virusi.637dr.iivan,
-> #628, miskop> >> Zar u Win98-ici nije popravljena greska koja je omogucavala
> >> Nukovanje?
>
> Ne znam, ali da je to onemogućeno, ne bi moglo ni pingovanje
> da se radi, tj. napad BO paketima...?
Nije tačno, tj. ne mora da znači. Neka me ispravi neko, ako više zna,
pošto ja ne znam šta tačno radi taj BO.
Inače, ni ja 100% ne znam da li je nuke bag ispravljen u Win98, ali bi
bilo suludo da nije, pošto je Microsoft još za vreme Win95 izbacio
WinSock Upgrade, koji ispravlja taj bag. Nije valjda to zaboravio da
popravi u Win98?
virusi.638banga,
-> #625, obren>> registry-ju nego kod W9x, pa sledi pitanje za NT. Gde se kod
>> NT zavuče u registry ?
> Fajl se obično zove 'patch.exe' ili 'SysEdit.exe', ali naravno
U međuvremenu sam svratio i do sajta koji prati BO i NetBus i sve
njihove verzije
http://www.nwi.net/~pchelp/bo.html
gde su u sitna crevca opisana oba. Ustvari NetBus je stariji brat, a BO
je nastao tako što je čovek kao napravio prostu remote administraciju za
W95 (pazi bez lozinke i bez ikakvog obaveštenja) i objavio na svom
sajtu. Sve o oba Trojanca i više se može naći na gore pomenutom sajtu.
NOBO imam uključen pod NT i obaveštavam abuse@sezampro/eunet o napadima,
koji su već prilično retki, ali su se meni desili prošle noći sa Euneta
i iz Zagreba. Naravno da kao reply ne koristim nikakv nuke ili slično,
samo default poruku.
Ovo je po meni jedini pravi način za borbu protiv napadača, bez obzira
sa koje strane dolaze.
A AVP je tu, ažuriran i pazi na higijenu :)
> se "NetBuster" a u arhivi je i nekoliko screenshot-ova programa
> koji demonstriraju "cake" kojima ovaj defender raspolaže.
Imam već i NetBuster, ali mi se učinilo da je on pravljen samo za "tuk
na luk".
Svejedno skinuću ovo zbog ScreenShot-ova da ga malo bolje upoznam, jer
onaj gore opširni sajt nisam imao vremena u detalje da proučavam.
virusi.639banga,
-> #626, djlucky> E sad da li ja nesto mogu da uradim povodom toga i da saznam ko
> je to stvarno jer IP broj mi ne znaci bas puno!
Uključi u options opciju log, pa uradi copy-paste na abuse@EUnet.yu,
abuse@sezampro.yu ili abuse@beotel.yu gde ti se učini da je
najprikladnije. U svakom slučaju oni sarađuju među sobom i napadi kako
iz Beograda tako i iz Zagreba su se drastično smanjili kao rezultat te
akcije.
virusi.640banga,
-> #627, miskop> računar, a ti samo nakriviš kapu. ;) Naravno, samo ako on sa
> druge strane nema neku zaštitu.
Ili W98 koliko sam shvatio, samo to nije pravi način borbe, po mom
mišljenju.
virusi.641obren,
-> #636, dr.iivan>> Takođe, port za komunikaciju je 12345 i ne može se konfigurisati, pa se
>> može iskoristiti komanda "netstat -an" i proveriti da li se dotični
>> port pominje u listi dok ste na vezi.
>
> A zar neki firewall program ne rešava stvar? Samo se zatvori dotični port.
Rešava, ali koliko ljudi znaš da koriste firewall dok surfuju? ;)
virusi.642ventura,
-> #640, banga> > racunar, a ti samo nakrivis kapu. ;) Naravno, samo ako on sa
> > druge strane nema neku zastitu.
>
> Ili W98 koliko sam shvatio, samo to nije pravi nacin borbe, po mom
> misljenju.
Najvisem rzim ljude koji koriste ovakve i sl. programe... a hvale se
da su vrsni 'hakeri'. Tj. nemam nista protiv stavise, da se protiv nekoga
ko jede govna ponekad i upotrebi nuker ili sta vec... ali mi se par
puta desavalo da radim nesto na mojoj prezentaciji, kad mi se javlja neki
majmun sa ICQ-a, sa porukama 'I'll kill you... If Ya mes with the best,
youll die like rest' i slicnim forama iz holivudskih limunada... Takvi
trebaju da se pobiju bez razmisljanja... I jos ako mi probije FireWall
onda popizdim... Par puta sam bio primoran da im brisem diskove, imao
sam jedan slucaj, neki tip iz izraela (13-14 godina) me je stalno zajebavao
na ICQ-u nukovao, i kada sam popizdio logovo sam se na njegov hard,
i obriso sve open share direktorijume... Otada se smirio...
Uopste treba iskoreniti sve koji sebe proglasavaju za 'hakere' a neznaju
sta je recimo... BBS...
BTW Win98 se nukuje lakse od 95!
ono 'Drzi vodu dok majstori odu...'
virusi.643dr.grba,
-> #627, miskop>> Princip je krajnje jednostavan - Ukucaš (pejstuješ) neku IP adresu
>> i gotova stvar. Tip sa te adrese je mrtav - pukne mu veza, krahira
>> računar, a ti samo nakriviš kapu. ;) Naravno, samo ako on sa druge
>> strane nema neku zaštitu.
Samo vi skakućite po ICQ...
virusi.644dr.grba,
-> #632, miskop>> This new virus searches for HTML files on local hard disks and
>> infects them. To replicate itself the virus uses inline script
>> routines written in Visual Basic. The virus will replicate only if
>> the browser security settings allows script routines to access disk
>> files.
Nešto mi se ovde ne slaže. Čini mi se da priča ne pije vodu.
Hajde da se preslišamo: da li postoji JavaScript, JScript ili
VBScript metoda koja može da piše po disku? Nešto se ne sećam.
virusi.645johnnya,
-> #642, ventura >> BTW Win98 se nukuje lakse od 95!
>> ono 'Drzi vodu dok majstori odu...'
A kako se drži Win3.11 ? Na njega su svi zaboravili ...
Ili važi ono, ako hoćeš miran Internet koristi Win3.x :)
virusi.646rdejan,
-> #644, dr.grba>> Hajde da se preslišamo: da li postoji JavaScript, JScript ili
>> VBScript metoda koja može da piše po disku? Nešto se ne sećam.
Sami skriptovi nemaju tu mogućnost, ali mogu se ActiveX
komponenti dodeliti DAO rutine (Data Access Objects), koje
znaju da brljaju po disku. Ovo je stara "fora", a i browseri se
mogu konfigurisati da su otporni na ActiveX zezalice.
Pozdrav, Dejan
virusi.647djlucky,
-> #642, venturaZanima me na koje sve nacine "hakeri" mogu da saznaju moj ip broj i
samim tim da upotrebe BO?
I koliko vidim centar zbivanja ja ICQ!
Da li postoji neka mogucnost da se to sredi i da se ja zastitim?
Pozdrav!
virusi.648obren,
-> #647, djlucky> Zanima me na koje sve nacine "hakeri" mogu da saznaju moj ip broj i
> samim tim da upotrebe BO?
>
> I koliko vidim centar zbivanja ja ICQ!
> Da li postoji neka mogucnost da se to sredi i da se ja zastitim?
Ako nisi zarazen Back Orificeom (koji ume da javi napadacu tvoj IP kad
se nakacis na Internet) i ne koristis ICQ, tesko je da neko sazna bas
tvoj IP broj. Moze jedino da pinguje ceo opseg adresa koje pripadaju
nekom provajderu, pa da tako dodje i do tvoje.
virusi.649pavijan,
-> #627, miskop> >> Imas li ti neki Nuke program i na koji princip radi? Rado bih ga probao.
>
> Imam par komada i okacicu ih koliko danas-sutra.
>
> Princip je krajnje jednostavan - Ukucas (pejstujes) neku IP adresu
> i gotova stvar. Tip sa te adrese je mrtav - pukne mu veza, krahira
> racunar, a ti samo nakrivis kapu. ;) Naravno, samo ako on sa druge
> strane nema neku zastitu.
______________________________
Ovo ne da mi treba nego nije normalno. Imam uljeza a neznam kako da ga
otkacim? Za pocetak moram da otkacim ICQ kao nepouzdan program ali da li
to nesto menja stvar? Ovo mi se prikazalo u NOBO programu, danas kad sam
se konektovao na internet:
*******************************************************************************
*************
12-11-98 14:15:12 PM: NOBO start listening on port 31337
12-11-98 14:18:21 PM: BO packet (PING) from 195.252.116.41
(M41.BankerInter.net)
12-11-98 14:18:21 PM: Fake PING reply sent to 195.252.116.41
12-11-98 14:18:42 PM: BO packet (list passwords) from 195.252.116.41
(M41.BankerInter.net)
12-11-98 14:18:42 PM: Reply sent to 195.252.116.41
*******************************************************************************
*************
Sta sad?
Pozdrav od pavijana.
P.S. Odradio sam detekciju virusa kroz nekoliko programa nijedan nije
nasao nista.
- Antiviral toolkit pro for Win 95 version 3.0 build 123
- Antiviral toolkit pro for Dos version 3.0 build 124
kod ovog mi stalno prijavljuje odranije avp9808.avc 0% - base not loaded.
Low memory. - imam 64Mb rama ???
- F-prot 302a
virusi.650dr.grba,
-> #646, rdejan>>>> Hajde da se preslišamo: da li postoji JavaScript, JScript ili
>>>> VBScript metoda koja može da piše po disku? Nešto se ne sećam.
>>
>> Sami skriptovi nemaju tu mogućnost, ali mogu se ActiveX
>> komponenti dodeliti DAO rutine (Data Access Objects), koje
>> znaju da brljaju po disku. Ovo je stara "fora", a i browseri se
>> mogu konfigurisati da su otporni na ActiveX zezalice.
E, tako, naravno da može. Ali, u onoj poruci je bilo reči o inline
kodu u HTML sadržaju - i to me je ponukalo da reagujem.
virusi.651juice,
-> #649, pavijan@> Ovo ne da mi treba nego nije normalno. Imam uljeza a neznam kako da ga
@> otkacim? Za pocetak moram da otkacim ICQ kao nepouzdan program ali da
@> li to nesto menja stvar? Ovo mi se prikazalo u NOBO programu, danas kad
@> sam se konektovao na internet:
@>
@> ************************************************************************
@> ******* *************
@> 12-11-98 14:15:12 PM: NOBO start listening on port 31337
@> 12-11-98 14:18:21 PM: BO packet (PING) from 195.252.116.41
@> (M41.BankerInter.net)
@> 12-11-98 14:18:21 PM: Fake PING reply sent to 195.252.116.41
@> 12-11-98 14:18:42 PM: BO packet (list passwords) from 195.252.116.41
@> (M41.BankerInter.net)
@> 12-11-98 14:18:42 PM: Reply sent to 195.252.116.41
@> ************************************************************************
@> ******* *************
@>
@>
@> Sta sad?
Pridruzujem se pitanju, sta sad?
Naime, ja nit sam sta skidao sa Ineta niti sam sta radio, uglavnom BO se
pojavio a sa njim i ucestali napadi sa Euneta (poslat mail na abuse) i iz
Engleske.
Osim ovog simptomaticnog -list passwords- desava se i -dir c:\*.*- .
Posto vise necu da se kacim na Inet dok ne sredim ovo, molio bih nekoga
ko zna da mi objasni sta uopste ovaj virus moze da mi uradi?????????
Takodje, kako ja mogu nekoga da #@$~$!!! ako on ima ovaj virus?
Pozdrav!
virusi.652ventura,
-> #649, pavijan> *****************************************************************************
> *************
> 12-11-98 14:15:12 PM: NOBO start listening on port 31337
Nobo se startuje.
> 12-11-98 14:18:21 PM: BO packet (PING) from 195.252.116.41
> (M41.BankerInter.net)
Neko pokusava da nadje bilo koga sa BO
> 12-11-98 14:18:21 PM: Fake PING reply sent to 195.252.116.41
Nobo maskira tvoj ip
> 12-11-98 14:18:42 PM: BO packet (list passwords) from 195.252.116.41
> (M41.BankerInter.net)
stize paket koji islistava passove (ukoliko radis na unixu)
> 12-11-98 14:18:42 PM: Reply sent to 195.252.116.41
nobo salje upozorenje...
> *****************************************************************************
> *************
> Sta sad?
pa nista, nemoze ti nista jer imas nobo... ali moze da te zajebe preko
telneta...
> P.S. Odradio sam detekciju virusa kroz nekoliko programa nijedan nije
> nasao nista.
idi na www.symantec.com i odatle skini patch
virusi.653miskop,
-> #643, dr.grba>> Samo vi skakućite po ICQ...
Uopšte nije do ICQ...
virusi.654miskop,
-> #647, djlucky>> Zanima me na koje sve nacine "hakeri" mogu da saznaju moj ip broj i
>> samim tim da upotrebe BO?
Evo kopije poruke sa Pro-a:
================================
Sezam, Problemi.6564, diba
(4.6564) Sub 07/11/1998 14:01, 368 chr
Odgovor na 4.6557, misko.p, Sub 07/11/1998 13:15
:: Re: "Back Orifice" trojanac
----------------------------------------------------------------
>I još nešto... Kako uopšte neko može da sazna moj IP broj? (Nisam
>pokrenuo ICQ, niti ga imam instaliranog)?
Pa, niko i ne trazi TVOJ IP broj. Jednostavno nadju grupu brojeva koju
terminal serveri daju dial-in korisnicima recimo 199.13.41.x (x je
promenljiva) i onda pinguju ceo opseg (0-255). Ako se neko slucajno nadje
sa
BO klijentom, eto veselja.
------------------------------------------------- 4.6564 --
virusi.655obren,
-> #649, pavijan> Ovo ne da mi treba nego nije normalno. Imam uljeza a neznam kako da ga
> otkacim? Za pocetak moram da otkacim ICQ kao nepouzdan program ali da
> li to nesto menja stvar? Ovo mi se prikazalo u NOBO programu, danas kad
> sam se konektovao na internet:
>
> 12-11-98 14:15:12 PM: NOBO start listening on port 31337
> 12-11-98 14:18:21 PM: BO packet (PING) from 195.252.116.41
Nema razloga za brigu - nisi zaražen, već je samo NOBO detektovao nečiji
pokušaj napada na tvoj računar.
virusi.656rdejan,
-> #650, dr.grba>> E, tako, naravno da može. Ali, u onoj poruci je bilo reči o inline
>> kodu u HTML sadržaju - i to me je ponukalo da reagujem.
Dotični kod je neophodan da bi se pokrenuo DAO, te se pod
pojmom širenja virusa verovatno podrazumeva kopiranje, kako
dotičnog koda, tako i celog ActiveX P-koda.
A ako se zaista radi SAMO o html kodu, onda je uzbuna lažna.
<root>
<delete /sub>
</root>
;) (ko zna, možda jednog dana osvane sličan kod)
Pozdrav, Dejan
virusi.657pavijan,
-> #652, ventura> stize paket koji islistava passove (ukoliko radis na unixu)
> > 12-11-98 14:18:42 PM: Reply sent to 195.252.116.41
> nobo salje upozorenje...
> > *************
> > Sta sad?
>
> pa nista, nemoze ti nista jer imas nobo... ali moze da te zajebe preko
> telneta...
______________________________
Ovo gore deluje utesno a kako preko telneta mislim kakva je zastita sa te
strane - u dve reci ako ti nije tesko?
Pozdrav od pavijana.
P.S. Mogao bi neko ko je zaduzen (recimo moderator) da odradi malo po obovi
programa za zastitu od.....
Izasao novi F-prot 3.03 (pre nekog vremena) evo sta je novo:
We have made some improvements to F-PROT since the release of the previous
version:
* We have added scanning of Java .class files, as well as some Java
heuristics.
* We have added fast unpacking of PKLITE-compressed files.
* F-PROT now scans .VOM and .VXE files by default, as they might be
renamed virus-infected files.
* Scanning of Excel files is now significantly faster than before,
in particular when scanning files across a newtwork.
* We have speeded up the scanning of several slow files, including
the following: SETUPDD.SYS, LOGO.SYS (from Windows '98)
Some problems were found and solved after version 3.02 was released:
* The program would crash if the ZIP/ARJ nesting level was too deep,
for example is, if you had an .ARJ file inside a .ARJ file, inside a .ARJ
file.....for over 170 levels. This is not a realistic problem,
but we actually received one file, containing around 180 levels of
archives.
* There appears to be a problem with the handling of long file names
in Windows '98, resulting in random crashes after running some DOS
programs (like F-PROT) that use long file names. Until Microsoft
fixes this (assuming they bother to do so) we have disabled the
display of long file names when F-PROT is running under Windows '98.
(Note that the problem does not occur under Windows '95).
We have of course added detection/disinfection of more viruses, bringing
the total number of viruses and destructive programs that F-PROT
recognizes to over 22.000
The F-STOPW program is now included in a separate archive, named
F-STOPW.ZIP, but please note that this archive must be unpacked in the
same directory as the one containing the SIGN.DEF and MACRO.DEF files from
the main archive.
virusi.658ranx,
-> #627, miskop> Princip je krajnje jednostavan - Ukucaš (pejstuješ) neku IP adresu
> i gotova stvar. Tip sa te adrese je mrtav - pukne mu veza, krahira
Ima li leka nukovanju?
virusi.659miskop,
-> #651, juice>> Osim ovog simptomaticnog -list passwords- desava se i -dir c:\*.*- .
>> Posto vise necu da se kacim na Inet dok ne sredim ovo, molio bih nekoga
>> ko zna da mi objasni sta uopste ovaj virus moze da mi uradi?????????
Taj 'virus' može svašta da ti uradi, a tebi preporučujem da što
pre nabaviš AVP (sa updateom od 8. nov) i proveriš disk.
A šta sve može da ti uradi to si valjda pročitao u prethodnim poru-
kama ili si spavao na času? ;)
Samo još nešto da kažem, da ako niste sigurni da li ste zaraženi,
probajte da pokrenete onaj NOBO program. Ako ga uspešno pokrenete,
sigurno ste čisti jer NOBO se 'kači' na port na koji se kači i pra-
vi BO i ustvari ga simulira. Znači, ako ste 'zaraženi', NOBO program
nećete ni uspeti da pokrenete.
virusi.660dr.grba,
-> #656, rdejan>> <root>
>> <delete /sub>
>> </root>
>>
>> ;) (ko zna, možda jednog dana osvane sličan kod)
Prema XML specifikaciji, ovakve stvari će biti moguće (:
virusi.661pavijan,
Pazi, pazi, opet.... :<
14-11-98 10:48:36 AM: NOBO start listening on port 31337
14-11-98 11:15:54 AM: BO packet (PING) from 195.178.50.60 (dial-30.cent.co.yu)
14-11-98 11:15:54 AM: Fake PING reply sent to 195.178.50.60
C,c,c,... al' si nisLije umisljaju? :<<<<<<<
DAJTE BRE NESTO ZA REVENGE. ;>>>>>>>>
Pozdrav od pavijana.
P.S. Je l' imao jos neko ovakva iskustva il' samo ja saljem ovakve poruke???
virusi.662juice,
-> #659, miskop@> Samo jos nesto da kazem, da ako niste sigurni da li ste zarazeni,
@> probajte da pokrenete onaj NOBO program. Ako ga uspesno pokrenete,
@> sigurno ste cisti jer NOBO se 'kaci' na port na koji se kaci i pra-
@> vi BO i ustvari ga simulira. Znaci, ako ste 'zarazeni', NOBO program
@> necete ni uspeti da pokrenete.
@>
Pa tako mi kazi ;)))))
Uhhhhhhhhhhhhhhh ;)
Pozdrav!
virusi.663miskop,
Evo teksta Dejana Ristanovića iz "PC"-ja a tiče se Back Orifice-a:
(preuzeto sa www.pcpress.co.yu)
------------------------------------------------------------------
Čuvajte se Back Orifice-a!
Jedan trojanac ozbiljno ugrožava korisnike Interneta: Back Orifice je
prava tempirana bomba koja, ako ste zaraženi, omogućava bilo kom
zlonamernom hakeru u svetu da radi šta god hoće sa vašim računarom.
Opasnost je itekako realna, jer je Back Orifice prisutan i u našim
krajevima...
Dejan Ristanović
Pre dva meseca časopis "PC" je pisao o Back Orifice trojancu, ali tada
je program izgledao kao jedna od mnogih pretnji koje, srećom, retko
postaju realnost; otprilike kao neki od mnogih sigurnosnih propusta
Internet Explorer-a. U međuvremenu su stvari postale ozbiljne: mnogi
korisnici Interneta žale se da ih nepoznati hakeri, iz zemlje iz
inostranstva, po više puta dnevno "skeniraju" tražeći Back Orifice
na njihovom sistemu, a oni koji su na tu "minu" već naleteli, možda
i ne znaju šta ih sve snalazi. Zato opasnost treba shvatiti veoma
ozbiljno i odmah preduzeti zaštitne mere.
Šta je Back Orifice?
Opasnost, za početak, treba razumeti: Back Orifice je program koji je
napisala hakerska grupa "Kult mrtve krave" (The Cult of Dead Cow).
Program je dobro napisan i, naoko, koristan: omogućava daljinsko
upravljanje računarom na koga je instaliran. Programe slične namene
prave i mnoge renomirane firme i oni su osnova mnogih intranet sistema.
Međutim, Back Orifice je namerno pisan tako da se instalira lako, kao
virus, bez ikakvih kontrolnih pitanja, i omogućava spoljnu kontrolu
udaljenog računara bilo kome, bez navođenja lozinke ili bilo kakve
sigurnosne provere. Osim toga, program se ne pojavljuje u listi taskova,
a i samo ime fajla je sakriveno - obično se vidi kao .EXE, bez prvog
dela naziva. Kada se tome doda uslužni program koji omogućava da se
Back Orifice pridoda bilo kom drugom, klasičnom programu, jasno je da
priče autora o navodnim "najboljim namerama" predstavljaju tek pokušaj
izbegavanja odgovornosti - ovo je prvi ovako opasan program čiji je
autor poznat, pa će to verovatno biti i test za (američki) pravosudni
sistem.
Jedini način da se zarazite Back Orifice-om jeste da startujete neki
program zaražen njim. To može da bude uslužni program koji ste preuzeli
sa Interneta, piratski CD, program koji ste dobili od poznanika, pa čak
i "novi alat koji uklanja Back Orifice". Sećajući se ranijih situacija
kada su se virusi nalazili čak i na disketama sa drajverima koji su
stizali uz neke (manje poznate) uređaje, ne treba isključiti ni ovaj
vid širenja virusa. Ukratko, svaki novi program koji stigne treba
pažljivo testirati pre upotrebe. Ni to vam, nažalost, ne garantuje
potpunu bezbednost, jer se već pojavljuju i "mutacije" Back Orifice-a.
Ako startujete zaraženi program, u vaš sistemski direktorijum biće
prekopiran Back Orifice Server čije će ime obično biti .EXE (mada onaj
ko je pripremao "bombu" može da izabere i bilo koje drugo ime), dok će
program koji je nosio na sebi parazita nastaviti da radi sasvim normalno,
pa verovatno nećete ni primetiti šta se dogodilo. Back Orifice Server se
automatski aktivira pri svakom sledećem startovanju računara, kao servis
naveden u registry bazi, u okviru ključa:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Kako ga hakeri pronalaze?
Instalirani Back Orifice Server, sam po sebi, ne predstavlja nikakvu
smetnju za rad računara. Problemi počinju kada se priključite na Internet:
server tada "osluškuje" saobraćaj na portu 31337 (mada može biti konfigurisan
i da osluškuje bilo koji port) i čeka da mu se javi "gospodar". "Gospodar"
ne mora da bude onaj ko vam je podmetnuo virus - bilo koji haker na svetu
može da "nanjuši" Back Orifice na vašem računaru i preuzme kontrolu nad
njim. Postoji i mogućnost da neko spremi Back Orifice specijalno za vas
(u kom slučaju će samo on moći da ga kontroliše, navodeći odgovarajuću
lozinku), ali ste u većini slučajeva otvoreni za bilo čije napade.
Hakeri razmerno lako pronalaze računare zaražene Back Orifice-om: znajući
liste IP adresa koje provajderi dodeljuju korisnicima (tzv. IP pool), oni
pokreću program koji skenira te adrese jednu po jednu, u potrazi za žrtvom.
Čim naiđu na takav računar, preuzimaju kontrolu nad njim i "igra" počinje...
Nemojte misliti da se to dešava samo nekom drugom: preuzmite i startujte
program NOBO (web.cip.com.br/nobo/) koji će biti rezidentan i pratiti vaš
saobraćaj sa Internetom, uočavajući trenutak kada vas neko "skenira".
Začudićete se kada vidite koliko vas puta skeniraju, sa dial-in linija
domaćih provajdera, iz Hrvatske, iz Amerike...
Haker koji vas je pronašao preuzima kontrolu nad vašim računarom koristeći
tekstualni ili grafički Back Orifice klijent koji je, zajedno sa serverom,
lako dostupan na Internetu. Posle toga... sve je moguće!
Šta vam može?
Najjednostavnija, ali ne nužno i najneprijatnija stvar koja vam se može
desiti jeste da haker naprosto "počisti" sadržaj vašeg diska, uništavajući
vaše podatke, programe i sve ostalo. Maliciozniji hakeri svakako neće početi
od toga: pregledaće vaš disk, preneti programe i fajlove koji ih zanimaju,
možda selektivno uništavati vaše podatke ili ih neprimetno menjati, slati
elektronsku poštu u vaše ime, blokirati povremeno vaš računar...
Naročito su neprijatne posledice kod računara koji su već umreženi: haker
preko takvog računara može dobiti pristup do mrežnih resursa (u lokalnim
mrežama, naročito u manjim firmama, svi diskovi su obično pristupačni svim
korisnicima), a sigurno će biti pročitani svi fajlovi sa keširanim lozinkama
koje postoje na vašem računaru. Haker će tako saznati vašu lozinku kod
Internet provajdera, pa će trošiti vaše vreme i, što je još gore, verovatno
drugima praviti štetu u vaše ime. Računar zaražen Back Orifice-om jednostavno
nije više samo vaš.
Ako računar koristite za pristup nekim osetljivim informacijama i lozinke
za takav pristup biće lako dešifrovane. Jer, Back Orifice je otvoren
protokol: sposobniji haker može da napiše plug-in kojim će povećati njegovu
"funkcionalnost" i prilagoditi ga konfiguraciji vaše mreže.
Kako da se zaštitite?
Na Mreži ćete pronaći mnoge programe koji detektuju i uklanjaju Back Orifice.
Neki od njih su pogodni alati, drugi su samo zamka preko koje Back Orifice
dolazi na vaš računar. Pročitaćete i mnogo saveta koji kažu da treba
pretražiti direktorijum Windows\System ili registry bazu, ali za početnika
je najjednostavnije da se opredeli za zaokruženo rešenje: antivirusni program.
Nevolja je samo u tome što isključivo najnovije verzije antivirusnih programa
otkrivaju Back Orifice: stare verzije treba najpre dopuniti novim definicijama
virusa, što nije uvek jednostavna operacija. Zato preporučujemo da odavde
preuzmete AntiViral Toolkit Pro (bitno je da to bude najnovija verzija - neke
starije možda ne detektuju ovaj virus), da ga instalirate i da on bude stalno
aktivan. Posle toga, spavaćete mnogo mirnije.
Druga mogućnost zaštite je da odmah pređete na Windows NT - Back Orifice
server je za sada napisan samo za Windows 95/98, a NT je i inače daleko
"čvršći" i sigurniji operativni sistem. Čak i korisnici NT-a, međutim,
treba da budu na oprezu, jer se lako može pojaviti Back Orifice (ili neki
sličan program) i za njega. Zato treba koristiti samo originalni softver
iz proverenih izvora, koristiti najnoviju verziju antivirusnog softvera
i, ako sve to zakaže, uvek imati ažuran backup.
virusi.665goxi,
-> #663, miskop>> preuzmete AntiViral Toolkit Pro (bitno je da to bude najnovija verzija -
neke
Zna li neko gde mogu da nadjem taj AntiViral Toolkit Pro (moze i adresa na
Internetu) ???
Goran.
virusi.666banga,
-> #665, goxi> Zna li neko gde mogu da nadjem taj AntiViral Toolkit Pro (moze
> i adresa na Internetu) ???
www.avp.com
virusi.667goxi,
-> #666, banga>> www.avp.com
Hvala, ali snasao sam se i sam...Da neznas na kojoj adresu mogu da nadjem
razne crack-ove...izmedju ostalih i za AVP ???
P.S. neznas=ne znas :)
Goran.
virusi.668miskop,
-> #665, goxi>> Zna li neko gde mogu da nadjem taj AntiViral Toolkit Pro (moze i adresa na
>> Internetu) ???
www.avp.com
virusi.669mindcrime,
-> #667, goxi >> www.avp.com
Go> Hvala, ali snasao sam se i sam...Da neznas na kojoj adresu mogu da
Go> nadjem razne crack-ove...izmedju ostalih i za AVP ???
Go> P.S. neznas=ne znas :)
Probaj astalavista.box.sk, to ti je search engine za crackove i slicne
zezancije.
virusi.670kara,
Pozdrav !
Jutros na Inetu NOBO mi je registrovao ovako neshto :
30/11/98 3:09:23 BO packet (PING) from 209.223.82.48
30/11/98 3:09:23 fake PING reply sent to 209.223.82.48
...pa bi bio zahvalan (veoma) ako mi objasnite shta se desilo...
Jel sve u redu..?
Unapred zahvaljujem..
virusi.671ventura,
-> #670, kara> 30/11/98 3:09:23 BO packet (PING) from 209.223.82.48
> 30/11/98 3:09:23 fake PING reply sent to 209.223.82.48
pa nista... neko je pokusao da pristupi tvom kompu ali nije mogao...
virusi.672spantic,
-> #651, juice> Pridruzujem se pitanju, sta sad?
>
> Naime, ja nit sam sta skidao sa Ineta niti sam sta radio, uglavnom BO se
> pojavio a sa njim i ucestali napadi sa Euneta (poslat mail na abuse) i iz
> Engleske.
> Osim ovog simptomaticnog -list passwords- desava se i -dir c:\*.*- .
Ne događa se najverovatnije baš ništa. Ja imam gotovo uputstvo
vezano za BO spremljeno za naše korisnike (EUnet), ali ga naš
web tim još nije stavio (to rade zadnjih mesec dana).
Svega ovoga ne bi bilo da je Pera otišao u policiju, ili da dva
nazovi računarska časopisa kod nas, pogotovo onaj glupi i ne baš
tačni prikaz u SK, nisu objavila priču o njemu. Posle čega je masa
napaljenih klinaca dobila ideju da su "hakeri".
NOBO simulira Back Orifice server i napadač misli da je našao
idealnu žrtvu. Otud i pokušaj da nešto uradi. U stvarnosti
napadač je frustriran, jer mu ne ide od ruke.
Mana NOBOa je što može da skenira samo jedan port istovremeno,
dok BO može da se podesi na širok spektar.
Srećom, ovdašnji nisu baš toliko pametni.
Korisnici EUneta su sigurno primetili da baš nema nešto
napada BO. Blokiramo ih, s tim što se napadači registruju.
Naravno, problem sa BO time nije rešen.
Inače, nije tačno da NOBO ne može da se startuje ako je
računar inficiran sa BOom. Kao što je primetio njegov autor
na svom webu, može.
virusi.673obren,
-> #672, spantic> Ja imam gotovo uputstvo vezano za BO spremljeno za naše korisnike (EUnet),
> ali ga naš web tim još nije stavio (to rade zadnjih mesec dana).
>
> Svega ovoga ne bi bilo da je Pera otišao u policiju, ili da dva
> nazovi računarska časopisa kod nas, pogotovo onaj glupi i ne baš
> tačni prikaz u SK, nisu objavila priču o njemu. Posle čega je masa
> napaljenih klinaca dobila ideju da su "hakeri".
Nisu dva, nego (bar) tri časopisa - tekstovi o Back Orifice trojancu
su objavljivani i u "PC"-u i "Računarima" i "Svetu Kompjutera". Za
"Mikro" ne znam, ali je vrlo verovatno da je i on, tj. PCW pisao o BO-u.
Teza da su tekstovi u časopisima glavni krivci za epidemiju jednostavno
ne drži vodu. Ne verujem da su u Hrvatskoj, odakle dolazi veliki deo
napada, saznali za BO čitajući ovdašnje časopise. Uostalom zašto kačite
na EUnetu to uputstvo, na taj način će svakako i neko ko ne treba saznati
za BO i verovatno doći na ideju da ga zloupotrebi? :)
Sigurno je da je dosta dečurlije preko napisa u časopisima došlo na
ideju da nabavi i isproba BO, ali je istovremeno i još veći broj ljudi
upozoren na opasnost i upoznat sa načinom da se zaštiti od napada i
detektuje/ukloni trojanac sa računara, što je i bio cilj tekstova
(bar onog koji sam ja pisao). Iz kontakata sa prijateljima koji su
pročitali članak i na osnovu brojnih e-mailova koje sam dobio povodom
teksta u Računarima, mislim da je cilj pogođen.
Evo ti i analogni primer: svojevremeno si u "Računarima" pisao o
prilagođavanju USA verzije Windowsa 95 kako bi se mogla koristiti YU
slova. Da li to znači da si u stvari navodio ljude da u Jugoslaviji
koriste američki Win95 umesto PEE verzije, ili si samo pomogao onima
koji imaju USA verziju da reše problem YU slova? :)
virusi.674ventura,
-> #673, obren> Teza da su tekstovi u casopisima glavni krivci za epidemiju jednostavno
> ne drzi vodu. Ne verujem da su u Hrvatskoj, odakle dolazi veliki deo
> napada, saznali za BO citajuci ovdasnje casopise. Uostalom zasto kacite
Ma jok... ono cista je slucajnost da kada je napisan onaj txt o nukovanju
u SK, ja poceo da dobijam po 10tak pokusaja nukovanja dnevno... Naravno
posle par meseci se sve smirilo, sada napisan onaj text o BO, i nisam
mogao da zivim od NOBO-a, morao sam da iskljucim opciju koja pri detekciji
BO paketa pokaze NOBO prozor... Moje malo zapazanje... Vecina 'napada'
je dolazila iz Hrvatske i to sa adresa
195.29.22*.*
potom iz danske 194.239.168.* i naravno od nasih, najvise napada je
stizalo sa beotela... potom sledi telekom pa Eunet itd.
VeNTuRa
virusi.675spantic,
-> #673, obren> Nisu dva, nego (bar) tri časopisa - tekstovi o Back Orifice trojancu
> su objavljivani i u "PC"-u i "Računarima" i "Svetu Kompjutera". Za
> "Mikro" ne znam, ali je vrlo verovatno da je i on, tj. PCW pisao o BO-u.
Ne, nisi razumeo. Nisam ja tebe napao. Uostalom, Beri
je objavio još letos odličan članak u PCiu o BOu koji
je prošao potpuno nezapaženo.
Tvoj članak sam pročitao u Računarima i iskreno je
jedan od retkih članaka vrednih pažnje u tom, a i
ne samo tom broju Računara. Da ne kažem baš jedini.
Članak je sasvim korektan.
virusi.676miskop,
-> #675, spantic> Tvoj članak sam pročitao u Računarima i iskreno je jedan od retkih
> članaka vrednih pažnje u tom, a i ne samo tom broju Računara. Da ne kažem
> baš jedini.
A šta ti imaš protiv "Računara" ? Da nije PC možda bolji, tj. te-
kstovi u njemu?
P.S. Lepo sam ja pre napisao o 'bandi' iz PC-a...
virusi.677johnnya,
-> #672, spantic >> Inače, nije tačno da NOBO ne može da se startuje ako je
>> računar inficiran sa BOom. Kao što je primetio njegov autor
>> na svom webu, može.
Po 100-ti put, da li je i Win3.11 ugrožen po bilo kom osnovu ?
virusi.678ventura,
-> #677, johnnya> >> Inace, nije tacno da NOBO ne moze da se startuje ako je
> >> racunar inficiran sa BOom. Kao sto je primetio njegov autor
> >> na svom webu, moze.
>
> Po 100-ti put, da li je i Win3.11 ugrozen po bilo kom osnovu ?
JESTE! Nije bitno koji os imas, BO je klijent/server program i ne
koristi nikakve bugove u OS-u. Ako ga iskompajliraju i pod
MacOS-om i on ce biti ranjiv...
virusi.679johnnya,
-> #678, ventura >>> Po 100-ti put, da li je i Win3.11 ugrozen po bilo kom osnovu ?
>>
>> JESTE! Nije bitno koji os imas, BO je klijent/server program i ne
>> koristi nikakve bugove u OS-u. Ako ga iskompajliraju i pod
>> MacOS-om i on ce biti ranjiv...
OK, znači neko mora da ga iskompajlira, pošalje meni na mail, ja
naivan da ga startujem i ne primetim da nešto radi u pozadini i
čeka upad ?! :)
Da li reg. kod win16 može da startuje programe ili je zato zadužena
samo StartUp grupa i linija load= u win.ini ?
virusi.680ventura,
-> #679, johnnya> OK, znaci neko mora da ga iskompajlira, posalje meni na mail, ja
> naivan da ga startujem i ne primetim da nesto radi u pozadini i
> ceka upad ?! :)
Na mrezi nema sors, kompajliraju ga oni sto ga prave (CDC)
> Da li reg. kod win16 moze da startuje programe ili je zato zaduzena
> samo StartUp grupa i linija load= u win.ini ?
Moze.
virusi.681dr.grba,
-> #676, miskop>> A šta ti imaš protiv "Računara" ? Da nije PC možda bolji, tj. te-
>> kstovi u njemu?
Neki autori u "Računarima" dozvoljavaju sebi navode koji nemaju veze
sa životom.
Ali, o tome možemo u primerenoj konferenciji, a ne ovde.
virusi.682spantic,
-> #676, miskop> A šta ti imaš protiv "Računara" ? Da nije PC možda bolji, tj. te-
> kstovi u njemu?
Protiv "Računara" kao časopisa zaista ništa.
Protiv vlasnika, preciznije direktorke novinskog
sektora bih i mogao da nešto imam, s obzirom da imam
veoma neugodna iskustva sa njom iz vremena kada je
knjiga koju sam napisao sa kolegom trebala da izađe.
Ja sam lično, srećom, uspeo da izađem iz afere
bez previše gubitaka, što mi nije baš uvek uspevalo,
ali to je već zaista druga tema.
U svakom slučaju dobronamerno upozorenje svima
koji moraju da posluju sa BIGZom jeste da paze
na svoje novčanike. Onda neće biti razočarani ni
u jednom slučaju.
Ali da se vratimo pitanju.
U Računarima sam počeo da pišem na kraju krajeva.
Što bi se reklo sentimentalno sam vezan za taj časopis.
Zato mi i jeste žao što vidim da je pao na
dosta niske grane što se kvaliteta tekstova tiče.
Da li je PC bolji ili ne verovatno zavisi od toga
kojoj čitalačkoj grupi pripadaš.
> P.S. Lepo sam ja pre napisao o 'bandi' iz PC-a...
Bilo bi lepo da malo šire elaboriraš temu, jer mi
zaista nije jasno o čemu ovde pričaš.
virusi.683spantic,
-> #678, ventura>> Po 100-ti put, da li je i Win3.11 ugrozen po bilo kom osnovu ?
>
> JESTE! Nije bitno koji os imas, BO je klijent/server program i ne
> koristi nikakve bugove u OS-u. Ako ga iskompajliraju i pod
> MacOS-om i on ce biti ranjiv...
Nije tačno.
BO koristi APIje i pozive Windows 95/98 operativnog sistema i
to je problem. Ne može se tek tako prevesti na bilo koju drugu
platformu. Back Orifice je zapravo i bio napravljen kao dokaz
da je Windows 9x šupalj. Na NTu ne funkcioniše recimo.
Klijenti su na raspolaganju za više platformi (*UNIX na primer),
ne i serveri.
Server se izvršava na napadnutoj mašini.
MS Windows 3.1x nije sa BOom ugrožen. Što ne znači da neće biti
sa drugim programom.
virusi.684ventura,
-> #683, spantic> BO koristi APIje i pozive Windows 95/98 operativnog sistema i
> to je problem. Ne moze se tek tako prevesti na bilo koju drugu
> platformu. Back Orifice je zapravo i bio napravljen kao dokaz
> da je Windows 9x supalj. Na NTu ne funkcionise recimo.
Chek malo...BO je obican Client/Server program, i nema veze na
kom OS se izvrsava, ako koristi bugove win95 onda zrtva treba
da ima samo win95 a ne i BO! Jedino nebi mogao da radi ako,
OS nema podrsku za mreze (TCP/IP,SLIP...), a sto je malo glupo...
jer BO kada se pokrene, on je ustvari TSR koji slusa sve sa porta
i kada dobije 'komandu' od BO Servera, on jednostavo izvrsi DOS
naredbu i rezultat posalje IP sa koga je stigla naredba. Jedni
problem sa Win31 moze biti to da, nemoze BO da pusta animacije,
capturuje screen, zvukove i druge multimedijalne aplikacije.
Ne vidim zasto ne bi mogao da se prevede na druge platforme, uz
male izmene, jer ako je tako kao sto ti tvrdis kako onda radi
Novell Netware? i on je Client Server program... Samo sto on koristi
neke druge vidove 'komunikacije' sa ostalim masinama, a BO koristi
TCP/IP protokol.
VeNTuRa
virusi.685obren,
-> #684, ventura> Chek malo...BO je obican Client/Server program, i nema veze na
> kom OS se izvrsava, ako koristi bugove win95 onda zrtva treba
> da ima samo win95 a ne i BO! Jedino nebi mogao da radi ako,
> OS nema podrsku za mreze (TCP/IP,SLIP...), a sto je malo glupo...
To što je BO zasnovan na client/server mehanizmima, ne znači da
je nezavisan od operativnog sistema, jer isti i napisan da bi
demonstrirao sigurnosne rupe Windowsa 95 na jednom hakerskom
"simpozijumu" (pod imenom "DEFCON", ako se ne varam).
> jer BO kada se pokrene, on je ustvari TSR koji slusa sve sa porta
> i kada dobije 'komandu' od BO Servera, on jednostavo izvrsi DOS
> naredbu i rezultat posalje IP sa koga je stigla naredba.
Elem, BO nije TSR niti poziva ikakve DOS naredbe. TSR je po definiciji
rezidentni DOS program, dok je Back Orifice 32-bitna aplikacija pisana
u MS Visual CPP-u i poziva API Windowsa 95.
> Ne vidim zasto ne bi mogao da se prevede na druge platforme, uz
> male izmene, jer ako je tako kao sto ti tvrdis kako onda radi
> Novell Netware? i on je Client Server program...
Iz istog razloga zbog koga npr. TweakUI 95 ne može da radi pod
Windowsom 3.11, a to je da isti, kao i BO, eksploatiše osobenosti
Windowsa 95. Drugima rečima, nema ništa od "prevođenja na druge
platforme", već bi neko mogao eventualno da napravi nešto slično
za Win3.11 ali koristeći druge trikove i druge API pozive.
Za kraj, pouka basne:
Back Orifice server, ovakav kakav je, radi isključivo pod Windowsom
95/98, tj. ne radi ni pod Windowsom 3.11 ni pod NT-om, niti na Linuxu,
Mekintošu i sl.
virusi.686spantic,
-> #684, ventura
Vidim ja da je SK lepo objasnio problem.
> Chek malo...BO je obican Client/Server program, i nema veze na
Bo čine dva dela. Server aplikacija koja se izvršava na
*inficiranom* računaru žrtve. Klijent aplikacija je ona sa
koje se upravlja serverom.
Vrlo lako, klijent upravlja serverom, ne upravlja server
klijentom.
Zato se i kaže da je nešto klijent/server aplikacija. Klijent
šalje zahteve, server izvršava.
> kom OS se izvrsava, ako koristi bugove win95 onda zrtva treba
> da ima samo win95 a ne i BO! Jedino nebi mogao da radi ako,
Zatim, na napadnutom računaru se izvršava server program koji
iskorišćeva features na Windows 9x da ostvari kontrolu.
Što veoma zavisi od operativnog sistema, iz čega izlazi da
server ne može biti samo tako preveden na proizvoljnom operativnom
sistemu.
Za klijenta koji šalje zahteve OS nije bitan i isti zaista
postoji na raznim platformama.
> OS nema podrsku za mreze (TCP/IP,SLIP...), a sto je malo glupo...
> jer BO kada se pokrene, on je ustvari TSR koji slusa sve sa porta
> i kada dobije 'komandu' od BO Servera, on jednostavo izvrsi DOS
BO *nije* TSR. BO je složena aplikacija i nazvati je TSRom je
veoma nategnuto. TSR je termin i pojam iz DOS vremena. Na Windows 9x
i NTu pričamo o procesima i servisima, recimo.
> naredbu i rezultat posalje IP sa koga je stigla naredba. Jedni
> problem sa Win31 moze biti to da, nemoze BO da pusta animacije,
> capturuje screen, zvukove i druge multimedijalne aplikacije.
> Ne vidim zasto ne bi mogao da se prevede na druge platforme, uz
> male izmene, jer ako je tako kao sto ti tvrdis kako onda radi
Tu nije reč o malim izmenama, da sad zaboravimo prosto prevođenja
BO koda, već o pisanju potpuno nove aplikacije.
> Novell Netware? i on je Client Server program... Samo sto on koristi
> neke druge vidove 'komunikacije' sa ostalim masinama, a BO koristi
> TCP/IP protokol.
Novell Netware nije *Clien Server program* već mrežni operativni
sistem. Ne znam kako si ga povezao sa ovim.
TCP/IP nije jedan protokol, a Novell Netware sada koristi i TCP/IP.
virusi.687ventura,
-> #686, spantic> BO *nije* TSR. BO je slozena aplikacija i nazvati je TSRom je
> veoma nategnuto. TSR je termin i pojam iz DOS vremena. Na Windows 9x
> i NTu pricamo o procesima i servisima, recimo.
Slozena aplikacija, koja cuci i ceka sta ce se desiti na odredjenom
portu. Ajde ti meni lepo objasni kako ti zoves ovakav program.
A kad bi windows imao processe i servise.. to bi bilo veoma lepo..
ali je to samo dobra zelja... Da opet ne ulazimo u raspravu o win-u,
samo da kazem da je win* *RADNO OKRUZENJE* a ne operativni sistem!
Jer je win samo maska za dos komande, ma koliko se oni iz microsofta
trudili da to opovrgnu. Cak ni sam dos nije operativni sistem. On je
u sustini program koji radi sa Externim Memoriskim uredjajima (disketama,
hard diskovima, cdromovima...) pravi operativi sistem MORA da sadrzi
ove stvari:
Paralelizam
Deljenje resursa
Upravljanje procesima i njihovo rasporedjivanje
Upravljanje memorijom
Upravljanje I/O uredajima
Upravljanje fajlovima
Obrada prekida
Zastita procesa i korisnika
Obracunavanje upotrebe resursa
Network menagment
> Novell Netware nije *Clien Server program* vec mrezni operativni
> sistem. Ne znam kako si ga povezao sa ovim.
Aj ti meni fino reci kako si ti dosao do ovoga zakljucka!
Netware od onih gore navedenih stvari netware sardzi samo 3!
nego nema veze, ajde ti meni reci sta je za tebe operativni
sistem? jel OS za tebe ono sto ti neko kaze da je OS ili ono
sto sigurno znas da jeste?
Evo da malo pricamo NN-u. Dakle sta se desava kada palis jednu
netware mrezu. prvo podizes glavni racunar (server) i kao sto sam
znas ako si nekada podizao Netware mrezu, po zavrsetku biosovih
testiranja Netware NE PREUZIMA kontrolu nad kompjuterom nego to
uradi DOS recimo..Sto je glavni dokaz da Netware nije OS!
potom, u okviru os-a pusta se server program koji potom prima
podatke sa I/O uredjaja i na osnovu njih radi i rezultat vrati
primaocu. Ti kada sednes za 'terminal' koji radi sa netwarom,
i kada odkucas komandu, deo netware-a je zaduzen da tu komandu
prosledi na I/O uredjaj serveru, i da ceka rezultat, e sada
server uzima podatak sa I/O-a izvrsava zadatak i salje nazad
povratnu informaciju (rezultat), koga client program prepozna,
i ispise rezultat na ekranu.
VeNTuRa
virusi.688spantic,
-> #687, ventura> hard diskovima, cdromovima...) pravi operativi sistem MORA da sadrzi
> ove stvari:
> Paralelizam
> Deljenje resursa
> Upravljanje procesima i njihovo rasporedjivanje
> Upravljanje memorijom
> Upravljanje I/O uredajima
> Upravljanje fajlovima
> Obrada prekida
> Zastita procesa i korisnika
> Obracunavanje upotrebe resursa
> Network menagment
Preporučujem da uzmeš neku pristojnu knjigu o teoriji
operativnih sistema, u kojoj je zastupljena i istorija
razvoja operativnih sistema pre nego što se vratiš ovoj temi.
> Evo da malo pricamo NN-u. Dakle sta se desava kada palis jednu
> netware mrezu. prvo podizes glavni racunar (server) i kao sto sam
> znas ako si nekada podizao Netware mrezu, po zavrsetku biosovih
> testiranja Netware NE PREUZIMA kontrolu nad kompjuterom nego to
> uradi DOS recimo..Sto je glavni dokaz da Netware nije OS!
:) Izvini, ali zaista nisam mogao da se suzdržim.
Očigledno sam pogrešio sa ozbiljnošću odgovora.
virusi.689ventura,
-> #688, spantic> Preporucujem da uzmes neku pristojnu knjigu o teoriji
> operativnih sistema, u kojoj je zastupljena i istorija
> razvoja operativnih sistema pre nego sto se vratis ovoj temi.
Citao sam mnogo vise knjiga o OS-ovima, nego sto ti mislis...
VeNtuRa
virusi.690sljubisic,
-> #687, ventura> Slozena aplikacija, koja cuci i ceka sta ce se desiti na odredjenom
> portu. Ajde ti meni lepo objasni kako ti zoves ovakav program.
> A kad bi windows imao processe i servise.. to bi bilo veoma lepo..
U Windowsu 3.1x i Winodwsu 95 to se zove task,odnosno aplikacija. NT pravi
razliku izmedju "obicne" aplikacije i servisa, u zavisnosti na kom prioritetu
se izvrsavaju.
> Jer je win samo maska za dos komande, ma koliko se oni iz microsofta
> trudili da to opovrgnu. Cak ni sam dos nije operativni sistem. On je
Windows ce raditi i ako se izbrise celo \DOS stablo, odn. direktorijum.
Dakle, Windows nije front-end shell za DOS komande.
> u sustini program koji radi sa Externim Memoriskim uredjajima (disketama,
Ok, ako je DOS program koji radi sa "Externim Memorijskim uredjajima", za koji
je
operativni sistem on pisan, tj. na kom se operativnom sistemu taj (DOS)
program
izvrsava?
> pravi operativi sistem MORA da sadrzi ove stvari:
> Paralelizam
> Deljenje resursa
> Upravljanje procesima i njihovo rasporedjivanje
itd.
Ne mora.
Lepo je ako sve ovo (i jos sijaset drugih stvari) podrzava, ali to nije
potreban, a jos manje dovoljan uslov.
Inace, kazu da po zakonima, valjda, aero-dinamike bumbar ne moze da leti. A on
eto leti.
Bez obzira na to sto kaze teorija.
Tako je i sa teorijama operativnih sistema. Mnoge je pregazilo vreme i praksa.
Korisne su kao polazna tacka za razmisljanje, ali ne mnogo vise od toga.
Nazalost.
Tesko je striktno i jednom za svagda definisati nesto sto se tako dinamicno
razvija iz dana u dan.
> Evo da malo pricamo NN-u. Dakle sta se desava kada palis jednu
> netware mrezu. prvo podizes glavni racunar (server) i kao sto sam
> znas ako si nekada podizao Netware mrezu, po zavrsetku biosovih
> testiranja Netware NE PREUZIMA kontrolu nad kompjuterom nego to
> uradi DOS recimo..Sto je glavni dokaz da Netware nije OS!
Prvu kontrolu nad racunarom preuzme BIOS. On je kasnije preda DOS-u,
a DOS je preda NetWare-u. DOS je NetWare-u potreban toliko koliko
da se moze pristupati podacima na DOS particijama. DOS ne moze da cita
NetWare particije. Na kraju krajeva, na NetWare-u postoji naredba REMOVE DOS
kojom se DOS uklanja iz memorije racuara, a NetWare i posle toga najnormalnije
nastavlja da radi. Inace, NetWare ima i svoj sopstveni file sistem koji je u
mnogo
cemu nalik UNIX-ovom.
> primaocu. Ti kada sednes za 'terminal' koji radi sa netwarom,
> i kada odkucas komandu, deo netware-a je zaduzen da tu komandu
> prosledi na I/O uredjaj serveru, i da ceka rezultat, e sada
> server uzima podatak sa I/O-a izvrsava zadatak i salje nazad
> povratnu informaciju (rezultat), koga client program prepozna,
> i ispise rezultat na ekranu.
To sto ti pricas se definise sa razmenom informacija izmedju dva racunara
kroz 7 OSI nivoa (ljuski), bilo da se koristi NetBIOS, NCP (NetWare) ili
SMB (WIndows, OS/2).
Klijent-server se kao termin koristi za posebno organizovane baze podataka,
gde se uz pomoc posebnog jezika (SQL) i posebne "aplikacije" koja se insta-
lira preko ("on-top" )mreznog operativnog sistema na serveru (npr. ORACLE)
ne vrsi samo iscitavanje podataka sa takvog servera, vec se na njima vrsi i
obrada (aritmeticke operacije, pretrazivanje i dr.) a samo se rezultat vraca
klijentu.
Na ovaj nacin se ekonomicnije koristi propusna moc racunarske mreze,
pogotovo kada se radi sa velikim bazama i velikim kolicinama podataka
koje treba na neki nacin obraditi.
virusi.691dr.grba,
-> #687, ventura>> uradi DOS recimo..Sto je glavni dokaz da Netware nije OS!
Naravno, Netware nije OS, već moćan rezidentni program. Toliko
je moćan da čak i kad se u Autoexec.NCF lupi REMOVE DOS, on ostaje
da radi!
Ovde nije kraj: skotovi iz Novella u svojoj dokumentaciji čak
pričaju da Novell ima nekakav kernel, shell, file system, handlove,
boktepita šta još... Kakav bezobrazluk, pa to nije OS!
Sorry, morao sam (((((:
virusi.692speedy,
-> #689, venturaS>
S> Citao sam mnogo vise knjiga o OS-ovima, nego sto ti mislis...
S>
S> VeNtuRa
S>
Uzasnih li knjiga.
virusi.693banga,
-> #689, ventura>> Preporucujem da uzmes neku pristojnu knjigu o teoriji
>> operativnih sistema, u kojoj je zastupljena i istorija
>> razvoja operativnih sistema pre nego sto se vratis ovoj temi.
> Citao sam mnogo vise knjiga o OS-ovima, nego sto ti mislis...
Ćitao, bolan verovatno jesi kad tvrdiš.
A da li si razumeo išta ?
virusi.694ventura,
-> #692, speedy> Uzasnih li knjiga.
Cox - "Magical Garden Explained"
Maurice J. Bach "The design of UNIX operating system"
virusi.695djlucky,
Primetio sam da kada igram quake na sezamovom serveru uvek primim
po 2-3 poruke od NOBO-a o upadima......a ovako su se smirili nema
ih puno.....inace 2/3 upada su sa infosky-a!
eto toliko samo da znate da se obezbedite ako igrate quake!
virusi.696gkosta,
>>Dear All,
>>
>>Subject: VIRUS WARNING
>>
>>Someone is sending out a very desirable screen-saver, the
>>Budweiser Frogs - "BUDDYLST.ZIP". If you download it, you will
>>lose everything!!!
>>Your hard drive will crash and someone from the Internet will
>>get your screen name and password! DO NOT DOWNLOAD THIS UNDER
>>ANY CIRCUMSTANCES!!! IT JUST WENT INTO
>>circulation yesterday, as far as we know. Please
>>distribute/inform this message. This is a new, very malicious
>>virus and not many people know about it. This information was
>>announced yesterday morning from Microsoft. Please share it
>>with everyone that might access the Internet.
>>Once again, pass this along to EVERYONE in your address book
>>so that this may be stopped. Also do not open or even look at
>>any mail that says "RETURNED OR UNABLE TO DELIVER". This virus
>>will attach itself to your computer components and render
>>them useless. Immediately delete mail items that say this. AOL
>>has said that this is a very dangerous virus and that there is
>>NO remedy for it at this time.
virusi.697silence,
Happy99.exe je virus!!!!
------------------------
Možete ga videti okačenog uz Internet poruke. Nakon startovanja
programa, svaki od mailova koji šaljete biće 'dopunjen' Happy-jem, bez
vašeg znanja o tome i mogućnosti da ga se rešite.
Miskop mi reče da sam ga zakačio... :(
AVP (ovaj ne-updateovani, koji imam) ga ne detektuje kao virus. Noćas
ću da ga update-ujem...
Ako neko zna rešenje kako da se dotični ukloni - neka viče.
virusi.698stefan,
-> #697, silence> Ako neko zna rešenje kako da se dotični ukloni - neka viče.
Virus je izgleda benigan, sem što se širi ne radi ništa. Evo kako se
uklanja:
Removal
1.Click Start, then Shut Down, then "Restart Computer in MS-DOS mode", then
click Yes.
2.At the DOS prompt type:
CD \WINDOWS\SYSTEM
If your Windows folder is not called WINDOWS then substitute the name of
your Windows folder instead, for
example:
CD \WIN95\SYSTEM
3.Delete SKA.EXE and, SKA.DLL by typing
DEL SKA.EXE
DEL SKA.DLL
If you get "File not found" you're not infected.
4.Copy WSOCK32.SKA to WSOCK32.DLL by typing
COPY WSOCK32.SKA WSOCK32.DLL
Answer "Yes" if it asks if you want to overwrite WSOCK32.DLL.
5.Optional Delete WSOCK32.SKA by typing
DEL WSOCK32.SKA
You can leave WSOCK32.SKA on your system. It is a copy of your original
WSOCK32.DLL
6.Return to Windows by typing
EXIT
7.Optional Click Start, then Run, then type regedit in the text box, then
click OK. Click HKEY_LOCAL_MACHINE,
then Software, then Microsoft, then Windows, then CurrentVersion. Under
RunOnce check for SKA.EXE and select it if
it is there. Press delete and then click Yes. Close Regedit.
8.Optional Start Notepad, choose File, then Open then type
C:\WINDOWS\SYSTEM\LISTE.SKA in the File Name
box. Warn the people on the list, then delete LISTE.SKA.
virusi.699silence,
-> #698, stefan> > Ako neko zna rešenje kako da se dotični ukloni - neka viče.
>
> Virus je izgleda benigan, sem što se širi ne radi ništa. Evo kako se
> uklanja:
Hvala na trudu!
virusi.700pavijan,
E, pa desio mi se Netbus napad. Isao sam na AVP sajt da obnovim bazu kad,
u sred obnavljanja pojavi mi se Netbuster (slava onome ko ga posla) sa
sadrzajem dole. Neko je skoro pisao o tome kako nesto ne valja sa AVP-om.
Licno mislim da tamo ima dezurnih hakera koji cekaju da nekog napadnu. Dakle
oprez.
Pozdrav od pavijana.
206.49.116.108 connected at 23-Feb-99 [02:39:22]
206.49.116.108 was denied access at 02:39:27 [maximum 1 user]
206.49.116.108 was denied access at 02:39:28 [maximum 1 user]
virusi.701ventura,
-> #700, pavijan> E, pa desio mi se Netbus napad. Isao sam na AVP sajt da obnovim bazu kad,
> u sred obnavljanja pojavi mi se Netbuster (slava onome ko ga posla) sa
> sadrzajem dole. Neko je skoro pisao o tome kako nesto ne valja sa AVP-om.
> Licno mislim da tamo ima dezurnih hakera koji cekaju da nekog napadnu. Dakle
> oprez.
Ukoliko imas NetBus i konektujes se na internet tvoj promerak ce se
javiti nekom tamo serveru koji ce znati da si ti na mrezi. Na netu
moze da se skine program koji pozove server i zatrazi od njega listing
ko je sve online... ista stvar je i sa BO-om samo sto program koji
daje listu nije izasao u javnost...
virusi.702indi,
imam PC clillin
dobio sam ga na disku sa drajverima za TX pro 2
dugo mi je lepo radio
ali sad kad mu kazem da skenira hard za viruse
iz cista mira zaglavljuje na nekim fajlovima
probo sam da ga deinstaliram, resetujem comp i ponovo
instaliram
ali nece, opet mi zaglavljuje
sto me tako zeza?
virusi.703stemil,
Čudna stvar se dešava na jednoj 486-ici...
Naime, čisto radi probe pokrenut je AVP iz dec.'98. Posle podizanju
istog i nakon učitavanja baze virusa, kao što je to već red sledi provera
memorije ali avaj. Tu Anti Viral nalazi virus Oxana.1654, za šta ispiše
odgovarajuću poruku i uz pisak iz spikera zablokira računar. U više
navrata isti rezultat.
Probano je zatim podizanje sa butne diskete ali opet isto. Ništa
čudno reći će neko, verovatno je napravljena nakon zaraze virusom ali...
...Uzete su sistemske diskete i sa dva druga računara (jedna dos a druga
win98) i rezultat je isti ?!!!
Da li je ikako moguće da ploča ima fleš bios (što ne znam tačno)
pa da se virus uvukao tamo !???
Šta bi moglo da bude ?
Inače mašina radi pod dosom 6.20 bez ikakvih problema, a sudbinu AVP-a
u medjuvremenu je doživeo i FPROT !
Pomagajte ako znate o čemu se radi.
virusi.704pifat,
Uz poruku se nalazi update za AntiViral Toolkit Pro od 28. marta,
koji ima i lek za Melissu. To je novi makro virus za Word, koji
izgleda pravi dosta nevolja.
update32.exevirusi.705mperisic,
Da li bi neko mogao da mi posalje najnoviju verziju programa
AntiViral Toolkit Pro?
Pozdrav,
Milos.
virusi.706pifat,
Američke vlasti su uhapsile Dejvida Smita, tvorca nedavnog virusa
nazvanog Melissa. Posle intenzivne elektronske potrage, vlasti su mu
ušle u trag i pronašle ga u kući njegovog brata. Izveštaji govore da
je virus od trenutka svoje pojave načinio dosta štete poslovnom svetu
koji koristi e-mail za razmenu dokumenata (Melissa je makro virus),
jer se dejstvo virusa ogleda u tome što, između ostalog,
po otvaranju zaraženog dokumenta koji je prikačen uz elektronsku
poštu, neznano vlasniku generiše gomilu e-mail poruka i šalje ih na
adrese ljudi čiji se podaci nalaze u imeniku (address booku) e-mail
programa na zaraženom računaru. Ako porota bude prihvatila sve
navode iz optužnice, Smit bi mogao dobiti kaznu i do 40 godina robije.
virusi.707pecanac,
-> #706, pifat> navode iz optužnice, Smit bi mogao dobiti kaznu i do 40 godina robije.
Ja čuh na LieNews-u da može da dobije od 5 do 10 god.
virusi.708peyota,
Moze li mi neko reci nesto o virusu W95/CIH.1003 ?
Hvala!!!
virusi.709ventura,
-> #708, peyota> Moze li mi neko reci nesto o virusu W95/CIH.1003 ?
Procitaj starije poruke u ovoj temi...
virusi.710miskop,
-> #708, peyota>> Moze li mi neko reci nesto o virusu W95/CIH.1003 ?
Poruka 6.610 iz ove teme.
virusi.711stemil,
> PORUKA UPOZORENJA OD IBM
>
> Ako primite e-mail koji ce glasiti "JOIN THE CREW/FOR PENPALS" -ne
> otvarajte ga jer ce biti izbrisano sve sa vaseg hard diska. Posaljite
> ovo pismo svima koje poznajete. To je novi virus i mnogim ljudima je
> nepoznat. Ovu informaciju smo primili jutros od IBM-a, molimo Vas da je
> prosledite ostalima.
> PENPAL izgleda kao prijateljsko pismo u kome Vas pitaju da li ste
> zainteresovani za dopisivanje, ali dok budete citali pismo, ukoliko
> ga otvorite, bice kasno. Jednom kad je poruka procitana, automatski se
> prosledjuje svima ciji se e-mailovi nalaze u vasem mail-box-u. Ne samo
> da ce unistiti Vas hard drive, vec i svima ostalima koji su u Vasem
> box-u a i onima koji su u njihovom box-u i tako u nedogled.
> Molimo Vas prosledite ovo svojim prijateljima, onima koji se
> nalaze u Vasem box-u.
virusi.713stemil,
-> #712, ventura> > > PORUKA UPOZORENJA OD IBM
> > > Ako primite e-mail koji ce glasiti "JOIN THE CREW/FOR PENPALS" -ne
> E, zajebi nas sa ovim sranjima...
Zemljače, da'l si ti već sjeban ili ne, pa to neko treba da ti uradi vidi
prvo sam sa sobom ;)
Poruku takva kakva je dobio sam iz Londona od prijatelja koji je već duže
tamo. Da baš odande, što je bitno samo iz razloga sopštavanja NOVOSTI na
vreme. Drugim rečima ljudi na zapadu UGLAVNOM saznaju takve i slične stvari
pre nas ovde i zato sam više iz dobronamernosti a ne iz želje da povećam
bilo kakav svoj rejting abronoše ovde, poslao dotični mail u originalu.
Umesto da si pročitao ono što je pisalo i bez obzira na svoje trenutno
razmišljanje ipak zadržao informaciju negde u "malom mozgu" za nedaj bože,
ti si krenuo sa prepotentnim proseravanjem i prozivanjem tipa " E ja sam
pametniji od tebe...". Mrzim takve ljude - smrdljivce !
Siguran sam da ne bi smeo ni da pomisliš tako nešto da mi kažeš u lice !!!
virusi.715pecanac,
-> #708, peyota> Moze li mi neko reci nesto o virusu W95/CIH.1003 ?
Evo nešto sveže i aktuelno po tom pitanju. Naime, 26. April 1999. je
prvi rodjendan ovog virusa. jedan od pouzdanijih programa za uklanjanje
virusa je AVP. Sa njihovog sajta malo o tome kako je nastao, kako 'deluje'
i kako se odstranjuje u sledećem tekstu:
April 26th is approaching and the most common version of the Win95.CIH 1.2
virus activates on this day.
The Win95.CIH virus was first found in Taiwan in early June 1998 and
AntiViral Toolkit Pro was updated with detection and disinfection on June
6th, 1998. This virus is confirmed to be in the wild worldwide. The most
common version of this virus is Win95.CIH 1.2, and it activates on the 26th
of April.
This virus once the destructive instructions are executed can on April
26th.
Overwrite the hard disk and flash the BIOS of the infected computer.
This virus does not infect DOS, Windows 3.x, Windows NT comuputers so only
Windows 95 and Windows 98 users are at risk.
We have a special version of AntiViral Toolkit Pro pre-configured to detect
and remove Win95.CIH infections from infected computers.
Instructions for the removal of Win95.CIH
AntiViral Toolkit Pro for Windows 95/98/NT will protect you from getting a
Win95.CIH infection.
How to remove a existing Win95.CIH infection easily.
First here is a complete description of the virus.
--------------------------------------------------
Win95.CIH
This is a Windows95 specific parasitic PE files (Portable Executable)
infector about 1Kbyte of length. This virus was found "in-the-wild" in
Taiwan in June 1998 - it was posted by the virus author to a local Internet
conference as a some utility. Within a week the virus was found in Austria,
Australia, Israel, United Kingdom, and was also reported from several other
countries (Switzerland, Sweden, USA, Russia, Chile and the list keeps
growing).
The virus installs itself into the Windows memory, hooks file access calls
and infects EXE files that are opened. Depending on the system date (see
below) the virus runs its trigger routine. The virus has bugs and in some
cases halts the computer when an infected application is run.
The virus' trigger routine operates with Flash BIOS ports and tries to
overwrite Flash memory with "garbage". This is possible only if motherboard
and chipset allow to write to Flash memory. Usually writing to Flash memory
can be disabled by a DIP switch, however this depends on the motherboard
design. Unfortunately, there are modern motherboards that cannot be
protected by a DIP switch - also, some of them do not pay attention for
switch position and this protection has no effect at all. Some other
motherboard designs provide write protection that can be disabled/overriden
by software.
During tests in our lab the virus did not overwrite the Flash BIOS and just
halted the computer. We do however have reports from other sources telling
that the virus really is able to mess it up.
The trigger routine then overwrites data on all installed hard drives. The
virus uses direct disk write calls to achieve this and bypasses standard
BIOS virus protection while overwriting the MBR and boot sectors.
There are three virus versions known, which are very closely related and
only differ in few parts of their code. They have different lengths, texts
inside the virus code and trigger date:
Length Text Trigger date Found In-The-Wild
1003 CCIH 1.2 TTIT on April 26th YES
1010 CCIH 1.3 TTIT on April 26th NO
1019 CCIH 1.4 TATUNG on 26th of any month YES - many reports
Technical details
While infecting a file the virus looks for "caves" in the file body. These
caves are a result of the PE file structure: all file sections are aligned
by a value that is defined in PE file header, and there are not used blocks
of file data between the end of previous section and next one. The virus
looks for these caves and writes its code into them. The virus then
increases the size of sections by the necessary values. As a result the
file length is not increased while infecting.
If there is a cave of enough size, the virus saves its code in one section.
Otherwise it splits its code into several parts and saves them to the end
of several sections. As a result the virus code may be found as set of
pieces, not as a single block in infected files.
The virus also looks for a cave in the PE header. If there is a not used
block not less than 184 bytes of length, the virus writes its startup
routine to there. The virus then patches the entry address in the PE header
with a value that points to the startup routine placed in the header. This
is the same trick that was used in the "Win95.Murkry" virus: address of
program entry points not to some file section, but to file header - out of
loadable file data. Despite this, infected programs are run with no
problems - Windows does not pay attention for such "strange" files, loads
the file header into the memory, then file sections, and then passes
control to the virus startup routine in PE header.
When the virus startup routine takes control, it allocates a block of
memory by using the PageAllocate VMM call, copies itself to there, locates
other blocks of virus code and also copies them to allocated block of
memory. The virus then hooks system IFS API and returns control to the host
program.
The most interesting thing in this part of the virus code is that the virus
uses quite complex tricks to jump from Ring3 to Ring0: when the virus jumps
to newly allocated memory its code is then executed as Ring0 routine, and
the virus is able to hook the file system calls (it is not possible in
Ring3, where all users applications are run).
The IFS API virus handler intercepts only one function - file opening. When
PE .EXE files are opened, the virus infects them, provided there are caves
of enough size. After infection, the virus checks the file date and calls
trigger routine (see above).
While running its trigger routine the virus uses direct access to Flash
BIOS ports and VxD direct disk access calls (IOS_SendCommand).
Detection and Cleaning instructions
-----------------------------------
We have made a special edition of AntiViral Toolkit Pro Lite (AVPLite)
to detect and remove Win95.CIH and variants easily from your computer.
Step 1.
=======
Download this special edition of AntiViral Toolkit Pro Lite from Central
Command at:
<ftp://ftp.avp.com/pub/nocih/nocih.exe>
This is a special utility to create a diskette version of AVPLite. To use
this simply download the file nocih.exe to a folder on your computer. The
Win95.CIH virus will not infect this archive.
Step 2.
=======
Insert a blank formatted diskette into your floppy diskette drive.
Step 3.
=======
Locate the file nocih.exe that you downloaded from Central Command and run
the program using the example below:
nocih.exe [Drive letter of your floppy drive]
Example:
--------
nocih.exe a: <press enter>
This will create a diskette with AVPLite for detection and removal of
Win95.CIH
Step 4.
=======
Make the diskette bootable by typing:
SYS [Drive letter of your floppy drive]
Example:
--------
Sys a: <press enter>
Step 5.
=======
You need to copy one file to the diskette named HIMEM.SYS This file is
located in your c:\windows or c:\windows\system\ folder
Copy himem.sys [Drive letter of your floppy drive]
Example:
--------
copy himem.sys a:
Step 6.
=======
Now remove the diskette, write protect it and shut down and shut off your
computer.
Re-insert the diskette and turn your computer on again.
This will start AVPLite and detect and remove all Win95.CIH infections.
When it's complete simply remove the diskette and restart your computer.
PLEASE NOTE! This virus may corrupt Winzip archives and leave them in a
state the in NOT repairable! You will need to replace these files after
disinfection.
virusi.720mindcrime,
..CONF FILE FORUM.19:gde.smo.1262 > /y
Jel' zna neko da li u BGD-u postoji neki servis koji ima
opremu za reprogamiranje izbrisanog BIOS-a (ono, danas
je 26. april i vec se naslo nekoliko racunara koje je
CIH opustosio)?
virusi.721sane,
-> #720, mindcrime
Hm.... Izgleda da je i kod mene na kompu dejstvovao.. Tachno 26 u 0000 se
upalio i sjebao hard disk.. za sada sam samo to primetio.. "samo", chini mi se
da mi i bios brljavi kod opcije power menagment..
virusi.722speedy,
-> #720, mindcrime> Jel' zna neko da li u BGD-u postoji neki servis koji ima
> opremu za reprogamiranje izbrisanog BIOS-a (ono, danas
> je 26. april i vec se naslo nekoliko racunara koje je
> CIH opustosio)?
Ja sam to sredio ortaku na sledeci nacin:
Nasli smo plocu identicnu njegovoj (koja radi OK), skinuli bios image
i program za flashovanje sa weba, butovali plocu koja radi, na zivo
promenili bios cip i flashovali ga.
U konkretnom slucaju operacija je izvedena na GA T2 ploci.
Sto se tice hard-a, izgleda da je virus prebrisao MBR, boot sektor prve
particije, i mozda fat i root dir tabelu, nisam gledao bash
detaljno. Ostale particije sam nasao rucno i upisao podatke u MBR.
Podatci na njima izgledaju netaknuti. Detalje o prvoj particiji smo
ostavili za kasnije zbog nekih obaveza.
virusi.723peyota,
-> #722, speedy>> Ja sam to sredio ortaku na sledeci nacin:
>> Sto se tice hard-a, izgleda da je virus prebrisao MBR, boot sektor prve
>> particije, i mozda fat i root dir tabelu, nisam gledao bash
Najlepse bih te molio da mi detaljnije objasnis kako si spasao podatke sa
druge particije!!!! Da li moze da se hard nakaci na ispravan komp, i sta
treba da se radi? Hard je inace IBM 1,7GB. Ploca je GA 5486AL!
Hvala!!!
virusi.724speedy,
-> #723, peyotaSP> Najlepse bih te molio da mi detaljnije objasnis kako si
SP> spasao podatke sa druge particije!!!! Da li moze da se hard
SP> nakaci na ispravan komp, i sta treba da se radi? Hard je
SP> inace IBM 1,7GB. Ploca je GA 5486AL!
SP>
SP> Hvala!!!
Preporucujem ti da nadjes nekoga ko se razume u to i da ako ne znas
detalje dosovog file sistema ne pokusavas da sam oporavljas podatke
jer mozes greskom prouzrokovati gubitak istih.
Inace, procedura oporavka zavisi od slucaja do slucaja mada se
cesto svede na pronalazenje boot bloka i upisivanje odgovarajucih podataka
u MBR. Nekad se desi da je i bootstrap kod u MBR u prebrisan tako
da je potrebno i to srediti.
Ukoliko su ti stvarno bitni podatci mogao bih ti pomoci, naravno
ma wr speedy
virusi.725pperica,
-> #720, mindcrimeRadim ja, ako je award.
pperica
virusi.726epson,
-> #724, speedy> Preporucujem ti da nadjes nekoga ko se razume u to i da ako ne znas
> detalje dosovog file sistema ne pokusavas da sam oporavljas podatke
> jer mozes greskom prouzrokovati gubitak istih.
> Inace, procedura oporavka zavisi od slucaja do slucaja mada se
> cesto svede na pronalazenje boot bloka i upisivanje odgovarajucih podataka
> u MBR. Nekad se desi da je i bootstrap kod u MBR u prebrisan tako
> da je potrebno i to srediti.
Ako bi mogao malo detaljnije da mi objasniš kako se traži boot blok,
bootstrap i to... Takođe i koje alate koristiš. Diskeditor ? Partition Magic ?
Pozdrav,
Srđan
virusi.727ventura,
-> #726, epson> Ako bi mogao malo detaljnije da mi objasnis kako se trazi boot blok,
>bootstrap i to... Takode i koje alate koristis. Diskeditor ? Partition Magic ?
Uzmes disk editor i na prvom sektoru ti je MBR, mada ako si sjebo disk
sa linuxom lilo xna da se zavuce i na 7 sektor
virusi.728saint,
-> #727, ventura=> Uzmes disk editor i na prvom sektoru ti je MBR, mada ako si sjebo disk
=> sa linuxom lilo xna da se zavuce i na 7 sektor
Mozes li to potancnije da objasnis?
Sta? Gde? Kada? Kako? Zasto?
virusi.729ventura,
-> #728, saint> => Uzmes disk editor i na prvom sektoru ti je MBR, mada ako si sjebo disk
> => sa linuxom lilo xna da se zavuce i na 7 sektor
>
> Mozes li to potancnije da objasnis?
> Sta? Gde? Kada? Kako? Zasto?
Pa pazi, ja sam gledo kako covek to radi (bio je moj disk u pitanju :) )
inace jujo sa sezama, dakle prikaci se disk na ispravnu masinu, potom se
uzme diskeditor i sa harda ispravne masine se skine mbr, potom se u tom
mbr-u isprave podatci o disku tako da se on moze staviti na osteceni disk,
(sektori, cilindi, glave...), ima nesto i racunanja oko broja blokova
valjda, i onda se tako prepravljeni MBR snimi na osteceni dik i to treba da
sljaka...
virusi.732mindcrime,
-> #725, pperica
> Radim ja, ako je award.
> pperica
Verovatno jeste, mada ja ne znam tacno koje su ploce u pitanju
(pitanje sam postavio zbog jednog prijatelja). Provericu pa cu
ti javiti.
virusi.735johnnya,
Uklanjanje Win95.CIH virusa ! (bolje ikad, nego nikad)
0. Sve može da se radi iz Win95...
1. Ubaci praznu, formatiranu disketu u drajv A: (ili B:)
2. startuj: nocih.exe A: (ili B:)
3. napravi sistemsku disketu od nje, startuj: sys A: (ili B:)
4. kopiraj fajl himem.sys na disketu (iz Win95/system foldera)
5. zaštiti disketu od pisanja
6. restartuj sistem tako da se podigne sa diskete
7. automatski će se startovati antivirus za uklanjanje CIH virusa.
Virus moze oštetiti Winzip arhive tako da one ne mogu biti
oporavljene !
nocih.exevirusi.739jovanz,
Kako da obrišem stablo direktorijuma koje je napravljeno
dejstvom virusa 26. aprila. Ne pomaže Deltree i sl.
virusi.740bracha,
Ne znam sta da radim...
Kad god hocu da pokrenem neki dos program mi kaze "a device
attached to the system is not funchtioning"
ali mogu da otvorim word ili netscape.....
To mi se desilo pre neki dan pa sam formatirao disk...ali se opet
pojavilo sutra dan tj.danas.
ako neko zna sta da radim da bi ga se resio, bio bih mu veoma
zahvalan
Pozdrav
Vladeta
virusi.741goxi,
Ajde nek neko sikne neki dobar antivirus program (samo da nije
Anti-Viral Toolkit pro)...
Goran.
virusi.742legolas,
HITNO!
Koji je to virus CIH i sta radi?
Prvo mi je WinCommander rekao da nece da radi jer imam virus, a kad
sam startovao TBav on ga je nasao u skoro svakom exe fajlu. Postoji
li nacin da se oslobodim ovog virusa bez gubitaka podataka? TBav mi
menja imena fajlovima sto i nije neko resenje.
Hvala
virusi.743dselic,
-> #742, legolas>Koji je to virus CIH i sta radi?
>Prvo mi je WinCommander rekao da nece da radi jer imam virus, a kad
>sam startovao TBav on ga je nasao u skoro svakom exe fajlu. Postoji
>li nacin da se oslobodim ovog virusa bez gubitaka podataka? TBav mi
>menja imena fajlovima sto i nije neko resenje.
Koliko se secam, nesto veoma lepo tipa format diska zacinjem flesovanjem
BIOS-a. Ako imas internet pristup, skini AntiVirus Toolkit Pro sa
www.avp.com. On bi trebalo da moze da ga ukloni.
Dan
virusi.744ventura,
-> #742, legolas> Koji je to virus CIH i sta radi?
procitaj starije poruke u ovoj temi imas dosta informacija o CiH-u..
ima i program koji ga uklanja sa racunara...
virusi.745miskop,
-> #742, legolas>> Koji je to virus CIH i sta radi?
>> Prvo mi je WinCommander rekao da nece da radi jer imam virus, a kad
>> sam startovao TBav on ga je nasao u skoro svakom exe fajlu. Postoji
>> li nacin da se oslobodim ovog virusa bez gubitaka podataka? TBav mi
>> menja imena fajlovima sto i nije neko resenje.
Poruka br. 6.735 iz ove konfe. Johnnya je poslao malo programče koje
uklanja CIH virus.
virusi.746legolas,
Hvala svima na savetima za CiH. Radilo je.
Kako sad da znam da sam ga se otarasio? Da li je dovoljno to sto ga
ne nalazi u fajlovima?
virusi.747miskop,
-> #746, legolas>> Hvala svima na savetima za CiH. Radilo je.
>> Kako sad da znam da sam ga se otarasio? Da li je dovoljno to sto ga
>> ne nalazi u fajlovima?
CIH se kači samo na izvršne datoteke. Ako si komp regularno očistio,
nema razloga za brigu. Najbolje je još da skineš neki od najnovijih virus
definicija za poznate antivirus programe i još jednom proveriš.
I da, koliko se sećam, CIH se aktivira svakog 26. u mesecu, pa ako
preživiš taj datum sve je onda OK. ;)
virusi.748mrav,
ajde da mi neko sibne na mail najnoviji update za mcafee 4.0
virusi.749indi,
-> #748, mrav-> ajde da mi neko sibne na mail najnoviji update za mcafee 4.0
jel moze i meni :)
virusi.750stameni,
Nekoliko pitanja:
1. Preporučite antivirusni program za Windows 95 (poželjno je
da ima mogućnost isključivanja monitoringa -- rezidentnog
dela, jer računar nema puno memorije). Dobro bi došla i adresa
sa koje se može skinuti.
2. Isto to, ako kojim slučajem još uvek ima za DOS.
3. Kolega mi je ispričao neke grozne stvari o virusu Bubble
Boy, tolike da ne mogu da poverujem da je to zaista tačno.
Može li neko (Venturo, tebe gledam :) da opiše način na koji
se virus prenosi?
4. Da li je prethodno pitanje dovoljan razlog da se ovde
pojavi noviji antivirusni software?
Zahvaljujem se unapred, čitamo se :)