ace,
## Jel mozhe neko da mi objasni na koji nachin "rade" ansi-bombe il
## bar da mi baci ptr gde bih mogao da nadjem tu informaciju ?
Ansi-bombe rade na taj način :) tj. tako što se ansi drajveru koji je
u memoriji pošalje obična ANSI esc sekvenca, tako da možeš u okviru
jedne najobičnije poruke da pošalješ jednu ansi sekvencu kojom ćeš
na primer zameniti slovo _d_ sa _format c: /y_ i svaki put kada
vlasnik računara pritisne _d_ umesto toga se izvrši komanda kojom je
zamenjeno slovo (u ovom slučaju format). Jedini lek je da se ne
instaliraju ANSI drajveri, jer su bez njih bombe bezvredne...
Mada, većina ljudi koja drži home-BBS-ove instalira ove drajvere, da
bi dobili one lepe ansi slike (bljak), tako da im se može desiti da
im se pošalje bomba.
Tipična fora za bombu je sledeća :
-Napišeš poruku, sasvim bezveznog sadržaja, na početku zameniš slovo
_d_ sa nekom komandom (koja može da potera format, da startuje tvoj
specijalno napisan program za razbijanje BBS-a), i na kraju poruke
staviš obično
Dalje[d,n] ?
-Onaj koji čita poruku će, ako je poruka zanimljiva, pritisnuti d,
i zeznuti se...
To ti je cela priča, ako te još nešto interesuje - mail me.
P.S. Još veća je fora ako zameniš _n_, pa napišeš uvredljivu poruku, a
onaj koji čita pritisne N i isti kraj...
virusi.204space.ace,
## Jel mozhe neko da mi objasni na koji nachin "rade" ansi-bombe il
Zaboravio sam da napomenem, naročito su interesantni i mail crvići,
koji se sami umnožavaju, šire se preko mreže i zagušuju saobraćaj
na Mreži.
virusi.205epson,
A kako da napravim ANSI BOMBU (neko neko baci koju)
i kako da je starujem !!
EPSON...(for ever)...
virusi.207space.ace,
## A kako da napravim ANSI BOMBU (neko neko baci koju)
## i kako da je starujem !!
Šta će ti, zlikovče ;>>>>>>?
Pogledaj koji poruku unazad...
NHF
virusi.208supers,
>> A kako da napravim ANSI BOMBU (neko neko baci koju)
>> i kako da je starujem !!
A jel' bi voleo da te neko nauči kako da napišeš virus i raširiš ga...?
virusi.209budim,
(:) ImaÜ F-Prot for Win95?
Ne? Jel ga ima na Sezamima?
poz,
budimir
virusi.210vlad,
> Izvoli :)
> Imas i unbomb za skidanje ansi bombi.
E bas ste nasli koristan softver da razmenjujete. B(
Ima li uprava nesto da kaze po ovom pitanju, ili da saljem i ja jedno 200
najopakijih virusa (sa sve sorsom) pa da se deca lepo igraju? Nudim
svojerucnu demonstraciju dejstva virusa, trojanaca i ANSI bombi na bilo
cijem racunaru. Zainteresovani na mail.
virusi.211mbasta,
=> (:) ImaÜ F-Prot for Win95?
=>
=> Ne? Jel ga ima na Sezamima?
Ja nisam mogao da ga nadjem na NET-u (nisam pretplaŠen na PRO) ali se
plaÜim da nije postao komercijalan.
Pozdrav, Mbasta.
virusi.212ntadic,
>... ili da saljem i ja
> jedno 200 najopakijih virusa (sa sve sorsom) pa da se deca lepo
> igraju? Nudim svojerucnu demonstraciju dejstva virusa,
> trojanaca i ANSI bombi na bilo cijem racunaru. Zainteresovani
> na mail.
Salji, neka ne ostane ni kamen na kamenu !!! Salim se, naravno :)))
virusi.213calex,
<!> Ja nisam mogao da ga nadjem na NET-u (nisam pretplaŠen na PRO) ali se
<!> plaÜim da nije postao komercijalan.
Koliko znam, postoji nekoliko Win varijanti ali su komercijalne i
nećeš ni tamo ni ovde da ih nađeš.
virusi.214pvlada,
PV>Ima li uprava nesto da kaze po ovom pitanju, ili da saljem i
PV>ja jedno 200 najopakijih virusa (sa sve sorsom) pa da se deca
PV>lepo igraju? Nudim svojerucnu demonstraciju dejstva virusa,
PV>trojanaca i ANSI bombi na bilo cijem racunaru. Zainteresovani
PV>na mail.
Šalji šta pitaš:>
Cao
virusi.215space.ace,
Nema komentara na viruse koje sam poslao? :))
"Gosh, am I a stinker?" (C) Bugs Bunny
virusi.216pvlada,
PV>Nema komentara na viruse koje sam poslao? :))
PV>
PV>"Gosh, am I a stinker?" (C) Bugs Bunny
PV>
A ti si poslao neke viruse ?
Pod kojim je br. poruka?
Ćao
virusi.217calex,
- novo -
dos\virus\*.*
------------------
tbav703.zip 352k ThunderBYTE AntiVirus 7.03: sistem za zaštitu od virusa
tbavx703.zip 89k TBAV v7.03: optimizovane verzije rezidentnih alatki
Thunderbyte Anti-Virus - The most complete
anti-virus system available. Included are
TbScan, TbScanX, TbSetup, TbClean, TbDisk,
TbFile, TbMem, TbCheck, and TbUtil.
whatsnew.703virusi.218calex,
- novo -
windows\util\*.*
------------------
tbw95703.zip 687k ThunderBYTE AntiVirus for Windows 95 v7.03
tbavwnew.703virusi.219spantic,
WordMakro Virus
TBav ga nalazi kao WordMacro/Concept
Kako skinuti to cudo?
virusi.220superhik,
=:> TBav ga nalazi kao WordMacro/Concept
=:>
=:> Kako skinuti to cudo?
Učitaš pomenuti dokument u Word... i onda pobrišeš sve
napravljene makroe...
virusi.223savaerc,
Testirao sam računar pomoću f-prot(a) 2.23 sa opcijom /all i ništa nije
našao. Kada sam pustio f-macro, testirao je datoteke i kada je trebao da
prijavi da je završio testiranje (ili da je našao virus u nekom makrou),
ništa, ukočio se. Pomogao je samo troprstni reset. Ima li neko slična
iskustva?
virusi.224stasas,
Cini mi se da je fajl \windows\system\dsktsupd.zip zarazen
QUICKSILVER.1376 virusom!
virusi.225dpaun,
> Cini mi se da je fajl ĐwindowsĐsystemĐdsktsupd.zip zarazen
> QUICKSILVER.1376 virusom!
Nemoj da ti se cini nego utvrdi sigurno.
virusi.226stasas,
Dobro, siguran sam da je fajl \windows\system\dsktuspd.zip
zarazen QUICKSILVER.1376 virusom.
Virus se aktivirao tek posto sam izvrsio update.
Posle toga pade mi Windows 95 i sve ostalo :(
Skoro da nisam poskidao sve antivirus programe sa SEZAM-a.
Ali isplatilo se: obrisao sam 396 zarazenih fajlov!
virusi.228basrak,
Sad sam video da je, između ostalih, poništena i poruka pvlade sa ansi bombama.
No, unutra je bio i neki unbomb tj. neki AV program ali za ansi bombe. Kako sam
nekako izgubio dotičnu arhivu, molio bih pvladu da pošalje opet, ali dakle samo
tu arhivu... Ako ima neko još nešto slično tom programu, neka slobodno okači.
virusi.229vlad,
> Dobro, siguran sam da je fajl ĐwindowsĐsystemĐdsktuspd.zip
> zarazen QUICKSILVER.1376 virusom.
Cime si detektovao taj virus i cime si ga ocistio? Neobicno je da niko
drugi nije prijavio da je fajl zarazen, pa je moguce da si virus pokupio
ranije ili ga nisi temeljno ubio pa se stalno "samozarazavas".
virusi.230vlad,
> No, unutra je bio i neki unbomb tj. neki AV program ali za ansi
> bombe.
Evo ga.
unbomb.zipvirusi.231calex,
<!> Dobro, siguran sam da je fajl \windows\system\dsktuspd.zip
<!> zarazen QUICKSILVER.1376 virusom.
Kojim AV programom si ga otkrio? Ovi koje ja koristim ga i ne
pominju.
<!> Ali isplatilo se: obrisao sam 396 zarazenih fajlov!
Koja brzina. :)) Aktivirao si update i zarazilo se 396 fajlova??
Da ti virus nije čučao negde na disku?
Da li je još ko otkrio virus na ovom fajlu??
virusi.232dr.grba,
>> <!> Dobro, siguran sam da je fajl \windows\system\dsktuspd.zip
>> <!> zarazen QUICKSILVER.1376 virusom.
>> ...
>> Da li je još ko otkrio virus na ovom fajlu??
Kod mene je sve OK. DLovao sam ovo, uradio update, od onda radio
redovne skanove ko zna koliko puta - i ništa. Nijednog zaraženog
fajla, a kamoli 396 komada.
virusi.233vimm,
-> Koja brzina. :)) Aktivirao si update i zarazilo se 396 fajlova??
-> Da ti virus nije čučao negde na disku?
Ovo ga i ja pitam. Koristio sam isti fajl za update.
-> Da li je još ko otkrio virus na ovom fajlu??
Ne. Posle izvršenog update-a sve radi normalno. TBAV i F-Prot ne prija-
vljuju ništa neobično.
Pozdrav Vladimir
virusi.234zeljkoj,
> Cime si detektovao taj virus i cime si ga ocistio? Neobicno je
> da niko drugi nije prijavio da je fajl zarazen, pa je moguce da
> si virus pokupio
A možda i AV program pravi lažnu uzbunu. :)
Scan nije ništa prijavio...
virusi.235dpaun,
> Dobro, siguran sam da je fajl ĐwindowsĐsystemĐdsktuspd.zip
> zarazen QUICKSILVER.1376 virusom.
Sta na to ima da kaze Uprava? Koliko smo onda zasticeni od
virusa na sistemu? Ajde, neka guknu ...
virusi.236inferno,
Ů│ ˙> No, unutra je bio i neki unbomb tj. neki AV program ali za ansi
Ů│ ˙> bombe.
Ů│ ˙
Ů│ ˙ Evo ga.
Kad smo vec kod ANSI-ja.. postoji li program koji bi od ansi
fajla pravio obican ascii teskt bez onih definicija boja i
ostalih gluposti?
virusi.237zeljkoj,
> Kad smo vec kod ANSI-ja.. postoji li program koji bi od ansi
> fajla pravio obican ascii teskt bez onih definicija boja i
> ostalih gluposti?
Hm... pravio sam jednom takav program. Radio je tako što ispiše fajl na
ekran (naravno, ANSI.SYS mora da bude učitan :), a onda ga skine u fajl,
ali bez atributa, tj. samo text. :)) Glup sistem, ali najlakši za
implementaciju.
Potražiću ga...
virusi.238dr.s,
/* Cime si detektovao taj virus i cime si ga ocistio? Neobicno je da niko
/* drugi nije prijavio da je fajl zarazen, pa je moguce da si virus pokupio
/* ranije ili ga nisi temeljno ubio pa se stalno "samozarazavas".
Meni je isti virus napao EXEove, ali se i ulogorio u nekom skrin
sejveru DN-a. Kad sam ga uklonio iz EXEova i dalje sam se 'samozarazivao',
jer koristim DN k'o nenormalan. Zanimljivo da virus nije nikada napao DN.COM
ili DN.PRG...
virusi.239olix,
> Dobro, siguran sam da je fajl \windows\system\dsktuspd.zip
> zarazen QUICKSILVER.1376 virusom.
Kaži mi kojim si ga programom ulovio, pošto ja sa najnovijim
TBAV-om i Scan-om ništa nisam našao? (postavlja se pitanje
da li si siguran u to)
virusi.240nenad,
> Sta na to ima da kaze Uprava? Koliko smo onda zasticeni od
> virusa na sistemu? Ajde, neka guknu ...
Mislim da su osim nekoliko korisnika i moderator i file-moderator
već "guknuli", i koliko smo mogli da vidimo zajednički zaključak
je - nema virusa. :)
virusi.241nenad,
> Kad smo vec kod ANSI-ja.. postoji li program koji bi od ansi
> fajla pravio obican ascii teskt bez onih definicija boja i
> ostalih gluposti?
Ne može se sve prevesti, ako među sekvencama postoje one za
pomeranje kursora nastaće "kupus". Ako su u pitanju samo boje i
atributi onda i jedan makro u nekom editoru može da završi posao.
Ako ipak ima i pomeranja kursora, rešenje je pustiš da se prikaže
(to je obično neka slika ili animacija koja staje na 1 ekran) i
onda "grebuješ" ekran - bilo nekim rezidetnim programom, bilo iz
DOS prozora pod nekim multitaskerom.
virusi.243cnenad,
=> na primer zameniti slovo _d_ sa _format c: /y_ i svaki put kada
=> vlasnik računara pritisne _d_ umesto toga se izvrši komanda kojom je
Za ovakve stvari postoji jedan prost lek. Sve 'destruktivne' interne ili
eksterne komande se preimenuju.
virusi.244vlad,
> => na primer zameniti slovo _d_ sa _format c: /y_ i svaki put kada
> => vlasnik računara pritisne _d_ umesto toga se izvrši komanda kojom
> je
>
> Za ovakve stvari postoji jedan prost lek. Sve 'destruktivne' interne
> ili eksterne komande se preimenuju.
Ili kriptuju da ne mogu da se startuju bez password-a. Lakse mi je da
pamtim jedan pass, nego blesava imena koja sam dao komandama B). Programce
uz poruku lepo radi posao za sve DOS .com i .exe fajlove.
ucpass.zipvirusi.245bceklic,
> Ili kriptuju da ne mogu da se startuju bez password-a. Lakse mi
> je da pamtim jedan pass, nego blesava imena koja sam dao
> komandama B). Programce uz poruku lepo radi posao za sve DOS
> .com i .exe fajlove.
SysGuard je resenje za ove a i za mnoge druge sigurnosne
probleme ;). Petlja od nekoliko naredbi dovoljna je da sve podatke
sa HD-a potera u vecna lovista. Slaba vajda od preimenovanja i
zastite lozinkom potencijalno destruktivnih programa...
virusi.246vlad,
> SysGuard je resenje za ove a i za mnoge druge sigurnosne
> probleme ;). Petlja od nekoliko naredbi dovoljna je da sve podatke
Koliko sam uspeo da proucim demo verziju, SysGuard mi deluje kao
kvalitetno resenje. 75 kinti za pojedinca nije previse, ali bih
voleo da za te pare mogu da ga koristim bar na dva racunara. BTW,
kako se registrovana verzija ponasa u slucaju izmene komponenti
racunara? Kod mene se masina tumba skoro svakodnevno i ne bih
voleo da moram svaki put ponovo da registrujem.
virusi.247bceklic,
> Koliko sam uspeo da proucim demo verziju, SysGuard mi deluje
> kao kvalitetno resenje. 75 kinti za pojedinca nije previse, ali
> bih voleo da za te pare mogu da ga koristim bar na dva
> racunara.
Cena se odnosi na licencu za jedan racunar i tu nema pomoci. Za
kupovinu veceg broja licenci postoje odgovarajuci popusti.
> BTW, kako se registrovana verzija ponasa u slucaju
> izmene komponenti racunara? Kod mene se masina tumba skoro
> svakodnevno i ne bih voleo da moram svaki put ponovo da
> registrujem.
Svaka licenca se automatski vezuje za maticnu plocu. Mada su
moguca i drugacija resenja ovo se pokazalo kao najprihvatljivije.
virusi.248vlad,
> Svaka licenca se automatski vezuje za maticnu plocu. Mada su
> moguca i drugacija resenja ovo se pokazalo kao najprihvatljivije.
Firma bi ovo ogranicenje jos i mogla da prihvati, narocito ako se uvedu
neke klauzule o uzimanju nove verzije (za promenjen/nov hardver) po
povlascenoj ceni. Za kucnu upotrebu, bar u mom slucaju, je sasvim
neprikladno.
virusi.249mango,
Imam problem: virus natas mi je postao rezidentan, tako da je uvek u
memoriji. Probao sam sa cistom sistemskom disketom, zasticenom od
pisanja, ali opet isto, opet mi f-prot javlja da je u memoriji. Da li
mi neko moze pomoci?
virusi.250supers,
>> Probao sam sa cistom sistemskom disketom, zasticenom od
>> pisanja, ali opet isto, opet mi f-prot javlja da je u memoriji.
Probaj sa F-protom sa diskete. Ubuduće ga uvek drži na nekoj disketi.
virusi.251bceklic,
> Firma bi ovo ogranicenje jos i mogla da prihvati, narocito ako
> se uvedu neke klauzule o uzimanju nove verzije (za
> promenjen/nov hardver) po povlascenoj ceni.
Ovakve klauzule postoje za komercijalni softver kao sto je PC
Guard i popust za svaku sledecu licencu je 60-70%. Cena SysGuard-a
je (jos uvek) simbolicna a popusti vaze samo za vece kolicine (5+).
virusi.252calex,
<!> memoriji. Probao sam sa cistom sistemskom disketom, zasticenom od
<!> pisanja, ali opet isto, opet mi f-prot javlja da je u memoriji. Da li
Šta kaže f-prot za fajlove? Ako je sistemska disketa čista, onda
ti je i f-prot verovatno zaražen pa virus ode u memoriju.
virusi.253bceklic,
> Imam problem: virus natas mi je postao rezidentan, tako da je
> uvek u memoriji. Probao sam sa cistom sistemskom disketom,
> zasticenom od pisanja, ali opet isto, opet mi f-prot javlja da
> je u memoriji. Da li mi neko moze pomoci?
Cestitam na izboru :(
Vodi racuna o ovom virusu jer je veoma destruktivan. Svaki put
kad startujes inicirani program sa verovatnocom od 1/512 mozes ostati
bez podataka sa hard diska. Nestrucna analiza u debageru moze takodje
da se zavrsi na isti nacin. Virus ti je najverovatnije i u MBR-u hard
diska. Inace virus je polimorfan i napada COM/EXE i MBR.
Sistemska disketa mora biti zaista _cista_. F-prot ne sme biti
inficiran. Probaj sa tbav-om ako ne ide sa f-prot-om. Nisam
analizirao ovaj virus pa konkretnih iskustava po pitanju dzinfekcije
na zalost nemam.
virusi.254mikis,
F-PROT version 2.24a - August 1996
The F-PROT anti-virus package contains a
virus scanner combined with a disinfection
program, as well as a resident monitoring
program for intercepting known viruses.
This program is free of charge for private
users, but others are required to register
or obtain the 'Professional' version - see
the documentation for details.
fp-224a.zipvirusi.255dragosh,
Imam problema sa " Quickly.1376" virusom, a moj F-prot nešto ne
radi kako valja pa rekoh da skinem ovaj tvoj programčić, deluje
fino... Da skratim priču, kada sam hteo da ga otpakujem rekao mi je:
" Bad zip file "
Nije prvi put da mi se ovo desi, pa bih te zamolio da mi na
mail rokneš isto to samo zapakovano u arj formatu...
Inače, ako neko zna išta o ovom virusu neka mi javi, frka je !
unapred zahvalan
pOZDRAV, dR aGOSH*aPSURD
virusi.256vlad,
> Imam problema sa " Quickly.1376" virusom, a moj F-prot nešto ne
> radi kako valja pa rekoh da skinem ovaj tvoj programčić, deluje
Taj virus je, koliko znam, jedan od manje destruktivnih. Iz tvoje poruke se
da zakljuciti da ga gajis vec dugo i da nemas bas mnogo iskustva sa
antivirusnim programima. Uzmi iz dir-a i TBAV, pa istestiraj HD i *sve*
diskete koje imas sa oba programa. Kad sve pocistis potrudi se da procitas
uputstvo i instaliras neku rezidentnu zastitu (TBAV ima vrlo dobru, za
F-PROT ne znam, a ima i SCAN) da ti masina ne bi bila inkubator za viruse.
Redovno testiraj hard i *svaku* disketu koju doneses sa strane i glava te
nece boleti.
Potrudi se i da procitas starije poruke iz ove teme, mozda ce te spasti
nekog nezeljenog 'format c:' B).
P.S. Ne moras ni da se zahvaljujes ni da pozdravljas, a narocito ne samo to
B).
virusi.257mikis,
+> Imam problema sa " Quickly.1376" virusom, a moj F-prot nešto ne
+> radi kako valja pa rekoh da skinem ovaj tvoj programčić, deluje
Verovatno ne radi zato što ga startuješ sa zaraženog sistema. Napravi
kod nekoga _garantovano_ čistu sistemsku disketu, snimi na nju F-Prot,
podigni sistem sa nje i trebalo bi da čišćenje prođe bez problema.
Savetujem ti da nakon toga staviš VIRSTOP u autoexec (ili još bolje
config.sys).
+> fino... Da skratim priču, kada sam hteo da ga otpakujem rekao mi je:
+> " Bad zip file "
Moguće da je došlo do greške u transferu, proveri da li ti je arhiva
dužine 756706 bajtova. Ja ću prvoveriti da li je sa moje strane sve bilo u
redu.
virusi.258dragosh,
Kao što rekoh, tvoja zip arhiva nije prva koju nisam uspeo da
otpakujem: preko nortona kaže "bad zip file" a kad kucam
"pkunzip *.zip" u tom dir-u on spominje i neki pkzip-fix arhiver.
Mislim da stvar nije u transveru (mada ne mogu biti 100% siguran)
pa mi ti reci da nisi možda koristio taj zip-fix ili mi daj nešto
čime ću moći to da otpakujem (na Sezamu sam već tražio, ništa takvo
ne postoji) ...
p.s. ako ti nije teško zamolio bih te da mi ipak staviš na mail u
arj formatu...
do sledećeg modemisanja
pozdrav!
virusi.259mikis,
+> otpakujem: preko nortona kaže "bad zip file" a kad kucam
+> "pkunzip *.zip" u tom dir-u on spominje i neki pkzip-fix arhiver.
S obzirom da se niko drugi ne žali, a kod mene je arhiva OK (i upravo
sam proverio, OK je i na Sezamu), mislim da je problem ili u transferu
(proveri da li je preneta cela arhiva! - dužina treba da bude 756706
bajtova), ili ti je možda PKZIP zaražen virusom (mada to ne bi trebalo da
ima veze).
+> pa mi ti reci da nisi možda koristio taj zip-fix ili mi daj nešto
+> čime ću moći to da otpakujem (na Sezamu sam već tražio, ništa takvo
+> ne postoji) ...
Ne, PKZIPFIX se ne koristi za pakovanje već za popravku oštećenih ZIP
arhiva, a dobija se u originalnoj PKZIP distribuciji (na Sezamu se nalazi u
direktorijumu \DOS\ARCHIVER, fajl PKZ204G.EXE).
virusi.260dragosh,
To je ono što sam tražio, hvala!
Inače, onaj virus sam degradirao pomoću nezaražene diskete na kojoj
je bio f-prot!!!
Hvala još jednom za svu pomoć!
do sledećeg modemisanja,
pOZDRAV dR aGOSH*aPSURD
virusi.261ntadic,
Evo i skromnog priloga od moje malenkosti: F-Prot 2.24C iz
Septembra ove godine.
fp-224c.zipvirusi.262calex,
<!> Evo i skromnog priloga od moje malenkosti: F-Prot 2.24C iz
Naravno, ide gde mu je mesto:
- novo -
dos\virus\*.*
------------------
fp-224c.zip 762k ű F-Prot v2.24c (9/96): odličan antivirusni program
F-PROT version 2.24c - September 1996
The F-PROT anti-virus package contains a
virus scanner combined with a disinfection
program, as well as a resident monitoring
program for intercepting known viruses.
This program is free of charge for private
users, but others are required to register
or obtain the 'Professional' version - see
the documentation for details.
new.224virusi.263pifat,
Ako je verovati BBC-ju, ko je u poslednje vreme dovlačio nekakvu
pornografiju sa Interneta, ima šansu da mu danas skikne računar,
zahvaljujući indijskom virusu "Hare Krišna". Navodno na Mreži već
postoji i lek za ovaj virus. Žao mi je što ovo pišem tek danas, ali
ranije nisam pratio ovu konferenciju, a čini mi se da je vest
zanimljiva (naravno, pretpostavljam da je ovaj virus poznat od ranije
i da je lek lako dostupan).
virusi.264dr.grba,
>> Ako je verovati BBC-ju, ko je u poslednje vreme dovlačio nekakvu
>> pornografiju sa Interneta, ima šansu da mu danas skikne računar,
>> zahvaljujući indijskom virusu "Hare Krišna". Navodno na Mreži već
More, lažu. Gledao sam danas Sky News, i tamo raspredaju bez kraja i
konca kako to pa Scotland Yard može da bude nadležan za suzbijanje
pornografije na Internetu za britanske sajtove, kad u Holandiji nema
da brineš: svega po volji (: Izgleda da su kraljevski unuci opet
natrčali na štogođ nevOspitano, pa je sad frka u medijima.
virusi.265mikis,
- novo -
dos\virus\*.*
------------------
tbav705.zip 348k ThunderBYTE AntiVirus 7.05: sistem za zaštitu od virusa
windows\util\*.*
------------------
tbavw705.zip 755k ThunderBYTE AntiVirus za Windows 3.1x v7.05 (09/96)
tbw95705.zip 687k ThunderBYTE AntiVirus za Windows 95 v7.05 (09/96)
whatsnew.705virusi.266calex,
- novo -
windows\util\*.*
------------------
v95i206e.zip 1659k ű McAfee ViruScan (SCAN) v2.06 for Windows 95 (09/96)
whatsnew.txtvirusi.267dr.grba,
>> v95i206e.zip 1659k ű McAfee ViruScan (SCAN) v2.06 for Windows 95 (09/96)
Negde pre godinu i kusur, učinilo mi se da je McAfee pomalo popustio
u jurnjavi za virusima u cilju njihovoh utamanjivanja. Redovno sam
skidao TBAV i FProt, u poslednje vreme pride i ovaj TBAV za Win 95.
Poslednji Scan sam DL-ovao boktepita kad.
Stoga bih zamolio upućene: kako izgleda, kakve su performanse (ne u
smislu brzine, zna se koje performanse mora da ima AV program) i da
li je prikladna alternativa ostalima.
virusi.268nenad,
> Stoga bih zamolio upućene: kako izgleda, kakve su performanse (ne u
> smislu brzine, zna se koje performanse mora da ima AV program) i da
> li je prikladna alternativa ostalima.
Znam samo da McAfee i dalje sam drži više od 50% tržišta. Mislim
da su trenutni lideri po broju virusa koje otkrivaju Dr Solomon's
AV i IBM AV (ovaj potonji je i najprodavaniji komercijalni
anti-virus paket).
virusi.269mdimitrijevic,
> Znam samo da McAfee i dalje sam drzi vise od 50% trzista. Mislim
> da su trenutni lideri po broju virusa koje otkrivaju Dr Solomon's
> AV i IBM AV (ovaj potonji je i najprodavaniji komercijalni
Moguce da drzi 50% trzista jer je svojevremeno bio najrasireniji,
ali sada se stvari menjaju. Ja sam izgubio veru u SCAN od kada se pojavila
verzija v2.0 koja je uz uvodjenje nove tehnologije i velikog ubrzanja
'preskakala' neke viruse i slicno.
Koristim najnoviji TBAV i F-PROT, a kad bolje razmislim skinucu i
novi SCAN. Covek nikad nije dovoljno siguran, zato i drzim dve puske, bazuku
i noz pored kompjutera :) Da ne pominjem sto svako vece ostavim psa vezanog
za nogar od stola :)
Nego jel taj Dr Solomon's AV shareware program ? Ako jeste, gde se
moze naci ?
virusi.270bceklic,
> Nego jel taj Dr Solomon's AV shareware program ? Ako jeste, gde
> se moze naci ?
Mislim da je Dr Solomon's AVTK komarecijalan program ali se i
pored toga moze naci na ovdasnjim piratskim bbs-ovima. Slovenacki
Sweep je po nekim testovima jedan od najboljih. Ja licno za povrsno
skeniranje koristim F-Prot iz a za detaljnije TD. :)
virusi.271vlad,
> Nego jel taj Dr Solomon's AV shareware program ? Ako jeste, gde se
Nije SW B(.
virusi.272vlad,
> skeniranje koristim F-Prot iz a za detaljnije TD. :)
TD = Turbo Debugger? B)
BTW, nikada mi se nije svidjao interfejs F-Prot-a, pa zato radije koristim
TBAV.
virusi.273zodiac,
Mc Afee Scan 95 mi je prijavio QUANDARY virus, odnosno tragove
istog u upper memoriji. Isto prijavljuju i F-PROT 224 i TBAV 7.01.
Problem je u tome sto nikako ne mogu da ga ocistim, iako butujem
racunar sa ciste sistemske diskete. Svi ovi programi ga jednostavno
opet pronalaze u memoriji i predlazu boot sa diskete, pa pokretanje
scan-a itd. Posto vise ni sam ne znam sta da radim, molim sve koji
su eventualno imali iskustva sa ovom spodobom da mi pomognu. BTW,
cak mu je i ime potpuno odgovarajuce - QUANDARY znaci nedoumica,
zbunjivati :(. Unapred hvala
Sale
virusi.274bceklic,
> TD = Turbo Debugger? B)
Naravno... :)
> BTW, nikada mi se nije svidjao interfejs F-Prot-a, pa zato
> radije koristim TBAV.
Kod mene je obrnuto, oni crno-crveni-zuto-plavi meniji kod
tbav-a su uzasni pa tako iako imam najnoviji tbav obicno koristim
f-prot iz '95 sto svakako nije za preporuku... :)
virusi.275cnenad,
=> racunar sa ciste sistemske diskete. Svi ovi programi ga jednostavno
Treba biti siguran da dižeš sa čiste diskete. Takođe, pokrenuti AV softer
isto sa čiste i zaštićene diskete koja neće pozivati nijedan fajl sa
HD-a. Ako si nakon toga AV program pokretao sa diska, moguće je da je on
oštećen, mada se mnogi bune ako ih virus čačne i ne rade uopšte.
U najgoroj varijanti briši zaražene fajlove.
virusi.276bceklic,
> ovom spodobom da mi pomognu. BTW, cak mu je i ime potpuno
> odgovarajuce - QUANDARY znaci nedoumica, zbunjivati :(. Unapred
Nemam podataka o ovom virusu. AKo posedujes inficirani program
posalji mi ga na mail. Ako je u pitanju fajl virus sumljivo je da
ga samo prijavljuju samo u upper memoriji pa se mozda radi o laznom
alarmu. Pokusaj da dignes sistem bez programa u UMB-u.
virusi.277ilazarevic,
> scan-a itd. Posto vise ni sam ne znam sta da radim, molim sve koji
> su eventualno imali iskustva sa ovom spodobom da mi pomognu. BTW,
Meni se javljao na jednoj mašini taj Quandary virus. F-prot-ovo
objašnjenje bilo je da to možda i nije virus, nego potpis koji je u
memoriji ostavio CPAV ili MSAV. Ono što se sigurno zna je da je to
boot, a ne file virus.
virusi.278vlad,
> U najgoroj varijanti briši zaražene fajlove.
Nije na odmet i jedan FDISK /MBR, pa odmah zatim cold reset.
To poubija gomilu BOOT virusa, izmedju ostalih i (medju neznalicama
ozloglasenog) Michelangela.
virusi.279guta,
Moj skromni prilog :)
---------------------------------------------
McAfee NetShield for Windows NT v2.5.2 (9609)
---------------------------------------------
NEW FEATURES
* ENHANCEMENTS *
1. NetShield NT v2.5.2 is NT 4.0 compatible.
2. NetShield NT v2.5.2 is compatible with the
Compaq SmartArray controller.
3. AutoUpdate changes are made to the registry.
4. An SNMP registry entry was added to point to
Alertmanager's SNMP capabilities.
5. This release includes an external utility, VIRNOTFY.EXE,
that will notify you if McAfee's Alertmanager is
not installed.
* ISSUES ADDRESSED IN THIS RELEASE *
1. Exclusions for both on-access and on-demand scans
now work.
2. McFSREC errors in the event log have been resolved.
3. SMTP traps are now sent properly.
4. Activity log write errors have been resolved.
5. During a scan, long directory names are no longer
truncated in the SCAN32.EXE display.
6. Inbound read-only files are now detected, removed and/
or cleaned.
7. When an infected file is accessed multiple times, it
is now reported as a single event in the log file.
nnti252e.zipvirusi.280guta,
A ovo je dokumentacija za NT NetShield
vntdoc.zipvirusi.281guta,
Dalje: McAfee Scan v2.5.2 for DOS
scni252e.zipvirusi.282guta,
Još dalje: McAfee Scan for DOS, pronalazi i Excel MacroVirus
scanxls.zipvirusi.283guta,
Last, but not least :)
---------------------------------------------
McAfee VirusScan for Windows NT v2.5.2 (9609)
---------------------------------------------
* NEW VIRUSES DETECTED *
This DAT file (9609) detects 68 new viruses.
NEW FEATURES
* ENHANCEMENTS *
1. VirusScan NT v2.5.2 is NT 4.0 compatible.
2. VirusScan NT v2.5.2 is compatible with the
Compaq SmartArray controller.
3. AutoUpdate changes are made to the registry.
4. An SNMP registry entry was added to point to
Alertmanager's SNMP capabilities.
5. This release includes an external utility, VIRNOTFY.EXE,
that will notify you if McAfee's Alertmanager is
not installed.
* ISSUES ADDRESSED IN THIS RELEASE *
1. Exclusions for both on-access and on-demand scans
now work.
2. McFSREC errors in the event log have been resolved.
3. SMTP traps are now sent properly.
4. Activity log write errors have been resolved.
5. During a scan, long directory names are no longer
truncated in the SCAN32.EXE display.
6. Inbound read-only files are now detected, removed and/
or cleaned.
7. When an infected file is accessed multiple times, it
is now reported as a single event in the log file.
vnti252e.zipvirusi.285gogica,
Koliko su virusi Tai-Pan i njegova varijacija Tai-Pan.666 stvarno opasni.F-pro
je sredio stvar, ali Windows poceo da pravi probleme .
virusi.286alec,
> Koliko su virusi Tai-Pan i njegova varijacija Tai-Pan.666
> stvarno opasni.F-pro
Ma Tai-Pan je s**nje, ne pravi nikakve velike probleme a skines ga lako,
ali ja sam imao VLamiX.1090 i nisam mogao da ga skinem pomocu F-Prota ili
bilo kog drugog anti virusa, a zarazi mi je skoro pola diska i nakraju sam
formtirao disk jer me je mrzelo da brisem n fajlova.
virusi.289mcikota,
Imam sledeci problem !
Promenio sam hard disk i pri podizanju sistema ispisuje sledece:
Thundebyte anti-virus partitation v6.32 (c) 1993-95 thunderbyte
Checking bootsector crc -> ok!
Checking availible ram -> ok!
Checking int13h -> ok!
Starting ms-dos
Elem,ovo i nije tako lose samo mene nervira. kako da otklonim ovaj detalj.
Pretpostavljam da treba da instaliram Thunderbyte i iskljucim ove opcije.
Medjutim,ne znam tacno s kojom verzijom,sam to i uradio ali nece tj program
kao da je demo pa nece nista da promeni.
STA KONKRETNO TREBA DA URADIM ? (koja verzija,koji meni,koja opcija i sl.)
virusi.291vlad,
> Elem,ovo i nije tako lose samo mene nervira. kako da otklonim ovaj
> detalj. Pretpostavljam da treba da instaliram Thunderbyte i
Ne treba ti TBAV, dovoljno je FDISK /MBR.
BTW, da nisi prebrzo udario 'Y' nego procitao obavestenje koje TBAV uredno
ispise po startovanju opcije za imunizaciju boot sektora, znao bi sta ti je
ciniti.
virusi.292zodiac,
Kod mene FDISK /MBR samo "dodirne" disk i nista se ne desava kao da
ga nisam ni pokrenuo. Posto ga ranije nisam ni koristio, reci mi
sta bi, ustvari, trebalo da se desi po izdavanju ove komande ?
Prosto mi je neverovtno da ne izdaje nikakav report ili barem udje
u partitioning menu... Mozda je i tu QUANDARY umesao svoje prste :(
virusi.293zodiac,
Problem je u tome sto ga dalji file scan ne nalazi. F-PROT ti cak
ni ne dopusta file scan, vec preporucuje podizanje masine na vec
pomenuti nacin. Inace, i da mogu, veruj mi da ti ga ne bih poslao,
jer ne zelim nikome ovakvu nevolju. Na disku sam dosada imao gomilu
virusa i relativno lako resavao problem, ali u ovom slucaju se
plasim da je jedini lek ukidanje particija i ponovno formatiranje.
Hvala na pokazanoj dobroj volji :)
virusi.294zodiac,
Da, definitivno se radi o BOOT virusu. Prvi ga je, ustvari, i
detektovao WIN95, koji je konstatovao da postoji izmena MASTER BOOT
RECORD-a. Ja sam tada pomislio da je rec o laznoj uzbuni, pa na to
nisam ni obracao paznju sve dok razne cudne stvari nisu pocele da
se dogadjaju (oborio Corel 6.0, pogubio dokumente iz Word-a i na
kraju ubio CD ROM tako da ga vise nisam mogao prijaviti ni kroz
najstandarniju ADD NEW HARDWARE proceduru - jednostavno ga vise
nema). Previous version of MS-DOS je ostao uglavnom nedirnut -
manjih problema bilo je samo pri pokretanju Pinball Fantasies-a.
Jos uvek ne znam sta je ovo, ali cu ga u svakom slucaju pustiti da
jos izvesno vreme rilja po disku, pa cemo videti sta se dalje
desava, posto je WIN95 dokosurio vrlo efektno i u kratkom roku.
cu!
virusi.295obren,
> Prosto mi je neverovtno da ne izdaje nikakav report ili barem udje
> u partitioning menu... Mozda je i tu QUANDARY umesao svoje prste :(
FDISK /MBR i ne ulazi ni u kakav meni, samo upiše default sadržaj u
MBR (Master Boot Record), bez ikakvih pozdravnih poruka i sl. :)
Teoretski, Quandary je mogao da spreči pristup delu diska na kome
se on nalazi (boot), ali praktično nije moguće ;) pošto sam jedan
Quandary ubio pomoću fdisk /mbr.
virusi.296obren,
> Jos uvek ne znam sta je ovo, ali cu ga u svakom slucaju pustiti da
> jos izvesno vreme rilja po disku, pa cemo videti sta se dalje desava
Quandary je sigurno boot virus. Da si ga otkrio u ranoj fazi zaraze ;)
mogao si vrlo efikasno da ga središ sa FDISK /MBR (provereno). Međutim
pošto si ga pustio da ti delimično sredi disk, moj savet je da sa neke
_provereno_ čiste diskete digneš sistem i sve ponovo reinstaliraš a
možda nije loše ni particije da ubiješ i ponovo kreiraš pošto je
mogao da bombarduje i particionu tabelu. Takođe, obavezno proveri sve
diskete, jer ovaj virus ti je zarazio svaku disketu koju si ubacio u
drajv dok je on bio aktivan u memoriju (naravno ako nije bila zaštićena
od upisa).
virusi.297bceklic,
> Inace, i da mogu, veruj mi da ti ga ne bih poslao,
> jer ne zelim nikome ovakvu nevolju.
Nemoj da brines, imam dovoljno iskustva... :)
virusi.298bceklic,
> BTW, da nisi prebrzo udario 'Y' nego procitao obavestenje koje
> TBAV uredno ispise po startovanju opcije za imunizaciju boot
> sektora, znao bi sta ti je ciniti.
Koliko sam razumeo nije ga on instalirao u MBR vec je dobio disk
sa instaliranim tbav-o u mbr-u. :)
virusi.299bceklic,
> Kod mene FDISK /MBR samo "dodirne" disk i nista se ne desava
> kao da ga nisam ni pokrenuo. Posto ga ranije nisam ni koristio,
Potrudi se da dignes sistem sa ciste diskete pa onda probaj
sa fdisk /mbr koji ce u mbr instalirati generic programce za dizanje
butabilne particije. Ako se radi o stealth virusu a pokusavao si
fdisk /mbr dok je virus bio aktivan u memoriji posao je bio uzaludan. :(
virusi.300vlad,
> Kod mene FDISK /MBR samo "dodirne" disk i nista se ne desava kao da
> ga nisam ni pokrenuo. Posto ga ranije nisam ni koristio, reci mi
> sta bi, ustvari, trebalo da se desi po izdavanju ove komande ?
Desi se prepisivanje MBR-a (Master Boot Record-a) default zapisom, pa samim
tim i ubivanje boot virusa. Komanda ne daje nikakav ispis/prompt/rezultat
jer svic /MBR nije dokumentovan.
virusi.301vlad,
> _provereno_ čiste diskete digneš sistem i sve ponovo reinstaliraš a
> možda nije loše ni particije da ubiješ i ponovo kreiraš pošto je
Da naglasimo jos jednom, posto mnogi to preskacu:
Provereno cista BOOT disketa, *asticena od upisa*. Pri ubivanju nezeljenih
gostiju koristiti iskljucivo AV programe sa diskete i ne startovati *nista*
sa HD-a. Posle (a moze i pre) likvidacije virusa poterati FDISK /MBR i
*odmah potom* (cim se vrati prompt) resetovati masinu (cold reset - "na
dugme"). Na kraju jos jednom poterati AV program (po mogucstvu i nekoliko
razlicitih) radi provere uspesnog ciscenja.
virusi.302river,
Ako neko zna nešto o virusu koji se odaziva na HAIFA neka se
OBAVEZNO JAVI!!!!!
virusi.303vlad,
> Ako neko zna nešto o virusu koji se odaziva na HAIFA neka se
> OBAVEZNO JAVI!!!!!
Jesi li prvo probao neki od standardnih antivirus programa (TBAV, F-prot,
Scan)? Generalno uputstvo za ubijanje virusa imas uz poruku 6.301.
virusi.304basrak,
> Nije na odmet i jedan FDISK /MBR, pa odmah zatim cold reset.
> To poubija gomilu BOOT virusa, izmedju ostalih i (medju
> neznalicama ozloglasenog) Michelangela.
Da li pre toga mora (znam da je poželjno, ali na jednom računaru ima dos 5.0, a
ljudi nisu napravili sistemsku disketu) da se sistem boot-uje sa čiste diskete
ili je dovoljno da se odmah posle fdisk /mbr uradi cold reset? U pitanju je baš
Mikelanđelo.
virusi.305gogica,
Molim ljude koji znaju da mi kazu kolio je opasan ONE_HALF i njegove
modifikacije. Skinuo sam ga sa F-Prot-om , ali je vec napravio mnigo problema,
mada sam ga otrio jako brzo.
virusi.306cnenad,
=> Molim ljude koji znaju da mi kazu kolio je opasan ONE_HALF i njegove
=> modifikacije. Skinuo sam ga sa F-Prot-om , ali je vec napravio mnigo
Opasan je virus jer po svakom boot-u mašine kriptuje po dva cilindra
diska tako da dok je virus aktivan sve izgleda normalno. Osim što je
boot povećava i fajlove. Najbolji lek kod skidanja je da se uradi bekap
najbitnijih informacija dok je virus aktivan a zatim podigne sistem
sa čiste i zaštićene diskete, potera čišćenje a onda za svaki slučaj:
fdisk /mbr pa reset na taster
brisanje particija i ponovno kreiranje
formatiranje
vraćanje programa
skeniranje diskete na kojoj su backup podaci.
virusi.307calex,
║ Molim ljude koji znaju da mi kazu kolio je opasan ONE_HALF i njegove
Ë──────────────
Ako ti je zakačio particionu tabelu, pod hitno skidaj sa diska sve
što ti je potrebno pa ponovo pravi disk, na više puta opisane načine.
Ako nije, onda ne bi trebalo da bude problema da ga ubiješ iz boot-a
pomoću čiste startne diskete i fdisk /mbr. Ne sećam se kako se ponaša
sa fajlovima ali je možda najbolje sve ih zameniti ili instalirati
ponovo.
virusi.308mdimitrijevic,
> ljudi nisu napravili sistemsku disketu) da se sistem boot-uje sa ciste
> diskete ili je dovoljno da se odmah posle fdisk /mbr uradi cold reset? U
> pitanju je bas Mikelandelo.
UVEK, butujem sa ciste diskete, odradim sta treba i resetujem masinu.
Nikad ne znas sta moze da se desi. Na ovaj nacin sam miran.
virusi.309johnnya,
>> fdisk /mbr pa reset na taster
Da li fdisk /mbr uništava Win95 long file names ? Mislim da je to neko
savetovao kao jedan od obaveznih koraka pri totalnom čišćenju Win95 sa
diska.
virusi.310cnenad,
=> Da li fdisk /mbr uništava Win95 long file names ? Mislim da je to neko
=> savetovao kao jedan od obaveznih koraka pri totalnom čišćenju Win95 sa
Ne uništava. To možeš odraditi sa recimo Disk Editorom, prosto otvoriš
direktorijum i ako vidiš glupa imena sa nemogućim atributima poput:
aa.ghj.lka. 1316548764 sys hid ro a dir vol
promeniš ime u neko normalno, veličinu postaviš na 0, nakon izlaska iz DE
ih obrišeš. Jedini problem je što ovo može bi zamorno ako si LFN datoteke
posejao svuda po disku :)
virusi.311vlad,
> Da li pre toga mora (znam da je poželjno, ali na jednom računaru ima
> dos 5.0, a ljudi nisu napravili sistemsku disketu) da se sistem
> boot-uje sa čiste diskete ili je dovoljno da se odmah posle fdisk
> /mbr uradi cold reset? U pitanju je baš
Ne mora, ali je vrlo preporucljivo. Ko zna sta bi disku mogao da napravi
jedan zarazeni FDISK?
virusi.312vlad,
> Da li fdisk /mbr uništava Win95 long file names ? Mislim da je to
Ne bi trebalo, ali nisam imao priliku da probam. Ima u WINDOWS/COMMAND
FDISK od DOS-a 7.0, taj ne bi smeo da zabrlja.
virusi.313johnnya,
>>> Da li fdisk /mbr uništava Win95 long file names ? Mislim da je to
>>
>> Ne bi trebalo, ali nisam imao priliku da probam. Ima u WINDOWS/COMMAND
>> FDISK od DOS-a 7.0, taj ne bi smeo da zabrlja.
Dakle ako ti Michelangelo napadne Win95, recept je isti Fdisk, ali
isključivo iz win95\command dir. ?
virusi.314johnnya,
VIRUS-L is a moderated, digested mail forum for discussing computer
virus issues; comp.virus is a gatewayed and non-digested USENET
counterpart. Discussions are not limited to any one hardware/software
platform--diversity is welcomed. Contributions should be relevant,
concise, polite, etc. (The complete set of posting guidelines is
available by FTP on ftp.cs.ucr.edu (IP number 138.23.169.122) or upon
request.) Please sign submissions with your real name; anonymous
postings will not be accepted. Information on accessing antivirus,
documentation, and back-issue archives is distributed periodically on
the list. A FAQ (Frequently Asked Questions) document and all of the
back-issues are available at ftp://ftp.cs.ucr.edu/pub/virus-l The
current FAQ document is in a file called vlfaq200.txt.
Administrative mail (e.g., comments or suggestions) should be sent to
me at: n.fitzgerald@csc.canterbury.ac.nz. (Beer recipes should still
be sent to Ken van Wyk at: krvw@mnsinc.com.)
VIRUS-L subscribers wanting help with list-processor commands should
send a message to listserv@lehigh.edu with the command "help virus-l"
in the body of the message (the listserv ignores Subject: lines).
All submissions should be sent to: VIRUS-L@lehigh.edu.
Nick FitzGerald
virusi.315gerber,
SWEEP for Windows 95 version 2.90
Released 1st October 1996
s95e4013.zipvirusi.316mileusna,
>> Dakle ako ti Michelangelo napadne Win95, recept je isti Fdisk, ali
>> isključivo iz win95\command dir. ?
Kada se pozove isti, u zglavnju iznad menija piše
_Microsoft Windows 95_ što bi trebalo da je dovoljna garancija
za long filenames.
virusi.318mikis,
- novo -
windows\virus\*.*
------------------
tbavw706.zip 760k ű ThunderBYTE AntiVirus za Windows 3.1x v7.06 (10/96)
tbw95706.zip 676k ű ThunderBYTE AntiVirus za Windows 95 v7.06 (10/96)
Mislim da komentar nije potreban, DOS verzija uskoro stiže.
virusi.319caba,
Imam problema sa Nortonovim AntiVirusom. Javqa mi da mi je sve(
ukqujući i sve CD-diskove (koji su inače sa različitih strana)
zaraženi sa Adin.3026(2). Da li je on malo preosetqiv ili je ceo
grad, ukqujući i Sezam?NET zaraženi?
virusi.320vlad,
> Imam problema sa Nortonovim AntiVirusom. Javqa mi da mi je sve(
> ukqujući i sve CD-diskove (koji su inače sa različitih strana)
> zaraženi sa Adin.3026(2). Da li je on malo preosetqiv ili je ceo
Bice da je ipak preosetljiv. Probaj da poteras neki (ili nekoliko) drugi AV
program pa vidi sta ce da kaze.
virusi.321mdimitrijevic,
> Imam problema sa Nortonovim AntiVirusom. Javqa mi da mi je sve(
> ukqujuci i sve CD-diskove (koji su inace sa razlicitih strana)
> zarazeni sa Adin.3026(2). Da li je on malo preosetqiv ili je ceo
Najbolje bi bilo da pokupis nekih od antivirusnih programa sa Sezama
(TBAV, FPROT, SCAN) i da sa njima istestiras ponovo. Moguce je da nesto u
tvojoj masini zbunjuje program.
Uvek drzim na disku ova tri navedena antivirusna programa i sa svakim
od njih pregledam nove fajlove. To traje oko 2 minuta a mene glava vise ne
boli :)
virusi.322caba,
Probao sam sa svim wima i naravno nijedan ih ne nalazi. Doduše
F-Prot i Tbav nisu našli ni Žarinskog kada mi ga je jedan
drugar doneo da proverim te program, ali Sken jeste.
virusi.323space.ace,
>> tbw95706.zip 676k ű ThunderBYTE AntiVirus za Windows 95 v7.06 (10/96)
'Oće li biti ovoga i za nas koji vozimo OS/2 i NT 3.51 ? :)
virusi.324calex,
║ 'Oće li biti ovoga i za nas koji vozimo OS/2 i NT 3.51 ? :)
Ë──────────────
Nisam siguran da to i postoji. :( Postoje McAfee varijante za ova
dva operativna sistema, a valjda će i ovi uskoro da naprave nešto.
virusi.325darth.vader,
Ej, ljudi, kako da ocistim ostatke virusa u Master Boot Sectoru na
HD-u ??? Probao sam i sa formatiranjem diska, ali ne radi...
TBAV i FPROT ga prijavljuju, ali nista ne preduzimaju...
c ya
darth.vader
P.S. HEEEEEELP !!!
virusi.326kiklop,
Kako nista ne preduzimaju? U tbav-u imas opciju immunize boot sector.
Iskoristi je.
virusi.327darth.vader,
DA> Kako nista ne preduzimaju? U tbav-u imas opciju immunize boot
DA> sector. Iskoristi je.
Da, ali on kaze:"This immune partition is not compatibile itd..."
ili tako nesto... :(
Ima li jos predloga ?
c ya
darth.vader
virusi.328ranx,
> TBAV i FPROT ga prijavljuju, ali nista ne preduzimaju...
Odradi jedan Immunize Partition Code iz TBAV-a i gotovo.
virusi.329ranx,
> Ima li jos predloga ?
Iz DOS-a: FDISK /MBR
virusi.330darth.vader,
>> Odradi jedan Immunize Partition Code iz TBAV-a i gotovo.
>> Iz DOS-a: FDISK /MBR
Ok, sredio sam to... Bio mi sj*ban fprot, pa sam ga ponovo DLovao
odavde, i on ga je uklonio...
10x anyway :)
c ya
darth.vader
virusi.331supers,
>> Ej, ljudi, kako da ocistim ostatke virusa u Master Boot Sectoru na
>> HD-u ??? Probao sam i sa formatiranjem diska, ali ne radi...
Probaj fdisk /mbr .
virusi.332calex,
Ni virusi nisu kao što su bili. :( Možda mi tako izgleda zbog toga
što sam do sada malo radio sa SCSI diskovima. LM, juče se Windows 95 na
koleginom PC-ju digao u safe modu uz prijavu da je boot sektor nešto
menjan i da sumnja u virus. Uzmem _čistu_ startnu (Win95) disketu, na
kojoj inače nema nikakvog pristupa diskovima, podignem sistem, stavim
_čistu_ disketu sa f-protom (224c) ali on odbije da radi, uz prijavu da
je u memoriji našao Ripper virus. Uz to preporučuje da se sistem digne
sa čiste diskete. :)))) Probam ih kod mene, diskete ok, posle dizanja
sistema opet sve ok. Ne moram da pomenem da su diskete bile zaštićene.
Onda probam TBAV koji takođe nađe Ripper u memoriji ali uz pitanje
nastavlja rad. Posle toga nalazi Ripper u memoriji i u master boot-u.
Naravno, jedan fdisk /mbr je rešio problem ali ostaje pitanje kako je
virus ušao u memoriju? Ako je zbog SCSI diska koji se tu nalazio, onda
više ne pije vodu dizanje sistema sa čiste diskete.
virusi.333vlad,
> Naravno, jedan fdisk /mbr je rešio problem ali ostaje pitanje kako
> je virus ušao u memoriju? Ako je zbog SCSI diska koji se tu nalazio,
> onda više ne pije vodu dizanje sistema sa čiste diskete.
Ispravite me ako gresim, ali mislim da se BOOT virusi mogu uvaliti u memoriju
bez obzira sto je masina podignuta sa ciste diskete. Ako se dobro secam
imao sam jednom identican slucaj koji sam resio na isti nacin. Mozda se
virus moze ucitati vec pri POST-u, bez obzira sto boot procedura iz
autoexec-a i config-a ne poziva HD ni na koji nacin.
virusi.334calex,
> Ispravite me ako gresim, ali mislim da se BOOT virusi mogu uvaliti u
> memoriju bez obzira sto je masina podignuta sa ciste diskete. Ako se dobro
Sve ovo što sam napisao se ne događa ako su u pitanju IDE diskovi.
Probao kod sebe i virusa ima u MBR ali ih nema u memoriji. Da nije u
pitanju detekcija SCSI diska na početku?
virusi.335nenad,
> Ispravite me ako gresim, ali mislim da se BOOT virusi mogu uvaliti u
> memoriju bez obzira sto je masina podignuta sa ciste diskete.
Da, ali nije bitno. ;)
Može se naime naći, i nađe se u memoriji pošto se prilikom
podizanja sistema čita particiona tabela hard-diskova. Međutim,
on se tada nalazi u memoriji kao mrtav podatak, ni jedan pointer
ne pokazuje na taj deo koda kao na nešto "izvršno".
virusi.338kiklop,
Imam jedan problem za koji nisam ¸│siguran kako da rešim. Pri
skeniranju sistema sa antivirusnim programom tbav 7.06 za dos
prijavljuje mi da je MBR verovatno zaražen nepoznatim virusom, itd.
Moje pitanje glasi, da li da očistim boot sector , odnosno ako to
uradim da li će možda smetati win95, a ako bude smetalo može li se
sve vratiti u prvobitno stanje, odnosno pre čišćenja. Hteo bih da ga
očistim za svaki slučaj, pa reko da pitam ovde. Unapred hvala na
pomoći.
virusi.339darth.vader,
>> Moje pitanje glasi, da li da ocistim boot sector , odnosno ako
>> to uradim da li ce mozda smetati win95, a ako bude smetalo
>> moze li se sve vratiti u prvobitno stanje, odnosno pre
>> ciscenja. Hteo bih da ga ocistim za svaki slucaj, pa reko da
>> pitam ovde. Unapred hvala na pomoci.
Meni se zbog tog zarazenog MBR-a totalno srusio Win95... Nije mog'o
da se podigne uopste...
Ja da sam na tvom mestu ja bih ocistio to... A ti uradi kako ti mislis
da je najbolje za tebe...
c ya
darth.vader
virusi.340calex,
> Moje pitanje glasi, da li da očistim boot sector , odnosno ako to
> uradim da li će možda smetati win95, a ako bude smetalo može li se
> sve vratiti u prvobitno stanje, odnosno pre čišćenja. Hteo bih da ga
Ne bi trebalo da bude problema ako uradiš fdisk /mbr uz korišćenje
fdiska iz win 95. Ako je još nešto otišlo, verovatno ćeš morati da sve
instaliraš ponovo.
virusi.341pifat,
Ovo sam dobio od drugara sa Hemijskog fakulteta. Možda je
patka, ali nije na odmet biti na oprezu.
From: Slobodan Poznanovic <skipi@hf01.chem.bg.ac.yu>
To: Igor Pifat <pifat@sezam.co.yu>
Subject: Vazno
Druze citaj ovo i salji dalje
Boban
VERY IMPORTANT INFORMATION, PLEASE READ!
There is a computer virus that is being sent across the Internet. If
you receive an email message with the subject line "Deeyenda", DO NOT
read the message, DELETE it immediately!
Some miscreant is sending email under the title "Deeyenda" nationwide,
if you get anything like this DON'T DOWNLOAD THE FILE! It has a
virus that rewrites your hard drive, obliterates anything on it.
Please be careful and forward this e-mail to anyone you care about.
Please read the message below.
-----------
FCC WARNING!!!!! -----DEEYENDA PLAGUES INTERNET
FCC WARNING!!!!! -----DEEYENDA PLAGUES INTERNET
The Internet community has again been plagued by another computer
virus. This message is being spread throughout the Internet,
including USENET posting, EMAIL, and other Internet activities. The
reason for all the attention is because of the nature of this virus
and the potential security risk it makes. Instead of a destructive
Trojan virus (like most viruses!), this virus referred to as Deeyenda
Maddick, performs a comprehensive search on your computer, looking for
valuable information, such as email and login passwords, credit cards,
personal inf., etc.
The Deeyenda virus also has the capability to stay memory resident
while running a host of applications and operation systems, such as
Windows 3.11 and Windows 95. What this means to Internet users is
that when a login and password are send to the server, this virus can
copy this information and SEND IT OUT TO UN UNKNOWN ADDRESS (varies).
The reason for this warning is because the Deeyenda virus is virtually
undetectable. Once attacked your computer will be unsecure. Although
it can attack any O/S this virus is most likely to attack those users
viewing Java enhanced Web Pages (Netscape 2.0+ and Microsoft Internet
Explorer 3.0+ which are running under Windows 95). Researchers at
Princeton University have found this virus on a number of World Wide
Web pagesand fear its spread.
Please pass this on, for we must alert the general public at the
security risks.
Estelle Blanchette
EBLANCHETTE@adm.usherb.ca
virusi.342calex,
- novo -
dos\virus\*.*
------------------
fp-225.zip 881k F-Prot v2.25 (12/96): odličan antivirusni program
F-PROT version 2.25 - December 1996
The F-PROT anti-virus package contains a
virus scanner combined with a disinfection
program, as well as a resident monitoring
program for intercepting known viruses.
This program is free of charge for private
users, but others are required to register
or obtain the 'Professional' version - see
the documentation for details.
new.225virusi.343lexus,
=> Ovo sam dobio od drugara sa Hemijskog fakulteta. Možda je
=> patka, ali nije na odmet biti na oprezu.
Na Pro-u su se u poslednja 3-4 dana pojavila još dva ovakva
upozorenja.
Anyway, ako sam ja dobro shvatio, ovo je teorijski sasvim
moguće. Ako postoji Word Macro, zašto ne bi postojao i
Java Script virus?
virusi.344nenad,
> Anyway, ako sam ja dobro shvatio, ovo je teorijski sasvim
> moguće. Ako postoji Word Macro, zašto ne bi postojao i
> Java Script virus?
JavaScript virus ne može da postoji jer sam "jezik" ne definiše
mogućnost pisanja po disku i slične aktivnosti. Najviše što može
da uradi je da usled nekog baga blokira browser i eventualno ceo
računar, ako je neko tako nešto pronašao, ali to gotovo sigurno ne
bi važilo za sve čitače i operativne sisteme. Uostalom, Netscape
nikome nije licencirao JavaScript, a MS-ov JScript je njegov
klon-jezik.
Cela ova priča je suviše naivna, jer virus koji napada sve
kompjutere i operativne sisteme, koji se širi preko usenet-a, ftp-a
i weba i to tako što ima neki subject u poruci...
virusi.345supers,
>> Ovo sam dobio od drugara sa Hemijskog fakulteta. Možda je
>> patka, ali nije na odmet biti na oprezu.
>> There is a computer virus that is being sent across the Internet.
>> If you receive an email message with the subject line "Deeyenda",
Ovo je paljevina. Kriss je na SezamProu napisao dobru poruku u kojoj
ukazuje da poruka ima sve karakteristike paljevine: virus se startuje na
nemoguć način, radi na svim OS-ovima, krajnje je destruktivan,
ali je istovremeno i superinteligentan (traži lične podatke i šalje ih
na neutvrđene adrese), izučavan je na univerzitetima...
Jedina šteta načinjena ovakvim virusima je gomila poruka koje ljudi
šalju svima koje znaju bez razmišljanja.
virusi.346bceklic,
> Jedina steta nacinjena ovakvim virusima je gomila poruka koje
> ljudi salju svima koje znaju bez razmisljanja.
Vec vidjeno...
Da ne davim previse pogledati pod "Good Times"...
virusi.347vlad,
> FCC WARNING!!!!! -----DEEYENDA PLAGUES INTERNET
> The Internet community has again been plagued by another computer
> virus. This message is being spread throughout the Internet,
The Internet community has again been plagued by another computer
virus scare spam. This message is being spread throughout the Internet,
scaring the shit out of ignorants who don't have any idea how viruses
actually work. BEWARE!!!
FCC? Ma idi begaj! B))))))))))))))))
virusi.348supers,
>>> FCC WARNING!!!!! -----DEEYENDA PLAGUES INTERNET
>> FCC? Ma idi begaj! B))))))))))))))))
Očekujemo da se oglasi Zavod za mere i plemenite metale...
virusi.349guta,
Uz ovu poruku je okačen fajl sa najnovijim .DAT fajlovima, tj. novi
update McAfee SCAN i CLEAN datoteka sa definicijama virusa.
McAfee DAT File v2.5.3 (9612)
dat-9612.zipvirusi.350epson,
GENERATOR VIRUS REPAIR TOOL KIT FORMATTER
If you own a virus scanner than you have to own the Virus Repair Toolkit by
Learning Curve, Inc. VRT will allow you to recover from a virus attack. That's
right actually repair the damage that a virus has caused. No longer will
Monkey B, Stealth, or many other viruses, cause you to loose data. If a virus
damages your partition or boot VRT will recover it. This is an after the fact
solution. Nothing needs to be pre-installed.
-Allows You To recover From Damage That Is Caused By A Virus
-Nothing Has To Be Pre-Installed
-You Make A Safe Disk For Easier Recovery
-Allows You To Rebuild The Boot Sector and Partition Sector
-VRT will also allow you to make a safe disk which will back up your partition
and boot sectors for easier recovery. VRT will also let you know if you have
a more severe damage such as FAT or Root Directory damage.
-WINDOWS 95 SUPPORT!
vrtdemo.zipvirusi.351posejdon,
Pomagajte...Moju mašinu i mene ubuja ONEHALF.MBR
Šda preduzeti ?? Scan V.2.2.3 bespomoćan, a i ja sa njim !
virusi.352calex,
> Pomagajte...Moju mašinu i mene ubuja ONEHALF.MBR
> Šda preduzeti ?? Scan V.2.2.3 bespomoćan, a i ja sa njim !
Juče sam kod drugara ubio sličnog gada. Sve je urađeno za tren,
običnim fdisk /mbr, u pitanju je bio Win95 i njegov fdisk. Pre toga
je startovano sa čiste diskete.
Bili su bespomoćni i f-prot i tbav, polako padaju u vodu priče o
dizanju sistema sa čiste diskete. Startna disketa nema ni autoexec ni
config, uopšte ne pristupa disku ali oba ova programa prijave da se u
memoriji nalazi onehalf i preporuče dizanje sa čiste diskete. :)))))
Posle toga tbav nađe skota samo u mbr dok f-prot odbije da radi dalje.
virusi.353gerber,
*> Bili su bespomoćni i f-prot i tbav, polako padaju u vodu priče o
*> dizanju sistema sa čiste diskete. Startna disketa nema ni
*> autoexec ni config, uopšte ne pristupa disku ali oba ova programa
*> prijave dase u memoriji nalazi onehalf i preporuče dizanje
*> sa čiste diskete. :)))))
Pretpostavljam da si sistem podigao sa W95 rescue diskete ili
diskete na kojoj je bio DOS 7.0 ? U oba slučaja boot virus se
na neki način nadje u memoriji. Rešenje je disketa sa DOS 6.xx
posle toga nema problema za TBAV - DOS verzija naravno, obzirom
da samo ona i ima imunizaciju boot-a.
virusi.354nenad,
> Bili su bespomoćni i f-prot i tbav, polako padaju u vodu priče o
> dizanju sistema sa čiste diskete. Startna disketa nema ni autoexec ni
> config, uopšte ne pristupa disku ali oba ova programa prijave da se u
> memoriji nalazi onehalf i preporuče dizanje sa čiste diskete. :)))))
Ama ne pada u vodu, Cale... Svako podizanje DOS-a uključuje
pristup MBR-u hard diska jer ne postoji ni jedan drugi način da
DOS koji si podigao sa diskete zna gde mu je C: particija, gde mu
je D: i slično. Kada pročita master boot record "pokupi" i ceo
virus koji se tu nalazi pa se njegov "pattern" nađe u memoriji,
ali čisto kao _podatak_, kao mrtva gomila bajtova i ni jedan
pointer niti jedan interapt hendler ne pokazuje na taj virus i
on se _ne izvršava_.
E sad što je antivirus program glup pa neće da nastavi to je
druga priča.
Btw, Dr.Solomon je najzad pustio trial verziju svog antivirus
paketa u javnost. Može se preuzeti sa njihovog sajta (samo
verzija za DOS postoji kao trial), ja sam je preuzeo ali je
distribucija zabranjena. Dakle ako nekog zanima i ima pristup
Web-u neka je skine - ako želi da proba. :)
virusi.355calex,
> na neki način nadje u memoriji. Rešenje je disketa sa DOS 6.xx
> posle toga nema problema za TBAV - DOS verzija naravno, obzirom
> da samo ona i ima imunizaciju boot-a.
Namerno sam koristio dos 7.0 zbog toga što je na disku bio
Win95. Bolje rešenje mi je bilo fdisk /mbr nego antivirus softveri.
virusi.356calex,
> Ama ne pada u vodu, Cale... Svako podizanje DOS-a uključuje
> pristup MBR-u hard diska jer ne postoji ni jedan drugi način da
> DOS koji si podigao sa diskete zna gde mu je C: particija, gde mu
Da li ovako može da zakači i particionu tabelu? Ako to uspe,
onda može da bude prilično gadno. :(
> E sad što je antivirus program glup pa neće da nastavi to je
Na ovo sam i mislio, sistem je dignut sa čiste diskete, pokrenut
je antivirus program koji prijavi virus i predloži da se sve ugasi a
sistem digne sa čiste diskete. :))
virusi.357dr.grba,
>> Btw, Dr.Solomon je najzad pustio trial verziju svog antivirus
>> paketa u javnost. Može se preuzeti sa njihovog sajta (samo
>> verzija za DOS postoji kao trial), ja sam je preuzeo ali je
Daj adresu, da ne kopamo po AltaVisti.
virusi.358nenad,
> Da li ovako može da zakači i particionu tabelu? Ako to uspe,
> onda može da bude prilično gadno. :(
Pa može (ako misliš na virus), no MBR je uvek isti tako da retko
tu greše - kače je samo ako to i žele. ;)
virusi.359nenad,
> Daj adresu, da ne kopamo po AltaVisti.
DISTRIB.TXT
Restrictions on the distribution of Dr Solomon's FindVirus
You are *not* allowed to distribute Dr Solomon's FindVirus on BBSes,
Internet, CD ROM, floppy disk, etc. It is not shareware. It is not
freeware. It is not public domain. This version of FindVirus is
made available for evaluation purposes only, and is only available
from Dr Solomon's Software authorized sites:
CompuServe areas : DRSOLOMON, NCSAFORUM, NCSAVIRUS,
ZNT:TIPS (Library 16), PCTECH
Cix areas : virus/files, drsolomon/files
AOL : VIRUS
Prodigy Service : FILE LIBRARIES (Anti-virus Center)
Anonymous ftp : ftp://ftp.drsolomon.com
ftp://members.aol.com/pjevansssi
ftp://members.aol.com/gcluley
World wide web : http://www.drsolomon.com
http://members.aol.com/gcluley
http://www.tiac.net/users/daphne
Dr Solomon's BBS : (617) 229-8804 v.34, N81
This archive may ONLY be made available from the preceding list of
approved sites. Recipients of this archive MAY NOT put it or any of
its contents up for download on any BBS, or in any way distribute it
further, without written permission from Dr Solomon's Software.
The right to decide which sites may make this archive available to their
users is strictly reserved by Dr Solomon's Software.
If you have gotten this file from an unauthorized source, you are running
a serious risk of having a copy that is unsafe to use. You should delete
it at once and obtain a secure replacement from one of the authorized sites
listed above.
Copyright (c) 1997 Dr Solomon's Software Ltd. All Rights Reserved
virusi.360posejdon,
Konačno sam se oslobodio gada po imenu ONEHALF.MBR, ali za njegovo
uklanjanje mnogi (fajlovi) su morali da daju svoj život. Dok nisam ni znao
da sam zaražen, gubio sam tek po koji tekstualni fajl. Ne sumnjajući na
zarazu, krivu Drinu sam pokušao da ispravim NDD-om i scandisk-om računajući
na neki lakši poremećaj - i tu nastade katastrofa !
Tog kobnog dana, sećam se k'o danas, izgubih "u cugu" sedam direktorijuma
sa svim najvažnijim fajlovima. Šljam koji je iza toga ostao nikako nije bilo
moguće izrisati (prazni direktorijumi).
Anti-virus kojim sam ga konstatovao, bio je SCAN V.2.2.3 iz '95. Otkrio sam
ga i u fajlovima, i u memoriji, i u MBR. Prilikom opcije /CLEAN, stradalo je
još nekoiko direktorijuma. U memoriji je uništen, a zaražene fajlove sam sam
obrisao jer SCAN prijavljuje da nema kompetenciju za ONEHALF.
Postupak brisanja virusa iz boot-a diska, naizgled ide glatko, ali...
SCAN lepo prijavi da je locirao virus u boot-u, prijavi i da ga je CLEAN-io,
zatim sledi izveštaj da više nema virusa, ali kad se računar ponovo uključi
ili resetuje, dobri stari ONEHALF.MBR opet je tu među nama, u boot-u !
Naravno, sve sam ovo radio sa SCAN-om na čitoj sistemskoj disketi.
Isti SCAN, ali na zaraženom disku, nije otkrivao virus.
Najzad, jedini lek (koji sam ja znao) bio je FORMAT C: i FDISK.
Čišćenje virusa iz boot-a zaraženih disketa je išlo bez problema i bez
gubljenja podataka, pod uslovom da sami podaci nisu bili zaraženi u kom
slučaju su i oni morali da se brišu.
Sad, ako neko naleti na "dečka", nek bude spreman na par problema, ali moj
prvi savet bio bi: prvo mislite kako da sklonite važne fajlove, pa tek onda,
kako da ubijete skota.
virusi.361cnenad,
-> Konačno sam se oslobodio gada po imenu ONEHALF.MBR, ali za
-> njegovo uklanjanje mnogi (fajlovi) su morali da daju svoj život. Dok
-> nisam ni znao da sam zaražen, gubio sam tek po koji tekstualni fajl.
Zato što virus po svakom butovanju mašine kriptuje po jedan cilindar
diska idući od nazad (zovem ga pederko)
Spašavanje podataka (ne programa!) tj. backup treba raditi dok je virus
aktivan. Nakon toga najefikasnije rešenje su boot sa čiste diskete,
FDISK /MBR, brisanje particija, ponovno kreiranje, formatiranje diska...
Sreća je da kad praviš backup ne zaražava diskete.
-> direktorijuma sa svim najvažnijim fajlovima. Šljam koji je iza toga ostao
-> nikako nije bilo moguće izrisati (prazni direktorijumi).
Ko je spomenuo bekap ?
virusi.362necahc,
Zna li neko caku za Zipfolders kako a mu produzim Evaluation Period osim
one stare plati 29$.
<Necahc>
virusi.363drdjokic,
Da li neko ima resenje za WORD MACRO virus ?
virusi.366guta,
Februarski update .DAT fajlova za vaš Scan/Clean.
-------------------------------
McAfee DAT File 9702 (v2.5.4)
-------------------------------
dat-9702.zipvirusi.367terminali,
Moze li neko da mi preporuci dobar vir-scan novijeg datuma, a koj
moze da se nadje ovde na Sezamu?
Hvala u napred...
virusi.368ranx,
> Moze li neko da mi preporuci dobar vir-scan novijeg datuma, a koj
Thunderbyte Antivirus 7.06
virusi.369epson,
│ Thunderbyte Antivirus 7.06
└─────────────────────────────────────────────────
A za FAT32 ? Mislim u vezi boot sektora i master boota .
virusi.370ranx,
> A za FAT32 ? Mislim u vezi boot sektora i master boota .
Ne znam. Ne koristim FAT32.
virusi.371jexy,
Da li potoji neki antivirus program koji cisti virus MIKE 256.Probao sam
najnoviji
F-prot kao i par losijih programa ali niko nece da ga ocisti samo mogu
da obrisu/preimenuju fajl.
Ako neko zna..
virusi.372bokir,
> Da li potoji neki antivirus program koji cisti virus MIKE 256.Probao sam
> najnoviji F-prot kao i par losijih programa ali niko nece da ga ocisti
> samo mogu da obrisu/preimenuju fajl.
> Ako neko zna..
Nijedan program ne može da oporavi fajlove zaražene 'MIKOM' ;)
Ovaj virus obriše jedan deo fajla, i na to mesto upiše sebe...
Znači, briši zaražene fajlove...
virusi.373alec,
> Nijedan program ne moze da oporavi fajlove zarazene 'MIKOM' ;)
> Ovaj virus obrise jedan deo fajla, i na to mesto upise sebe...
> Znaci, brisi zarazene fajlove...
Ma najbolje lupi jedan FORMAT C: ;)
virusi.374nenad,
Sutra je 6. mart.
Ako ništa drugo, uradite večeras bar jedno FDISK /MBR, valja se...
virusi.375nenad,
Novi McAfee-ov SCAN 3.0 će se sam update-ovati preko Interneta...
McAfee to roll out VirusScan 3.0
In an effort to protect users from macro viruses written in
Visual Basic 5.0 language in Microsoft Corp.'s Office 97 suite,
McAfee Associates Inc. will announce next week VirusScan 3.0.
The latest version of McAfee's flagship product includes the
so-called Hunter engine for detecting macro viruses in both Word
97 and Excel 97.
The engine also detects boot sector infectors, file infectors and
polymorphic viruses, according to officials at the Santa Clara,
Calif., company.
Other new features in Version 3.0 include a prompt for making an
emergency floppy disk and the ability to automatically install it
without uninstalling an earlier version of VirusScan.
However, Version 3.0 runs noticeably slower than previous
versions, according to some users.
"I use VirusScan 3.0 about 10 times a day on average. ... The new
version seems a bit slower in the scanning speed," said one
Windows NT product developer who asked not to be identified. "I
am sure this is due, in part, to the growing list of viruses that
McAfee will detect."
VirusScan also includes SecureCast, a service that utilizes
BackWeb Technologies Inc.'s "push" method to send software
applications and updates to users.
A $49 version of VirusScan 3.0 for Windows 95 is available now at
www.mcafee.com. Also available is a $69 deluxe version that
includes a data backup capability.
Separately, McAfee will announce next week the opening of
Anti-Virus Emergency Response Team centers in Japan and the
Netherlands
virusi.376cockie,
Novi f-prot
fp-226.zipvirusi.377dejank,
Jel' imao neko problema sa Norton Antivirus-om 95? Ja sam ga
koristio jedno vreme i nije mi pravio probleme, niti prijavljivao
neke infekcije. Onda sam ga update-ovo (skinuo sam program sa
Sezama) i kad sam ga isprobao prijavio mi je jedno 1500 zarazenih
fajlova i to sa jedno dvadesetak razlicitih virusa ( i to nekih
retkih- budi bog s nama!). Tu mu ja ubacim i neke diskete koje i
nisam koritio (driveri za zvucnu,graficku,maticnu i sl) vise od
jednog puta, i tu mi on takodje izbaci po nekoliko virusa. Sto je
mnogo-mnogo je te ja skinem par drugih AV programa (F-prot, TBAV i
sl.) i probam-medjutim oni nista neobicno nisu javljali!
Zanima me jel imao neko slicne probleme, ili to ja mozda stvarno
imam neki virus (u sta ne verujem mnogo).
virusi.378bujic.p,
> Jel' imao neko problema sa Norton Antivirus-om 95? Ja sam
Isti slučaj, zato sam prestao da koristim Norton Antivirus.
virusi.379kiklop,
Najnovija verzija Thunderbyte antivirusnog programa 7.07
za win95
tbw95707.zipvirusi.380kiklop,
Thunderbyte for DOS 7.07
tbav707.zipvirusi.381valoj,
Problem je naravno hitan...
Kod mog prijatelja se pojavio virus.
Ima windows 95, kojeg slabo poznajem.
Uglavnom primetio je ogromne fajlove sa cudnim imenima tipa koje
kakvih kukica i hepi face-ova.
Pokusali smo da formatiramo disk , ali nikako ne dozvoljava.
Scandisk prijavljuje ostecen master boot record, FAT, itd.
Svaki put prijavi fix it, ali pri svakom startovanju ponovo radi isto.
Na disku vise nema nicega sem 16 fajlova iste duzine , istog datuma,
istih atributa.Svi su u vidu nekih specijalnih znakova...
Pomoc bi dobro dosla...
virusi.382kiklop,
Pa situacija je ozbiljna. Kao prvo na bezbednom računaru naparvi boot
disketu i na nju ili neku drugu snimi neki antivirus program. Moja
preporuka je f-prot (2.26) ili tbav (7.06-7.07), a najbolje oba. Ima
ih na sezamnetu u direktorijumu dos\virus. Zatim podigni računar sa
čiste diskete koja je OBAVEZNO write protected (!), što isto važi i
za diskete sa antivirusnim programima. Kada podigneš sistem pokreni
skeniranje hard diska i potom očisti sve fajlove i boot sektor. U
tbav-u imaš opciju immunize boot sektor koju ćeš koristiti za
čišćenje boot sektora HD-a od virusa. Ako to ne pomogne onda upotrebi
komandu fdisk /mbr. Kada sve počistiš onda preporučujem jedno fino
formatiranje i reinstaliranje celog sistema, s time da OBAVEZNO
instaliraš i neki antivirus program za Win95. Moja preporuka je da
koristiš Thunderbyte antivirus paket, verziju za win i dos. Aktuelna
verzija je 7.07. Okačio sam ih pre neki dan u konferenciji
pcutil.virusi. Dos verzija je neophodna jer samo ona omogućava
detaljno čišćenje svih virusa dok win verzija samo čisti datoteke.
Ovaj tandem me do sada nije izneverio i vrlo sam zadovoljan istim.
Naravno poželjno je imati još koji program, čisto radi provere
(f-prot, scan i sl.). Nadam se da ti je ovo pomoglo. Pozdrav.
virusi.383nenad,
> Pokusali smo da formatiramo disk , ali nikako ne dozvoljava.
> Scandisk prijavljuje ostecen master boot record, FAT, itd.
Čista butabilna DOS disketa (bilo koja verzija), na njoj programi
FDISK i FORMAT.
Zaštitiš disketu, digneš sistem sa nje, startuješ FDISK, pobrišeš
sve particije (prvo logičke drajvove na extended particiji, onda
exetended particiju, onda primarnu particiju - ako neka ne
postoji, preskoči korak :), zatim napraviš nove particije po
želji.
Izađeš iz FDISK-a, on resetuje mašinu, ti opet digneš sistem sa
diskete i kucaš FORMAT c: /s.
Ako ovo ne prođe onda je disk fizički oštećen ili nije dobro
prijavljen u setup-u, ili je kontroler riknuo, ili se procesor
pregreva, ili je neispravna memorija, ili ne valja keš...
No, šta god da je u pitanju - znaćete da nije problem u virusu.
virusi.384ranx,
> čiste diskete koja je OBAVEZNO write protected (!), što isto važi i
> za diskete sa antivirusnim programima. Kada podigneš sistem pokreni
Najbolje da to bude jedna boot disketa na kojoj su AV programi.
virusi.385zoxy,
> Ako ovo ne prode onda je disk fizicki ostecen ili nije dobro
> prijavljen u setup-u, ili je kontroler riknuo, ili se procesor
> pregreva, ili je neispravna memorija, ili ne valja kes...
Imao sam (ne) srecu da se srecem sa ovakvim situacijama..
Nego me zanima kako pregrevanje procesora moze da izazove simptome koje valoj
opisuje, onako u dve reci..
Jesi li doziveo da kontroler ispoljava gore navedeno sa samo jednim diskom
(ili odredjenim modelom) a sa nekim drugim radi..
Delimicno (ne)vezano za ovo.. Ima li neko da nam objasni prostim recima sta se
sve desava po ukljucenju racunara? Ne zanimaju nas (me) interraptovanja i sl.
nego kojim TACNIM i detaljnim redosledom se kompjuter budi dok ne ucita OS i
pojavi se prompt? Sta se kome prvo obraca, ko pokrece inicijalizaciju itd..
Ovo vec pitah, al ne bejase odgovora..cak ni pokusaja.. :((
Forever your,
virusi.386nenad,
> Nego me zanima kako pregrevanje procesora moze da izazove simptome koje
> valoj opisuje, onako u dve reci..
Pre ili kasnije sve prođe kroz procesor... :) Ako procesor
"ubrlja" neki podatak, upiše pogrešan podatak, pa još na pogrešno
mesto - i savršeni kontroler i disk će da pobrljave i da rade ono
što ne treba.
> Delimicno (ne)vezano za ovo.. Ima li neko da nam objasni prostim recima
> sta se sve desava po ukljucenju racunara?
Ukratko i ne tako detaljno, još manje precizno: PC je "zrihtan"
tako da kad se izvrši osnovni mikro-kod procesor počne da
izvršava program iz BIOS-a. Dalje je sve na njemu, a to obično
znači inicijalizaciju prijavljenih periferija i traženje pogodnog
medija za "predavanje štafete".
Najčešće je to prvi hard disk u sistemu sa koga on pročita master
boot record i iz njega particionu tabelu, iz nje sazna na kom se
sektoru nalazi početak "primarne aktivne" particije, učita taj
sektor i izvrši ga, a on sam već pokazuje na dalje sektore na
disku sa kojih se učitava operativni sistem, ili ako je tamo
virus onda pokaže na prazne delove MBR-a gde se je smestio
ostatak "tela", izvrši njega, uradi nešto ako mu je po volji i
onda nastavi da učitava OS. :)
virusi.387guta,
-------------------------------------------
McAfee Scan & Clean .DAT upgrade, feb 97.
-------------------------------------------
Najnoviji .DAT fajl sa definicijama virusa za vaše DOS Scan-ove.
dat-9702.zipvirusi.389guta,
---------------------------------------------
McAfee VirusScan Command Line v3.0.0 (3000)
for
Windows NT
---------------------------------------------
nts-300e.zipvirusi.391calex,
- novo -
dos\virus\*.*
------------------
dat-9703.zip 368k McAfee Scan & Clean .DAT upgrade, mart 97.
whatsnew.txtvirusi.392calex,
- novo -
dos\virus\*.*
------------------
vdoc24.zip 211k VDOC Macro A-V ver 2.40: nalazi i uklanja macro viruse
* VDOC Macro A-V ver 2.40 (228k, Mar-1997)
Scan and Remove All Word and Excel Macro
viruses. Office 97 compatible. Network
compatible. FREE copy !
virusi.393v.dragojevic,
Pojavio mi se [Whis] odnosno whisper virus.
Koliko sam primetio kaci se na exe fajlove.
Jedini ga je otkrio scan, ali sa novim update-om.
Zanima me sta radi ovaj virus ?
virusi.394pzeljko,
Vazno je kada se pojavi e mail poruka
/ako se pojavi/ PENPAL GREETINGS odmah je brisi i ne citaj je.
Ako udjes i
pocnes citanje, unistice te, i to ne samo tebe nego i sve one
kojima budes
posle toga slao poruke. Ovo je realna opasnost i cuvaj te se.
=================================================================
===========
==========
WARNING WARNING WARNING WARNING WARNING
THIS IS DEAD SERIOUS IT IS NOT A JOKE
If anyone receives mail entitled: PENPAL GREETINGS! delete it
immediately, without reading it.
This is a warning for all Internet users. There is a dangerous
virus
being propagated across the Internet through an e-mail message
entitled:
"PENPAL GREETINGS!"
Do not download any message so titled. The message appears to
be a
friendly letter asking you if you are interested in a penpal,
but by the
time you read the letter, it is too late. The Trojan Horse
virus will
already have infected the boot sector of your hard drive,
destroying all
the data therein. It is a self-replicating virus, and once the
message
is read, it will AUTOMATICALLY forward itself to anyone who's
e-mail
address is present in YOUR mailbox.
This virus will DESTROY your hard drive, and holds the potential
to
destroy the hard drive of anyone whose mail is in your box, and
who's
mail is in their box, and so on. If this virus keeps being
passed, it
has the potential to wreak havok with computer networks
worldwide !!
Please delete the message entitled "PENPAL GREETING! as soon as
you see
it. And pass this message on to all your friends, bulletin
boards, chat
groups, and e-mail correspondents. Make sure your children are
alerted
also, as they may be looking for e-mail penpals without your
knowing.
Please pass the message on NOW to assist in shutting this virus
down.
virusi.395dr.grba,
>> This virus will DESTROY your hard drive, and holds the potential
I ne samo to. Čuo sam da crkavaju i grejači u bojlerima, ako se poruka
čita duže od pet sekundi. Ko pročita poruku dva puta, garantovano će
izazvati crkavanje svih mikrotalasnih pećnica u krugu od 367 metara. (:O
>> Please pass the message on NOW to assist in shutting this virus
>> down.
Kada će ljudi jednom da svhate da su *ove poruke* u stvari virusi? ):
virusi.396calex,
- novo -
dos\virus\*.*
------------------
dat-9703.zip 373k McAfee Scan & Clean .DAT upgrade, april 97.
Virus Definition Files by McAfee, Inc.
Scans and cleans PC's/LAN's for known and
unknown viruses. Requires scanner engine v2.5X
(9704) 04-16-97
whatsnew.txtvirusi.397vsgdoo,
Pre nekoliko dana sam ubio jednog gmaza koji se
odazivao na ime Quicky.1376.
Nije bilo mnogo komplikovano, jer izgleda da se zakacio na
izvrsne fajlove startovane u poslednjih nekoliko dana.
Da li bi neko mogao da napise nesto vise o tom virusu
(sem onog iz dokumentacije f-prot_a Removable : Yes :)
Pozdrav
vsgdoo
virusi.398kiklop,
> Pre nekoliko dana sam ubio jednog gmaza koji se
> odazivao na ime Quicky.1376.
> Da li bi neko mogao da napise nesto vise o tom virusu
> (sem onog iz dokumentacije f-prot_a Removable : Yes :)
Evo šta kaže Thunderbyte o njemu:
This virus is known to infect EXE files, but unknown variants may infect
other items as well. The virus is encrypted using a trivial encryption
scheme. There is no simple signature that can be used to find it.
However, the better anti-virus scanners should not have any problems
detecting this virus. This virus is very buggy and/or requires a special
setup. It is hardly possible that the virus will ever succeed to infect
another file. Therefore this virus is not a serious threat, but can be
classified as a LAB virus.
Nadam se da je pomoglo.
virusi.399vsgdoo,
>> Evo sta kaze Thunderbyte o njemu :
Hvala :))
virusi.400geronimo,
-^-> Pre nekoliko dana sam ubio jednog gmaza koji se
-^-> odazivao na ime Quicky.1376.
Nije strashan.Ja sam ga ubio ali ti nishta ne smeta kao kucni ljubimac :)
virusi.401v.dragojevic,
Sta radi [Whis] virus, odnosno Whisper ?
virusi.402nenad,
Uskoro nećete morati da skidate i kupujete nove verzije Antivirus
paketa, za proveru vaših podataka i diska biće dovoljno da se
prikačite na internet, posetite Web sajt sa koga će se pomoću
ActiveX-a automatski skinuti i pokrenuti softver koji će da vam
pregleda i eventualno dezinficira disk.
Ajde, da čujemo, ko sme to da proba? ;)
Free Web-based virus scanning service to debut
Trend Micro plans to make available on Monday a free Web-based
virus scanning service called PC-cillin HouseCall. Rather than
installing software, users can visit Trend Micro's Web page at
http://housecall.antivirus.com and have their local and network
drives scanned for viruses. The service is based on ActiveX
technology, which is supported in Internet Explorer 3.0. Before
testing the service, Netscape Navigator users must first
download an ActiveX plug-in available on Trend Micro's site,
according to Eva Chen, Trend Micro's chief technology officer.
The first connection takes longer than subsequent connections
due to the downloading of ActiveX components, according a
company official. Trend Micro also offers PC-cillin II for
clients and server-based anti-virus products like InterScan,
VirusWall, and ServerProtect. The company plans to release an
intranet virus scanner in the fourth quarter that incorporates
ActiveX and uses push technology to deliver virus protection
updates, Chen said.
virusi.403mango,
> Uskoro necete morati da skidate i kupujete nove verzije Antivirus
> paketa, za proveru vasih podataka i diska bice dovoljno da se
> prikacite na internet, posetite Web sajt sa koga ce se pomocu
> ActiveX-a automatski skinuti i pokrenuti softver koji ce da vam
> pregleda i eventualno dezinficira disk.
Ma nemoj, al' su ga smislili;) I onda ti za par dana stigne nalog
za naplatu par kDEM;) Neka hvala, meni se ne prodaje kuca;))
> Ajde, da cujemo, ko sme to da proba? ;)
Neka probaju oni ciji je disk pun originalnog softvera;)))
virusi.404chill,
Ima li neko novi F-Prot?
virusi.405raven,
-=> Quoting Chill to All <=-
Ch>
Ch> Ima li neko novi F-Prot?
Sta znaci nov.. Ja imam 2.27.. ako ti nesto znaci ne prijavljuje da je
star.. E sad da li ima noviji ne bih znao..
... Marko J. Maric, alias Raven; EM: raven@sezam.co.yu; vokan@galeb.etf.bg
virusi.406obren,
> -=> Quoting Chill to All <=-
> ... Marko J. Maric, alias Raven; EM: raven@sezam.co.yu; vokan@galeb.etf.bg
Ravene, u vezi citirana dva reda - skini fajl \SEZAM\SEZAMQWK.TXT pod
obavezno.
Pozdrav, Dragan
virusi.407calex,
> Ima li neko novi F-Prot?
Uh, par dana mi stoji na disku, mogao sam i da zaboravim. ;)
- novo -
dos\virus\*.*
------------------
fp-227.zip 971k ű F-Prot v2.27 (05/97): odličan antivirusni program
F-PROT version 2.27 - May 1997
The F-PROT anti-virus package contains a
virus scanner combined with a disinfection
program, as well as a resident monitoring
program for intercepting known viruses.
This program is free of charge for private
users, but others are required to register
or obtain the 'Professional' version - see
the documentation for details.
new.227virusi.408calex,
- novo -
dos\virus\*.*
------------------
vdoc25.zip 205k VDOC Macro A-V ver 2.50: nalazi i uklanja macro viruse
VDOC Macro A-V ver 2.50
Scan and Remove All Word and Excel Macro viruses.
Office 97 compatible.
Network compatible. FREE copy !
new.txtvirusi.409raven,
-=> Quoting Chill to All <=-
Ch>
Ch> Ima li neko novi F-Prot?
Sta znaci nov.. Ja imam 2.27.. ako ti nesto znaci ne prijavljuje da je
star.. E sad da li ima noviji ne bih znao..
... Marko J. Maric, alias Raven; EM: raven@sezam.co.yu; vokan@galeb.etf.bg
virusi.410paan,
HELP!HELP!HELP!
Imam NYB iliti B1 aktivan u memoriji i nemam pojma kako da ga ocistim.
Probao sam i sa FPROT-om i TBAV-om ali oni ih samo nadju i nista vise).Sve ovo
pokazuju kad kad ih dignem sa CISTE sistemske.Mrzi me da radim low level
format,a nece da se skine i kad mu uradim fdisk pa format.
Vecno zahvalan onom ko mi pomgne,paan
virusi.411johnnya,
>> Probao sam i sa FPROT-om i TBAV-om ali oni ih samo nadju i nista
>> vise).Sve ovo pokazuju kad kad ih dignem sa CISTE sistemske.Mrzi me da
Probaj ponovo, 100% ČISTA sistemska disketa (moraćeš da je praviš kod
drugog), ovo je jako važno : ZAŠTIĆENA OD PISANJA i na njoj FPROT ili
TBAV...
Sada je isključeno da virus bude u memorji i tek tada kreni sa skidanjem
virusa sa hard-a, ako u opšte može da se skida, ako ne može - brisanje
zaraženih fajlova.
virusi.412firus,
> HELP!HELP!HELP!
> Imam NYB iliti B1 aktivan u memoriji i nemam pojma kako da ga
> ocistim. Probao sam i sa FPROT-om i TBAV-om ali oni ih samo
> nadju i nista vise).Sve ovo pokazuju kad kad ih dignem sa CISTE
> sistemske.Mrzi me da radim low level format,a nece da se skine
> i kad mu uradim fdisk pa format.
Ako si pravilono postupao (dizao racunar sa stvarno ciste
diskete) onda je tesko za verovati da ti je virus i dalje aktivan
u memoriji. Verovatno si negde napravio gresku.
Ja doduse nemam pojma kakav je virus u pitanju, ali nudim
se da napisem AV program. Uz poruku je zakacena datoteka
LOVCI.ZIP u kojoj se nalaze 3 programa:
GETMBR - snima MBR diska u fajl MBR.DAT
LOVAC1 - 5000 NOP instrukcija (COM fajl), služi da ga virus
zarazi
LOVAC2 - 5000 NOP instrukcija (EXE fajl), služi da ga virus
zarazi
Poteraj ova tri programa na *zaraženoj* mašini, zapakuj
ih ponovo (MBR.DAT, naravno) i pošalji mi na mail. Uskoro dobiješ
AV program.
START.BAT iz arhive uz poruku automatizuje celu operaciju.
lovci.zipvirusi.413mmarkovic,
> Mrzi me da rdim low level format,a nece da se skine i kad
> mu uradim fdisk pa format.
Da nemaš DVA HD-a u mašini? MBR se seli sa drugog na prvi HD,
sa prvog se skida sa FDISK /MBR (nedokumentovano je), a sa drugog
zaboravih, ali mogu da pogledam pa da javim. FDISK od Win 95 OSR2
može da skine i sa drugog HD-a...
virusi.414zlaya,
- Imam NYB iliti B1 aktivan u memoriji i nemam pojma kako da ga
- ocistim. Probao sam i sa FPROT-om i TBAV-om ali oni ih samo
Pošto ja skupljam viruse (ima nas svakakvih) zamolio bih te da mi
isformatiraš jednu sistemsku disketu, prebaciš FDISK i FORMAT sa tvoje mašine,
pa da se dogovorimo oko detalja preuzimanja s moje strane.
virusi.415gonzo,
> Ch> Ima li neko novi F-Prot?
> Sta znaci nov.. Ja imam 2.27.. ako ti nesto znaci ne
> prijavljuje da je star.. E sad da li ima noviji ne bih znao..
To je trenutno najnoviji, provereno na internet sajtu...
virusi.416gonzo,
> ih ponovo (MBR.DAT, naravno) i posalji mi na mail. Uskoro
Ne mora na mail, moze i ovde.. imam jednog druga, pa trazim zgodne viruse :>
virusi.417pvlada,
>Ne mora na mail, moze i ovde.. imam jednog druga, pa trazim zgodne viruse :>
neverujem baš, jer kada sam ja slao, meni su sve poruke brisane.
Pozdrav Vlada
virusi.418pvlada,
Pošto moderatori nešalju, evo ja da pošaljem:
TBAV for Windows 95 Version 8.01 (06/97)
Pozdrav Vlada
tbw95801.zipvirusi.419chill,
Jel izašao novi F-Prot?
Poslednja verzija na Sezamu je bila 2.27 iz maja...
virusi.420branc,
Mozda ce ovo biti interesantno.
----------
From: Irina Zahan[SMTP:irinaz@ascpowr.ascent.ca]
Sent: Friday, July 25, 1997 7:35 AM
Subject: FW: Email warning (fwd)
>
>
> This comes from a pretty reliable source. I had thought that you needed
> to knoW this
>
>
> merav doron
>
>
>
> Please inform anyone you know of the following immediately!!!
>
>
>
> Important message to all E-Mail users!!!
>
> INTERNET WARNING
> > >
> > > Please note the following warning given out by IBM:
> > >
> > Should you receive an E-Mail message with the heading "Penpal
> > > Greetings" delete it immediately WITHOUT reading it first.
> > >
> > > The message circulates a very dangerous virus in the internet
> > that is transferred through E-Mails. The message goes under the name
> > "Penpal Greetings".
> > >
> > > Do not read this message. Superficially it looks like a friendly
> > > letter asking you if you are interested in finding a penpal. The
> > > damage is done when you read the message. The virus named
> > > "Trojan horse" has by then already infected the boot-sector of your
> > > hard disc and is destroying all stored data. Once you have read
> > > the message, it will AUTOMATICALLY be sent to
> > > all E-Mail addressees on your system.
> > >
> > > The virus can therefore not only destroy your hard disc but the
> > > hard discs of all your E-Mail partners and their partners etc.
> > >
> > > If this virus is not stopped it can cause damage to computer
> > > networks worldwide.
> > >
> > > Please delete the message "Penpal greetings" as soon as you
> > > receive it.
> > >
> > > Forward this message to all your friends with the following
> > > instruction: As a matter of principle all incoming messages received by
> > > unknown senders should be deleted.
virusi.421obren,
> Mozda ce ovo biti interesantno.
>
> > Should you receive an E-Mail message with the heading "Penpal
> > Greetings" delete it immediately WITHOUT reading it first.
> >
> > The message circulates a very dangerous virus in the internet
> > that is transferred through E-Mails. The message goes under the name
> > "Penpal Greetings".
U pitanju je svakako virus, ali koji se ogleda kroz sumanuto širenje
ove poruke upozorenja na sve moguće sisteme. Naravno, ljudi to obično
šalju iz najbolje namere (da upozore prijatelje ;) ali za neupućene
treba reći da se _čitanjem_ bilo kakvog maila ne može dobiti virus.
Samo ako izvršiš fajl zakačen uz privatnu poruku može doći do zaraze
odnosno štete.
virusi.422nenad,
> treba reći da se _čitanjem_ bilo kakvog maila ne može dobiti virus.
Može ako mail ima "embedded" neku ActiveX kontrolu i ako je
omogućeno čitanje takvih mail-ova. Naravno, samo na Windwos-u.
virusi.423calex,
> Pošto moderatori nešalju, evo ja da pošaljem:
Bio sam siguran da nova verzija samo što nije izašla ali se to
ipak malo odužilo. Tek juče se pojavilo novo. :)
virusi.424calex,
- novo -
dos\virus\*.*
------------------
tbav802.zip 460k ThunderBYTE AntiVirus 8.02: sistem za zaštitu od virusa
tbavx802.zip 97k TBAV v8.02: optimizovane verzije rezidentnih alatki
windows\virus\*.*
------------------
tbw802.zip 903k ThunderBYTE AntiVirus za Windows 3.1x v8.02 (07/97)
tbw95802.zip 955k ThunderBYTE AntiVirus za Windows 95 v8.02 (07/97)
tbwnt802.zip 932k ThunderBYTE AntiVirus za Windows NT v8.02 (07/97)
Thunderbyte Anti-Virus - The most complete
anti-virus system available. Included are
TbScan, TbScanX, TbSetup, TbClean, TbDisk,
TbFile, TbMem, TbCheck, and TbUtil.
8.02 Product update
-------------------
All versions:
-> The scanners now detect over 1000 macro viruses !
- Fixed a minor bug in the Hare Detection Algorithm
- Minor bugs are solved
All Windows versions:
- A system hang is fixed when TBAV for Windows tried to scan bootsectors
of harddisks on HP Vectra PC's.
- UNC paths are now fully supported with installing and scanning.
- We now support automatic cleaning of infected files during on-demand
scan! Take a look at the new 'TbScan|If virus found...' menu for more
information.
Windows 3.x versions:
- Solved bugs with regards to the Application Execution Tracker.
whatsnew.802virusi.425obren,
Sledi nekoliko priloga vezanih za testove antivirusnih paketa različitih
proizvođača (uglavnom komercijalni programi) kao i komentar budućnosti
antivirusne zaštite (tzv. "Web klinike"). Preneto sa www.cnet.com.
Dr Solomon's antivirus
Dr Solomon's brings a respected name and first-rate protection to your
PC. You may find the interface a bit disorganized, but the program's
power and sophistication are top-notch.
The software includes a boot disk that routs viral invaders from your
PC's memory and hard drive before you install the actual antivirus
program. After we installed Dr Solomon's, WinGuard, the sparse but
capable scanner, handily detected a wide range of viruses on our system,
including rogue programs attached in email and compressed files. Unlike
its competitors, however, WinGuard doesn't alert you to infection on
downloaded and zipped files until you try to access them.
The interface is somewhat disjointed. When you scan an infected drive
manually, a warning pops up to tattle on the invader, yet there's no
button to let you clean the file. In fact, the program's interface
includes only two buttons: Scan and Update. To clean an infected file,
you have to open Anti-Virus's main utility and launch the separate Clean
tool.
Even so, Dr Solomon's contains many clever touches, including the
ability to launch a scan by right-clicking a file or folder in Explorer.
You can make default settings for the drives, directories, and files
Anti-Virus should scour. If a file can't be cleaned, you have the option
of deleting or renaming it, though you can't decide on the fly--the
option must be set beforehand in the configuration menu.
The scanner is quite fast. While Anti-Virus placed fourth in our hard
drive scanning tests, it trailed second-place McAfee VirusScan by only 3
seconds (PC-cillin followed VirusScan by 51 seconds!). Nor will Anti--
Virus tax your processor. Our PC benchmark performance dropped only
5 percent with Dr Solomon's running in the background.
The Update button summons a well-wrought wizard that connects to the Dr
Solomon's Web site or BBS and automatically downloads monthly virus
signature files and program upgrades. The first download's free, but
after that you'll have to pony up $29.95 per year. However, when the
company discovers a new strain that can't wait for the monthly upgrade,
it will notify you of the update by pager or email.
Extras such as the Virus Encyclopedia and the customizable virus alarm
(choose your own warning) lend surprising depth to the program, despite
its simple and somewhat quirky interface. With a revised interface and
free virus signature updates, Dr Solomon's would be a bona fide winner.
virusi.426obren,
IBM AntiVirus 2.5.2
IBM's AntiVirus 2.5.2 boasts a fast, competent scanner, as well as
neural network technology that uses heuristics to detect rogue code.
However, the program's awkward interface and complete lack of an
integrated facility for online updates undermine an otherwise fine
package.
Overall PC system performance while running AntiVirus is stellar. While
PC-cillin slowed benchmark performance down to 82 percent of normal in
our tests, AntiVirus maintained an incredible 99 percent. Hard drive
scan times were right in the middle of the pack, clustered with Dr
Solomon's and McAfee.
In addition to disks that run on Windows 95, the package includes
diskettes for DOS, Windows 3.x, Windows NT, and OS/2. As with Dr
Solomon's, you get a boot disk for expunging viral strains before
you install the software.
After the installation, however, you'll wish there was a little more
communication between you and the software. When it detects an invader,
AntiVirus immediately gets to work. Without any intervention on your
part, it automatically cleans the file, as if waving a magic wand.
Unfortunately, as often as not in our tests, AntiVirus couldn't identify
the virus by name, and without a positive identification, your only
choice is to delete the file.
AntiVirus provides strong email integration. Unlike Dr Solomon's, which
doesn't warn you about infected email attachments until you try to open
them, AntiVirus sounds an alarm the instant a diseased attachment lands
in your in-box. This is even the case with zipped files.
The program comes with a scheduler and offers a wide range of options
for automated scanning. You can limit scans to only those files that
have changed since the previous scan (as determined by their date
stamp), and you can compile a list of file names or types to
scan--*.com, test*.*, or *.ovl, for example.
The interface has an OS/2 look to it, and the update feature is hardly
automated. Click Update, and you're asked to provide the drive and path
for the update file. IBM provides these updates via diskette or as free,
downloadable files from the company's Web site. Unfortunately, you can't
schedule regular downloads; you have to make the effort to go to the
site yourself. Compared to McAfee's update feature, AntiVirus's is
decidedly primitive.
With automated updates and a little refinement in its interface,
AntiVirus would be an excellent package. Its speed and vigilance are
first rate. But for now, there are better packages for the money.
virusi.427obren,
McAfee's VirusScan
VirusScan is the best thing since the invention of the self-cleaning
oven. It's a fast and intuitive package that automatically updates
itself. If you have better things to do than constantly check your
antivirus vendor's Web site for upgrades, consider McAfee's VirusScan
3.0. The package uses push technology to regularly self-update.
VirusScan is also a cinch to use and a champion at saving infected
files.
The Windows 95 version has been recompiled entirely with 32-bit code,
but you also get diskettes for DOS, Windows 3.x, Windows NT, and OS/2.
Other notable features include speedy performance (it placed second in
our hard drive scan times), the ability to scan zipped files, and a
routine for creating an emergency disk (but why not simply include one
in the box, as IBM and Dr Solomon's do?).
VirusScan is tremendously good at cleaning infected files without
forcing you to delete them. When the scanner detects a virus, it
immediately pops up information identifying the rogue and explaining
what kind of damage it can cause. VirusScan then gives you the option of
cleaning the file or deleting it, and even offers to generate a report
for you, as if it were a cop at a murder scene.
Installation is a breeze, and you can choose among Typical, Custom, or
Compact. If you don't like the default settings for the types of files
VirusScan checks, you can select program files, all files, and/or
compressed files. There's no scheduler, but VShield, the program's
scanner, can be set to scour your system at startup, shutdown, and
activation of your screensaver. While the Help function isn't as
inclusive as we would like, VirusScan is generally very easy to use.
VirusScan 3.0's biggest news, however, is SecureCast, which operates as
a channel on the BackWeb Webcasting network. SecureCast is free and
requires absolutely no effort on your part. Even Symantec's and
TouchStone's supersimple update routines aren't as automated.
SecureCast checks your Internet connection for inactivity (when you're
staring at a graphic on a Web page, for example) and downloads InfoPaks
containing virus signature updates, virus alerts, and product
announcements. When your connection becomes active again, SecureCast
stops. If you want to discontinue the service (because you're getting
too much information pushed at you, for instance), you need only send
McAfee an email saying so.
Other software publishers--and not just antivirus makers--would do well
to emulate SecureCast. It's a fine complement to a quick and intelligent
package. VirusScan is the antivirus package to get.
virusi.428obren,
Norton AntiVirus
For many people, the name Norton is synonymous with virus protection.
Version 2.0 of Norton AntiVirus for Windows 95 upholds this honorable
tradition. It provides a fast and powerful scanner, a clean and
consistent interface, and free and easy updates.
The scanner had no trouble recognizing whatever viruses we threw at it,
even when they were hidden in zipped files and email. As with Dr
Solomon's, however, the alarm doesn't sound until you try to open the
file, rather than as soon as the virus appears in your in-box. Norton
AntiVirus was also less likely than McAfee to repair infected files,
though it had no difficulty ejecting macro viruses without forcing us to
delete the whole file.
Norton clocked the fastest hard drive scanning speeds of all the
packages we reviewed. If that's not fast enough, you can speed matters
further by customizing your scans: limit scans to only programs or data
files, or even to a list of 18 file extensions. For the ultimate in
convenience, schedule scans for your lunch hour.
Such customization is a matter of mouse clicks, thanks to a friendly and
exceedingly well-designed interface. When the program detects a virus,
the Repair Wizard pops up with a list of the invaders. You can get more
information about a virus, or just select Automatic or Manual repair
(the latter allows you to fix or delete viruses one by one). If the
process frightens you, there's plenty of step-by-step hand-holding
available.
No part of the program exudes as much refinement, however, as the
LiveUpdate feature. It's one-button easy. Click the button, and the
program connects you to either Symantec's FTP site or BBS. There,
LiveUpdate downloads not only updated virus signatures, but also updates
to the program itself, when they're available. Best of all, updates are
free for the life of the product.
If Norton AntiVirus's retail price seems steep compared to its competitors,
bear in mind that you won't be nickel-and-dimed years after you buy your
package just to keep it current (Dr Solomon's and TouchStone charge $29.95
per year for unlimited updates). And when all is said and done, the
security Norton offers makes its price a bargain.
virusi.429obren,
The future of Antiviral software
Why buy antiviral software? Trend Micro--codeveloper of PC-cillin--now
offers a free Web service that scans and eradicates rogue code from your
system, online. That means no files to decompress, no updates to fuss
with, no need to surrender precious dollars or space on your hard drive
to yet another porky program.
Dubbed HouseCall, the service is free to anyone with a Web connection.
Simply click the Scan button front and center on Trend Micro's home
page, then select the drives you want to scan. If HouseCall discovers an
infection, you can click to read more about it, or you can select Clean
or Delete. HouseCall is the same scanner used by PC-cillin, with the
very latest virus signatures already installed.
Of course, it's a one-time checkup. The program doesn't reside in your
system's memory, inspecting every string of code that ebbs through your
CPU. And if you think a local scanner is slow, try checking a 2GB hard
drive over an ordinary phone line. Even at 28.8 kbps, the process took
the better part of a half hour when we tried it.
Cheyenne Software's Virus Clinic will also offer a Web-based scanning
service by the time you read this review. The service will use the
company's own AntiVirus package (also NCSA-certified, but not reviewed
here, as it wasn't in the top five) to check out your hard drive--or a
directory or a single file, if you prefer. While you're visiting
Cheyenne's site, you can download Avplugin, a plug-in for Navigator or
Internet Explorer that monitors online activity for viruses every time
you use your browser.
Is Web-based antiviral software the wave of the future? Unless you have
a T1 connection, the wait for an online scan can seem interminable. And
with the Internet's near constant gridlock, the problem isn't going to
get better anytime soon. Even if the Net does get faster, people may not
be too keen on giving a Web site read and write access to their hard
drives. But before you dismiss these services, bear in mind that they
make good backup scanners. Even the best, most up-to-date antivirus
packages can't catch everything. If you suspect your system is infected,
yet your scanner fails to turn up a virus, click HouseCall or Virus
Clinic for a second opinion. They may very well save your bacon.
virusi.430calex,
- novo -
dos\virus\*.*
------------------
fp-227a.zip 1009k F-Prot v2.27a (07/97): odličan antivirusni program
F-PROT version 2.27a - July 1997
The F-PROT anti-virus package contains a
virus scanner combined with a disinfection
program, as well as a resident monitoring
program for intercepting known viruses.
This program is free of charge for private
users, but others are required to register
or obtain the 'Professional' version - see
the documentation for details.
---------Version 2.27a
This version primarily includes an improved F-MACROW program. Note
that the database used by this version is incompatible with older
databases.
In addition detection/disinfection of a few hundred new viruses was added
to F-PROT itself.
virusi.431darth.vader,
>> > treba reci da se _citanjem_ bilo kakvog maila ne moze dobiti virus.
>> Moze ako mail ima "embedded" neku ActiveX kontrolu i ako je
>> omoguceno citanje takvih mail-ova. Naravno, samo na Windwos-u.
Pa to je onda dobrocudni virus... Cim ubija masine na kojima je Windows ;))
See ya, Darth :)
virusi.433darth.vader,
Yo pipl...
Imam problem...
Hard diskom mi hara virus poznat pod nazivom 'Tentacle II'. Ja mislim da
je II jer u F-PROT-u pise da se taj virus manifestuje na nacin na koji se
manifestuje kod mene na HD-u. Naime, u F-PROT-u pise da je Win 3.x based virus
i da zarazi neke Windows EXE fajlove. BTW, pojeo mi je sve GIF-ove na disku,
i sad imam oko 20Mb GIFova i svi su jedna ista slika onog Tentacle-a iz
igre Day Of the Tentacle, na kojoj (ili kojima ;( ) pise 'I am the Tentacle
Virus'.
Koliko sam shvatio, virus nije rezidentan, i nece da zarazi MBR.
BTW, cini mi se da nisu svi gifovi pojedeni, vec kada pokusam neki da
pogledam, on ga onda prozhdere... :(
Jel neko imao iskustva sa ovim gadom, i jel iko ima ideju kako da ga odstranim?
Ili bar kako da otkrijem koji su fajlovi zarazeni, pa cu ja lako sa njima ;)
TBAV i FPROT ga ne detektuju :(((
E, da... jos jedna stvar: U Root direktorijumu, gde mi se nalazi sistem,
(C:\) mi se naslo nekoliko hidden fajlova koji imaju ime Tentacle, sa raznim
extenzijama, a koji su ustvari GIF-ovi na kojima je ta kobna slika...
HEEEEEEEEEEEEEEELP !!!
virusi.434pvlada,
> TBAV i FPROT ga ne detektuju :(((
Probaj da digneš sistem sa zaštićene diskete pa onda da startuješ
neki od anti-virus programa.
virusi.435darth.vader,
>> > TBAV i FPROT ga ne detektuju :(((
>> Probaj da dignes sistem sa zasticene diskete pa onda da startujes
>> neki od anti-virus programa.
Bas tako ga i ne prepoznaju. Ako pokusam da startujem F-PROT, a sistem
sam podigao sa HD-a, on blokira masinu.
BTW, HEEEEEEEEEEEEEEELP ;)
See ya, Darth :)
virusi.436vector,
;; Hard diskom mi hara virus poznat pod nazivom 'Tentacle II'. Ja mislim da
;; je II jer u F-PROT-u pise da se taj virus manifestuje na nacin na koji
;; se
VSUM nema podataka o virusu 'Tentacle II'. Po onome sto pise u F-PROT
jedino mogu da ti preporucim da pobrises ceo Win 3.1x i ostale .EXE
fajlove koje mozes posle nekako da vratis na HDD.
virusi.437calex,
> VSUM nema podataka o virusu 'Tentacle II'. Po onome sto pise u F-PROT
VSUM ga i dalje ne poznaje.
- novo -
dos\virus\*.*
------------------
vsumx707.zip 1044k VSUM 07/97: detaljan opis svih virusa (P. Hoffman)
virusi.438darth.vader,
>> VSUM nema podataka o virusu 'Tentacle II'. Po onome sto pise u F-PROT
>> jedino mogu da ti preporucim da pobrises ceo Win 3.1x i ostale .EXE
>> fajlove koje mozes posle nekako da vratis na HDD.
Zahvaljujem se svima koji su pokusali da pomognu, formatirao
sam disk, pa sad jurim 7Mb Tools-a koje sam bespovratno izgubio :((((
See ya, Darth :)
virusi.439pvlada,
Interesuje me da li može da se zarazi kompjuter ako bi kopirao
zaraženu disketu DiskDupe-om ili kada bi otpakivao image, a da
je disketa zaražena boot ili file virusom ?
Pozdrav Vlada
virusi.440superhik,
=:> Interesuje me da li može da se zarazi kompjuter ako bi
=:> kopirao zaraženu disketu DiskDupe-om ili kada bi otpakivao
=:> image, a da je disketa zaražena boot ili file virusom ?
Moje skromno znanje kazuje da od samog kopiranja na disk, ne
možeš da zaraziš računar.
Boot virusi - su virusi koji se 'učitavaju' u memoriju pri
podizanju sistema iz zaraženog boot-a, i nikako drugačije.
A virusi koji svoj kod upisuju u neki drugi file, mogu se
startovati samo pokretanjem file-a koji je zaražen.
virusi.441pvlada,
> Moje skromno znanje kazuje da od samog kopiranja na disk, ne
> možeš da zaraziš računar.
I ja to znam, ali sam mislio da možda može, ako se pravi Image :)
Pozdrav Vlada
virusi.442superhik,
=:> I ja to znam, ali sam mislio da možda može, ako se pravi
=:> Image :)
Ma jok...
virusi.443kiklop,
> Interesuje me da li može da se zarazi kompjuter ako bi kopirao
> zaraženu disketu DiskDupe-om ili kada bi otpakivao image, a da
> je disketa zaražena boot ili file virusom ?
>
> Pozdrav Vlada
ljhsxcgklsj<hdgvkjhsdgvchj<sgdcvlk<sdkvjhaldkf
dvlmysdlfkbčksjgflbsldkjfbvlkjfhb
dčfkjbvldkjflkgjdlfkjgldkf
dfkgdfljkgldkfj
virusi.444kiklop,
> dčfkjbvldkjflkgjdlfkjgldkf
> dfkgdfljkgldkfj
Sorry nešto mi je SDW odlepio. Postaraću se da se ovo ne ponovi. :)
virusi.445sqweaky,
Juce su mi obrisani svi fajlovi iz roota. Ne znam kako, ali sigurno ne
mojom greskom. Ovo mi se desilo vec nekoliko puta i to pre vise
meseci. Svi ostali fajlovi su tu (valjda :).
Masina je pri tom (ili sledecem?) butovanju prijavila gresku u
CMOS-u. E sada, baterija nema nikakve veze sa HDD-om, a pogotovu ne
sa rootom, pa ne verujem da je hardverski problem.
Da li postoji virus koji radi takve stvari (f-prot nije nista
nasao)?
virusi.446pvlada,
> CMOS-u. E sada, baterija nema nikakve veze sa HDD-om, a pogotovu ne
Neznam šta tačno radi AntiCMOS, ali po imenu bi rekao da možda imaš problema
sa njim ;)
Pozdrav Vlada
virusi.447neetzach,
Da li neko ovde ima VCL? Ortak me je naljutio }:>>>>>>>>>>
virusi.448firus,
> Da li neko ovde ima VCL? Ortak me je naljutio }:>>>>>>>>>>
'Alo dilberu, smanji malo doživljaj ...
Da si neki, ti bi sam napisao virus, ovako te mogu
smatrati samo najobičnijim lamerom.
virusi.449darth.vader,
>> Da li neko ovde ima VCL? Ortak me je naljutio }:>>>>>>>>>>
Jak ti ortak kad ces da mu smestis nesto iz toga ;)
See ya, Darth :)
virusi.450dr.iivan,
Danas gledah deo Profi Bajta..
Znate sta sam cuo? :(
"Ukoliko preko Interneta na mail dobijete poruku sa tim_i_tim subjectom
ne citajte je, jer je zarazena virusom...." bla bla.. "..moze biti
prilicno opasno.." ...
Da li je Profi Bajt stvarno toliko nisko pao ili u tome ima nesto istine?
Maltene od kako su se pojavile ove i sl. price, ja u to nisam verovao.
Sada vise nisam nacisto sa sobom, jer se toliko prica o tome da stvarno
ne znam sta da mislim. A nisam dovoljno strucan da sam zakljucim da li
se stvarno moze nesto desiti. Sta vise, ubedjen sam bio da ne moze nista
da se desi i da su to izmisljotine, ali.. (zar i) Profi Bajt?
Ko god je hteo da nalozi narod na ovako nesto, dobro je odradio svoj
posao :(
?
p.s. Voleo bih da neko napise sta _tacno_ pise da ce se desiti,
odnosno, sta pise da virus radi?
virusi.451banga,
> Sada vise nisam nacisto sa sobom, jer se toliko prica o tome da
> stvarno ne znam sta da mislim. A nisam dovoljno strucan da sam
Evo Doktore, lazmislaj :)
Warning: There's a new virus on the loose that's worse than anything
I've seen before!
It gets in through the power line, riding on the powerline 60 Hz
subcarrier. It works by changing the serial port pinouts, and by
reversing the direction one's disks spin.
Over 300,000 systems have been hit by it here in Murphy, West Dakota
alone!
And that's just in the last 12 minutes. It attacks DOS, Unix, TOPS-20,
Apple-II, VMS, MVS, Multics, Mac, RSX-11, ITS, TRS-80, and VHS systems.
To prevent the spread of the worm:
1) Don't use the powerline
2) Don't use batteries either, since there are rumors that this virus
has invaded most major battery plants and is infecting the positive
poles of the batteries. (You might try hooking up just the negative
pole.)
3) Don't upload or download files.
4) Don't store files on floppy disks or hard disks.
5) Don't read messages. Not even this one!
6) Don't use serial ports, modems, or phone lines.
7) Don't use keyboards, screens, or printers.
8) Don't use switches, CPUs, memories, microprocessors, or mainframes.
9) Don't use electric lights, electric or gas heat or air-conditioning,
running water, writing, fire, clothing or the wheel.
I'm sure if we are all careful to follow these 9 easy steps, this virus
can be eradicated, and the precious electronic flui9ds of our computers
can be kept pure. ---RTM III
Since that time virus hoaxes have flooded the Internet.With thousands of
viruses worldwide, virus paranoia in the community has risen to an
extremely high level. It is this paranoia that fuels virus hoaxes. A
good example of this behavior is the "Good Times" virus hoax which
started in 1994 and is still circulating the Internet today. Instead of
spreading from one computer to another by itself, Good Times relies on
people to pass it along.
virusi.452dr.iivan,
TBAV 4 Win95 mi javlja da je uninst.exe u Windows dir-u zarazen nekim
unknown virusom. To javlja duze vreme. Kada zamolih ortaka da mi
posalje taj file, pa da ga zamenim, on mi rece da i njemu to isto
javlja sa vremena na vreme, ali da ne obraca paznju na to.
Zna li neko o cemu se radi? Ima li tu virusa? Slicna iskustva?
virusi.453dr.grba,
>> I'm sure if we are all careful to follow these 9 easy steps, this virus
>> can be eradicated, and the precious electronic flui9ds of our computers
>> can be kept pure. ---RTM III
Zaboravili su još jedan, deseti stav:
Don't use water, juice, beer or some other liquid, and don't use any food.
virusi.454pvlada,
> Zna li neko o cemu se radi? Ima li tu virusa? Slicna iskustva?
Može biti više stvari, ali ja mislim da nema tu nikakvog virusa već
da je taj fajl npr. promenjen pa da ti zbog toga to javlja Tbav
(Da li bi mogao da napišeš šta ti tačno javlja ?) i trebalo bi da
bude rešenje tvog problema da staviš Valid file kada ti sledeći put
javi, ili da izbrišeš fajl Anti-Vir.Dat (inače hidden file) iz
windows direktorijuma, tj. iz direktorijuma u kome ti javlja da
je fajl zaražen.
Pozdrav Vlada
virusi.455miskop,
-> TBAV 4 Win95 mi javlja da je uninst.exe u Windows dir-u zarazen nekim
-> unknown virusom. To javlja duze vreme.
Nije u pitanju virus, nego je taj fajl najverovatnije promenjen
od poslednjeg pokretanja Tbav-a, pa ovaj to registruje. Kad ti
Tbav to javi, ti izaberi opciju Validate i 'vozi'...
BTW, pre neki dan sam sa njihovog sajta skinuo najnoviju ver-
ziju, tj. v8.03 za 95-icu(26 Sept.), pa ako moderatori nemaju
vremena, mogu i ja da pošaljem(1.1 Mb)...
virusi.456pvlada,
> ziju, tj. v8.03 za 95-icu(26 Sept.), pa ako moderatori nemaju
> vremena, mogu i ja da pošaljem(1.1 Mb)...
Ma ništa ne šalju već nedelju dana, zato bolje ti pošalji, ako možeš.
Pozdrav Vlada
virusi.457miskop,
-> Ma ništa ne šalju već nedelju dana, zato bolje ti pošalji, ako možeš.
Da malo razbijemo monotoniju:
ThunderBYTE Anti-Virus for Windows 95
Version 8.03 (Professional version), Sep 26 1997
tbw95803.zipvirusi.458superhik,
:> Zna li neko o cemu se radi? Ima li tu virusa? Slicna iskustva?
Neki fajlovi (pogotovo za Windows) imaju u sebi rutine koje
_previše_sumnjivi_ TBAV prepoznaje kao moguće rutine za 'Unknown
virus'. Meni se jedno vreme to isto pojavljivalo, ali je
formiranjem Anti_vir.dat, prestalo (?)
virusi.459ntadic,
Evo ga najnoviji F-prot 2.27a
fp227a.zipvirusi.460dr.iivan,
> > Sada vise nisam nacisto sa sobom, jer se toliko prica o tome da
> > stvarno ne znam sta da mislim. A nisam dovoljno strucan da sam
>
> Evo Doktore, lazmislaj :)
>
> Warning: There's a new virus on the loose that's worse than anything
> I've seen before!
Au bre, pa nije valjda da je to ista poruka koju su i ovi u PB-u
dobili.. Ljudi mi ne lice na idiote ;)
Elem, hvala na odgovoru, sad mi je jasno sve o PB, Svetu Kompjutera i
slicnim glupostima..
virusi.462epson,
│ Mrzim viruse...
└─────────────────────────────────────────────────
Ti nisi čist :) (ko razume shvatiće)
virusi.463chill,
>> Evo ga najnoviji F-prot 2.27a
>> dos\virus\
>> ------------------
>> fp-227a.zip 1009k ű F-Prot v2.27a (07/97): odličan antivirusni program
Jel to meni utisak varljiv, il' je ovo savršeno ista stvar?! :))
virusi.464saint,
=> Jel to meni utisak varljiv, il' je ovo savrseno ista stvar?! :))
Nije pomenuo datum...
virusi.465ntadic,
>>>> Evo ga najnoviji F-prot 2.27a
>>
>>>> dos\virus\
>>>> ------------------
>>>> fp-227a.zip 1009k ű F-Prot v2.27a (07/97): odličan antivirusni program
>>
>>
>> Jel to meni utisak varljiv, il' je ovo savršeno ista stvar?! :))
Ne varas se, meni je promaklo. :(
virusi.466kiklop,
> Neki fajlovi (pogotovo za Windows) imaju u sebi rutine koje
> _previše_sumnjivi_ TBAV prepoznaje kao moguće rutine za 'Unknown
> virus'. Meni se jedno vreme to isto pojavljivalo, ali je
> formiranjem Anti_vir.dat, prestalo (?)
Ovo je normalno ponašanje. Anti_vir.dat datoteke predstavljaju zapise
svih datoteka sa cheksumima. One se generišu sa opcijom tbsetup.
Pri skeniranju diska proveravaju se cheksumi u anti_vir datoteci sa
fajlovima u direktorijumu, ako se ne poklope program će prijaviti
potencijalnog virusa iako se samo radi o novijoj verziji datoteke.
Rešenje za ovo je posle svake instalacije i updatea treba pokrenuti
tbsetup, da bi se osvežile vrednosti u anti_vir datoteci.
virusi.467giovanni,
Ę? And that's just in the last 12 minutes. It attacks DOS, Unix, TOPS-20,
Ę? Apple-II, VMS, MVS, Multics, Mac, RSX-11, ITS, TRS-80, and VHS systems.
^^^
A jel' i kasete gužva? ;>>>
virusi.468banga,
> Ę? And that's just in the last 12 minutes. It attacks DOS,
> Unix, TOPS-20, Ę? Apple-II, VMS, MVS, Multics, Mac, RSX-11,
> ITS, TRS-80, and VHS systems.
> A jel' i kasete gužva? ;>>>
Da, a CD-ROM-ove spaljuje ;)
virusi.469dr.grba,
>>> A jel' i kasete gužva? ;>>>
>>
>> Da, a CD-ROM-ove spaljuje ;)
Ne, to je onaj drugi. Ovaj lomi CD-ove u paramparčad. <:
virusi.470dr.grba,
Uzgred budi rečeno...
Da li je iko od vas ikada čuo nešto o izvesnom virusu OHK?
virusi.471banga,
> Uzgred budi rečeno...
> Da li je iko od vas ikada čuo nešto o izvesnom virusu OHK?
Da nije Ohm.777, evo info za njega
This virus is known to infect COM files, EXE files, but unknown variants
may infect other items as well.
It remains resident in memory and infects/damages its victims in the
background.
CLEANING INFORMATION:
Before cleaning or restoring, it is HIGHLY RECOMMENDED to boot from a
clean, write-protected system diskette first! This is necessary to
ensure that no viruses are active in memory, and to reduce the risk that
you execute an infected file by accident.
The best thing to do is to restore all executable files from a backup,
or to re-install them from their original disks. If speed or ease is
more important than data integrity, you may attempt to separate the
virus from the file with a cleaner, such as TbClean. Results are always
depending on the exact virus variant you may have, on the lay-out of the
victim file, and your system configuration.
As new variants of existing viruses appear almost daily, it is possible
that you will encounter a variant of this virus which will still be
identified by our scanner, but behaves differently than described above.
The information above is therefore intended as a basic guideline.
virusi.472giovanni,
Ę? Da, a CD-ROM-ove spaljuje ;)
U jeeee. Pa taj može i da ubije korisnike laserom kad se otvori postolje
za kafu ;)))
virusi.473zoxy,
> U jeeee. Pa taj moze i da ubije korisnike laserom kad se otvori postolje
> za kafu ;)))
Sta? Zar ti otvaras postolje za kafu...?!?!
btw.
Ja sam probao da stavim CD disk u njega i neverovatno - radi!
virusi.474saint,
=> Ja sam probao da stavim CD disk u njega i neverovatno - radi!
Sta???
U drzac za kafu se stavljaju CD-ovi?
Sta je to CD?
BTW:
Cuo sam za virus koji napada CD-ovima...
Uzme i lansira ih iz Drzaca za Kafu...
Samo pazi na grkljan...
virusi.475giovanni,
Ę? Sta? Zar ti otvaras postolje za kafu...?!?!
Pa tako mi je bliže, ne moram mnogo da se pružim do šoljice. ;)
Ę? Ja sam probao da stavim CD disk u njega i neverovatno - radi!
Šta radi???? Sad i kuva kafu?!?!?!?!
virusi.476giovanni,
Ę? Cuo sam za virus koji napada CD-ovima...
Ę? Uzme i lansira ih iz Drzaca za Kafu...
Ę? Samo pazi na grkljan...
A ja sam mislio da to nije virus nego dodatak za sportsko gađanje -
izbacivač meta.
virusi.477zoxy,
> Ę? Sta? Zar ti otvaras postolje za kafu...?!?!
>
> Pa tako mi je blize, ne moram mnogo da se pruzim do soljice. ;)
>
> Ę? Ja sam probao da stavim CD disk u njega i neverovatno - radi!
>
> Sta radi???? Sad i kuva kafu?!?!?!?!
Ej, bre ljudi.. ipak su ovo :virusi ;)))
virusi.478bastion,
>> Ej, bre ljudi.. ipak su ovo :virusi ;)))
Jel njima kazes?
Zasto Sysadm nebrise njihove poruke kad pisu stvari koje se ne
pisu u ovoj konferenciji!?
Zasto Sysadm brise samo moje poruke u ovoj konferenciji?
Zasto Sysadm nije obrisao te njihove poruke koje nisu za konfu?
Nek' Sysadm reaguje malo i na jos necije poruke koje nisu u vezi
sa konferencijom ili temom!
virusi.483calex,
Da malo promenim temu, ;) pojavio se TBAV u verziji 8.03a, mada
nisam baš video da piše šta je menjano u odnosu na 8.03.
- novo -
dos\virus\*.*
------------------
tbav803.zip 472k ThunderBYTE AntiVirus 8.03a:sistem za zaštitu od virusa
windows\virus\*.*
------------------
tbw95803.zip 1158k ThunderBYTE AntiVirus za Windows 95 v8.03a (10/97)
tbwnt803.zip 1089k ThunderBYTE AntiVirus za Windows NT v8.03a (10/97)
Thunderbyte Anti-Virus - The most complete
anti-virus system available. Included are
TbScan, TbScanX, TbSetup, TbClean, TbDisk,
TbFile, TbMem, TbCheck, and TbUtil.
whatsnew.803virusi.484calex,
- novo -
dos\virus\*.*
------------------
fp-228.zip 1050k F-Prot v2.28 (11/97): odličan antivirusni program
F-PROT version 2.28 - November 1997
The F-PROT anti-virus package contains a
virus scanner combined with a disinfection
program, as well as a resident monitoring
program for intercepting known viruses.
This program is free of charge for private
users, but others are required to register
or obtain the 'Professional' version - see
the documentation for details.
Version 2.28
---------------------------------------------------------------------
This version was originally not supposed to be released at all, as we
intended to have 3.0 out by now. Unfortunately, finishing 3.0 has taken
longer than expected, and therefore this version is being distributed.
The most significant changes since 2.27 involve F-MACROW.EXE. We are
releasing a new version (1.06) where we have added a set of powerful macro
heuristics, which should detect the vast majority of new Word viruses.
Also, F-MACROW is now able to scan for viruses inside encrypted documents.
F-PROT 2.28 itself has only been updated to handle a few new "in-the-wild"
viruses, but detection of other newly received viruses has been added to
the new (version 3) program.
Version 3.0
---------------------------------------------------------------------
We expect to have a public beta version of 3.0 out in a few days, possibly
by the time you read this - check our web site, http://www.complex.is for
information on the release of version 3.0.
The major functionality changes in 3.0 are the following:
F-PROT 3.0 detects more viruses (currently over 14.000) with a single
program than F-PROT 2.28 and F-MACROW 1.06 combined.
F-PROT 3.0 can scan recursively inside ZIP and ARJ archives - support
for other archivers like RAR will be added if there is demand for it.
The VIRSTOP program will be replaced with a VxD program, which has the
same detection rate as the main scanner, unlike VIRSTOP, which uses a
subset of the F-PROT scanning engine.
The virus-detetion code in version 3.0 is now entirely "data-driven",
which means that updates will generally not require changes to the
F-PROT program, but only the SIGN.DEF file. This means that we can
easily provide much more frequent updates than in the past, and we
will at least make weekly updates awailable on our FTP site.
virusi.485pvlada,
> nisam baš video da piše šta je menjano u odnosu na 8.03.
Kada sam instalirao 8.03 imao sam problema sa instalacijom, pošto mi je
bila registrovana verzija, pa kada sam je uninstallirao i instalirao,
tek sam tad uspeo da završim instalaciju uspešno i posle sam morao
ponovo da upišem reg. broj. kada sam instalirao 8.03a nije bilo tih
problema, pa je to možda razlika.
Pozdrav Vlada
virusi.486calex,
- novo -
dos\virus\*.*
------------------
tbav804.zip 450k ThunderBYTE AntiVirus 8.04:sistem za zaštitu od virusa
windows\virus\*.*
------------------
tbw95804.zip 1116k ThunderBYTE AntiVirus za Windows 95 v8.04 (01/98)
whatsnew.804virusi.488calex,
- novo -
windows\virus\*.*
------------------
tbwnt804.zip 1046k ThunderBYTE AntiVirus za Windows NT v8.04 (01/98)
virusi.489calex,
- novo -
dos\virus\*.*
------------------
fp-228b.zip 1112k F-Prot v2.28b (01/98): odličan antivirusni program
F-PROT version 2.28b - January 1998
The F-PROT anti-virus package contains a
virus scanner combined with a disinfection
program, as well as a resident monitoring
program for intercepting known viruses.
This program is free of charge for private
users, but others are required to register
or obtain the 'Professional' version - see
the documentation for details.
────────────────────────────────────────────────────────────────────
Version 2.28b - a very minor update. The only file that changes
significantly is the SETUPFM.EXE file - which contains F-MACROW 1.07
and a new MACRO.DEF file.
The version 3.0 engine is now in public beta testing, and can be
downloaded from our FTP site, but a full (release) version should
be ready within a month.
────────────────────────────────────────────────────────────────────
virusi.490popovics,
▄- fp-228b.zip 1112k F-Prot v2.28b (01/98): odličan
▄- antivirusni program
Jel mi se čini, il je bilo objavljeno da je verzija 2.28(a) - novembar
bila poslednja verzija za Dos? Ako jeste tačno, šta je sad ovo..?
virusi.491hogistey,
Pomozite mi doktore
mali PROBLEM imam:
Usred rada, u bilo kom programu, zamrzne se racunar, i tastatura sa njim.
To se desava vrlo cesto.
Da nije neki virus, doktore?
virusi.492apostol,
>Usred rada, u bilo kom programu, zamrzne se racunar, i tastatura sa
>njim.
>To se desava vrlo cesto.
Mogućnosti:
- Pregreva ti se procesor (zameni kuler)
- Puca ti Windows zbog loših fontova
- Puca ti Windows zbog nečeg drugog
JoTzoqA
virusi.493emajsijuen,
dos\virus\*.*
------------------
4ns161cr.zip 177k NetShield 1.61v117: zastita od virusa za NetWare 4.0x
chkup39.zip 115k Cuva sve datoteke od file virusa
ckot20.zip 60k CheckOut v2.0, pronalazi viruse u arhivama
clean117.zip 270k McAfee Clean 9.26v117: uklanja viruse koje SCAN nade
dat-3004.zip 1056k McAfee Scan & Clean .DAT upgrade, april 97. (Scan 3.0)
dat-9704.zip 373k McAfee Scan & Clean .DAT upgrade, april 97.
~~~~~~~~~
Jel ima neko nesto novije ?
Pozdrav, Vlada...
virusi.494gkosta,
Pitam vas koji mi dobar anti-virus preporucujete za W95?
^^^^^^^^^^
Hvala...
virusi.495the.edge,
F-PROT 3.0+
AcCeSS DeNiED
virusi.496gkosta,
Da li tko poseduje crack za F-PROT za W95???
^^^^^^^^^^^^^^^
Chini mi se da je v3.01???
P.S. Ja sam nashao jedan na netu ali ne funkcionisheeeee...
virusi.497pifat,
##dat-9704.zip 373k McAfee Scan & Clean .DAT upgrade, april 97.
~~~~~~~~~
## Jel ima neko nesto novije ?
Za verziju enginea 2.x našao sam kao najsvežiju verziju iz decembra
'97. Kako se McAfee fuzionisao sa još nekoliko firmi u Network
Associates Inc, sajt je sada na www.nai.com
dat-9712.zipvirusi.498calex,
> ##dat-9704.zip 373k McAfee Scan & Clean .DAT upgrade, april 97.
> Za verziju enginea 2.x našao sam kao najsvežiju verziju iz decembra
Danas je izašla verovatno poslednja verzija za 2.x.
- novo -
dos\virus\*.*
------------------
dat-9801.zip 421k McAfee Scan&Clean .DAT upgrade, februar 98. (Scan 2.x)
What's New in McAfee DAT File 9801 (v2.5.5)
Copyright 1994-1998 by Network Associates, Inc.
All Rights Reserved.
____________________
WHAT IS A .DAT FILE?
DAT files contain up-to-date virus signatures and other
information that Network Associates anti-virus products use
to protect your computer against the thousands of computer
viruses in circulation. New .DAT files are released each
month to provide protection against the 100 to 300 new
viruses that are discovered each month. To ensure that you
are protected against the latest virus threats, download and
install the latest .DAT file every month.
__________________
**IMPORTANT NOTE**
DAT File 9712 was the last .DAT file McAfee released
publicly for the 2.x series of anti-virus products. DAT File
9801 is being supplied as a service to McAfee customers who
have not yet upgraded to the current 3.x versions of
McAfee's anti-virus products. DAT File 9801 is the last .DAT
file that will be available for McAfee's 2.x series of
anti-virus products.
To protect your system against new viruses, upgrade to a
current McAfee anti-virus product by contacting McAfee sales
or connecting to the McAfee website. Contact information
appears at the end of this document.
whatsnew.2xvirusi.499calex,
Evo i za verziju 3.x
- novo -
dos\virus\*.*
------------------
dat-3102.zip 575k McAfee Scan&Clean .DAT upgrade, februar 98. (Scan 3.x)
whatsnew.3xvirusi.500gkosta,
Pozdrav!
Da li neko ima ser. broj ili crack za F-PROT for Win?
^^^^^^
Jaaaaako mi je bitno!
Hvala :)
virusi.501ranx,
Ima li problema pri korišćenju dva antivirus programa odjednom (npr. F-Prot i
TBAV) pod W95?
virusi.502calex,
- novo -
dos\virus\*.*
------------------
tbav805.zip 460k ThunderBYTE AntiVirus 8.05:sistem za zaštitu od virusa
tbavx805.zip 97k TBAV v8.05: optimizovane verzije rezidentnih alatki
windows\virus\*.*
------------------
tbw805.zip 960k ThunderBYTE AntiVirus za Windows 3.1x v8.05 (03/98)
tbw95805.zip 1122k ThunderBYTE AntiVirus za Windows 95 v8.05 (03/98)
tbwnt805.zip 1052k ThunderBYTE AntiVirus za Windows NT v8.05 (03/98)
Update report of Thunderbyte Anti-Virus utilities.
Prefixes:
'-' indicates a change that does not require user attention.
'->' indicates a modification that requires user attention, such as a
change in program invocation, etc.
8.05 Product update
-------------------
All Windows versions:
-> When a file is being scanned the name is printed on the screen first
before the file is being scaned. The previous versions printed the
filename after the scan was complete. It is now possible to track
down problem files.
- Due to a request of the TBAV-Administrator team we implemented
some code for remote configuration. Upon startup, the host program
looks for files called aTBAV.Ini, aTbLoad.Ini and aTBAV.Pwd, and if
these files exists they are renamed to TBAV.Ini, TbLoad.Ini and
TBAV.Pwd, resp. The files "axxxx.xxx" will be generated by TBAV
Administrator.
Windows 95 version:
- The File I/O Monitor - many of our customers reported a random
'hang' of their computer. This bug mainly occured on low-profile
machines (slow CPU and low memory footprint) while the File I/O
Monitor was enabled.
After thorough investigation we managed to trace this problem,
and we managed to find a solution for it. The main problem was
located in the ThunderByte VxD that implements the well-known
File I/O Monitor.
We are happy to announce that this problem is fixed with the new
ThunderByte VxD that is delivered with this 8.05-version.
Windows 95 and Windows NT version:
- The default behaviour of the 'minimize' button of TBAV for Windows
95/NT has been changed. Instead of showing the status window per
default, the program will now display a tray-icon when the user
presses the 'minimize' button.
Viruses:
- Added file virus signatures:
Benign.125/126
Bowl.135
Bowl.403/404
Bowl.550-756
Centenary.103.A-C
Centenary.104/106.A/B
Centenary.113
Champaigne.815
Coconut_II.1324
Die.352/487
Guppy.A-D
Guppy.E
Guppy.F
Headache.269.A/B
Headache.624/632
HLLO.2827
HLLO.3712
HLLO.4752
HLLO.5056
HLLO.8259
Into.685/708
- Added WordMacro virus recognition, unique identification and
removal for: (Word 6.xx & 7.xx)
WM/Appder.Q
WM/Bandung.BF
WM/Breeder.A
WM/Cap.CE
WM/Cap.CF
WM/Cap.CG
WM/Cap.CH
WM/Cap.CI
WM/Cap.CJ
WM/Cap.CK
WM/Cap.CL
WM/Cap.CM
WM/Cap.CN
WM/Cap.CO
WM/Cap.CP
WM/Cap.CQ
WM/Cap.CR
WM/Cap.CS
WM/Concept.CB
WM/Concept.CC
WM/Grass.A:De
WM/Habir.A
WM/Hassle.B
WM/Johnny.S
WM/Johnny.S1
WM/Johnny.T
WM/Johnny.T1
WM/Komcon.A
WM/Kompu.J
WM/MDMA.AN
WM/MDMA.AQ
WM/MDMA.AR
WM/MDMA.AS
WM/Minimal.AA
WM/Newyear.A
WM/NoPrint.B
WM/Niknat.F
WM/Niknat.G
WM/Nottice.C
WM/NPad.FJ
WM/NPad.FK
WM/NPad.FL
WM/NPad.FM
WM/NPad.FN
WM/NPad.FO
WM/Nuclear.X
WM/Nuclear.Y
WM/Paycheck.J
WM/Razer.B
WM/Schumann.G
WM/Schumann.H
WM/Schumann.I
WM/Schumann.J
WM/Schumann.K:De
WM/ShowOff.CP
WM/ShowOff.CQ
WM/ShowOff.CR
WM/Shuffle.A (dropper)
WM/Unhas.A
WM/Victor.A
WM/Wazzu.DG
WM/Wazzu.DQ
- Added ExcelMacro virus recognition, unique identification and
removal for: (Excel 5)
XM/Laroux.BD
- Added WordMacro virus recognition, unique identification and
removal for: (Office97:Word8)
W97M/Blee.D
W97M/Box.F
W97M/Kompu.F
W97M/MDMA.E
W97M/MDMA.AO
W97M/MDMA.AP
W97M/Nottice.A
W97M/Wazzu.DO
- Added ExcelMacro virus recognition, unique identification and
removal for: (Office97:Excel6)
X97M/Laroux.AA
virusi.503pavijan,
Gde mozeda se nadje F-PROT verzija za Win95 novija od 2.15? Neko je
pominjao nesto kao 3.0 ili slicno. Ima li bitne razlike u odnosu na verziju
228b za Dos od januara ove godine? U cemu je uopste prednost verzije za
Win95 u odnosu na verziju za Dos?
Nije da mi bas treba ali cisto da se informisem.
Pozdrav od pavijana.
virusi.504gkosta,
> Gde mozeda se nadje F-PROT verzija za Win95 novija od 2.15? Neko je
> pominjao nesto kao 3.0 ili slicno. Ima li bitne razlike u odnosu na verziju
> 228b za Dos od januara ove godine? U cemu je uopste prednost verzije za
> Win95 u odnosu na verziju za Dos?
Da, postoji F-prot 3.0 for Win i mozesh ga nachi na Internetu (preko
altaviste ili yahoo-a). A mogu ti i ja dobaciti na mail!
A shto se tiche prednosti - nisam video DOS verziju!
virusi.505popovics,
▄- altaviste ili yahoo-a). A mogu ti i ja dobaciti na mail!
▄- A shto se tiche prednosti - nisam video DOS verziju!
Ajde, kad već šalješ, šaljniga u pad, pa ga pošalji i meni...
virusi.506gkosta,
> - altaviste ili yahoo-a). A mogu ti i ja dobaciti na mail!
> - A shto se tiche prednosti - nisam video DOS verziju!
>
> Ajde, kad vec saljes, saljniga u pad, pa ga posalji i meni...
Ipak...
Bio sam lak i brz na rechima...
Sorry na zaletu!
Objashnjenje mogu da dam u dve rechi - 4,5 Mb!!! ;>>>
No, shalim se...
Uchinicu ovaj smeli poduhvat AKO ZELITE kroz par dana ovde u conf!
P.S. Ovo pishem off-line (pa ne mogu da pogledam) - da nema _slucajno_ f-prota
u DIR-u???
virusi.507popovics,
▄- No, shalim se...
▄- Uchinicu ovaj smeli poduhvat AKO ZELITE kroz par dana ovde u
▄- conf!
Ako tebe ne mrzi da šalješ, mene ne mrzi da skidam...
virusi.508pavijan,
> Objashnjenje mogu da dam u dve rechi - 4,5 Mb!!! ;>>>
______________________________
Nije valjda 4,5Mb zapakovan t.j. neinstaliran ? :<<< Daj jos neku informaciju
o programu.
Inace dos verzija 228b se nalazi u allfiles diru na sistemu naci ces ga u
dos\virus\fp-228b.zip - i velicina mu je manja od 1,2Mb , a raspakovan nesto
malo vise od 2,5Mb.
Pozdrav od pavijana.
virusi.509miskop,
>> No, shalim se...
>> Uchinicu ovaj smeli poduhvat AKO ZELITE kroz par dana ovde u conf!
F-prot je komercijalan program(barem ona verzija 3.0 za
Windows(ali je u pitanju 2.27 search engine)), tako da ti
ne preporučujem da šalješ jer će najverovatnije(sigurno :)
biti obrisan.
virusi.510emajsijuen,
Hey Yo! Living legend here.. nego, da predjem na stvar.. izgleda
da imam Parity.Boot.E virus i pojma nemam kako da ga maknem sa diska.
Probao sam sve i svasta, ali ovo cudo nece nikako da ode u vecna
lovista... dizanje sa sistemske diskete i fdisk /mbr ne pomazu..What
can I do?
Pozdrav,
Goran.
PS Imam 1 disk izdeljen na 2 particije.. ako ima ikakve veze..
virusi.511pavijan,
> lovista... dizanje sa sistemske diskete i fdisk /mbr ne pomazu..What
> can I do?
______________________________
Prvo proveri da ti nije sistemska zarazena na nekom drugom racunaru. Onda,
podigni svoj racunar sa te iste diskete i ubaci disketu sa f-prot-om 228b
ima ga u sezamovom dir-u. Kad ubacis disketu f-prot pokreni iz komandne
linije sa = a:\f-prot /nomem . Ovo bi moralo da odradi posao.
> PS Imam 1 disk izdeljen na 2 particije.. ako ima ikakve veze..
______________________________
Ovo nema veze jer f-prot kao i ostali programi vidi i sve particije i sve
skrivene fajlove tako da nema sanse da nesto ne pregleda.
Pozdrav od pavijana.
virusi.512pavijan,
Hajde neka neko ko ima izlaz na internet skine noviju verziju F-PROT-a ili
za Dos ili za Win pa neka okaci ili ovde ili u Sezam files.
Trenutna verzija 228b je pocela da daje info o zastarelosti i o potrebi da se
obnovi novim podacima pa u tom smislu dajte malo aktivnosti.
Pozdrav od pavijana.
virusi.513epson,
│ Hey Yo! Living legend here.. nego, da predjem na stvar.. izgleda
│ da imam Parity.Boot.E virus i pojma nemam kako da ga maknem sa diska.
└─────────────────────────────────────────────────
Probaj ovo.
part.exevirusi.514calex,
> Hajde neka neko ko ima izlaz na internet skine noviju verziju F-PROT-a
> ili za Dos ili za Win pa neka okaci ili ovde ili u Sezam files.
Nema novije verzije za dos, već duuugo obećavaju da će uskoro
da se pojavi. Pre neki dan se pojavio preview verzije 3.0 ali neće
u dir, dosta više tih beta i preview verzija ;))
fp-300.zipvirusi.515pavijan,
> > Hajde neka neko ko ima izlaz na internet skine noviju verziju F-PROT-a
> > ili za Dos ili za Win pa neka okaci ili ovde ili u Sezam files.
______________________________
> Nema novije verzije za dos, vec duuugo obecavaju da ce uskoro
> da se pojavi. Pre neki dan se pojavio preview verzije 3.0 ali nece
> u dir, dosta vise tih beta i preview verzija ;))
______________________________
Onda treba skinuti sa njihovog sajta nov spisak virusa ili sta vec treba,
(iskusniji neka daju savet) da bi se azurirala aktuelna verzija 228b.
Pozdrav od pavijana.
virusi.516pifat,
dat-3103.zip 577k McAfee Scan&Clean .DAT upgrade, mart 98. (Scan 3.x)
dat-3103.zipvirusi.517calex,
> dat-3103.zip 577k McAfee Scan&Clean .DAT upgrade, mart 98. (Scan 3.x)
Nije ti baš neki reply. ;))
- novo -
dos\virus\*.*
------------------
dat-3104.zip 610k ű McAfee Scan&Clean .DAT upgrade, april 98. (Scan 3.x)
Virus Definition Data Files by Network Associates, Inc.
Requires scanner engine v3.x.x
(3104) 04-15-98
whatsnew.txtvirusi.518medymed,
Zarazio sam se. Norton utilitis mi prijavljuse 'computer virus
infected'. Neki Quicky. U System memory. Norton anti virus ne moze
da mi scanira boot record i kaze da je zakljucan sa '?/.\';!@#15'
(neke sifre i to jos gore) i naravno posle skaniranja ostalog kaze
da nije nasao virus. Medjutim Norton utilitis ga i dalje uporno
detektuje. Do sada sam probao nekoliko anti virusa ali nista, slabo
koji tj. nijedan ga nije detektovao. Izgleda da su stari i nemaju
tzv. Quicky. Ako neko ima neki predlog bio bih mu zahvalan.
P.S.
Ko zna po cemu sve ceprka dok ovo pisem. :(
virusi.519crusader,
tbaw mi je nasao u memoriji B1 virus zna li neko kako da ga se
otarasim?
virusi.520medymed,
Opet ja ali... Ne mogu da verujem. Neko je resio da me
unisti. Samo sto sam skinuo Quicky-a:
" Master Boot Sector Infected: One_Half:1344 "
Procitah na internetu da je gadan. Nasao sam i neko upustvo
" Removing One Half 1344 " ali moram priznati. Uopste ga ne
razumem. Ne mislim na engleski nego na postupak.
Ako je neko od vas imao iskustava ili zna nesto o ovome. Help
please!
virusi.521medymed,
Evo sta mi napisase za uklanjanje virusa.
P.S.
Ako je neko shvatio sta treba da se uradi, neka vice.
REMOVING THE ONE HALF VIRUS
On a machine with the VIRUS LOADED AND RUNNING, do the following:
login CENTRE/VIRSAFE (password=OLIVE)
Run LASTFILE, which will tell you the cluster that the last
file on the disk uses.
Run SPEEDISK, wait for it to scan the disk, then cancel the
drive selection, and go the
Information menu, then select walk map.
Use the cursor to locate the cluster that lastfile reported,
and press enter to list all the files that
occupy that block of the map. FIND THE LAST FILENAME in that
list, and make a note of
it.
REBOOT the computer using the clean boot disk with F-Prot on
it.
Change to drive C:, and type DIR /S filename, where filename
is the name that you got out of
speedisk, to find all occurances of files with that name. You
will need to note down the path
for each one.
Use L.COM (file viewer) to check the contents of those files
while the virus is not running. If
you can positively say that the file is not corrupt, then you
can safely remove the virus by
running FPROT now.
If the file is corrupt, or you can not determine if it is,
then you must back up the entire
harddrive while the virus is running, or you will not be able
to recover the encrypted data.
virusi.522urosh,
U prevodu:
Dok je virus AKTIVAN (dakle, podigao si mašinu sa zaraženog HDD-a) sačuvaj sve
važne podatke na disketama (ili drugom medijumu većeg kapaciteta :). Onda
podigni sistem sa čiste diskete pa kreni od FDISK /MBR, FORMAT C: i dalje sve
ispočetka. Ja ne zn
am bolje rešenje za ovaj virus.
Inače, radi se o virusu koji polako šifrira jedan po jedan fajl na HDD-u. Dok
je virus aktivan, sve izgleda OK. Ubiješ virus - dobiješ đubre na disku (zato
sam ti i predložio format c: - meni ponovljena instalacija 95-ice nije
pomogla). Uputstvo koje
i priložio objašnjava ti kako da provališ da li je virus već počeo da šifrira
fajlove pa ako nije, onda smeš da ga ubiješ F-Prot-om, a ako jeste (ako mene
pitaš - već jeste!) onda postupiš kako sam opisao na početku poruke.
Dakle...
> ... you must back up the entire harddrive while the virus
> is running, or you will not be able to recover the encrypted data.
Puno sreće... Napiši šta si uradio
Uki
virusi.523saint,
Da li postoje virusi koji menjaju datum na 2048-u godinu.
virusi.524kiki,
> Da li postoje virusi koji menjaju datum na 2048-u godinu.
Pa ako ti je promenjen datum na 2048-u godinu.. onda je definitivno
očigledno da takvi virusi postoje. ;)
virusi.525saint,
=> Pa ako ti je promenjen datum na 2048-u godinu.. onda je definitivno
=> ocigledno da takvi virusi postoje. ;)
Izgleda postoje ali ipak ne vidim koji je cilj nekoga
da ti promeni datum?
virusi.526pifat,
Majski upgrade za McAfee Scan, verzija za engine 3.x
dat-3105.zipvirusi.527panco,
Mojom greskom sam zarazio hard disk sa WHALE virusom.Kada sam
sa cistom disketom (F-Prot 2.28) pokusao da ocistim sistem F-prot
mi javlja da hard disk ne postoji.Inace kada ukljucim kompjuter
sistem se normalno startuje tj ucita se autoexec & config.sys.
Normalno kada startujem F-prot iz tako startovanog sistema on
ne nalazi nikakav virus. STA DA RADIM ???
virusi.528jujo,
#
# Mojom greskom sam zarazio hard disk sa WHALE virusom.Kada sam
# sa cistom disketom (F-Prot 2.28) pokusao da ocistim sistem F-prot
# mi javlja da hard disk ne postoji.Inace kada ukljucim kompjuter
# sistem se normalno startuje tj ucita se autoexec & config.sys.
# Normalno kada startujem F-prot iz tako startovanog sistema on
# ne nalazi nikakav virus. STA DA RADIM ???
#
#
Pa digni masinu sa diskete, pa onda pustaj f-prot.
yooyo:
virusi.529gogica,
--> Mojom greskom sam zarazio hard disk sa WHALE virusom.Kada sam
--> sa cistom disketom (F-Prot 2.28) pokusao da ocistim sistem F-prot
--> mi javlja da hard disk ne postoji.Inace kada ukljucim kompjuter
--> sistem se normalno startuje tj ucita se autoexec & config.sys.
--> Normalno kada startujem F-prot iz tako startovanog sistema on
--> ne nalazi nikakav virus. STA DA RADIM ???
Kod mene F-prot 2.28 nije hteo da vidi disk sa FAT32.
Ako je tvoj takav to je to. Treba ti F-prot300. Java ako hoces(1.6MB).
virusi.530jujo,
# Kod mene F-prot 2.28 nije hteo da vidi disk sa FAT32.
# Ako je tvoj takav to je to. Treba ti F-prot300. Java ako hoces(1.6MB).
Ma sto se tice starijih virusa... mislim da mozete biti sigurni da
nije napadnut boot sector jer se on nalazi na drugom mestu u FAT32
fajl sistemu, a virus nije toliko pametan. Probaj slobodno
f-prot /noboot i on ce cekirati istatak diska.
yooyo:
virusi.531calex,
- novo -
dos\virus\*.*
------------------
tbav806.zip 469k ThunderBYTE AntiVirus 8.06c:sistem za zaštitu od virusa
tbavx806.zip 97k TBAV v8.06c: optimizovane verzije rezidentnih alatki
windows\virus\*.*
------------------
tbw806.zip 972k ThunderBYTE AntiVirus za Windows 3.1x v8.06c (06/98)
tbw95806.zip 1137k ThunderBYTE AntiVirus za Windows95 v8.06c (06/98)
tbwnt806.zip 1064k ThunderBYTE AntiVirus za WindowsNT v8.06c (06/98)
virusi.532chill,
Kako da uklonim virus Krsta sa Sezama? :)
virusi.533miskop,
>> Kako da uklonim virus Krsta sa Sezama? :)
Ajde zajebi nas malo i ti i svi ostali i ostavite
čoveka na miru.
virusi.534miskop,
Jedno pitanje za korisnike McAfee virus scan programa...
Ortak je instalirao najnoviju, v3.1.8, McAfee-a. Takođe je
skinuo i najnoviji "virus definition". E sad, pošto je pustio
McAfee da skenira disk, ovaj je počeo da mu prijavljuje gomi-
lu zaraženih fajlova, i to nekim virusom koji se odaziva na:
W32.CIH.SPACEFILLER
Definition ovog virusa se baš pojavio u ovom novom, tek iza-
šlom definition-u.
U samom "virus info"-u ništa ne piše o čemu se radi, koje fajlove
napada, itd. McAfee prijavljuje da ne može da uništi virus, već
samo predlaže da se navodno zaraženi fajlovi obrišu.
Interesantno je da ni Norton Anti Virus ni ThunderBYTE (oba sa
poslednjim "virus definition-om") ne prijavljuju virus. Takođe,
kada je ortak proverio sa "Rescue" diskete sa McAfee-om i Nortonom,
u čistom DOS-u, virus NIJE bio prijavljen.
E, sad ide ono glavno... Čisto provere radi, ortak je uzeo par CD-
ova da vidi kakva je situacija sa njima... Na SVAKOM CD-u je bilo
pronađenih "zaraženih" fajlova i to čak na CD-ovima koji su kupljeni
i pre godinu dana. Među tim CD-ovima je i SezamFile(leto 97), neko-
liko CD-ova iz stranih računarskih časopisa (PC Format, PC Plus,...)
i nekoliko narezanih CD-ova kod domaćih pirata. Svi "zaraženi" fajlovi
imaju .EXE ekstenziju.
Da li neko ima ideju šta to može da bude i da li je moguća neka
greška u najnovijem "virus definition"-u za McAfee, da ovaj
ustvari, od "normalne" stvari prijavljuje da je virus?
virusi.535pifat,
Ovo dole mi deluje kao osetno "pametnija" virusna ložaja nego one
uobičajene tipa "if you see a message containing text
TRT-MRT-EXTRA-HIFI-DELUXE please delete it immediately.....". Naime,
ovde se pominje .EXE fajl, što je neophodan uslov da se virus ipak
prenese. Međutim, kako se u tekstu pominje da je info o potencijalnom
virusu navodno potekao iz MalogMekanog, prilično sam skeptičan. Ima
li neko bližih detalja?
>
>-----Original Message-----
>From: Lisa Brogan <lbrogan@MEI.jsc.nasa.gov>
>To: 'Bernadette Brogan' <brog@midway.uchicago.edu>; 'Kathy & Brad Owings'
><BOwings@aol.com>; 'Terry Brogan' <tbrogan@ayurvedicconcepts.com>
>Date: Friday, July 17, 1998 7:53 AM
>Subject: FW: [Fwd: Virus Alert]]
>
>
>
>>> >>>> Subject: Virus Alert
>
> This is a new twist. Someone is sending out a very desirable
> screen-saver - the Budweiser Frogs. But if you download it, you
> will lose everything!!! Your hard drive will crash!!!
>>>>>>> >DON'T DOWNLOAD THIS UNDER ANY CIRCUMSTANCES!!! IT JUST WENT
> INTO CIRCULATION, AS FAR AS WE KNOW....BE CAREFUL.
>>>>>>> >PLEASE DISTRIBUTE THIS TO AS MANY PEOPLE AS POSSIBLE...THANX
>>>>>>> >
>>>>>>> >BELOW IS WHAT THE SCREENSAVER OFFER WOULD LOOK LIKE!
>>>>>>> >
>>>>>>> > File: BUDSAVER.EXE (24643 bytes)
>>>>>>> > DL Time (28800 bps): < 1 minute
>>>>>>> >
>>>>>>> >If you download some jerk from the internet will get your
screen name and password!
Please send this to any names you can think of and
remember never download BUDDYLST.ZIP This is a new, very
malicious virus and not many people know about it.
This information was announced yesterday morning from Microsoft.
Please share it with everyone that might access the internet.
>>>>>>> Once again, pass this along to EVERYONE in your address book so
that this may be stopped.
virusi.536jujo,
# Ovo dole mi deluje kao osetno "pametnija" virusna lozaja nego one
# uobicajene tipa "if you see a message containing text
# TRT-MRT-EXTRA-HIFI-DELUXE please delete it immediately.....". Naime,
# ovde se pominje .EXE fajl, sto je neophodan uslov da se virus ipak
# prenese. Medutim, kako se u tekstu pominje da je info o potencijalnom
# virusu navodno potekao iz MalogMekanog, prilicno sam skeptican. Ima
# li neko blizih detalja?
#
# >
# >-----Original Message-----
# >From: Lisa Brogan <lbrogan@MEI.jsc.nasa.gov>
# >To: 'Bernadette Brogan' <brog@midway.uchicago.edu>; 'Kathy & Brad
# Owings'
# ...
Ma jedini virus koji se moze preneti mailom je zarazeni WORD-ov
dokument. Sve ostalo je sarena laza.
yooyo:
virusi.538jujo,
PAZNJA!!!!
Pojavio se novi virus u gradu. U pitanju je CiH v1.2 TTiT
koji napada samo Windows EXE fajlove (imaju u zaglavlju
poruku "This program cannot run in DOS mode"), i WinZIP
selfextract arhive.
Kako da ga pronadjete. Probajte sledecu komandu:
ts /s /t /log *.exe "Ř.EXE^" > c:\zarazeno.!!!
(ts alias textsearch je mali programcic koji stize uz NU8.0)
Malo slovce n je ASCII 252 (0xfc).
Kada program odradi pogledajte u root-u C diska fajl zarazeno.!!!
U njemu ce biti spisak svih zarazenih programa.
Virus je veoma gadan. Postoji u vise verzija:
CiH v1.2 TTiT: Aktivira se 26. Aprila
CiH v1.3 TTiT: Aktivira se 26. Juna
CiH v1.4 TAUTIT: Aktivira se 26 u mesecu.
Jako je opasan. Brise sve na disku dok ga ne zaustavite (reset...),
a ima jos jednu IZUZETNO OPASNU OSOBINU. U stanju je da obrise
i FlashBIOS kod skoro svih novijih ploca kod kojih BIOS nije zasticen
jumperom na ploci (a obicno nije ili jumper ne postoji).
Primer za to je intel 430TX.
Nadjen je pre 7 dana na jednom piretskom CD iz Singapura. Bio je
uglavljen u instalaciju DirectX 5.0. Na CD-u je bila kompilacija
strateskih igara.
Prepoznacete ga jos i po tome, ako windows pocne da prijavljuje
poruke da je WinZIP selfextracting arhiva ostecena kada je pokrenete
sa harddiska a sa CD-a radi.
Za one koji nemaju ts.exe neka pmocu nekog programa probaju
da nadju string 'CiH' u exe file-u. Ako iza nadjenog stringa
stoji v1.x onda definitivno imate virus.
Ove podatke sam dobio od Data-fellows-a (f-prot) koji su mi
poslali vakcinu (f-save za DOS). Arhiva je dugacka oko 1Mb
pa ako neko zeli neka ostavi poruku o konfi.
F-prot iz aprila 98 ga ne prepoznaje!!!
U pocetku sam mislio da sam pronasao novi virus, a nisam bio daleko.
Virus datira iz Aprila 98, ali se pojavio tek krajem Juna u Nemackoj.
U svakom slucaju... PROVRERITE SVE NOVIJE CD-ove KOJE UZIMATE IZ
CD KLUBOVA.
yooyo:
virusi.539zmdjokic,
» PAZNJA!!!!
»
» Pojavio se novi virus u gradu. U pitanju je CiH v1.2 TTiT
» koji napada samo Windows EXE fajlove (imaju u zaglavlju
» poruku "This program cannot run in DOS mode"), i WinZIP
» selfextract arhive.
»
» Ove podatke sam dobio od Data-fellows-a (f-prot) koji su mi
» poslali vakcinu (f-save za DOS). Arhiva je dugacka oko 1Mb
» pa ako neko zeli neka ostavi poruku o konfi.
» F-prot iz aprila 98 ga ne prepoznaje!!!
Salji! I da li ga F-Prot 3.01 (jul '98) prepoznaje?
virusi.540jujo,
# » Ove podatke sam dobio od Data-fellows-a (f-prot) koji su mi
# » poslali vakcinu (f-save za DOS). Arhiva je dugacka oko 1Mb
# » pa ako neko zeli neka ostavi poruku o konfi.
# » F-prot iz aprila 98 ga ne prepoznaje!!!
#
# Salji! I da li ga F-Prot 3.01 (jul '98) prepoznaje?
Nisam probao.. ali u svakom slucaju sam okacio fsav.
yooyo:
fsav_dos.zipvirusi.541jujo,
Nova beda na pomolu....
kod istog drugara kod koga sam nasao CiH desava se jedna cudna
stvar... Ponekad kada ukljuci masinu saceka ga crn ekran a
iz speakera se cuje Kaljinka (ruska melodija slicna kazacoku)
i svira dok se masina ne ugasi. Posle ponovnog paljenja
masina ili nastavi da svira ili se normalno bootuje.
U ovom slucaju virus je u BIOS-u i bice jako tesko da
se ukloni.
FSAV nije probao jer se covek plasi da nakaci
disk na drugu masinu.
Javicu rezultate potrage.
yooyo:
P.S.: Mislim da je pocela nova era virusa. Ovi ce
zadavati mnogo muke korisnicima, a i dilerima
koji ce morati da menjaju ploce ako nisu u stanju
da reprogramiraju BIOS.
virusi.542dr.grba,
>> P.S.: Mislim da je pocela nova era virusa. Ovi ce
>> zadavati mnogo muke korisnicima, a i dilerima
>> koji ce morati da menjaju ploce ako nisu u stanju
>> da reprogramiraju BIOS.
Osim BIOS virusa, i u svetu makro virusa se pojavila nova generacija:
virus se krije u fajlu jednog tipa, a napada fajlove drugog tipa. Npr.
širi se kroz *.XLS, a gazi *.DOC ili obrnuto... Zato ih je relativno
teško otkriti. Zasad nema reči da su "u divljini", ali su izolovani.
virusi.543dr.iivan,
> ts /s /t /log *.exe "Ř.EXE^" > c:\zarazeno.!!!
>
> (ts alias textsearch je mali programcic koji stize uz NU8.0)
Jel' mozes da bacis taj TextSearch ako nije veliki, i ako radi bez NU?
virusi.544miskop,
>> PAZNJA!!!!
>> Pojavio se novi virus u gradu. U pitanju je CiH v1.2 TTiT
>> koji napada samo Windows EXE fajlove (imaju u zaglavlju
>> poruku "This program cannot run in DOS mode"), i WinZIP
>> selfextract arhive.
Ja sam o CIH virusu pisao pre jedno mesec dana, ali niko
izgleda nije obratio pažnju.
Preporučujem da svi koji imaju mogućnost (ili molim moderatora)
da skoče do www.avp.com i skinu najbolji anti virus program
AntiViral Toolkit Pro. To je jedini program koji je prvi
detektovao i uspeo da eliminiše CIH virus.
Inače, posle čišćenja CIH virusa svi zaraženi EXE fajlovi
biće kao i pre, tj. nećete ih izgubiti. ;)
P.S. Uz poruku je McAfee-ov 'programčić' samo za eliminisanje
CIH virusa. Pročitajte dobro uputstvo kako se koristi (mislim
da treba nešto iz dos-a da se radi).
cih-rem.zipvirusi.545jujo,
Poruka koja se odnosi na sviranje ruske melodije prilikom
paljenja masine nije virus. U pitanju je neispravna ploca koja
je umislila da je procesor pregrejan. Nigde u knjizici koja
stize uz plocu nije pisalo o ruskoj narodnoj muzici, pa smo
tu informaciju dobili od jednog servisera.
Probano je i na delu. Skinuli smo cooler i ploca je zaista
posle 10-ak minuta rada pocela da svira.
Svasta se danas desava...
yooyo:
virusi.546jujo,
# Ja sam o CIH virusu pisao pre jedno mesec dana, ali niko
# izgleda nije obratio paznju.
# Preporucujem da svi koji imaju mogucnost (ili molim moderatora)
# da skoce do www.avp.com i skinu najbolji anti virus program
# AntiViral Toolkit Pro. To je jedini program koji je prvi
# detektovao i uspeo da eliminise CIH virus.
#
# Inace, posle ciscenja CIH virusa svi zarazeni EXE fajlovi
# bice kao i pre, tj. necete ih izgubiti. ;)
#
#
# P.S. Uz poruku je McAfee-ov 'programcic' samo za eliminisanje
# CIH virusa. Procitajte dobro uputstvo kako se koristi (mislim
# da treba nesto iz dos-a da se radi).
Da, pisao si... ali je u poruci stajalo da neznas sta virus radi
i da niko nezna kako da ga skine. Virus je gadan zato sto
za svoje "telo" koristi prazne delove exe fajla. Zbog
toga je u stanju da se podeli na vise delova po fajlu.
F-sav unistava prvi tj. glavni deo virusa. U zavisnosti
od stepena infekcije fajla, to znaci da ce ga kompletno
skloniti ili samo deo. U svakom sludaju, ako nesto ostane
od njega to je samo mrtvo parce koda koje je bezopasno.
A kako radi ono malo programce neznam... probacu veceras
da proverim, da li je u stanju da ga skine bolje od f-sav-a.
yooyo:
virusi.547jujo,
#
#
# P.S. Uz poruku je McAfee-ov 'programcic' samo za eliminisanje
# CIH virusa. Procitajte dobro uputstvo kako se koristi (mislim
# da treba nesto iz dos-a da se radi).
Probao sam i zaista radi, ali je fajlovi nisu "skroz" cisti.
Stice se utisak da je unisten samo neki vitalni deo virusa.
Prilikom filecompare-a originalni i ocisceni fajl se
mnogo vise razlikuju nego fajl koji je ociscen f-sav-om.
yooyo:
virusi.548saint,
=> AntiViral Toolkit Pro. To je jedini program koji je prvi
=> detektovao i uspeo da eliminise CIH virus.
Meni je ovaj program FSAFE detektovao i dezinfikovao
zarazene fajlove... NEma potrebe ni za cim drugim.
virusi.549miskop,
>> Da, pisao si... ali je u poruci stajalo da neznas sta virus radi
>> i da niko nezna kako da ga skine.
Da, tada nisam imao pojma o čemu se radi, jer se virus baš onda
i pojavio. Ortak se zarazio skidanjem nečega iz NEWS grupa. Nara-
vno, ja se 'zarazih' od njega i kad sam kasnije proveravao disk
sa AntiViral programom, ono, pola diska je bilo zaraženo. ;)
U onoj poruci kada sam spomenuo CIH, mislio sam da neko od Se-
zamovaca koristi McAfee kao antivirus program, pa sam se ponadao
da će neko nešto da prijavi jer je McAfee (pre nabavke AntiViral-a)
jedini u to vreme prijavljivao postojanje CIH-a ali nije bio u stanju
da ga eliminiše. U prvom trenutku mi je situacija bila sumnjiva,
jer je McAfee prijavio toliko zaraženih fajlova da sam pomislio
da je neka greška u detekciji. Pomislio sam i da je možda neki
'zafkantski' virus u pitanju, da nije opasan, ali onda su se
pojavile uzbune i na webu i sve mi je bilo jasno - C:\FORMAT ;)
*************************************************************
Upozorenje:
Postoji mogućnost da je program TweakUI 98 koji sam okačio
u PCOS.95 konferenciji zaražen CIH-om. Mole se svi korisnici
koji su skinuli dotični program obavezno i što je pre moguće,
provere disk(ove) i eventualno eliminišu virus...ako već nije
kasno.
*************************************************************
>> A kako radi ono malo programce neznam... probacu veceras
>> da proverim, da li je u stanju da ga skine bolje od f-sav-a.
Ja ga nisam probao jer sam sad 'čist'. Ali ljudi koji još možda
nisu skinuli neke najnovije virus definicije, mogu da probaju.
virusi.550miskop,
Posle ove frke sa CIH-om, samo nam još i ovo fali: ;)
---------------
First Virus Written In Java Found
It was inevitable. If Java could be used to write cross-platform
applications, then someone would likely find a way to cause cross-
platform havoc with a Java-based virus. The Symantec Antivirus
Research Center (SARC) has found the first such virus, but the
good news is it can't hurt Web surfers. The research center's
automated virus-hunting engine, called Seeker, found the virus
during a routine scan of websites. The virus, called Strange Brew,
is just an infector. It spreads itself from one Java application to
another, and it can jump from anything from a Network Computer
to an IBM S/390 mainframe.
Detalji:
http://www.techweb.com/news/story/TWB19980820S0010?ls=twhpHed
virusi.551pavijan,
> Nisam probao.. ali u svakom slucaju sam okacio fsav.
______________________________
Imam problem sa pokretanjem fsav-a. Kada ga pokrenem i pocne da ucitava bazu
prijavi mi poruku: "Low memory. Database loading is not complete." A sledeca
poruka glasi: "Not enough memory for antiviral databases loading." - posle
ovoga otkaz.
Imam 48Mb rama. U cemu je problem?????????????????????????
Pozdrav od pavijana.
virusi.552pperica,
Dobro, virus se uvuce u .exe fajl. Cim ga program nadje ubije ga na
mrtvo.
A sta se desava kada se .exe fajl zipuje? Vi lepo iskenirate disk,
nema virusa, onda uradite unzip i eto ga ponovo u racunaru :(
Pitanje glasi: Ume li virus CIH da se krije u rar, jpg, zip, arj,...
fajlovima?
pperica
virusi.553kiki,
> Postoji mogućnost da je program TweakUI 98 koji sam okačio
UH! sad mi kažeš!
virusi.554morkin,
> Upozorenje:
>
> Postoji mogućnost da je program TweakUI 98 koji sam okačio
> u PCOS.95 konferenciji zaražen CIH-om. Mole se svi korisnici
> koji su skinuli dotični program obavezno i što je pre moguće,
> provere disk(ove) i eventualno eliminišu virus...ako već nije
> kasno.
Ja sam ga skinuo, ali arhivu nisam dirao. Smatram da se razumeš u viruse
više nego većina na sistemu, pa bi red bio da sam to proveriš pa da nas
obavestiš. Uzgred, imaš sve alate.
virusi.555saint,
=> Imam 48Mb rama. U cemu je problem?????????????????????????
Da li su ti ucitani HIMEM.SYS i EMM386.EXE ?
virusi.556saint,
=> A sta se desava kada se .exe fajl zipuje? Vi lepo iskenirate disk,
=> nema virusa, onda uradite unzip i eto ga ponovo u racunaru :(
Program otvara LZH,ZIP,ARJ arhive i proverava da li
su izvrsni fajlovi u njima zarazeni tako da se toga
ne moras bojati.
Kako se u JPG moze ubaciti virus?
virusi.557pavijan,
> Da li su ti ucitani HIMEM.SYS i EMM386.EXE ?
______________________________
Config izgleda ovako:
dos=high,umb
device=c:\windows\himem.sys
devicehigh=c:\windows\emm386.exe
devic=c:\cdrom\f91xv340.sys/d:mscd001
lastdrive=z
Na disku je samo 95 mislim nema dos nizi od 7.0
Inace pozdrav za saint-a i ostalo drustvo od pavijana.
virusi.558calex,
> Preporučujem da svi koji imaju mogućnost (ili molim moderatora)
> da skoče do www.avp.com i skinu najbolji anti virus program
Moderator ga je odavno skinuo (i proverio svoje diskove) ali ga
ne šalje dok ne proradi razmena mailova ili eventualno jednom pomenuti
telnet. Sve primedbe poslati na više puta pominjanu adresu odakle (ne)
idu novci za SezamNet, opremu, administratore, moderatore, mailove ...
BTW, sada valjda svi antivirus programi znaju CIH-a.
virusi.559calex,
> Postoji mogućnost da je program TweakUI 98 koji sam okačio
> u PCOS.95 konferenciji zaražen CIH-om. Mole se svi korisnici
A što bi bio zaražen kad u njemu nema .exe a neko reče da CIH
napada samo njih?
virusi.560calex,
> A sta se desava kada se .exe fajl zipuje? Vi lepo iskenirate disk,
> nema virusa, onda uradite unzip i eto ga ponovo u racunaru :(
> Pitanje glasi: Ume li virus CIH da se krije u rar, jpg, zip, arj,...
Koliko sam video, on napada samo .exe što znači da ne može da
zarazi arhive i slične. Ako spakuješ zaražen fajl, on čeka svojih pet
minuta ali sada više antivirus programa zna da pretraži i arhive (što
može da potraaajeeee).
virusi.561popovics,
§> dos=high,umb
Ovo POSLE ovoga...
§> device=c:\windows\himem.sys
§> devicehigh=c:\windows\emm386.exe
virusi.562ranx,
> A sta se desava kada se .exe fajl zipuje? Vi lepo iskenirate disk,
Svi napredni antivirus programi imaju mogućnost skeniranja unutar arhiva.
virusi.563ranx,
> Kako se u JPG moze ubaciti virus?
Nikako, koliko je meni poznato.
virusi.564ranx,
> Ja sam o CIH virusu pisao pre jedno mesec dana, ali niko
> izgleda nije obratio pažnju.
Evo šta TBAV 8.07 kaže o ovome:
This virus is known to infect device drivers, but unknown variants may infect
other items as well.
This virus has been reported to be 'in the wild'.
CLEANING INFORMATION:
Before cleaning or restoring, it is HIGHLY RECOMMENDED to boot from a clean,
write-protected system diskette first! This is necessary to ensure that no
viruses are active in memory, and to reduce the risk that you execute an
infected file by accident.
As new variants of existing viruses appear almost daily, it is possible that
you will encounter a variant of this virus which will still be identified by
our scanner, but behaves differently than described above. The information
above is therefore intended as a basic guideline.
Možda je u pitanju druga varijanta (ranija) CiH-a. Što se tiče TweakUI98 koji
je ovde bio poslat, po TBAV-u je čist.
virusi.565saint,
=> Nikako, koliko je meni poznato.
To i ja mislim ali kolko god neverovatno da
meni to zvuci mnogi ljudi u to ne veruju.
virusi.566morkin,
> Evo šta TBAV 8.07 kaže o ovome:
Koja je poslednja verzija TBAV i da li kačena ovde?
virusi.567pavijan,
> §> dos=high,umb
>
> Ovo POSLE ovoga...
______________________________
Gle, ovo ne radi pa ne radi. Postavio sam na jednu particiju cist dos622 i na
njemu to radi ali pod 95 nece. Probao sam i da remujem ona dva "device" reda
opet nista. Neznam sta je problem.
Pozdrav od pavijana.
virusi.568miskop,
>>=> AntiViral Toolkit Pro. To je jedini program koji je prvi
>>=> detektovao i uspeo da eliminise CIH virus.
>> Meni je ovaj program FSAFE detektovao i dezinfikovao
>> zarazene fajlove... NEma potrebe ni za cim drugim.
E baš mi je drago zbog tebe... ;)
virusi.569miskop,
>> Koliko sam video, on napada samo .exe što znači da ne može da
>> zarazi arhive i slične. Ako spakuješ zaražen fajl, on čeka svojih pet
>> minuta ali sada više antivirus programa zna da pretraži i arhive (što
>> može da potraaajeeee).
Boga mi, meni su bili zaraženi i neki ZIP fajlovi koje sam
ko_zna_kada zapakovao.
virusi.570miskop,
>>> Postoji mogućnost da je program TweakUI 98 koji sam okačio
>> UH! sad mi kažeš!
Ma, mogao sam i da prećutim... ;)
virusi.571miskop,
>> Ja sam ga skinuo, ali arhivu nisam dirao. Smatram da se razumeš u viruse
>> više nego većina na sistemu, pa bi red bio da sam to proveriš pa da nas
>> obavestiš. Uzgred, imaš sve alate.
Rado bih ja proverio tu arhivu, ali sam je obrisao sa diska
samo par dana pre nego sam ustanovio virus na sistemu. Da bude
još gore, pre neki dan sam i sa Sezama obrisao tu poruku sa
fajlom tako da ne znam šta da ti kažem.
Pretpostavljam, na žalost, da je arhiva zaražena, pošto je
gotovo sve bilo zaraženo u tom trenutku na disku.
Skini neki od antivirus programa i eliminiši evuntalni CIH,
neće posle biti problema.
virusi.572miskop,
>>> Postoji mogućnost da je program TweakUI 98 koji sam okačio
>>> u PCOS.95 konferenciji zaražen CIH-om. Mole se svi korisnici
>> A što bi bio zaražen kad u njemu nema .exe a neko reče da CIH
>> napada samo njih?
Pa, ja sam tu arhivu dao ortaku, a koliko se sećam, kad je
on proveravao sistem, mislim da mu je AntiViral prijavio
postojanje virusa. E sad kako je to moguće kad nema .EXE
fajla, to već neznam.
virusi.573miskop,
>> Moderator ga je odavno skinuo (i proverio svoje diskove) ali ga
>> ne šalje dok ne proradi razmena mailova ili eventualno jednom pomenuti
>> telnet.
Eee, onda ćemo možda i da dočekamo taj trenutak... ;(
>> BTW, sada valjda svi antivirus programi znaju CIH-a.
Da, samo, čitam po NEWS-u da je AntiViral zakon, pa reko'
da ga i ja koristim. ;) A i stvarno je dobar, da ne kažem,
odličan. ;)
virusi.574miskop,
>> Možda je u pitanju druga varijanta (ranija) CiH-a. Što se tiče TweakUI98
>> koji je ovde bio poslat, po TBAV-u je čist.
TweakUI 98 je najverovatnije zaražen tzv.
W32.CIH.SPACEFILLER virusom.
virusi.575miskop,
>> Koja je poslednja verzija TBAV i da li kačena ovde?
U dir-u ti je v8.06c, a poslednja je v8.07 koje na Sez-u
nema.
virusi.576dr.iivan,
> # P.S. Uz poruku je McAfee-ov 'programcic' samo za eliminisanje
> # CIH virusa. Procitajte dobro uputstvo kako se koristi (mislim
> # da treba nesto iz dos-a da se radi).
>
> Prilikom filecompare-a originalni i ocisceni fajl se
> mnogo vise razlikuju nego fajl koji je ociscen f-sav-om.
Koliko mnogo?
Mislim, da li se isplati skidati toliko puta veci fajl?
virusi.577dr.iivan,
> >> Mozda je u pitanju druga varijanta (ranija) CiH-a. Sto se tice
> TweakUI98 >> koji je ovde bio poslat, po TBAV-u je cist.
>
> TweakUI 98 je najverovatnije zarazen tzv.
> W32.CIH.SPACEFILLER virusom.
Pa sve je to lepo i divno sa vasim virusima, ali jel' ima neko taj
TweakUI 98 koji nije zarazen? ;)
virusi.578popovics,
§> Pa, ja sam tu arhivu dao ortaku, a koliko se sećam, kad je
§> on proveravao sistem, mislim da mu je AntiViral prijavio
Dosta anti-virus programa zna da sezavuče u arhivu i traži po njoj.
Inače sama arhiva ne može biti zaražena, već fajlovi u njoj. Takođe
virusi dok su tako zapakovani, čekaju otpakovanje i svojih 5min.
virusi.579saint,
=> E bas mi je drago zbog tebe... ;)
I meni je drago zbog mene :)
172 zarazena fajla :)
virusi.580miskop,
>> Pa sve je to lepo i divno sa vasim virusima, ali jel' ima neko taj
>> TweakUI 98 koji nije zarazen? ;)
Naravno. ;)
Sa originalnog Win98 diska ću da okačim TweakUI 98 u PCOS.95 .
virusi.581ranx,
> W32.CIH.SPACEFILLER virusom.
Prevedi - TBAV 7.07 ga ne poznaje.
virusi.582miskop,
>>> W32.CIH.SPACEFILLER virusom.
>> Prevedi - TBAV 7.07 ga ne poznaje.
A TBAV 8.07 ? ;)
virusi.584ztasic,
║ U dir-u ti je v8.06c, a poslednja je v8.07 koje na Sez-u
║ nema.
Stiže. :)
tbav807.zipvirusi.585kiki,
>║ U dir-u ti je v8.06c, a poslednja je v8.07 koje na Sez-u
>║ nema.
> Stiže. :)
Jel ovo cela ili update?
virusi.586ranx,
>>> Prevedi - TBAV 7.07 ga ne poznaje.
> A TBAV 8.07 ? ;)
Joj, sorry, greška u kucanju.
virusi.587miskop,
>>║ U dir-u ti je v8.06c, a poslednja je v8.07 koje na Sez-u
>>║ nema.
>> Stiže. :)
Živ bio! :)
virusi.588miskop,
>>>║ U dir-u ti je v8.06c, a poslednja je v8.07 koje na Sez-u
>>>║ nema.
>>> Stiže. :)
>> Jel ovo cela ili update?
To je cela verzija i ne postoji uopšte update verzija. Ti možeš
da instaliraš novu verziju (preko postojeće) kao 'update' ali uvek
je u pitanju full verzija, jer pored novih virus lista, tu su i
ispravljeni neki bagovi iz prethodne verzije.
virusi.589dr.iivan,
> > ts /s /t /log *.exe "Ř.EXE^" > c:\zarazeno.!!!
> >
> > (ts alias textsearch je mali programcic koji stize uz NU8.0)
>
> Jel' mozes da bacis taj TextSearch ako nije veliki, i ako radi bez NU?
Jel' ima neko taj TextSearch?
virusi.590ksanyi,
> > > ts /s /t /log *.exe "Ř.EXE^" > c:\zarazeno.!!!
> > >
> > > (ts alias textsearch je mali programcic koji stize uz NU8.0)
> >
> > Jel' mozes da bacis taj TextSearch ako nije veliki, i ako radi bez NU?
>
> Jel' ima neko taj TextSearch?
Stize !
ts.exevirusi.591dr.iivan,
> > Jel' ima neko taj TextSearch?
>
> Stize !
Vec dobio, ali hvala!
virusi.592dr.iivan,
Koja je poslednja (i za DOS i za Win) verzija AntiViral Toolkit Pro-a?
I moze li neko da mi na mail baci NESTO vezano za taj program?
Treba mi sto pre.
virusi.593miskop,
>> Koja je poslednja (i za DOS i za Win) verzija AntiViral Toolkit Pro-a?
AntiViral Toolkit Pro News for 09/28/98
---------------------------------------
AVP online http://www.avp.com
Virus detection and removal for over 23986 viruses!
AntiViral Toolkit Pro for Windows 95/98/NT has been upgraded!
New build 3.0.124 is available for download (see links below).
Evaluation and Upgrade for AntiViral Toolkit Pro for Windows 95/98/NT
---------------------------------------------------------------------
http://www.avp.com/files/avp32evl.zip
http://www.avp.com/files/setup32.exe
Evaluation and Upgrade for AntiViral Toolkit Pro for DOS
--------------------------------------------------------
http://www.avp.com/files/avpdevl.zip
Cumlative Virus Database Update for AntiViral Toolkit Pro for
Windows 95/98/NT 3.0.120 and higher
--------------------------------------------------------------
http://www.avp.com/files/update32.zip
Cumlative Virus Database Update for AntiViral Toolkit Pro for
DOS 3.0.120 and higher.
-------------------------------------------------------------
http://www.avp.com/files/updtedos.zip
>> Koja je poslednja (i za DOS i za Win) verzija AntiViral Toolkit Pro-a?
>> I moze li neko da mi na mail baci NESTO vezano za taj program?
virusi.594pifat,
McAfee Scan&Clean, .DAT upgrade za septembar, Scan 3.x
dat-3109.zipvirusi.596pecanac,
ThunderBYTE, ver. 8.08, antivirus za w95/98,
(02.10.1998.)
tbw95808.zipvirusi.597the.edge,
Preko 60 fajlova je onaj CIH remover pronasao i cleanovao.
Medjutim, sada mi isto tako, pola programa ne rade. ;(
Ni explorer.exe.
Reinstalirao sam carmageddon (tu je bio pronasao oko 10 zarazenih fajlova) i
namerno sam opet pustio program da proveri. Opet je pronasao "zarazene"
fajlove.
Sad se postavlja pitanje - da li on uopste zna sta je zarazeno, a sta ne?
Kako je moguce da carmageddon OPET bude zarazen, a instaliran je sa CDa i
prethodno cleanovan?
Voleo bih da mi neko nesto i kaze povodom CIH virusa, jer sam ja sa njima
(ako sam ih uopste i imao...) radio sasvim lepo i nikakve probleme nisam imao.
Sada, medjutim, imam velike... pola programa (ukljucujuci i ceo w98) cu
morati da reinstaliram. ;<
AcCeSS DeNiED
virusi.598kiklop,
> Preko 60 fajlova je onaj CIH remover pronasao i cleanovao.
> Medjutim, sada mi isto tako, pola programa ne rade. ;(
> Ni explorer.exe.
> Reinstalirao sam carmageddon (tu je bio pronasao oko 10 zarazenih fajlova)
> i namerno sam opet pustio program da proveri. Opet je pronasao "zarazene"
> fajlove.
> Sad se postavlja pitanje - da li on uopste zna sta je zarazeno, a sta ne?
> Kako je moguce da carmageddon OPET bude zarazen, a instaliran je sa CDa i
> prethodno cleanovan?
>
> Voleo bih da mi neko nesto i kaze povodom CIH virusa, jer sam ja sa njima
> (ako sam ih uopste i imao...) radio sasvim lepo i nikakve probleme nisam
> imao. Sada, medjutim, imam velike... pola programa (ukljucujuci i ceo w98)
> cu morati da reinstaliram. ;<
>
> AcCeSS DeNiED
Ja sam pre neki dan imao isti problem. Slučajno sam pokrenuo scan (3.20) i
otkrio da mi je većina (32-bitnih)izvršnih datoteka zaražena sa CIH virusom.
Obično brisanje windows i program files direktorijuma nije pomoglo jer se
ispostavilo da je virus zarazio i instalaciju windowsa na HD-u. Rešenje je
bilo ubiti sve što se može ubiti. Ostalo očistiti sa sfrem.exe programom i
instalirati windows sa CD-a. Krivac je u mom slučaju bio jedan piratski CD.
Dobra strana ovog virusa (ima li ih??) je što napada samo 32-bitne windows
izvršne datoteke (exe,dll,tlb,olb,ocx...) dok su DOS programi bezbedni.
Napomena : virus čistiti isključivo iz običnog DOS-a nikako iz DOS prozora.
virusi.599miskop,
>> Napomena : virus čistiti isključivo iz običnog DOS-a nikako iz DOS
A iz Windowsa ne može, a? ;)
virusi.601trpa,
Opet o CIH-u:
Citajuci vase poruke o CIH-u, rek'o ja ajde da proverim i ja da nemam mozda i
ja taj virus. Prvo probam program "Sfrem.exe" (sve po propisu, iz DOS-a i
to...) kad na moje veliko cudjenje on nadje 41 fajl zarazen i ocisti ga od
tudjinca. Kada sam ponovo dosao u Windows sve se rasturilo. Nije radio vise
Office (prijavljivao je da su neki fajlovi osteceni... itd.) ni Outlook
Express a ostalo nisam ni probao. Sredim ja to nekako, iskopiram fajlove iz
office-a na neko drugo mesto, poteram opet "sfrem.exe" on ponovo nadje viruse.
Znaci virusi su jos tu??? Probam ja jos neke AV programe, novijih verzija
(ovi sto su okaceni u konferenciji):
TBAV - 8.08
FSAV - 3.00 build 119
McAfee SCAN - 3109
i nijedan od tih programa ga ne prepoznaje?!?
Mozda to onda i nije bio virus???
Sta da radim?
virusi.602pecanac,
> Preko 60 fajlova je onaj CIH remover pronasao i cleanovao.
> Medjutim, sada mi isto tako, pola programa ne rade. ;(
Isti slučaj i kod mene, morao sam da instaliram OS ispočetka. :(
virusi.603kiki,
> ja taj virus. Prvo probam program "Sfrem.exe" (sve po propisu, iz DOS-a i
Možda je taj program jedan veliki "virus" :))
virusi.604miskop,
>> Znaci virusi su jos tu??? Probam ja jos neke AV programe, novijih verzija
>> (ovi sto su okaceni u konferenciji):
>> TBAV - 8.08
>> FSAV - 3.00 build 119
>> McAfee SCAN - 3109
>> i nijedan od tih programa ga ne prepoznaje?!?
Ja reko' da je najbolji AV program AntiViral Toolkit Pro, a ti
kao i ostali morate da sačekate da se file moderatori smiluju i
dovuku ga na Sezam. Ko ima Internet, neka skoči do www.avp.com i
pokupi program, kao i do Astalaviste po registraciju. ;)
Alo, moderatori, sad kad vam radi telnet, pa budite malo
aktivniji.
virusi.605miskop,
>>> Preko 60 fajlova je onaj CIH remover pronasao i cleanovao.
>>> Medjutim, sada mi isto tako, pola programa ne rade. ;(
>> Isti slučaj i kod mene, morao sam da instaliram OS ispočetka. :(
Pa naravno kad ste koristili DOS program. Imate AVP koji feno-
menalno radi. Kažem vam, zaboravite na McAffe i ostala sranja od
AV programa, AVP je zakon (www.avp.com) - trenutna verzija je
3.0 build 124, last update 3.10.98 - 24105 virusa.
virusi.606kiki,
> Alo, moderatori, sad kad vam radi telnet, pa budite malo
> aktivniji.
:)))))
virusi.607the.edge,
Da znas... to upravo i ja kazem...
Jako sumljam u ispravnost tog programa. Ja znam da kada bi opet pokrenuo
sfrem.exe da bi on OPET nasao viruse u ISTIM fajlovima kao i pre.
I ja bi opet morao da reinstaliram OS i ostalo.
AcCeSS DeNiED
virusi.608miskop,
>>> Alo, moderatori, sad kad vam radi telnet, pa budite malo
>>> aktivniji.
>> :)))))
Šta je tu toliko smešno?
virusi.609kiklop,
Evo i dugo cekanog Antiviral Toolkita Pro
Uz poruku je prikacena najnovija verzija za DOS.
-------------------------------------------------------------------------------
Short description of AVP features
Ě Detects and removes thousands of viruses and virus families
Ě Advanced accurate detection of Polymorphic viruses
Ě Virus searches within archives ZIP, ARJ, RAR, LHA, LZH, and ICE
Ě Extracts runtime compressed programs PKLITE, EXEPACK, DIET, LZEXE,
COMPACK, and COM2COM
Ě Virus searches within FX-LOCK, CPAV, and FILESHIELD immunized programs.
Ě Decrypts and searches within CRYPTCOM, CRYPTCOM-B, DROPPER-A, DROPPER-B,
DROPPER-C, DROPPER-D, ENCRCOM/EXE and PROTECT 4.0
Ě Detects and deactivates lives viruses active in memory
Ě Detects new previously unknown viruses
Content is copyright Central Command Inc. 1997. All rights reserved.
avpdevl.zipvirusi.610miskop,
Nešto više detalja o CIH-u:
Win95.CIH
----------------------------------------------------------------------
This is a Windows95 specific parasitic PE files (Portable Executable)
infector about 1Kbyte of length. This virus was found "in-the-wild" in
Taiwan in June 1998 - it was posted by the virus author to a local
Internet conference as a some utility. Within a week the virus was found
in Austria, Australia, Israel, United Kingdom, and was also reported
from several other countries (Switzerland, Sweden, USA, Russia, Chile
and the list keeps growing).
The virus installs itself into the Windows memory, hooks file access
calls and infects EXE files that are opened. Depending on the system
date (see below) the virus runs its trigger routine. The virus has bugs
and in some cases halts the computer when an infected application is run.
The virus' trigger routine operates with Flash BIOS ports and tries to
overwrite Flash memory with "garbage". This is possible only if motherboard
and chipset allow to write to Flash memory. Usually writing to Flash memory
can be disabled by a DIP switch, however this depends on the motherboard
design. Unfortunately, there are modern motherboards that cannot be
protected by a DIP switch - also, some of them do not pay attention for
switch position and this protection has no effect at all. Some other
motherboard designs provide write protection that can be disabled/overriden
by software.
During tests in our lab the virus did not overwrite the Flash BIOS and
just halted the computer. We do however have reports from other sources
telling that the virus really is able to mess it up.
The trigger routine then overwrites data on all installed hard drives.
The virus uses direct disk write calls to achieve this and bypasses
standard BIOS virus protection while overwriting the MBR and boot sectors.
There are three virus versions known, which are very closely related and
only differ in few parts of their code. They have different lengths, texts
inside the virus code and trigger date:
Length Text Trigger date Found In-The-Wild
1003 CCIH 1.2 TTIT on April 26th YES
1010 CCIH 1.3 TTIT on April 26th NO
1019 CCIH 1.4 TATUNG on 26th of any month YES - many reports
Technical details
While infecting a file the virus looks for "caves" in the file body.
These caves are a result of the PE file structure: all file sections
are aligned by a value that is defined in PE file header, and there
are not used blocks of file data between the end of previous section
and next one. The virus looks for these caves and writes its code into
them. The virus then increases the size of sections by the necessary
values. As a result the file length is not increased while infecting.
If there is a cave of enough size, the virus saves its code in one
section. Otherwise it splits its code into several parts and saves them
to the end of several sections. As a result the virus code may be found
as set of pieces, not as a single block in infected files.
The virus also looks for a cave in the PE header. If there is a not used
block not less than 184 bytes of length, the virus writes its startup
routine to there. The virus then patches the entry address in the PE
header with a value that points to the startup routine placed in the
header. This is the same trick that was used in the "Win95.Murkry"
virus: address of program entry points not to some file section, but
to file header - out of loadable file data. Despite this, infected
programs are run with no problems - Windows does not pay attention for
such "strange" files, loads the file header into the memory, then file
sections, and then passes control to the virus startup routine in PE
header.
When the virus startup routine takes control, it allocates a block of
memory by using the PageAllocate VMM call, copies itself to there,
locates other blocks of virus code and also copies them to allocated
block of memory. The virus then hooks system IFS API and returns control
to the host program.
The most interesting thing in this part of the virus code is that the
virus uses quite complex tricks to jump from Ring3 to Ring0: when the
virus jumps to newly allocated memory its code is then executed as
Ring0 routine, and the virus is able to hook the file system calls
(it is not possible in Ring3, where all users applications are run).
The IFS API virus handler intercepts only one function - file opening.
When PE .EXE files are opened, the virus infects them, provided there
are caves of enough size. After infection, the virus checks the file
date and calls trigger routine (see above).
While running its trigger routine the virus uses direct access to Flash
BIOS ports and VxD direct disk access calls (IOS_SendCommand).
virusi.611jujo,
# tudjinca. Kada sam ponovo dosao u Windows sve se rasturilo. Nije radio
# vise Office (prijavljivao je da su neki fajlovi osteceni... itd.) ni
# Outlook Express a ostalo nisam ni probao. Sredim ja to nekako, iskopiram
# fajlove iz office-a na neko drugo mesto, poteram opet "sfrem.exe" on
# ponovo nadje viruse.
# Znaci virusi su jos tu??? Probam ja jos neke AV programe, novijih
# verzija (ovi sto su okaceni u konferenciji):
Ja sam poslao f-sav za dos koji je freeware i on uspesno ubija CiH.
yooyo:
virusi.612the.edge,
Da li je neko uspeo da skine nov fp-def.zip sa ftp.complex.is (official F-prot
adresa)? Link je uuuuuuuuzasno spor... cps zna da padne i na 200. ;(
AcCeSS DeNiED
virusi.613pifat,
Oktobarski DAT update za McAfee Scan, engine 3.x
dat-3110.zipvirusi.614pavijan,
????????????????????????????????????????????????????????????????????????????
Da li je neko koristio sledeci program koji je preuzet sa Sezamfiles 98:
fsav95.exe 5.178.880 - F-Secure anti virus 4.01a 32bit demo
U programu je integrisan F-prot 2.28 i AVP 3.0 . Licno mislim da je ranije
program bio pod nazivom F-prot 95 Professional. Program je (nazalost)
vremenski ogranicen i kad istekne rok nemoze se ponovo koristiti vec posle
ponovne instalacije upucuje korisnika na adresu: www.datafellows.com
Ako neko ima KLJUCNO iskustvo neka se javi na mail. :))))))
Pozdrav od pavijana.
virusi.615miskop,
Poslednjih par dana se digla frka na Pro-u o virusu, tj. trojancu
BackOrifice-u. Kao prvo:
--------------
Upozoravaju se svi koji su na mail dobili poruku od izvesnog Nikole Simića
koji nudi komponente. Uz mail je zakačen i fajl "komponente.exe". Fajl
NIKAKO ne pokretati jer je zaražen trojancem Netbus koji je sličan
BackOrifice-u.
--------------
Za one koji ne znaju šta je BackOrifice, to je trojanac koji od vašeg
računara 'napravi' nešto nalik serveru. To omogućuje da vam bilo ko sa
Interneta vršlja po kompjuteru i može da radi šta hoće. Da lista fajlove,
briše, piše, pokupi sve lozinke, krahira računar itd. Inače to su tzv. BO
paketi i oni vam stižu od raznih hakera koji tako proveravaju da li imate
virus.
U poslednje vreme, ova 'pojava' je uzela maha i svakodnevno dok ste
na vezi je moguće da vam stižu PING-ovi sa raznih strana.
Najbitinije je da što pre nabavite najnovije update-ove za Virus
programe. Moja preporuka je AntiViiral Toolit Pro sa update-om od 31.10,
a njega možete da skinete sa www.avp.com.
Postoje programi, tzv. lovci na BO pakete. Jedan od njih je NOBO
program, koji kad se pokrene non-stop 'prisluškuje' da li neko pokusava da
upadne na računar i ako se tako nešto desi, on vas upozori i odmah šalje
kontru nepoželjnom posetiocu. ;)
Zvanični sajt kao i svi detalji o korišćenju programa NOBO možete
naci na:
http://web.cip.com.br/nobo/nobo_en.html Program je nije veliki ~70Kb.
** Uz ovu poruku je prikačen NOBO program **
Inače, evo i primera kad vas neko 'kontaktira' BO paketom (listing iz NOBO
programa):
6.11.98 23:01:56: BO packet (list passwords) from 194.106.173.69
(ppp69.sezampro.yu)
6.11.98 23:03:58: BO packet (list passwords) from 194.106.173.69
(ppp69.sezampro.yu)
6.11.98 23:13:31: BO packet (PING) from 194.106.173.73 (ppp73.sezampro.yu)
6.11.98 23:16:31: BO packet (PING) from 194.106.173.73 (ppp73.sezampro.yu)
6.11.98 23:26:07: BO packet (PING) from 195.29.231.88 (al1-p88-zg.tel.hr)
6.11.98 23:26:11: BO packet (PING) from 195.29.231.88 (al1-p88-zg.tel.hr)
6.11.98 23:31:18: BO packet (PING) from 195.29.231.88 (al1-p88-zg.tel.hr)
6.11.98 23:31:56: BO packet (get system information) from 195.29.231.88
(al1-p88-zg.tel.hr)
Za one koji još nemaju najnovije AntiVirus programe, evo i uputstva kako i
ručno da provere da li su 'zaraženi':
1. Proveriti da li u Windows\System direktorijumu postoji fajl .exe
(space tačka exe). Ovo je originalni naziv, ali on mo?e biti promenjen.
2. Startovati regedit i u ključu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices videti koji se programi startuju.
Naročito je sumnjiv pomenuti .exe
3. Ko ima Windows 98 neka startuje Start-Programs-Accessories-System tools-
System Information, pa zatim izabere System Configuration Utility.
Na kartici Startup se vide svi programi koji se automatski startuju
pri dizanju OS-a, pa samim tim i .exe ili neki drugi sumnjivi fajl.
nobo.zipvirusi.616miskop,
Uz poruku je dokumentacija o BackOrifice-u u HTML obliku. Pokre-
nuti bo.html. Ovde ćete naći kako je nastao BO, šta radi, kako se
detektuje na sistemu, kako se uklanja.
Download obavezan!
bo.zipvirusi.617banga,
> Upozoravaju se svi koji su na mail dobili poruku od izvesnog
> Nikole Simića koji nudi komponente. Uz mail je zakačen i fajl
> "komponente.exe". Fajl
Zar nije bio katalog.exe, oko 300kB ?
> programe. Moja preporuka je AntiViiral Toolit Pro sa update-om
> od 31.10, a njega možete da skinete sa www.avp.com.
Ok imam dotičnu verziju pod NT: Znam da detektuje BO, ali da li
detektuje i mutante kao što je verovatno NetBus ?
Koliko znam BO se instalira samo pod W9x, a za NetBus čini mi se da sam
pročitao da ide i na NT. Kod njega se servisi drukčije startuju u
registry-ju nego kod W9x, pa sledi pitanje za NT. Gde se kod NT zavuče u
registry ?
virusi.618obren,
> Poslednjih par dana se digla frka na Pro-u o virusu, tj. trojancu
> BackOrifice-u. Kao prvo:
Frka traje već mesecima širom sveta, samo što je izgleda sa malim
zakašnjenjem stigla i ovde. Inače vrlo detaljan prikaz trojanca "Back
Oriffice", kao i diskusija o načinu zaraze, simptomima i otklanjanju sa
računara, mogao se i još uvek se može naći u oktobarskom broju "Računara"
(broj 140).
U trenutku kada sam ispitivao program i pisao članak, ni jedan AV program
nije detektovao Back Oriffice, ali trenutno ga sigurno detektuje (bar) AVP
tako da preporučujem svima da nabave neki noviji antivirusni softver.
BTW, izgleda da je tekst, iako pisan s najboljom namerom da upozori na
opasnost, delimično poslužio i kao ideja raznoj dečurliji da skinu sa
Interneta "Back Oriffice" i da se zabavljaju... :(
> Postoje programi, tzv. lovci na BO pakete. Jedan od njih je NOBO
> program, koji kad se pokrene non-stop 'prisluškuje' da li neko pokusava
> da upadne na računar i ako se tako nešto desi, on vas upozori i odmah
> šalje kontru nepoželjnom posetiocu. ;)
Kako se snalazi NOBO ako je promenjen UDP port za komunikaciju, sa default
vrednosti 31337? Da li hvata i takve napade?
> BO packet (get system information) from 195.29.231.88 (al1-p88-zg.tel.hr)
^^^^^^^^^^^^^^^^^
Gde te nađe baš Hrvat... ;))
virusi.619banga,
> Kako se snalazi NOBO ako je promenjen UDP port za komunikaciju,
> sa default vrednosti 31337? Da li hvata i takve napade?
Jedino ako mu promeniš ručno default, što je i logično jer bi u
protivnom ometao normalne servise koji idu preko UDP
>> BO packet (get system information) from 195.29.231.88
>> (al1-p88-zg.tel.hr)
> Gde te nađe baš Hrvat... ;))
Koliko sam primetio u poslednja 2 dana napadi dolaze isključivo iz
Zagreba i Beograda (Eunet, Beotel i SezamPro).
Ko kaže da Tuđman i Milošević nisu u vezi ;)
virusi.620miskop,
>> Zar nije bio katalog.exe, oko 300kB ?
Jeste, moja greška. ;(
virusi.621miskop,
>>> BO packet (get system information) from 195.29.231.88 (al1-p88-zg.tel.hr)
>> ^^^^^^^^^^^^^^^^^
>> Gde te nađe baš Hrvat... ;))
Aaaaaaa, oni su možda čak i najbrojniji. ;) Za njima je odma' beotel,
pa sezampro i eunet.
Inače, ko bude registrovao BO 'napad', neka odmah šalje poruku na
abuse@eunet.yu
abuse@beotel.yu
abuse@sezampro.yu
u zavisnosti sa kog naloga je došao 'napad'. Na Pro-u su već vi-
dljivi rezultati jer je par naloga (koji su inače bili provaljeni, baš
uz pomoć BackOrifice-a) već blokirano.
Takođe preporučujem i neki od Nuke programa, da i vi uzvratite
silom. ;)
virusi.622djlucky,
Pozdrav svima,
preuzeo sam nobo i stoji port 31337.
Da li ce ovo sa ovim portom da sljaka ili moram da menjam port?
Nisam bas nesto upucen!
Inace moj "drug" je bas preuzeo neki program sa neta kojim moze
valjda da koristi taj BO ili slicno i za svaki slucaj bi da nadjem
taj nuke da ga malo sredim :)
Pa ajde reknite koji je taj nuke program i gde da ga nadjem?
E da na AVP.com ima anti virusa ali je sve to za 30 dana upotrebe
itd.
Da li negde ima da se uzme pa da sluzi "za uvek" ?
Pozdrav!
p.s.A ja uplacujem na Beotelu kad tamo najvise zaludnih usera!
virusi.623the.edge,
Imas li ti neki Nuke program i na koji princip radi? Rado bih ga probao. ;)
AcCeSS DeNiED
virusi.624saint,
=> Takode preporucujem i neki od Nuke programa, da i vi uzvratite
=> silom. ;)
Zar u Win98-ici nije popravljena greska koja je omogucavala
Nukovanje?
virusi.625obren,
> Ok imam dotičnu verziju pod NT: Znam da detektuje BO, ali da li
> detektuje i mutante kao što je verovatno NetBus ?
Danas sam bio na www.avp.com i kažu da program detektuje i NetBus, koji
uzgred nije mutant BO-a, već potpuno novi program (doduše "vrlo istih"
mogućnosti kao i Back Orifice) koji radi i pod NT-om. Ipak, rekao bih da
je Back Orifice za red veličine "popularniji" među hakerima.
> Koliko znam BO se instalira samo pod W9x, a za NetBus čini mi se da sam
> pročitao da ide i na NT. Kod njega se servisi drukčije startuju u
> registry-ju nego kod W9x, pa sledi pitanje za NT. Gde se kod NT zavuče
> u registry ?
U ključ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Fajl se obično zove 'patch.exe' ili 'SysEdit.exe', ali naravno možeš
da proveriš i sve druge instance koje deluju sumnjivo, mada je lakše
poterati AVP da on to pregleda, naročito kad ga već imaš :)
Takođe, port za komunikaciju je 12345 i ne može se konfigurisati, pa se
može iskoristiti komanda "netstat -an" i proveriti da li se dotični port
pominje u listi dok ste na vezi.
Za kraj, uz poruku je program sličan onom NOBO-u, samo za NetBus. Zove
se "NetBuster" a u arhivi je i nekoliko screenshot-ova programa koji
demonstriraju "cake" kojima ovaj defender raspolaže.
netbustr.zipvirusi.626djlucky,
Pozdrav,
posto mi je neko poslao bo paketice shvatio sam da NOBO radi (al
sam pametan a? ;) .Paketic je stigao sa Euneta cisto ako neko hoce
da zna!
E sad da li ja nesto mogu da uradim povodom toga i da saznam ko je
to stvarno jer IP broj mi ne znaci bas puno!
Inace sva pitanja iz prethoden poruke koju sam poslao su i dalje
aktuelna..............Ajde vi sto znate o ovom virusu nesto pisite!
Pozdrav
virusi.627miskop,
>> Imas li ti neki Nuke program i na koji princip radi? Rado bih ga probao.
Imam par komada i okačiću ih koliko danas-sutra.
Princip je krajnje jednostavan - Ukucaš (pejstuješ) neku IP adresu
i gotova stvar. Tip sa te adrese je mrtav - pukne mu veza, krahira
računar, a ti samo nakriviš kapu. ;) Naravno, samo ako on sa druge
strane nema neku zaštitu.
virusi.628miskop,
>> Zar u Win98-ici nije popravljena greska koja je omogucavala
>> Nukovanje?
Ne znam, ali da je to onemogućeno, ne bi moglo ni pingovanje
da se radi, tj. napad BO paketima...?
virusi.629miskop,
>> preuzeo sam nobo i stoji port 31337.
>> Da li ce ovo sa ovim portom da sljaka ili moram da menjam port?
To je OK.
virusi.630miskop,
>> Za kraj, uz poruku je program sličan onom NOBO-u, samo za NetBus. Zove
>> se "NetBuster" a u arhivi je i nekoliko screenshot-ova programa koji
>> demonstriraju "cake" kojima ovaj defender raspolaže.
Koja je verzija u pitanju?
Imam v1.12 pa ako je to to, da ne skidam džabe. ;)
virusi.631miskop,
>> posto mi je neko poslao bo paketice shvatio sam da NOBO radi (al
>> sam pametan a? ;) .Paketic je stigao sa Euneta cisto ako neko hoce
>> da zna!
>> E sad da li ja nesto mogu da uradim povodom toga i da saznam ko je
>> to stvarno jer IP broj mi ne znaci bas puno!
Ti lično ne možeš ništa, ali kao što sam ranije napisao, pošalji
mail na abuse@eunet.yu i navedi IP broj sa kog ti je stigao BO paket
i uljez će biti 'smaknut', najverovatnije.
>> Inace sva pitanja iz prethoden poruke koju sam poslao su i dalje
>> aktuelna..............Ajde vi sto znate o ovom virusu nesto pisite!
Uz poruku 6.616 sam okačio sve najbitnije o BO-u. Skini to i lepo
se 'informiši' o svemu. ;)
virusi.632miskop,
Central Command announces the discovery of the first HTML virus.
Central Command, the US and Canada Distributor of AntiViral Toolkit
Pro today announced that detection and removal of the worlds first
HTML virus has been added to AntiViral Toolkit Pro.
"Recently we have seen a shift in virus writing. The virus authors
are focusing on the World Wide Web as a means of infecting
unsuspecting users. With the discovery of WinScript.Rabbit last
week and today HTML.Internal we are seeing a changing virus
development strategy." Said Keith Peer, President of Central
Command.
This new virus searches for HTML files on local hard disks and
infects them. To replicate itself the virus uses inline script
routines written in Visual Basic. The virus will replicate only if
the browser security settings allows script routines to access disk
files.
The header of infected HTML file contains the reference for a script
which is the viruses main routine that is executed automatically
when a browser accesses the infected file. The virus searches for
all *.HTM and *.HTML files in the current and all parent directories
and infects them. While infecting the virus moves the file down and
writes itself to the beginning of the file without any damage for
the host file data.
The virus header contains the text ID-line:
<html> <!--1nternal-->
After infecting the virus displays the text to the Windows status
bar:
HTML.Prepend /1nternal
Detection and removal of HTML.Internal is available in the latest
version of AntiViral Toolkit Pro released on November 8, 1998.
Central Command has made time limited fully functional evaluation
versions of AntiViral Toolkit Pro available on it's web site at
http://www.avp.com.
About Central Command: Central Command Inc. is a privately held
international company headquarters in Brunswick, Ohio, USA. Founded
in 1990, the company specialized in anti virus protection products
and focuses on serving the industrial market place, government,
financial, educational institutions, and service industries.
For more information about Central Command Inc. visit our web site
at http://www.avp.com or contact Renee Barnhardt at renee@avp.com or
(330) 723-2062.
virusi.633obren,
> Koja je verzija u pitanju? Imam v1.12 pa ako je to to, da ne skidam džabe. ;)
Da, baš ta verzija je u pitanju.
virusi.634obren,
> >> Zar u Win98-ici nije popravljena greska koja je omogucavala
> >> Nukovanje?
>
> Ne znam, ali da je to onemogućeno, ne bi moglo ni pingovanje
> da se radi, tj. napad BO paketima...?
Pogrešno - sve sigurnosne rupe na koje se oslanjaju razni Nuke, TearDrop
i sl. programi, posledica su nemogućnosti operativnog sistema (naravno
usled baga) da se izbori sa nekim nepredviđenim situacijama, poput
neregularnog opsega (WinNuke) ili preklapajućih IP paketa od kojih se
formira IP datagram (u slučaju programa Teardrop). Dakle, ne radi se o
pristupu nekim "zabranjenim" portovima, već slanju "zabranjenih" podataka
na njih.
Operativni sistem bi morao da preživi sve podatke koji stižu do njega sa
Interneta, pa makar ih i ignorisao kao da nisu ni stigli. Naravno, neka
budala uvek može da nas "poplavi" sa megabajtom gluposti koji će da nas
ometa u radu zagušenjem korisnog protoka, ali sam OS ne bi smeo da skikne
zbog toga (plavi ekran i sl.) Slikovito rečeno, digitron ne sme da crkne
zato što si ti pokušao da deliš sa nulom, već bi trebalo samo da prijavi
odgovarajuću grešku.
Nisam probao WinNuke i TearDrop na Windowsu 98 (imam ih negde narezane
sigurno, ali mrzi me da prekopavam po diskovima), ali bilo bi idiotski
da Microsoft nije ispravio bagove koji su poznati već više od godinu
dana. Izašle su svojevremeno zakrpe za WinNuke i TearDrop, kako za Win95
tako i za WinNT, pa bi bilo zaista čudno da nisu primenjene u slučaju
Windowsa 98. No, ništa nas ne sme iznenaditi kad je Microsoft u pitanju! ;)
virusi.635dr.iivan,
> > Kako se snalazi NOBO ako je promenjen UDP port za komunikaciju,
> > sa default vrednosti 31337? Da li hvata i takve napade?
>
> Jedino ako mu promeniš ručno default, što je i logično jer bi u
> protivnom ometao normalne servise koji idu preko UDP
A koji servisi idu preko tog porta?
virusi.636dr.iivan,
> Takođe, port za komunikaciju je 12345 i ne može se konfigurisati, pa se
> može iskoristiti komanda "netstat -an" i proveriti da li se dotični port
> pominje u listi dok ste na vezi.
A zar neki firewall program ne rešava stvar? Samo se zatvori dotični port.
virusi.637dr.iivan,
> >> Zar u Win98-ici nije popravljena greska koja je omogucavala
> >> Nukovanje?
>
> Ne znam, ali da je to onemogućeno, ne bi moglo ni pingovanje
> da se radi, tj. napad BO paketima...?
Nije tačno, tj. ne mora da znači. Neka me ispravi neko, ako više zna,
pošto ja ne znam šta tačno radi taj BO.
Inače, ni ja 100% ne znam da li je nuke bag ispravljen u Win98, ali bi
bilo suludo da nije, pošto je Microsoft još za vreme Win95 izbacio
WinSock Upgrade, koji ispravlja taj bag. Nije valjda to zaboravio da
popravi u Win98?
virusi.638banga,
>> registry-ju nego kod W9x, pa sledi pitanje za NT. Gde se kod
>> NT zavuče u registry ?
> Fajl se obično zove 'patch.exe' ili 'SysEdit.exe', ali naravno
U međuvremenu sam svratio i do sajta koji prati BO i NetBus i sve
njihove verzije
http://www.nwi.net/~pchelp/bo.html
gde su u sitna crevca opisana oba. Ustvari NetBus je stariji brat, a BO
je nastao tako što je čovek kao napravio prostu remote administraciju za
W95 (pazi bez lozinke i bez ikakvog obaveštenja) i objavio na svom
sajtu. Sve o oba Trojanca i više se može naći na gore pomenutom sajtu.
NOBO imam uključen pod NT i obaveštavam abuse@sezampro/eunet o napadima,
koji su već prilično retki, ali su se meni desili prošle noći sa Euneta
i iz Zagreba. Naravno da kao reply ne koristim nikakv nuke ili slično,
samo default poruku.
Ovo je po meni jedini pravi način za borbu protiv napadača, bez obzira
sa koje strane dolaze.
A AVP je tu, ažuriran i pazi na higijenu :)
> se "NetBuster" a u arhivi je i nekoliko screenshot-ova programa
> koji demonstriraju "cake" kojima ovaj defender raspolaže.
Imam već i NetBuster, ali mi se učinilo da je on pravljen samo za "tuk
na luk".
Svejedno skinuću ovo zbog ScreenShot-ova da ga malo bolje upoznam, jer
onaj gore opširni sajt nisam imao vremena u detalje da proučavam.
virusi.639banga,
> E sad da li ja nesto mogu da uradim povodom toga i da saznam ko
> je to stvarno jer IP broj mi ne znaci bas puno!
Uključi u options opciju log, pa uradi copy-paste na abuse@EUnet.yu,
abuse@sezampro.yu ili abuse@beotel.yu gde ti se učini da je
najprikladnije. U svakom slučaju oni sarađuju među sobom i napadi kako
iz Beograda tako i iz Zagreba su se drastično smanjili kao rezultat te
akcije.
virusi.640banga,
> računar, a ti samo nakriviš kapu. ;) Naravno, samo ako on sa
> druge strane nema neku zaštitu.
Ili W98 koliko sam shvatio, samo to nije pravi način borbe, po mom
mišljenju.
virusi.641obren,
>> Takođe, port za komunikaciju je 12345 i ne može se konfigurisati, pa se
>> može iskoristiti komanda "netstat -an" i proveriti da li se dotični
>> port pominje u listi dok ste na vezi.
>
> A zar neki firewall program ne rešava stvar? Samo se zatvori dotični port.
Rešava, ali koliko ljudi znaš da koriste firewall dok surfuju? ;)
virusi.642ventura,
> > racunar, a ti samo nakrivis kapu. ;) Naravno, samo ako on sa
> > druge strane nema neku zastitu.
>
> Ili W98 koliko sam shvatio, samo to nije pravi nacin borbe, po mom
> misljenju.
Najvisem rzim ljude koji koriste ovakve i sl. programe... a hvale se
da su vrsni 'hakeri'. Tj. nemam nista protiv stavise, da se protiv nekoga
ko jede govna ponekad i upotrebi nuker ili sta vec... ali mi se par
puta desavalo da radim nesto na mojoj prezentaciji, kad mi se javlja neki
majmun sa ICQ-a, sa porukama 'I'll kill you... If Ya mes with the best,
youll die like rest' i slicnim forama iz holivudskih limunada... Takvi
trebaju da se pobiju bez razmisljanja... I jos ako mi probije FireWall
onda popizdim... Par puta sam bio primoran da im brisem diskove, imao
sam jedan slucaj, neki tip iz izraela (13-14 godina) me je stalno zajebavao
na ICQ-u nukovao, i kada sam popizdio logovo sam se na njegov hard,
i obriso sve open share direktorijume... Otada se smirio...
Uopste treba iskoreniti sve koji sebe proglasavaju za 'hakere' a neznaju
sta je recimo... BBS...
BTW Win98 se nukuje lakse od 95!
ono 'Drzi vodu dok majstori odu...'
virusi.643dr.grba,
>> Princip je krajnje jednostavan - Ukucaš (pejstuješ) neku IP adresu
>> i gotova stvar. Tip sa te adrese je mrtav - pukne mu veza, krahira
>> računar, a ti samo nakriviš kapu. ;) Naravno, samo ako on sa druge
>> strane nema neku zaštitu.
Samo vi skakućite po ICQ...
virusi.644dr.grba,
>> This new virus searches for HTML files on local hard disks and
>> infects them. To replicate itself the virus uses inline script
>> routines written in Visual Basic. The virus will replicate only if
>> the browser security settings allows script routines to access disk
>> files.
Nešto mi se ovde ne slaže. Čini mi se da priča ne pije vodu.
Hajde da se preslišamo: da li postoji JavaScript, JScript ili
VBScript metoda koja može da piše po disku? Nešto se ne sećam.
virusi.645johnnya,
>> BTW Win98 se nukuje lakse od 95!
>> ono 'Drzi vodu dok majstori odu...'
A kako se drži Win3.11 ? Na njega su svi zaboravili ...
Ili važi ono, ako hoćeš miran Internet koristi Win3.x :)
virusi.646rdejan,
>> Hajde da se preslišamo: da li postoji JavaScript, JScript ili
>> VBScript metoda koja može da piše po disku? Nešto se ne sećam.
Sami skriptovi nemaju tu mogućnost, ali mogu se ActiveX
komponenti dodeliti DAO rutine (Data Access Objects), koje
znaju da brljaju po disku. Ovo je stara "fora", a i browseri se
mogu konfigurisati da su otporni na ActiveX zezalice.
Pozdrav, Dejan
virusi.647djlucky,
Zanima me na koje sve nacine "hakeri" mogu da saznaju moj ip broj i
samim tim da upotrebe BO?
I koliko vidim centar zbivanja ja ICQ!
Da li postoji neka mogucnost da se to sredi i da se ja zastitim?
Pozdrav!
virusi.648obren,
> Zanima me na koje sve nacine "hakeri" mogu da saznaju moj ip broj i
> samim tim da upotrebe BO?
>
> I koliko vidim centar zbivanja ja ICQ!
> Da li postoji neka mogucnost da se to sredi i da se ja zastitim?
Ako nisi zarazen Back Orificeom (koji ume da javi napadacu tvoj IP kad
se nakacis na Internet) i ne koristis ICQ, tesko je da neko sazna bas
tvoj IP broj. Moze jedino da pinguje ceo opseg adresa koje pripadaju
nekom provajderu, pa da tako dodje i do tvoje.
virusi.649pavijan,
> >> Imas li ti neki Nuke program i na koji princip radi? Rado bih ga probao.
>
> Imam par komada i okacicu ih koliko danas-sutra.
>
> Princip je krajnje jednostavan - Ukucas (pejstujes) neku IP adresu
> i gotova stvar. Tip sa te adrese je mrtav - pukne mu veza, krahira
> racunar, a ti samo nakrivis kapu. ;) Naravno, samo ako on sa druge
> strane nema neku zastitu.
______________________________
Ovo ne da mi treba nego nije normalno. Imam uljeza a neznam kako da ga
otkacim? Za pocetak moram da otkacim ICQ kao nepouzdan program ali da li
to nesto menja stvar? Ovo mi se prikazalo u NOBO programu, danas kad sam
se konektovao na internet:
*******************************************************************************
*************
12-11-98 14:15:12 PM: NOBO start listening on port 31337
12-11-98 14:18:21 PM: BO packet (PING) from 195.252.116.41
(M41.BankerInter.net)
12-11-98 14:18:21 PM: Fake PING reply sent to 195.252.116.41
12-11-98 14:18:42 PM: BO packet (list passwords) from 195.252.116.41
(M41.BankerInter.net)
12-11-98 14:18:42 PM: Reply sent to 195.252.116.41
*******************************************************************************
*************
Sta sad?
Pozdrav od pavijana.
P.S. Odradio sam detekciju virusa kroz nekoliko programa nijedan nije
nasao nista.
- Antiviral toolkit pro for Win 95 version 3.0 build 123
- Antiviral toolkit pro for Dos version 3.0 build 124
kod ovog mi stalno prijavljuje odranije avp9808.avc 0% - base not loaded.
Low memory. - imam 64Mb rama ???
- F-prot 302a
virusi.650dr.grba,
>>>> Hajde da se preslišamo: da li postoji JavaScript, JScript ili
>>>> VBScript metoda koja može da piše po disku? Nešto se ne sećam.
>>
>> Sami skriptovi nemaju tu mogućnost, ali mogu se ActiveX
>> komponenti dodeliti DAO rutine (Data Access Objects), koje
>> znaju da brljaju po disku. Ovo je stara "fora", a i browseri se
>> mogu konfigurisati da su otporni na ActiveX zezalice.
E, tako, naravno da može. Ali, u onoj poruci je bilo reči o inline
kodu u HTML sadržaju - i to me je ponukalo da reagujem.
virusi.651juice,
@> Ovo ne da mi treba nego nije normalno. Imam uljeza a neznam kako da ga
@> otkacim? Za pocetak moram da otkacim ICQ kao nepouzdan program ali da
@> li to nesto menja stvar? Ovo mi se prikazalo u NOBO programu, danas kad
@> sam se konektovao na internet:
@>
@> ************************************************************************
@> ******* *************
@> 12-11-98 14:15:12 PM: NOBO start listening on port 31337
@> 12-11-98 14:18:21 PM: BO packet (PING) from 195.252.116.41
@> (M41.BankerInter.net)
@> 12-11-98 14:18:21 PM: Fake PING reply sent to 195.252.116.41
@> 12-11-98 14:18:42 PM: BO packet (list passwords) from 195.252.116.41
@> (M41.BankerInter.net)
@> 12-11-98 14:18:42 PM: Reply sent to 195.252.116.41
@> ************************************************************************
@> ******* *************
@>
@>
@> Sta sad?
Pridruzujem se pitanju, sta sad?
Naime, ja nit sam sta skidao sa Ineta niti sam sta radio, uglavnom BO se
pojavio a sa njim i ucestali napadi sa Euneta (poslat mail na abuse) i iz
Engleske.
Osim ovog simptomaticnog -list passwords- desava se i -dir c:\*.*- .
Posto vise necu da se kacim na Inet dok ne sredim ovo, molio bih nekoga
ko zna da mi objasni sta uopste ovaj virus moze da mi uradi?????????
Takodje, kako ja mogu nekoga da #@$~$!!! ako on ima ovaj virus?
Pozdrav!
virusi.652ventura,
> *****************************************************************************
> *************
> 12-11-98 14:15:12 PM: NOBO start listening on port 31337
Nobo se startuje.
> 12-11-98 14:18:21 PM: BO packet (PING) from 195.252.116.41
> (M41.BankerInter.net)
Neko pokusava da nadje bilo koga sa BO
> 12-11-98 14:18:21 PM: Fake PING reply sent to 195.252.116.41
Nobo maskira tvoj ip
> 12-11-98 14:18:42 PM: BO packet (list passwords) from 195.252.116.41
> (M41.BankerInter.net)
stize paket koji islistava passove (ukoliko radis na unixu)
> 12-11-98 14:18:42 PM: Reply sent to 195.252.116.41
nobo salje upozorenje...
> *****************************************************************************
> *************
> Sta sad?
pa nista, nemoze ti nista jer imas nobo... ali moze da te zajebe preko
telneta...
> P.S. Odradio sam detekciju virusa kroz nekoliko programa nijedan nije
> nasao nista.
idi na www.symantec.com i odatle skini patch
virusi.653miskop,
>> Samo vi skakućite po ICQ...
Uopšte nije do ICQ...
virusi.654miskop,
>> Zanima me na koje sve nacine "hakeri" mogu da saznaju moj ip broj i
>> samim tim da upotrebe BO?
Evo kopije poruke sa Pro-a:
================================
Sezam, Problemi.6564, diba
(4.6564) Sub 07/11/1998 14:01, 368 chr
Odgovor na 4.6557, misko.p, Sub 07/11/1998 13:15
:: Re: "Back Orifice" trojanac
----------------------------------------------------------------
>I još nešto... Kako uopšte neko može da sazna moj IP broj? (Nisam
>pokrenuo ICQ, niti ga imam instaliranog)?
Pa, niko i ne trazi TVOJ IP broj. Jednostavno nadju grupu brojeva koju
terminal serveri daju dial-in korisnicima recimo 199.13.41.x (x je
promenljiva) i onda pinguju ceo opseg (0-255). Ako se neko slucajno nadje
sa
BO klijentom, eto veselja.
------------------------------------------------- 4.6564 --
virusi.655obren,
> Ovo ne da mi treba nego nije normalno. Imam uljeza a neznam kako da ga
> otkacim? Za pocetak moram da otkacim ICQ kao nepouzdan program ali da
> li to nesto menja stvar? Ovo mi se prikazalo u NOBO programu, danas kad
> sam se konektovao na internet:
>
> 12-11-98 14:15:12 PM: NOBO start listening on port 31337
> 12-11-98 14:18:21 PM: BO packet (PING) from 195.252.116.41
Nema razloga za brigu - nisi zaražen, već je samo NOBO detektovao nečiji
pokušaj napada na tvoj računar.
virusi.656rdejan,
>> E, tako, naravno da može. Ali, u onoj poruci je bilo reči o inline
>> kodu u HTML sadržaju - i to me je ponukalo da reagujem.
Dotični kod je neophodan da bi se pokrenuo DAO, te se pod
pojmom širenja virusa verovatno podrazumeva kopiranje, kako
dotičnog koda, tako i celog ActiveX P-koda.
A ako se zaista radi SAMO o html kodu, onda je uzbuna lažna.
<root>
<delete /sub>
</root>
;) (ko zna, možda jednog dana osvane sličan kod)
Pozdrav, Dejan
virusi.657pavijan,
> stize paket koji islistava passove (ukoliko radis na unixu)
> > 12-11-98 14:18:42 PM: Reply sent to 195.252.116.41
> nobo salje upozorenje...
> > *************
> > Sta sad?
>
> pa nista, nemoze ti nista jer imas nobo... ali moze da te zajebe preko
> telneta...
______________________________
Ovo gore deluje utesno a kako preko telneta mislim kakva je zastita sa te
strane - u dve reci ako ti nije tesko?
Pozdrav od pavijana.
P.S. Mogao bi neko ko je zaduzen (recimo moderator) da odradi malo po obovi
programa za zastitu od.....
Izasao novi F-prot 3.03 (pre nekog vremena) evo sta je novo:
We have made some improvements to F-PROT since the release of the previous
version:
* We have added scanning of Java .class files, as well as some Java
heuristics.
* We have added fast unpacking of PKLITE-compressed files.
* F-PROT now scans .VOM and .VXE files by default, as they might be
renamed virus-infected files.
* Scanning of Excel files is now significantly faster than before,
in particular when scanning files across a newtwork.
* We have speeded up the scanning of several slow files, including
the following: SETUPDD.SYS, LOGO.SYS (from Windows '98)
Some problems were found and solved after version 3.02 was released:
* The program would crash if the ZIP/ARJ nesting level was too deep,
for example is, if you had an .ARJ file inside a .ARJ file, inside a .ARJ
file.....for over 170 levels. This is not a realistic problem,
but we actually received one file, containing around 180 levels of
archives.
* There appears to be a problem with the handling of long file names
in Windows '98, resulting in random crashes after running some DOS
programs (like F-PROT) that use long file names. Until Microsoft
fixes this (assuming they bother to do so) we have disabled the
display of long file names when F-PROT is running under Windows '98.
(Note that the problem does not occur under Windows '95).
We have of course added detection/disinfection of more viruses, bringing
the total number of viruses and destructive programs that F-PROT
recognizes to over 22.000
The F-STOPW program is now included in a separate archive, named
F-STOPW.ZIP, but please note that this archive must be unpacked in the
same directory as the one containing the SIGN.DEF and MACRO.DEF files from
the main archive.
virusi.658ranx,
> Princip je krajnje jednostavan - Ukucaš (pejstuješ) neku IP adresu
> i gotova stvar. Tip sa te adrese je mrtav - pukne mu veza, krahira
Ima li leka nukovanju?
virusi.659miskop,
>> Osim ovog simptomaticnog -list passwords- desava se i -dir c:\*.*- .
>> Posto vise necu da se kacim na Inet dok ne sredim ovo, molio bih nekoga
>> ko zna da mi objasni sta uopste ovaj virus moze da mi uradi?????????
Taj 'virus' može svašta da ti uradi, a tebi preporučujem da što
pre nabaviš AVP (sa updateom od 8. nov) i proveriš disk.
A šta sve može da ti uradi to si valjda pročitao u prethodnim poru-
kama ili si spavao na času? ;)
Samo još nešto da kažem, da ako niste sigurni da li ste zaraženi,
probajte da pokrenete onaj NOBO program. Ako ga uspešno pokrenete,
sigurno ste čisti jer NOBO se 'kači' na port na koji se kači i pra-
vi BO i ustvari ga simulira. Znači, ako ste 'zaraženi', NOBO program
nećete ni uspeti da pokrenete.
virusi.660dr.grba,
>> <root>
>> <delete /sub>
>> </root>
>>
>> ;) (ko zna, možda jednog dana osvane sličan kod)
Prema XML specifikaciji, ovakve stvari će biti moguće (:
virusi.661pavijan,
Pazi, pazi, opet.... :<
14-11-98 10:48:36 AM: NOBO start listening on port 31337
14-11-98 11:15:54 AM: BO packet (PING) from 195.178.50.60 (dial-30.cent.co.yu)
14-11-98 11:15:54 AM: Fake PING reply sent to 195.178.50.60
C,c,c,... al' si nisLije umisljaju? :<<<<<<<
DAJTE BRE NESTO ZA REVENGE. ;>>>>>>>>
Pozdrav od pavijana.
P.S. Je l' imao jos neko ovakva iskustva il' samo ja saljem ovakve poruke???
virusi.662juice,
@> Samo jos nesto da kazem, da ako niste sigurni da li ste zarazeni,
@> probajte da pokrenete onaj NOBO program. Ako ga uspesno pokrenete,
@> sigurno ste cisti jer NOBO se 'kaci' na port na koji se kaci i pra-
@> vi BO i ustvari ga simulira. Znaci, ako ste 'zarazeni', NOBO program
@> necete ni uspeti da pokrenete.
@>
Pa tako mi kazi ;)))))
Uhhhhhhhhhhhhhhh ;)
Pozdrav!
virusi.663miskop,
Evo teksta Dejana Ristanovića iz "PC"-ja a tiče se Back Orifice-a:
(preuzeto sa www.pcpress.co.yu)
------------------------------------------------------------------
Čuvajte se Back Orifice-a!
Jedan trojanac ozbiljno ugrožava korisnike Interneta: Back Orifice je
prava tempirana bomba koja, ako ste zaraženi, omogućava bilo kom
zlonamernom hakeru u svetu da radi šta god hoće sa vašim računarom.
Opasnost je itekako realna, jer je Back Orifice prisutan i u našim
krajevima...
Dejan Ristanović
Pre dva meseca časopis "PC" je pisao o Back Orifice trojancu, ali tada
je program izgledao kao jedna od mnogih pretnji koje, srećom, retko
postaju realnost; otprilike kao neki od mnogih sigurnosnih propusta
Internet Explorer-a. U međuvremenu su stvari postale ozbiljne: mnogi
korisnici Interneta žale se da ih nepoznati hakeri, iz zemlje iz
inostranstva, po više puta dnevno "skeniraju" tražeći Back Orifice
na njihovom sistemu, a oni koji su na tu "minu" već naleteli, možda
i ne znaju šta ih sve snalazi. Zato opasnost treba shvatiti veoma
ozbiljno i odmah preduzeti zaštitne mere.
Šta je Back Orifice?
Opasnost, za početak, treba razumeti: Back Orifice je program koji je
napisala hakerska grupa "Kult mrtve krave" (The Cult of Dead Cow).
Program je dobro napisan i, naoko, koristan: omogućava daljinsko
upravljanje računarom na koga je instaliran. Programe slične namene
prave i mnoge renomirane firme i oni su osnova mnogih intranet sistema.
Međutim, Back Orifice je namerno pisan tako da se instalira lako, kao
virus, bez ikakvih kontrolnih pitanja, i omogućava spoljnu kontrolu
udaljenog računara bilo kome, bez navođenja lozinke ili bilo kakve
sigurnosne provere. Osim toga, program se ne pojavljuje u listi taskova,
a i samo ime fajla je sakriveno - obično se vidi kao .EXE, bez prvog
dela naziva. Kada se tome doda uslužni program koji omogućava da se
Back Orifice pridoda bilo kom drugom, klasičnom programu, jasno je da
priče autora o navodnim "najboljim namerama" predstavljaju tek pokušaj
izbegavanja odgovornosti - ovo je prvi ovako opasan program čiji je
autor poznat, pa će to verovatno biti i test za (američki) pravosudni
sistem.
Jedini način da se zarazite Back Orifice-om jeste da startujete neki
program zaražen njim. To može da bude uslužni program koji ste preuzeli
sa Interneta, piratski CD, program koji ste dobili od poznanika, pa čak
i "novi alat koji uklanja Back Orifice". Sećajući se ranijih situacija
kada su se virusi nalazili čak i na disketama sa drajverima koji su
stizali uz neke (manje poznate) uređaje, ne treba isključiti ni ovaj
vid širenja virusa. Ukratko, svaki novi program koji stigne treba
pažljivo testirati pre upotrebe. Ni to vam, nažalost, ne garantuje
potpunu bezbednost, jer se već pojavljuju i "mutacije" Back Orifice-a.
Ako startujete zaraženi program, u vaš sistemski direktorijum biće
prekopiran Back Orifice Server čije će ime obično biti .EXE (mada onaj
ko je pripremao "bombu" može da izabere i bilo koje drugo ime), dok će
program koji je nosio na sebi parazita nastaviti da radi sasvim normalno,
pa verovatno nećete ni primetiti šta se dogodilo. Back Orifice Server se
automatski aktivira pri svakom sledećem startovanju računara, kao servis
naveden u registry bazi, u okviru ključa:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Kako ga hakeri pronalaze?
Instalirani Back Orifice Server, sam po sebi, ne predstavlja nikakvu
smetnju za rad računara. Problemi počinju kada se priključite na Internet:
server tada "osluškuje" saobraćaj na portu 31337 (mada može biti konfigurisan
i da osluškuje bilo koji port) i čeka da mu se javi "gospodar". "Gospodar"
ne mora da bude onaj ko vam je podmetnuo virus - bilo koji haker na svetu
može da "nanjuši" Back Orifice na vašem računaru i preuzme kontrolu nad
njim. Postoji i mogućnost da neko spremi Back Orifice specijalno za vas
(u kom slučaju će samo on moći da ga kontroliše, navodeći odgovarajuću
lozinku), ali ste u većini slučajeva otvoreni za bilo čije napade.
Hakeri razmerno lako pronalaze računare zaražene Back Orifice-om: znajući
liste IP adresa koje provajderi dodeljuju korisnicima (tzv. IP pool), oni
pokreću program koji skenira te adrese jednu po jednu, u potrazi za žrtvom.
Čim naiđu na takav računar, preuzimaju kontrolu nad njim i "igra" počinje...
Nemojte misliti da se to dešava samo nekom drugom: preuzmite i startujte
program NOBO (web.cip.com.br/nobo/) koji će biti rezidentan i pratiti vaš
saobraćaj sa Internetom, uočavajući trenutak kada vas neko "skenira".
Začudićete se kada vidite koliko vas puta skeniraju, sa dial-in linija
domaćih provajdera, iz Hrvatske, iz Amerike...
Haker koji vas je pronašao preuzima kontrolu nad vašim računarom koristeći
tekstualni ili grafički Back Orifice klijent koji je, zajedno sa serverom,
lako dostupan na Internetu. Posle toga... sve je moguće!
Šta vam može?
Najjednostavnija, ali ne nužno i najneprijatnija stvar koja vam se može
desiti jeste da haker naprosto "počisti" sadržaj vašeg diska, uništavajući
vaše podatke, programe i sve ostalo. Maliciozniji hakeri svakako neće početi
od toga: pregledaće vaš disk, preneti programe i fajlove koji ih zanimaju,
možda selektivno uništavati vaše podatke ili ih neprimetno menjati, slati
elektronsku poštu u vaše ime, blokirati povremeno vaš računar...
Naročito su neprijatne posledice kod računara koji su već umreženi: haker
preko takvog računara može dobiti pristup do mrežnih resursa (u lokalnim
mrežama, naročito u manjim firmama, svi diskovi su obično pristupačni svim
korisnicima), a sigurno će biti pročitani svi fajlovi sa keširanim lozinkama
koje postoje na vašem računaru. Haker će tako saznati vašu lozinku kod
Internet provajdera, pa će trošiti vaše vreme i, što je još gore, verovatno
drugima praviti štetu u vaše ime. Računar zaražen Back Orifice-om jednostavno
nije više samo vaš.
Ako računar koristite za pristup nekim osetljivim informacijama i lozinke
za takav pristup biće lako dešifrovane. Jer, Back Orifice je otvoren
protokol: sposobniji haker može da napiše plug-in kojim će povećati njegovu
"funkcionalnost" i prilagoditi ga konfiguraciji vaše mreže.
Kako da se zaštitite?
Na Mreži ćete pronaći mnoge programe koji detektuju i uklanjaju Back Orifice.
Neki od njih su pogodni alati, drugi su samo zamka preko koje Back Orifice
dolazi na vaš računar. Pročitaćete i mnogo saveta koji kažu da treba
pretražiti direktorijum Windows\System ili registry bazu, ali za početnika
je najjednostavnije da se opredeli za zaokruženo rešenje: antivirusni program.
Nevolja je samo u tome što isključivo najnovije verzije antivirusnih programa
otkrivaju Back Orifice: stare verzije treba najpre dopuniti novim definicijama
virusa, što nije uvek jednostavna operacija. Zato preporučujemo da odavde
preuzmete AntiViral Toolkit Pro (bitno je da to bude najnovija verzija - neke
starije možda ne detektuju ovaj virus), da ga instalirate i da on bude stalno
aktivan. Posle toga, spavaćete mnogo mirnije.
Druga mogućnost zaštite je da odmah pređete na Windows NT - Back Orifice
server je za sada napisan samo za Windows 95/98, a NT je i inače daleko
"čvršći" i sigurniji operativni sistem. Čak i korisnici NT-a, međutim,
treba da budu na oprezu, jer se lako može pojaviti Back Orifice (ili neki
sličan program) i za njega. Zato treba koristiti samo originalni softver
iz proverenih izvora, koristiti najnoviju verziju antivirusnog softvera
i, ako sve to zakaže, uvek imati ažuran backup.
virusi.665goxi,
>> preuzmete AntiViral Toolkit Pro (bitno je da to bude najnovija verzija -
neke
Zna li neko gde mogu da nadjem taj AntiViral Toolkit Pro (moze i adresa na
Internetu) ???
Goran.
virusi.666banga,
> Zna li neko gde mogu da nadjem taj AntiViral Toolkit Pro (moze
> i adresa na Internetu) ???
www.avp.com
virusi.667goxi,
>> www.avp.com
Hvala, ali snasao sam se i sam...Da neznas na kojoj adresu mogu da nadjem
razne crack-ove...izmedju ostalih i za AVP ???
P.S. neznas=ne znas :)
Goran.
virusi.668miskop,
>> Zna li neko gde mogu da nadjem taj AntiViral Toolkit Pro (moze i adresa na
>> Internetu) ???
www.avp.com
virusi.669mindcrime,
>> www.avp.com
Go> Hvala, ali snasao sam se i sam...Da neznas na kojoj adresu mogu da
Go> nadjem razne crack-ove...izmedju ostalih i za AVP ???
Go> P.S. neznas=ne znas :)
Probaj astalavista.box.sk, to ti je search engine za crackove i slicne
zezancije.
virusi.670kara,
Pozdrav !
Jutros na Inetu NOBO mi je registrovao ovako neshto :
30/11/98 3:09:23 BO packet (PING) from 209.223.82.48
30/11/98 3:09:23 fake PING reply sent to 209.223.82.48
...pa bi bio zahvalan (veoma) ako mi objasnite shta se desilo...
Jel sve u redu..?
Unapred zahvaljujem..
virusi.671ventura,
> 30/11/98 3:09:23 BO packet (PING) from 209.223.82.48
> 30/11/98 3:09:23 fake PING reply sent to 209.223.82.48
pa nista... neko je pokusao da pristupi tvom kompu ali nije mogao...
virusi.672spantic,
> Pridruzujem se pitanju, sta sad?
>
> Naime, ja nit sam sta skidao sa Ineta niti sam sta radio, uglavnom BO se
> pojavio a sa njim i ucestali napadi sa Euneta (poslat mail na abuse) i iz
> Engleske.
> Osim ovog simptomaticnog -list passwords- desava se i -dir c:\*.*- .
Ne događa se najverovatnije baš ništa. Ja imam gotovo uputstvo
vezano za BO spremljeno za naše korisnike (EUnet), ali ga naš
web tim još nije stavio (to rade zadnjih mesec dana).
Svega ovoga ne bi bilo da je Pera otišao u policiju, ili da dva
nazovi računarska časopisa kod nas, pogotovo onaj glupi i ne baš
tačni prikaz u SK, nisu objavila priču o njemu. Posle čega je masa
napaljenih klinaca dobila ideju da su "hakeri".
NOBO simulira Back Orifice server i napadač misli da je našao
idealnu žrtvu. Otud i pokušaj da nešto uradi. U stvarnosti
napadač je frustriran, jer mu ne ide od ruke.
Mana NOBOa je što može da skenira samo jedan port istovremeno,
dok BO može da se podesi na širok spektar.
Srećom, ovdašnji nisu baš toliko pametni.
Korisnici EUneta su sigurno primetili da baš nema nešto
napada BO. Blokiramo ih, s tim što se napadači registruju.
Naravno, problem sa BO time nije rešen.
Inače, nije tačno da NOBO ne može da se startuje ako je
računar inficiran sa BOom. Kao što je primetio njegov autor
na svom webu, može.
virusi.673obren,
> Ja imam gotovo uputstvo vezano za BO spremljeno za naše korisnike (EUnet),
> ali ga naš web tim još nije stavio (to rade zadnjih mesec dana).
>
> Svega ovoga ne bi bilo da je Pera otišao u policiju, ili da dva
> nazovi računarska časopisa kod nas, pogotovo onaj glupi i ne baš
> tačni prikaz u SK, nisu objavila priču o njemu. Posle čega je masa
> napaljenih klinaca dobila ideju da su "hakeri".
Nisu dva, nego (bar) tri časopisa - tekstovi o Back Orifice trojancu
su objavljivani i u "PC"-u i "Računarima" i "Svetu Kompjutera". Za
"Mikro" ne znam, ali je vrlo verovatno da je i on, tj. PCW pisao o BO-u.
Teza da su tekstovi u časopisima glavni krivci za epidemiju jednostavno
ne drži vodu. Ne verujem da su u Hrvatskoj, odakle dolazi veliki deo
napada, saznali za BO čitajući ovdašnje časopise. Uostalom zašto kačite
na EUnetu to uputstvo, na taj način će svakako i neko ko ne treba saznati
za BO i verovatno doći na ideju da ga zloupotrebi? :)
Sigurno je da je dosta dečurlije preko napisa u časopisima došlo na
ideju da nabavi i isproba BO, ali je istovremeno i još veći broj ljudi
upozoren na opasnost i upoznat sa načinom da se zaštiti od napada i
detektuje/ukloni trojanac sa računara, što je i bio cilj tekstova
(bar onog koji sam ja pisao). Iz kontakata sa prijateljima koji su
pročitali članak i na osnovu brojnih e-mailova koje sam dobio povodom
teksta u Računarima, mislim da je cilj pogođen.
Evo ti i analogni primer: svojevremeno si u "Računarima" pisao o
prilagođavanju USA verzije Windowsa 95 kako bi se mogla koristiti YU
slova. Da li to znači da si u stvari navodio ljude da u Jugoslaviji
koriste američki Win95 umesto PEE verzije, ili si samo pomogao onima
koji imaju USA verziju da reše problem YU slova? :)
virusi.674ventura,
> Teza da su tekstovi u casopisima glavni krivci za epidemiju jednostavno
> ne drzi vodu. Ne verujem da su u Hrvatskoj, odakle dolazi veliki deo
> napada, saznali za BO citajuci ovdasnje casopise. Uostalom zasto kacite
Ma jok... ono cista je slucajnost da kada je napisan onaj txt o nukovanju
u SK, ja poceo da dobijam po 10tak pokusaja nukovanja dnevno... Naravno
posle par meseci se sve smirilo, sada napisan onaj text o BO, i nisam
mogao da zivim od NOBO-a, morao sam da iskljucim opciju koja pri detekciji
BO paketa pokaze NOBO prozor... Moje malo zapazanje... Vecina 'napada'
je dolazila iz Hrvatske i to sa adresa
195.29.22*.*
potom iz danske 194.239.168.* i naravno od nasih, najvise napada je
stizalo sa beotela... potom sledi telekom pa Eunet itd.
VeNTuRa
virusi.675spantic,
> Nisu dva, nego (bar) tri časopisa - tekstovi o Back Orifice trojancu
> su objavljivani i u "PC"-u i "Računarima" i "Svetu Kompjutera". Za
> "Mikro" ne znam, ali je vrlo verovatno da je i on, tj. PCW pisao o BO-u.
Ne, nisi razumeo. Nisam ja tebe napao. Uostalom, Beri
je objavio još letos odličan članak u PCiu o BOu koji
je prošao potpuno nezapaženo.
Tvoj članak sam pročitao u Računarima i iskreno je
jedan od retkih članaka vrednih pažnje u tom, a i
ne samo tom broju Računara. Da ne kažem baš jedini.
Članak je sasvim korektan.
virusi.676miskop,
> Tvoj članak sam pročitao u Računarima i iskreno je jedan od retkih
> članaka vrednih pažnje u tom, a i ne samo tom broju Računara. Da ne kažem
> baš jedini.
A šta ti imaš protiv "Računara" ? Da nije PC možda bolji, tj. te-
kstovi u njemu?
P.S. Lepo sam ja pre napisao o 'bandi' iz PC-a...
virusi.677johnnya,
>> Inače, nije tačno da NOBO ne može da se startuje ako je
>> računar inficiran sa BOom. Kao što je primetio njegov autor
>> na svom webu, može.
Po 100-ti put, da li je i Win3.11 ugrožen po bilo kom osnovu ?
virusi.678ventura,
> >> Inace, nije tacno da NOBO ne moze da se startuje ako je
> >> racunar inficiran sa BOom. Kao sto je primetio njegov autor
> >> na svom webu, moze.
>
> Po 100-ti put, da li je i Win3.11 ugrozen po bilo kom osnovu ?
JESTE! Nije bitno koji os imas, BO je klijent/server program i ne
koristi nikakve bugove u OS-u. Ako ga iskompajliraju i pod
MacOS-om i on ce biti ranjiv...
virusi.679johnnya,
>>> Po 100-ti put, da li je i Win3.11 ugrozen po bilo kom osnovu ?
>>
>> JESTE! Nije bitno koji os imas, BO je klijent/server program i ne
>> koristi nikakve bugove u OS-u. Ako ga iskompajliraju i pod
>> MacOS-om i on ce biti ranjiv...
OK, znači neko mora da ga iskompajlira, pošalje meni na mail, ja
naivan da ga startujem i ne primetim da nešto radi u pozadini i
čeka upad ?! :)
Da li reg. kod win16 može da startuje programe ili je zato zadužena
samo StartUp grupa i linija load= u win.ini ?
virusi.680ventura,
> OK, znaci neko mora da ga iskompajlira, posalje meni na mail, ja
> naivan da ga startujem i ne primetim da nesto radi u pozadini i
> ceka upad ?! :)
Na mrezi nema sors, kompajliraju ga oni sto ga prave (CDC)
> Da li reg. kod win16 moze da startuje programe ili je zato zaduzena
> samo StartUp grupa i linija load= u win.ini ?
Moze.
virusi.681dr.grba,
>> A šta ti imaš protiv "Računara" ? Da nije PC možda bolji, tj. te-
>> kstovi u njemu?
Neki autori u "Računarima" dozvoljavaju sebi navode koji nemaju veze
sa životom.
Ali, o tome možemo u primerenoj konferenciji, a ne ovde.
virusi.682spantic,
> A šta ti imaš protiv "Računara" ? Da nije PC možda bolji, tj. te-
> kstovi u njemu?
Protiv "Računara" kao časopisa zaista ništa.
Protiv vlasnika, preciznije direktorke novinskog
sektora bih i mogao da nešto imam, s obzirom da imam
veoma neugodna iskustva sa njom iz vremena kada je
knjiga koju sam napisao sa kolegom trebala da izađe.
Ja sam lično, srećom, uspeo da izađem iz afere
bez previše gubitaka, što mi nije baš uvek uspevalo,
ali to je već zaista druga tema.
U svakom slučaju dobronamerno upozorenje svima
koji moraju da posluju sa BIGZom jeste da paze
na svoje novčanike. Onda neće biti razočarani ni
u jednom slučaju.
Ali da se vratimo pitanju.
U Računarima sam počeo da pišem na kraju krajeva.
Što bi se reklo sentimentalno sam vezan za taj časopis.
Zato mi i jeste žao što vidim da je pao na
dosta niske grane što se kvaliteta tekstova tiče.
Da li je PC bolji ili ne verovatno zavisi od toga
kojoj čitalačkoj grupi pripadaš.
> P.S. Lepo sam ja pre napisao o 'bandi' iz PC-a...
Bilo bi lepo da malo šire elaboriraš temu, jer mi
zaista nije jasno o čemu ovde pričaš.
virusi.683spantic,
>> Po 100-ti put, da li je i Win3.11 ugrozen po bilo kom osnovu ?
>
> JESTE! Nije bitno koji os imas, BO je klijent/server program i ne
> koristi nikakve bugove u OS-u. Ako ga iskompajliraju i pod
> MacOS-om i on ce biti ranjiv...
Nije tačno.
BO koristi APIje i pozive Windows 95/98 operativnog sistema i
to je problem. Ne može se tek tako prevesti na bilo koju drugu
platformu. Back Orifice je zapravo i bio napravljen kao dokaz
da je Windows 9x šupalj. Na NTu ne funkcioniše recimo.
Klijenti su na raspolaganju za više platformi (*UNIX na primer),
ne i serveri.
Server se izvršava na napadnutoj mašini.
MS Windows 3.1x nije sa BOom ugrožen. Što ne znači da neće biti
sa drugim programom.
virusi.684ventura,
> BO koristi APIje i pozive Windows 95/98 operativnog sistema i
> to je problem. Ne moze se tek tako prevesti na bilo koju drugu
> platformu. Back Orifice je zapravo i bio napravljen kao dokaz
> da je Windows 9x supalj. Na NTu ne funkcionise recimo.
Chek malo...BO je obican Client/Server program, i nema veze na
kom OS se izvrsava, ako koristi bugove win95 onda zrtva treba
da ima samo win95 a ne i BO! Jedino nebi mogao da radi ako,
OS nema podrsku za mreze (TCP/IP,SLIP...), a sto je malo glupo...
jer BO kada se pokrene, on je ustvari TSR koji slusa sve sa porta
i kada dobije 'komandu' od BO Servera, on jednostavo izvrsi DOS
naredbu i rezultat posalje IP sa koga je stigla naredba. Jedni
problem sa Win31 moze biti to da, nemoze BO da pusta animacije,
capturuje screen, zvukove i druge multimedijalne aplikacije.
Ne vidim zasto ne bi mogao da se prevede na druge platforme, uz
male izmene, jer ako je tako kao sto ti tvrdis kako onda radi
Novell Netware? i on je Client Server program... Samo sto on koristi
neke druge vidove 'komunikacije' sa ostalim masinama, a BO koristi
TCP/IP protokol.
VeNTuRa
virusi.685obren,
> Chek malo...BO je obican Client/Server program, i nema veze na
> kom OS se izvrsava, ako koristi bugove win95 onda zrtva treba
> da ima samo win95 a ne i BO! Jedino nebi mogao da radi ako,
> OS nema podrsku za mreze (TCP/IP,SLIP...), a sto je malo glupo...
To što je BO zasnovan na client/server mehanizmima, ne znači da
je nezavisan od operativnog sistema, jer isti i napisan da bi
demonstrirao sigurnosne rupe Windowsa 95 na jednom hakerskom
"simpozijumu" (pod imenom "DEFCON", ako se ne varam).
> jer BO kada se pokrene, on je ustvari TSR koji slusa sve sa porta
> i kada dobije 'komandu' od BO Servera, on jednostavo izvrsi DOS
> naredbu i rezultat posalje IP sa koga je stigla naredba.
Elem, BO nije TSR niti poziva ikakve DOS naredbe. TSR je po definiciji
rezidentni DOS program, dok je Back Orifice 32-bitna aplikacija pisana
u MS Visual CPP-u i poziva API Windowsa 95.
> Ne vidim zasto ne bi mogao da se prevede na druge platforme, uz
> male izmene, jer ako je tako kao sto ti tvrdis kako onda radi
> Novell Netware? i on je Client Server program...
Iz istog razloga zbog koga npr. TweakUI 95 ne može da radi pod
Windowsom 3.11, a to je da isti, kao i BO, eksploatiše osobenosti
Windowsa 95. Drugima rečima, nema ništa od "prevođenja na druge
platforme", već bi neko mogao eventualno da napravi nešto slično
za Win3.11 ali koristeći druge trikove i druge API pozive.
Za kraj, pouka basne:
Back Orifice server, ovakav kakav je, radi isključivo pod Windowsom
95/98, tj. ne radi ni pod Windowsom 3.11 ni pod NT-om, niti na Linuxu,
Mekintošu i sl.
virusi.686spantic,
Vidim ja da je SK lepo objasnio problem.
> Chek malo...BO je obican Client/Server program, i nema veze na
Bo čine dva dela. Server aplikacija koja se izvršava na
*inficiranom* računaru žrtve. Klijent aplikacija je ona sa
koje se upravlja serverom.
Vrlo lako, klijent upravlja serverom, ne upravlja server
klijentom.
Zato se i kaže da je nešto klijent/server aplikacija. Klijent
šalje zahteve, server izvršava.
> kom OS se izvrsava, ako koristi bugove win95 onda zrtva treba
> da ima samo win95 a ne i BO! Jedino nebi mogao da radi ako,
Zatim, na napadnutom računaru se izvršava server program koji
iskorišćeva features na Windows 9x da ostvari kontrolu.
Što veoma zavisi od operativnog sistema, iz čega izlazi da
server ne može biti samo tako preveden na proizvoljnom operativnom
sistemu.
Za klijenta koji šalje zahteve OS nije bitan i isti zaista
postoji na raznim platformama.
> OS nema podrsku za mreze (TCP/IP,SLIP...), a sto je malo glupo...
> jer BO kada se pokrene, on je ustvari TSR koji slusa sve sa porta
> i kada dobije 'komandu' od BO Servera, on jednostavo izvrsi DOS
BO *nije* TSR. BO je složena aplikacija i nazvati je TSRom je
veoma nategnuto. TSR je termin i pojam iz DOS vremena. Na Windows 9x
i NTu pričamo o procesima i servisima, recimo.
> naredbu i rezultat posalje IP sa koga je stigla naredba. Jedni
> problem sa Win31 moze biti to da, nemoze BO da pusta animacije,
> capturuje screen, zvukove i druge multimedijalne aplikacije.
> Ne vidim zasto ne bi mogao da se prevede na druge platforme, uz
> male izmene, jer ako je tako kao sto ti tvrdis kako onda radi
Tu nije reč o malim izmenama, da sad zaboravimo prosto prevođenja
BO koda, već o pisanju potpuno nove aplikacije.
> Novell Netware? i on je Client Server program... Samo sto on koristi
> neke druge vidove 'komunikacije' sa ostalim masinama, a BO koristi
> TCP/IP protokol.
Novell Netware nije *Clien Server program* već mrežni operativni
sistem. Ne znam kako si ga povezao sa ovim.
TCP/IP nije jedan protokol, a Novell Netware sada koristi i TCP/IP.
virusi.687ventura,
> BO *nije* TSR. BO je slozena aplikacija i nazvati je TSRom je
> veoma nategnuto. TSR je termin i pojam iz DOS vremena. Na Windows 9x
> i NTu pricamo o procesima i servisima, recimo.
Slozena aplikacija, koja cuci i ceka sta ce se desiti na odredjenom
portu. Ajde ti meni lepo objasni kako ti zoves ovakav program.
A kad bi windows imao processe i servise.. to bi bilo veoma lepo..
ali je to samo dobra zelja... Da opet ne ulazimo u raspravu o win-u,
samo da kazem da je win* *RADNO OKRUZENJE* a ne operativni sistem!
Jer je win samo maska za dos komande, ma koliko se oni iz microsofta
trudili da to opovrgnu. Cak ni sam dos nije operativni sistem. On je
u sustini program koji radi sa Externim Memoriskim uredjajima (disketama,
hard diskovima, cdromovima...) pravi operativi sistem MORA da sadrzi
ove stvari:
Paralelizam
Deljenje resursa
Upravljanje procesima i njihovo rasporedjivanje
Upravljanje memorijom
Upravljanje I/O uredajima
Upravljanje fajlovima
Obrada prekida
Zastita procesa i korisnika
Obracunavanje upotrebe resursa
Network menagment
> Novell Netware nije *Clien Server program* vec mrezni operativni
> sistem. Ne znam kako si ga povezao sa ovim.
Aj ti meni fino reci kako si ti dosao do ovoga zakljucka!
Netware od onih gore navedenih stvari netware sardzi samo 3!
nego nema veze, ajde ti meni reci sta je za tebe operativni
sistem? jel OS za tebe ono sto ti neko kaze da je OS ili ono
sto sigurno znas da jeste?
Evo da malo pricamo NN-u. Dakle sta se desava kada palis jednu
netware mrezu. prvo podizes glavni racunar (server) i kao sto sam
znas ako si nekada podizao Netware mrezu, po zavrsetku biosovih
testiranja Netware NE PREUZIMA kontrolu nad kompjuterom nego to
uradi DOS recimo..Sto je glavni dokaz da Netware nije OS!
potom, u okviru os-a pusta se server program koji potom prima
podatke sa I/O uredjaja i na osnovu njih radi i rezultat vrati
primaocu. Ti kada sednes za 'terminal' koji radi sa netwarom,
i kada odkucas komandu, deo netware-a je zaduzen da tu komandu
prosledi na I/O uredjaj serveru, i da ceka rezultat, e sada
server uzima podatak sa I/O-a izvrsava zadatak i salje nazad
povratnu informaciju (rezultat), koga client program prepozna,
i ispise rezultat na ekranu.
VeNTuRa
virusi.688spantic,
> hard diskovima, cdromovima...) pravi operativi sistem MORA da sadrzi
> ove stvari:
> Paralelizam
> Deljenje resursa
> Upravljanje procesima i njihovo rasporedjivanje
> Upravljanje memorijom
> Upravljanje I/O uredajima
> Upravljanje fajlovima
> Obrada prekida
> Zastita procesa i korisnika
> Obracunavanje upotrebe resursa
> Network menagment
Preporučujem da uzmeš neku pristojnu knjigu o teoriji
operativnih sistema, u kojoj je zastupljena i istorija
razvoja operativnih sistema pre nego što se vratiš ovoj temi.
> Evo da malo pricamo NN-u. Dakle sta se desava kada palis jednu
> netware mrezu. prvo podizes glavni racunar (server) i kao sto sam
> znas ako si nekada podizao Netware mrezu, po zavrsetku biosovih
> testiranja Netware NE PREUZIMA kontrolu nad kompjuterom nego to
> uradi DOS recimo..Sto je glavni dokaz da Netware nije OS!
:) Izvini, ali zaista nisam mogao da se suzdržim.
Očigledno sam pogrešio sa ozbiljnošću odgovora.
virusi.689ventura,
> Preporucujem da uzmes neku pristojnu knjigu o teoriji
> operativnih sistema, u kojoj je zastupljena i istorija
> razvoja operativnih sistema pre nego sto se vratis ovoj temi.
Citao sam mnogo vise knjiga o OS-ovima, nego sto ti mislis...
VeNtuRa
virusi.690sljubisic,
> Slozena aplikacija, koja cuci i ceka sta ce se desiti na odredjenom
> portu. Ajde ti meni lepo objasni kako ti zoves ovakav program.
> A kad bi windows imao processe i servise.. to bi bilo veoma lepo..
U Windowsu 3.1x i Winodwsu 95 to se zove task,odnosno aplikacija. NT pravi
razliku izmedju "obicne" aplikacije i servisa, u zavisnosti na kom prioritetu
se izvrsavaju.
> Jer je win samo maska za dos komande, ma koliko se oni iz microsofta
> trudili da to opovrgnu. Cak ni sam dos nije operativni sistem. On je
Windows ce raditi i ako se izbrise celo \DOS stablo, odn. direktorijum.
Dakle, Windows nije front-end shell za DOS komande.
> u sustini program koji radi sa Externim Memoriskim uredjajima (disketama,
Ok, ako je DOS program koji radi sa "Externim Memorijskim uredjajima", za koji
je
operativni sistem on pisan, tj. na kom se operativnom sistemu taj (DOS)
program
izvrsava?
> pravi operativi sistem MORA da sadrzi ove stvari:
> Paralelizam
> Deljenje resursa
> Upravljanje procesima i njihovo rasporedjivanje
itd.
Ne mora.
Lepo je ako sve ovo (i jos sijaset drugih stvari) podrzava, ali to nije
potreban, a jos manje dovoljan uslov.
Inace, kazu da po zakonima, valjda, aero-dinamike bumbar ne moze da leti. A on
eto leti.
Bez obzira na to sto kaze teorija.
Tako je i sa teorijama operativnih sistema. Mnoge je pregazilo vreme i praksa.
Korisne su kao polazna tacka za razmisljanje, ali ne mnogo vise od toga.
Nazalost.
Tesko je striktno i jednom za svagda definisati nesto sto se tako dinamicno
razvija iz dana u dan.
> Evo da malo pricamo NN-u. Dakle sta se desava kada palis jednu
> netware mrezu. prvo podizes glavni racunar (server) i kao sto sam
> znas ako si nekada podizao Netware mrezu, po zavrsetku biosovih
> testiranja Netware NE PREUZIMA kontrolu nad kompjuterom nego to
> uradi DOS recimo..Sto je glavni dokaz da Netware nije OS!
Prvu kontrolu nad racunarom preuzme BIOS. On je kasnije preda DOS-u,
a DOS je preda NetWare-u. DOS je NetWare-u potreban toliko koliko
da se moze pristupati podacima na DOS particijama. DOS ne moze da cita
NetWare particije. Na kraju krajeva, na NetWare-u postoji naredba REMOVE DOS
kojom se DOS uklanja iz memorije racuara, a NetWare i posle toga najnormalnije
nastavlja da radi. Inace, NetWare ima i svoj sopstveni file sistem koji je u
mnogo
cemu nalik UNIX-ovom.
> primaocu. Ti kada sednes za 'terminal' koji radi sa netwarom,
> i kada odkucas komandu, deo netware-a je zaduzen da tu komandu
> prosledi na I/O uredjaj serveru, i da ceka rezultat, e sada
> server uzima podatak sa I/O-a izvrsava zadatak i salje nazad
> povratnu informaciju (rezultat), koga client program prepozna,
> i ispise rezultat na ekranu.
To sto ti pricas se definise sa razmenom informacija izmedju dva racunara
kroz 7 OSI nivoa (ljuski), bilo da se koristi NetBIOS, NCP (NetWare) ili
SMB (WIndows, OS/2).
Klijent-server se kao termin koristi za posebno organizovane baze podataka,
gde se uz pomoc posebnog jezika (SQL) i posebne "aplikacije" koja se insta-
lira preko ("on-top" )mreznog operativnog sistema na serveru (npr. ORACLE)
ne vrsi samo iscitavanje podataka sa takvog servera, vec se na njima vrsi i
obrada (aritmeticke operacije, pretrazivanje i dr.) a samo se rezultat vraca
klijentu.
Na ovaj nacin se ekonomicnije koristi propusna moc racunarske mreze,
pogotovo kada se radi sa velikim bazama i velikim kolicinama podataka
koje treba na neki nacin obraditi.
virusi.691dr.grba,
>> uradi DOS recimo..Sto je glavni dokaz da Netware nije OS!
Naravno, Netware nije OS, već moćan rezidentni program. Toliko
je moćan da čak i kad se u Autoexec.NCF lupi REMOVE DOS, on ostaje
da radi!
Ovde nije kraj: skotovi iz Novella u svojoj dokumentaciji čak
pričaju da Novell ima nekakav kernel, shell, file system, handlove,
boktepita šta još... Kakav bezobrazluk, pa to nije OS!
Sorry, morao sam (((((:
virusi.692speedy,
S>
S> Citao sam mnogo vise knjiga o OS-ovima, nego sto ti mislis...
S>
S> VeNtuRa
S>
Uzasnih li knjiga.
virusi.693banga,
>> Preporucujem da uzmes neku pristojnu knjigu o teoriji
>> operativnih sistema, u kojoj je zastupljena i istorija
>> razvoja operativnih sistema pre nego sto se vratis ovoj temi.
> Citao sam mnogo vise knjiga o OS-ovima, nego sto ti mislis...
Ćitao, bolan verovatno jesi kad tvrdiš.
A da li si razumeo išta ?
virusi.694ventura,
> Uzasnih li knjiga.
Cox - "Magical Garden Explained"
Maurice J. Bach "The design of UNIX operating system"
virusi.695djlucky,
Primetio sam da kada igram quake na sezamovom serveru uvek primim
po 2-3 poruke od NOBO-a o upadima......a ovako su se smirili nema
ih puno.....inace 2/3 upada su sa infosky-a!
eto toliko samo da znate da se obezbedite ako igrate quake!
virusi.696gkosta,
>>Dear All,
>>
>>Subject: VIRUS WARNING
>>
>>Someone is sending out a very desirable screen-saver, the
>>Budweiser Frogs - "BUDDYLST.ZIP". If you download it, you will
>>lose everything!!!
>>Your hard drive will crash and someone from the Internet will
>>get your screen name and password! DO NOT DOWNLOAD THIS UNDER
>>ANY CIRCUMSTANCES!!! IT JUST WENT INTO
>>circulation yesterday, as far as we know. Please
>>distribute/inform this message. This is a new, very malicious
>>virus and not many people know about it. This information was
>>announced yesterday morning from Microsoft. Please share it
>>with everyone that might access the Internet.
>>Once again, pass this along to EVERYONE in your address book
>>so that this may be stopped. Also do not open or even look at
>>any mail that says "RETURNED OR UNABLE TO DELIVER". This virus
>>will attach itself to your computer components and render
>>them useless. Immediately delete mail items that say this. AOL
>>has said that this is a very dangerous virus and that there is
>>NO remedy for it at this time.
virusi.697silence,
Happy99.exe je virus!!!!
------------------------
Možete ga videti okačenog uz Internet poruke. Nakon startovanja
programa, svaki od mailova koji šaljete biće 'dopunjen' Happy-jem, bez
vašeg znanja o tome i mogućnosti da ga se rešite.
Miskop mi reče da sam ga zakačio... :(
AVP (ovaj ne-updateovani, koji imam) ga ne detektuje kao virus. Noćas
ću da ga update-ujem...
Ako neko zna rešenje kako da se dotični ukloni - neka viče.
virusi.698stefan,
> Ako neko zna rešenje kako da se dotični ukloni - neka viče.
Virus je izgleda benigan, sem što se širi ne radi ništa. Evo kako se
uklanja:
Removal
1.Click Start, then Shut Down, then "Restart Computer in MS-DOS mode", then
click Yes.
2.At the DOS prompt type:
CD \WINDOWS\SYSTEM
If your Windows folder is not called WINDOWS then substitute the name of
your Windows folder instead, for
example:
CD \WIN95\SYSTEM
3.Delete SKA.EXE and, SKA.DLL by typing
DEL SKA.EXE
DEL SKA.DLL
If you get "File not found" you're not infected.
4.Copy WSOCK32.SKA to WSOCK32.DLL by typing
COPY WSOCK32.SKA WSOCK32.DLL
Answer "Yes" if it asks if you want to overwrite WSOCK32.DLL.
5.Optional Delete WSOCK32.SKA by typing
DEL WSOCK32.SKA
You can leave WSOCK32.SKA on your system. It is a copy of your original
WSOCK32.DLL
6.Return to Windows by typing
EXIT
7.Optional Click Start, then Run, then type regedit in the text box, then
click OK. Click HKEY_LOCAL_MACHINE,
then Software, then Microsoft, then Windows, then CurrentVersion. Under
RunOnce check for SKA.EXE and select it if
it is there. Press delete and then click Yes. Close Regedit.
8.Optional Start Notepad, choose File, then Open then type
C:\WINDOWS\SYSTEM\LISTE.SKA in the File Name
box. Warn the people on the list, then delete LISTE.SKA.
virusi.699silence,
> > Ako neko zna rešenje kako da se dotični ukloni - neka viče.
>
> Virus je izgleda benigan, sem što se širi ne radi ništa. Evo kako se
> uklanja:
Hvala na trudu!
virusi.700pavijan,
E, pa desio mi se Netbus napad. Isao sam na AVP sajt da obnovim bazu kad,
u sred obnavljanja pojavi mi se Netbuster (slava onome ko ga posla) sa
sadrzajem dole. Neko je skoro pisao o tome kako nesto ne valja sa AVP-om.
Licno mislim da tamo ima dezurnih hakera koji cekaju da nekog napadnu. Dakle
oprez.
Pozdrav od pavijana.
206.49.116.108 connected at 23-Feb-99 [02:39:22]
206.49.116.108 was denied access at 02:39:27 [maximum 1 user]
206.49.116.108 was denied access at 02:39:28 [maximum 1 user]
virusi.701ventura,
> E, pa desio mi se Netbus napad. Isao sam na AVP sajt da obnovim bazu kad,
> u sred obnavljanja pojavi mi se Netbuster (slava onome ko ga posla) sa
> sadrzajem dole. Neko je skoro pisao o tome kako nesto ne valja sa AVP-om.
> Licno mislim da tamo ima dezurnih hakera koji cekaju da nekog napadnu. Dakle
> oprez.
Ukoliko imas NetBus i konektujes se na internet tvoj promerak ce se
javiti nekom tamo serveru koji ce znati da si ti na mrezi. Na netu
moze da se skine program koji pozove server i zatrazi od njega listing
ko je sve online... ista stvar je i sa BO-om samo sto program koji
daje listu nije izasao u javnost...
virusi.702indi,
imam PC clillin
dobio sam ga na disku sa drajverima za TX pro 2
dugo mi je lepo radio
ali sad kad mu kazem da skenira hard za viruse
iz cista mira zaglavljuje na nekim fajlovima
probo sam da ga deinstaliram, resetujem comp i ponovo
instaliram
ali nece, opet mi zaglavljuje
sto me tako zeza?
virusi.703stemil,
Čudna stvar se dešava na jednoj 486-ici...
Naime, čisto radi probe pokrenut je AVP iz dec.'98. Posle podizanju
istog i nakon učitavanja baze virusa, kao što je to već red sledi provera
memorije ali avaj. Tu Anti Viral nalazi virus Oxana.1654, za šta ispiše
odgovarajuću poruku i uz pisak iz spikera zablokira računar. U više
navrata isti rezultat.
Probano je zatim podizanje sa butne diskete ali opet isto. Ništa
čudno reći će neko, verovatno je napravljena nakon zaraze virusom ali...
...Uzete su sistemske diskete i sa dva druga računara (jedna dos a druga
win98) i rezultat je isti ?!!!
Da li je ikako moguće da ploča ima fleš bios (što ne znam tačno)
pa da se virus uvukao tamo !???
Šta bi moglo da bude ?
Inače mašina radi pod dosom 6.20 bez ikakvih problema, a sudbinu AVP-a
u medjuvremenu je doživeo i FPROT !
Pomagajte ako znate o čemu se radi.
virusi.704pifat,
Uz poruku se nalazi update za AntiViral Toolkit Pro od 28. marta,
koji ima i lek za Melissu. To je novi makro virus za Word, koji
izgleda pravi dosta nevolja.
update32.exevirusi.705mperisic,
Da li bi neko mogao da mi posalje najnoviju verziju programa
AntiViral Toolkit Pro?
Pozdrav,
Milos.
virusi.706pifat,
Američke vlasti su uhapsile Dejvida Smita, tvorca nedavnog virusa
nazvanog Melissa. Posle intenzivne elektronske potrage, vlasti su mu
ušle u trag i pronašle ga u kući njegovog brata. Izveštaji govore da
je virus od trenutka svoje pojave načinio dosta štete poslovnom svetu
koji koristi e-mail za razmenu dokumenata (Melissa je makro virus),
jer se dejstvo virusa ogleda u tome što, između ostalog,
po otvaranju zaraženog dokumenta koji je prikačen uz elektronsku
poštu, neznano vlasniku generiše gomilu e-mail poruka i šalje ih na
adrese ljudi čiji se podaci nalaze u imeniku (address booku) e-mail
programa na zaraženom računaru. Ako porota bude prihvatila sve
navode iz optužnice, Smit bi mogao dobiti kaznu i do 40 godina robije.
virusi.707pecanac,
> navode iz optužnice, Smit bi mogao dobiti kaznu i do 40 godina robije.
Ja čuh na LieNews-u da može da dobije od 5 do 10 god.
virusi.708peyota,
Moze li mi neko reci nesto o virusu W95/CIH.1003 ?
Hvala!!!
virusi.709ventura,
> Moze li mi neko reci nesto o virusu W95/CIH.1003 ?
Procitaj starije poruke u ovoj temi...
virusi.710miskop,
>> Moze li mi neko reci nesto o virusu W95/CIH.1003 ?
Poruka 6.610 iz ove teme.
virusi.711stemil,
> PORUKA UPOZORENJA OD IBM
>
> Ako primite e-mail koji ce glasiti "JOIN THE CREW/FOR PENPALS" -ne
> otvarajte ga jer ce biti izbrisano sve sa vaseg hard diska. Posaljite
> ovo pismo svima koje poznajete. To je novi virus i mnogim ljudima je
> nepoznat. Ovu informaciju smo primili jutros od IBM-a, molimo Vas da je
> prosledite ostalima.
> PENPAL izgleda kao prijateljsko pismo u kome Vas pitaju da li ste
> zainteresovani za dopisivanje, ali dok budete citali pismo, ukoliko
> ga otvorite, bice kasno. Jednom kad je poruka procitana, automatski se
> prosledjuje svima ciji se e-mailovi nalaze u vasem mail-box-u. Ne samo
> da ce unistiti Vas hard drive, vec i svima ostalima koji su u Vasem
> box-u a i onima koji su u njihovom box-u i tako u nedogled.
> Molimo Vas prosledite ovo svojim prijateljima, onima koji se
> nalaze u Vasem box-u.
virusi.713stemil,
> > > PORUKA UPOZORENJA OD IBM
> > > Ako primite e-mail koji ce glasiti "JOIN THE CREW/FOR PENPALS" -ne
> E, zajebi nas sa ovim sranjima...
Zemljače, da'l si ti već sjeban ili ne, pa to neko treba da ti uradi vidi
prvo sam sa sobom ;)
Poruku takva kakva je dobio sam iz Londona od prijatelja koji je već duže
tamo. Da baš odande, što je bitno samo iz razloga sopštavanja NOVOSTI na
vreme. Drugim rečima ljudi na zapadu UGLAVNOM saznaju takve i slične stvari
pre nas ovde i zato sam više iz dobronamernosti a ne iz želje da povećam
bilo kakav svoj rejting abronoše ovde, poslao dotični mail u originalu.
Umesto da si pročitao ono što je pisalo i bez obzira na svoje trenutno
razmišljanje ipak zadržao informaciju negde u "malom mozgu" za nedaj bože,
ti si krenuo sa prepotentnim proseravanjem i prozivanjem tipa " E ja sam
pametniji od tebe...". Mrzim takve ljude - smrdljivce !
Siguran sam da ne bi smeo ni da pomisliš tako nešto da mi kažeš u lice !!!
virusi.715pecanac,
> Moze li mi neko reci nesto o virusu W95/CIH.1003 ?
Evo nešto sveže i aktuelno po tom pitanju. Naime, 26. April 1999. je
prvi rodjendan ovog virusa. jedan od pouzdanijih programa za uklanjanje
virusa je AVP. Sa njihovog sajta malo o tome kako je nastao, kako 'deluje'
i kako se odstranjuje u sledećem tekstu:
April 26th is approaching and the most common version of the Win95.CIH 1.2
virus activates on this day.
The Win95.CIH virus was first found in Taiwan in early June 1998 and
AntiViral Toolkit Pro was updated with detection and disinfection on June
6th, 1998. This virus is confirmed to be in the wild worldwide. The most
common version of this virus is Win95.CIH 1.2, and it activates on the 26th
of April.
This virus once the destructive instructions are executed can on April
26th.
Overwrite the hard disk and flash the BIOS of the infected computer.
This virus does not infect DOS, Windows 3.x, Windows NT comuputers so only
Windows 95 and Windows 98 users are at risk.
We have a special version of AntiViral Toolkit Pro pre-configured to detect
and remove Win95.CIH infections from infected computers.
Instructions for the removal of Win95.CIH
AntiViral Toolkit Pro for Windows 95/98/NT will protect you from getting a
Win95.CIH infection.
How to remove a existing Win95.CIH infection easily.
First here is a complete description of the virus.
--------------------------------------------------
Win95.CIH
This is a Windows95 specific parasitic PE files (Portable Executable)
infector about 1Kbyte of length. This virus was found "in-the-wild" in
Taiwan in June 1998 - it was posted by the virus author to a local Internet
conference as a some utility. Within a week the virus was found in Austria,
Australia, Israel, United Kingdom, and was also reported from several other
countries (Switzerland, Sweden, USA, Russia, Chile and the list keeps
growing).
The virus installs itself into the Windows memory, hooks file access calls
and infects EXE files that are opened. Depending on the system date (see
below) the virus runs its trigger routine. The virus has bugs and in some
cases halts the computer when an infected application is run.
The virus' trigger routine operates with Flash BIOS ports and tries to
overwrite Flash memory with "garbage". This is possible only if motherboard
and chipset allow to write to Flash memory. Usually writing to Flash memory
can be disabled by a DIP switch, however this depends on the motherboard
design. Unfortunately, there are modern motherboards that cannot be
protected by a DIP switch - also, some of them do not pay attention for
switch position and this protection has no effect at all. Some other
motherboard designs provide write protection that can be disabled/overriden
by software.
During tests in our lab the virus did not overwrite the Flash BIOS and just
halted the computer. We do however have reports from other sources telling
that the virus really is able to mess it up.
The trigger routine then overwrites data on all installed hard drives. The
virus uses direct disk write calls to achieve this and bypasses standard
BIOS virus protection while overwriting the MBR and boot sectors.
There are three virus versions known, which are very closely related and
only differ in few parts of their code. They have different lengths, texts
inside the virus code and trigger date:
Length Text Trigger date Found In-The-Wild
1003 CCIH 1.2 TTIT on April 26th YES
1010 CCIH 1.3 TTIT on April 26th NO
1019 CCIH 1.4 TATUNG on 26th of any month YES - many reports
Technical details
While infecting a file the virus looks for "caves" in the file body. These
caves are a result of the PE file structure: all file sections are aligned
by a value that is defined in PE file header, and there are not used blocks
of file data between the end of previous section and next one. The virus
looks for these caves and writes its code into them. The virus then
increases the size of sections by the necessary values. As a result the
file length is not increased while infecting.
If there is a cave of enough size, the virus saves its code in one section.
Otherwise it splits its code into several parts and saves them to the end
of several sections. As a result the virus code may be found as set of
pieces, not as a single block in infected files.
The virus also looks for a cave in the PE header. If there is a not used
block not less than 184 bytes of length, the virus writes its startup
routine to there. The virus then patches the entry address in the PE header
with a value that points to the startup routine placed in the header. This
is the same trick that was used in the "Win95.Murkry" virus: address of
program entry points not to some file section, but to file header - out of
loadable file data. Despite this, infected programs are run with no
problems - Windows does not pay attention for such "strange" files, loads
the file header into the memory, then file sections, and then passes
control to the virus startup routine in PE header.
When the virus startup routine takes control, it allocates a block of
memory by using the PageAllocate VMM call, copies itself to there, locates
other blocks of virus code and also copies them to allocated block of
memory. The virus then hooks system IFS API and returns control to the host
program.
The most interesting thing in this part of the virus code is that the virus
uses quite complex tricks to jump from Ring3 to Ring0: when the virus jumps
to newly allocated memory its code is then executed as Ring0 routine, and
the virus is able to hook the file system calls (it is not possible in
Ring3, where all users applications are run).
The IFS API virus handler intercepts only one function - file opening. When
PE .EXE files are opened, the virus infects them, provided there are caves
of enough size. After infection, the virus checks the file date and calls
trigger routine (see above).
While running its trigger routine the virus uses direct access to Flash
BIOS ports and VxD direct disk access calls (IOS_SendCommand).
Detection and Cleaning instructions
-----------------------------------
We have made a special edition of AntiViral Toolkit Pro Lite (AVPLite)
to detect and remove Win95.CIH and variants easily from your computer.
Step 1.
=======
Download this special edition of AntiViral Toolkit Pro Lite from Central
Command at:
<ftp://ftp.avp.com/pub/nocih/nocih.exe>
This is a special utility to create a diskette version of AVPLite. To use
this simply download the file nocih.exe to a folder on your computer. The
Win95.CIH virus will not infect this archive.
Step 2.
=======
Insert a blank formatted diskette into your floppy diskette drive.
Step 3.
=======
Locate the file nocih.exe that you downloaded from Central Command and run
the program using the example below:
nocih.exe [Drive letter of your floppy drive]
Example:
--------
nocih.exe a: <press enter>
This will create a diskette with AVPLite for detection and removal of
Win95.CIH
Step 4.
=======
Make the diskette bootable by typing:
SYS [Drive letter of your floppy drive]
Example:
--------
Sys a: <press enter>
Step 5.
=======
You need to copy one file to the diskette named HIMEM.SYS This file is
located in your c:\windows or c:\windows\system\ folder
Copy himem.sys [Drive letter of your floppy drive]
Example:
--------
copy himem.sys a:
Step 6.
=======
Now remove the diskette, write protect it and shut down and shut off your
computer.
Re-insert the diskette and turn your computer on again.
This will start AVPLite and detect and remove all Win95.CIH infections.
When it's complete simply remove the diskette and restart your computer.
PLEASE NOTE! This virus may corrupt Winzip archives and leave them in a
state the in NOT repairable! You will need to replace these files after
disinfection.
virusi.720mindcrime,
..CONF FILE FORUM.19:gde.smo.1262 > /y
Jel' zna neko da li u BGD-u postoji neki servis koji ima
opremu za reprogamiranje izbrisanog BIOS-a (ono, danas
je 26. april i vec se naslo nekoliko racunara koje je
CIH opustosio)?
virusi.721sane,
Hm.... Izgleda da je i kod mene na kompu dejstvovao.. Tachno 26 u 0000 se
upalio i sjebao hard disk.. za sada sam samo to primetio.. "samo", chini mi se
da mi i bios brljavi kod opcije power menagment..
virusi.722speedy,
> Jel' zna neko da li u BGD-u postoji neki servis koji ima
> opremu za reprogamiranje izbrisanog BIOS-a (ono, danas
> je 26. april i vec se naslo nekoliko racunara koje je
> CIH opustosio)?
Ja sam to sredio ortaku na sledeci nacin:
Nasli smo plocu identicnu njegovoj (koja radi OK), skinuli bios image
i program za flashovanje sa weba, butovali plocu koja radi, na zivo
promenili bios cip i flashovali ga.
U konkretnom slucaju operacija je izvedena na GA T2 ploci.
Sto se tice hard-a, izgleda da je virus prebrisao MBR, boot sektor prve
particije, i mozda fat i root dir tabelu, nisam gledao bash
detaljno. Ostale particije sam nasao rucno i upisao podatke u MBR.
Podatci na njima izgledaju netaknuti. Detalje o prvoj particiji smo
ostavili za kasnije zbog nekih obaveza.
virusi.723peyota,
>> Ja sam to sredio ortaku na sledeci nacin:
>> Sto se tice hard-a, izgleda da je virus prebrisao MBR, boot sektor prve
>> particije, i mozda fat i root dir tabelu, nisam gledao bash
Najlepse bih te molio da mi detaljnije objasnis kako si spasao podatke sa
druge particije!!!! Da li moze da se hard nakaci na ispravan komp, i sta
treba da se radi? Hard je inace IBM 1,7GB. Ploca je GA 5486AL!
Hvala!!!
virusi.724speedy,
SP> Najlepse bih te molio da mi detaljnije objasnis kako si
SP> spasao podatke sa druge particije!!!! Da li moze da se hard
SP> nakaci na ispravan komp, i sta treba da se radi? Hard je
SP> inace IBM 1,7GB. Ploca je GA 5486AL!
SP>
SP> Hvala!!!
Preporucujem ti da nadjes nekoga ko se razume u to i da ako ne znas
detalje dosovog file sistema ne pokusavas da sam oporavljas podatke
jer mozes greskom prouzrokovati gubitak istih.
Inace, procedura oporavka zavisi od slucaja do slucaja mada se
cesto svede na pronalazenje boot bloka i upisivanje odgovarajucih podataka
u MBR. Nekad se desi da je i bootstrap kod u MBR u prebrisan tako
da je potrebno i to srediti.
Ukoliko su ti stvarno bitni podatci mogao bih ti pomoci, naravno
ma wr speedy
virusi.725pperica,
Radim ja, ako je award.
pperica
virusi.726epson,
> Preporucujem ti da nadjes nekoga ko se razume u to i da ako ne znas
> detalje dosovog file sistema ne pokusavas da sam oporavljas podatke
> jer mozes greskom prouzrokovati gubitak istih.
> Inace, procedura oporavka zavisi od slucaja do slucaja mada se
> cesto svede na pronalazenje boot bloka i upisivanje odgovarajucih podataka
> u MBR. Nekad se desi da je i bootstrap kod u MBR u prebrisan tako
> da je potrebno i to srediti.
Ako bi mogao malo detaljnije da mi objasniš kako se traži boot blok,
bootstrap i to... Takođe i koje alate koristiš. Diskeditor ? Partition Magic ?
Pozdrav,
Srđan
virusi.727ventura,
> Ako bi mogao malo detaljnije da mi objasnis kako se trazi boot blok,
>bootstrap i to... Takode i koje alate koristis. Diskeditor ? Partition Magic ?
Uzmes disk editor i na prvom sektoru ti je MBR, mada ako si sjebo disk
sa linuxom lilo xna da se zavuce i na 7 sektor
virusi.728saint,
=> Uzmes disk editor i na prvom sektoru ti je MBR, mada ako si sjebo disk
=> sa linuxom lilo xna da se zavuce i na 7 sektor
Mozes li to potancnije da objasnis?
Sta? Gde? Kada? Kako? Zasto?
virusi.729ventura,
> => Uzmes disk editor i na prvom sektoru ti je MBR, mada ako si sjebo disk
> => sa linuxom lilo xna da se zavuce i na 7 sektor
>
> Mozes li to potancnije da objasnis?
> Sta? Gde? Kada? Kako? Zasto?
Pa pazi, ja sam gledo kako covek to radi (bio je moj disk u pitanju :) )
inace jujo sa sezama, dakle prikaci se disk na ispravnu masinu, potom se
uzme diskeditor i sa harda ispravne masine se skine mbr, potom se u tom
mbr-u isprave podatci o disku tako da se on moze staviti na osteceni disk,
(sektori, cilindi, glave...), ima nesto i racunanja oko broja blokova
valjda, i onda se tako prepravljeni MBR snimi na osteceni dik i to treba da
sljaka...
virusi.732mindcrime,
> Radim ja, ako je award.
> pperica
Verovatno jeste, mada ja ne znam tacno koje su ploce u pitanju
(pitanje sam postavio zbog jednog prijatelja). Provericu pa cu
ti javiti.
virusi.735johnnya,
Uklanjanje Win95.CIH virusa ! (bolje ikad, nego nikad)
0. Sve može da se radi iz Win95...
1. Ubaci praznu, formatiranu disketu u drajv A: (ili B:)
2. startuj: nocih.exe A: (ili B:)
3. napravi sistemsku disketu od nje, startuj: sys A: (ili B:)
4. kopiraj fajl himem.sys na disketu (iz Win95/system foldera)
5. zaštiti disketu od pisanja
6. restartuj sistem tako da se podigne sa diskete
7. automatski će se startovati antivirus za uklanjanje CIH virusa.
Virus moze oštetiti Winzip arhive tako da one ne mogu biti
oporavljene !
nocih.exevirusi.739jovanz,
Kako da obrišem stablo direktorijuma koje je napravljeno
dejstvom virusa 26. aprila. Ne pomaže Deltree i sl.
virusi.740bracha,
Ne znam sta da radim...
Kad god hocu da pokrenem neki dos program mi kaze "a device
attached to the system is not funchtioning"
ali mogu da otvorim word ili netscape.....
To mi se desilo pre neki dan pa sam formatirao disk...ali se opet
pojavilo sutra dan tj.danas.
ako neko zna sta da radim da bi ga se resio, bio bih mu veoma
zahvalan
Pozdrav
Vladeta
virusi.741goxi,
Ajde nek neko sikne neki dobar antivirus program (samo da nije
Anti-Viral Toolkit pro)...
Goran.
virusi.742legolas,
HITNO!
Koji je to virus CIH i sta radi?
Prvo mi je WinCommander rekao da nece da radi jer imam virus, a kad
sam startovao TBav on ga je nasao u skoro svakom exe fajlu. Postoji
li nacin da se oslobodim ovog virusa bez gubitaka podataka? TBav mi
menja imena fajlovima sto i nije neko resenje.
Hvala
virusi.743dselic,
>Koji je to virus CIH i sta radi?
>Prvo mi je WinCommander rekao da nece da radi jer imam virus, a kad
>sam startovao TBav on ga je nasao u skoro svakom exe fajlu. Postoji
>li nacin da se oslobodim ovog virusa bez gubitaka podataka? TBav mi
>menja imena fajlovima sto i nije neko resenje.
Koliko se secam, nesto veoma lepo tipa format diska zacinjem flesovanjem
BIOS-a. Ako imas internet pristup, skini AntiVirus Toolkit Pro sa
www.avp.com. On bi trebalo da moze da ga ukloni.
Dan
virusi.744ventura,
> Koji je to virus CIH i sta radi?
procitaj starije poruke u ovoj temi imas dosta informacija o CiH-u..
ima i program koji ga uklanja sa racunara...
virusi.745miskop,
>> Koji je to virus CIH i sta radi?
>> Prvo mi je WinCommander rekao da nece da radi jer imam virus, a kad
>> sam startovao TBav on ga je nasao u skoro svakom exe fajlu. Postoji
>> li nacin da se oslobodim ovog virusa bez gubitaka podataka? TBav mi
>> menja imena fajlovima sto i nije neko resenje.
Poruka br. 6.735 iz ove konfe. Johnnya je poslao malo programče koje
uklanja CIH virus.
virusi.746legolas,
Hvala svima na savetima za CiH. Radilo je.
Kako sad da znam da sam ga se otarasio? Da li je dovoljno to sto ga
ne nalazi u fajlovima?
virusi.747miskop,
>> Hvala svima na savetima za CiH. Radilo je.
>> Kako sad da znam da sam ga se otarasio? Da li je dovoljno to sto ga
>> ne nalazi u fajlovima?
CIH se kači samo na izvršne datoteke. Ako si komp regularno očistio,
nema razloga za brigu. Najbolje je još da skineš neki od najnovijih virus
definicija za poznate antivirus programe i još jednom proveriš.
I da, koliko se sećam, CIH se aktivira svakog 26. u mesecu, pa ako
preživiš taj datum sve je onda OK. ;)
virusi.748mrav,
ajde da mi neko sibne na mail najnoviji update za mcafee 4.0
virusi.749indi,
-> ajde da mi neko sibne na mail najnoviji update za mcafee 4.0
jel moze i meni :)
virusi.750stameni,
Nekoliko pitanja:
1. Preporučite antivirusni program za Windows 95 (poželjno je
da ima mogućnost isključivanja monitoringa -- rezidentnog
dela, jer računar nema puno memorije). Dobro bi došla i adresa
sa koje se može skinuti.
2. Isto to, ako kojim slučajem još uvek ima za DOS.
3. Kolega mi je ispričao neke grozne stvari o virusu Bubble
Boy, tolike da ne mogu da poverujem da je to zaista tačno.
Može li neko (Venturo, tebe gledam :) da opiše način na koji
se virus prenosi?
4. Da li je prethodno pitanje dovoljan razlog da se ovde
pojavi noviji antivirusni software?
Zahvaljujem se unapred, čitamo se :)
virusi.751ventura,
> 3. Kolega mi je ispricao neke grozne stvari o virusu Bubble
> Boy, tolike da ne mogu da poverujem da je to zaista tacno.
> Moze li neko (Venturo, tebe gledam :) da opise nacin na koji
> se virus prenosi?
Nisam cuo za taj Bubble Boy, mada virus u principu nemoze da ti uradi
nista strasno... mislim da ti osteti hardware ili nesto slicno... price
o BIOS virusima su sarena laza, jer da bi ti se virus upisao u bios jumper
koji dozvoljava upisivanje u bios mora biti sklonjen...
sto se tice principa rada virusa...
danas se najvise prave trojanci, pravih virusa je vrlo malo...
kada ti upalis kompjuter prvo se izvrava BIOS, kada on zavrsi testiranje
on predaje kontrolu operativnom sistemu, OS, iscita podatke iz MBR (master
boot record) da bi znao koliki je disk koji je file system i tako to...
e sad virus se snimi u MBR i svaki put kada OS procita nesto iz MBR-a virus
se aktivira i radi kao TSR (terminate and stay resident), posto dos nema
kontrolu procesa (jer nije multitasking OS) DOS nemoze da 'ubije' taj
proces i virus postaje aktivan. E sad, sta ce dalje da radi to zavisi od
virusa, najcesce ce se virus iskopirati u sve exe i com fajlove, i jos
(ako je dobro napisan) ce se enkriptovati da ga nemogu prepoznati anti-virus
programi, potom posmatra da li ce dos pokusati da ucita disketu, ako
pokusa virus ce se sam prekopirati na disketu, i u kompjuter u koji se ta
disketa stavi.
Danas postoje i macro virusi koji mogu da ostete podatke na disku i da se
razmnozavaju ali se nemogu upisati u MBR (barem koliko ja znam), takodje
se moze poslati virus kao atachment u e-mail i da se pomocu bug-a koji se
nalazi u OE, izvrsi taj attachment. Takodje je moguce putem buffer overflow-a
izvrsiti neki program na odredjenom racunaru (IIS/4.0).
Na OS baziranim na UNIX platformama (Linux, Solaris, BSD...), nemoguce je
napiasti virus (teoretski je razvijena ideja kako bi se to izvelo ali to
do sada niko nije uradio) jer arhitektura OS to ne dozvoljava, ne dozvoljava
da neki proces pokrenut od strane obicnog korisnika ili root-a, radi sta hoce
i da se izvrsava u pozadini gde ga niko ne vidi...
to ti je to 'ukratko' o virusima...
virusi.752silence,
> 1. Preporučite antivirusni program za Windows 95 (poželjno je
> da ima moguŠnost isključivanja monitoringa -- rezidentnog
> dela, jer računar nema puno memorije). Dobro bi došla i adresa
> sa koje se može skinuti.
AntiViral Toolkit Pro - www.avp.com (full trial, 4,5 Mb). Lako se može
naŠi registracija za program. :) Update-ovi se izdaju svakih dve nedelje
i mogu se skinuti sa zvaničnog sajta (1,6-1,7 Mb). Možda ima i negde na
Yu internetu, ne znam.
Dosta se koristi (i hvali) i Norton Antivirus. Ne koristim ga, pa ga
samo spominjem.
> 2. Isto to, ako kojim slučajem još uvek ima za DOS.
AVP ima i verziju za DOS.
> 3. Kolega mi je ispričao neke grozne stvari o virusu Bubble
> Boy, tolike da ne mogu da poverujem da je to zaista tačno.
> Može li neko (Venturo, tebe gledam :) da opiše način na koji
> se virus prenosi?
Na avp.com-u postoji baza tekstova o virusima i trojancima. Verovatno
ima i za Bubble Boy-a.
> 4. Da li je prethodno pitanje dovoljan razlog da se ovde
> pojavi noviji antivirusni software?
Problem sa punim diskovima?
virusi.753silence,
> se moze poslati virus kao atachment u e-mail i da se pomocu bug-a koji
> se nalazi u OE, izvrsi taj attachment. Takodje je moguce putem buffer
Šta radi taj bag? Kako je moguŠe da se attachment sam izvrši?
> Na OS baziranim na UNIX platformama (Linux, Solaris, BSD...), nemoguce
> je napiasti virus (teoretski je razvijena ideja kako bi se to izvelo ali
> to do sada niko nije uradio) jer arhitektura OS to ne dozvoljava, ne
> dozvoljava
Na avp.com-u postoji odeljak o UNIX virusima, koliko se seŠam. Nisam bio
'unutra', možda je prazan... :)
virusi.754silence,
Ako neki kolekcionar ima files32.vxd (iz Windows System dir-a) od Pretty
Park I.Worm-a, molio bih ga za uslugu, na mail, NAJKASNIJE DO ČETVRTKA
(23. DEC). Potrebno radi uklanjanja sa jednog racunara. Hvala unapred!
virusi.755stameni,
>> AntiViral Toolkit Pro - www.avp.com (full trial, 4,5 Mb). Lako se može
>> naŠi registracija za program. :) Update-ovi se izdaju svakih dve
>> nedelje i mogu se skinuti sa zvaničnog sajta (1,6-1,7 Mb). Možda ima i
>> negde na Yu internetu, ne znam.
Ima na EUnetovom FTP-u, odatle sam ga, kasnije, i skinuo.
Prilikom instalacije izabrao sam sve sem monitorskog dela. Kasnije
je prilikom startovanja kukao da mu fali neki DLL, znači, nije
uopšte hteo da radi :( Radila je samo verzija za DOS, ali šta će
mi za DOS kad instaliram pod W95? Imam još jedan problem (videti dalje).
>> Dosta se koristi (i hvali) i Norton Antivirus. Ne koristim ga, pa ga
>> samo spominjem.
U najmanju ruku hvale ga na EUnetu.
>> > 2. Isto to, ako kojim slučajem još uvek ima za DOS.
>>
>> AVP ima i verziju za DOS.
Verzija za DOS upakovana je u instalacioni deo za W95, od koga,
kako napisah, nemam preveliku korist. S druge strane, nemoguće je da
ekstrahujem samo antivirus za DOS nekim "unzipom" iz EXE (ili bar
ne znam kako to da izvedem).
Ipak, videću šta piše na AVP-u.
virusi.756ventura,
> > se moze poslati virus kao atachment u e-mail i da se pomocu bug-a
> > se nalazi u OE, izvrsi taj attachment. Takodje je moguce putem buf
>
> Sta radi taj bag? Kako je moguSe da se attachment sam izvrsi?
To je standardni Buffer owerflow... zaboravio sam tacno kako se to radi,
ali ako nekoga interesuje mogu da najdem negde to pa da okacim...
> > Na OS baziranim na UNIX platformama (Linux, Solaris, BSD...), nemo
> > je napiasti virus (teoretski je razvijena ideja kako bi se to izve
> > to do sada niko nije uradio) jer arhitektura OS to ne dozvoljava,
> > dozvoljava
>
> Na avp.com-u postoji odeljak o UNIX virusima, koliko se seSam.
> Nisam bio 'unutra', mozda je prazan... :)
Rekoh da je teorijski moguce napisati virus... mada je to glupost.. UNIX je
visekorisnicki OS, i virus iako se pookrene nemoze da napravi nikakvu stetu
izvan korisnikovog dir-a i nemoze da ostane neprimecen i duze vremena kao
background proces... ako virus pokrene root, ima sanse da sjebe dosta sistema
ali ce ubrzo biti detektovan i nece mu biti dozvoljeno da radi sta hoce...
virusi.757ica.z,
Jel ima neko možda neki noviji anti-virus koji je neke
prihvatljive veličine za konferenciju???
Ica