NoVVy

Jestem w trakcie przenoszenia ważniejszych danych na drugi dysk. Postanowiłem, że postawię system właśnie na tym drugim dysku (8mb cache, tamten ma 2mb a więc oprócz poprawy bezpieczeństwa skoczy troszkę wydajność). Mam taki odruch, że zawsze gdy robię partycje na dyskach to pierwsza jest nie za duża (6gb) i nadaje się idealnie pod XP'ka albo żeby wrzucić pamięć wirtualną. Czyli zamienię dyski rolami ^^. Dla pewności zrobię Full Erase w SeaTools for DOS (czyli całe wyzerowanie dysku - ciekawe ile to potrwa ^^). Zanim jednak zabiorę się do tego zrobię malutki eksperyment - odinstaluję po kolei Sandboxie, Eset Smart Security 4 i Sunbelt Personal Firewall, odpalę Gmer'a i zobaczę czy czasem to nie jest jego błędna interpretacja. ----- UPDATE ------ Wracam z nowym logiem z Gmer'a. Skanowanie przeprowadzone po instalacji systemu na innym dysku -----> klik. Log z Gmer'a wygląda na czysty. Tamten dysk przeszedł Full Erase czyli powinien być czysty (jeżeli mam jeszcze czymś go przeskanować to proszę o info). Co do samej infekcji to miałem nadzieję, że to fałszywy alarm ze strony Gmer'a. Odinstalowywałem po kolei wymienione wyżej programy i robiłem skan ale okazało się, że to żaden z tych programów -----> klik - (log utworzony przed zerowaniem tamtego zainfekowanego dysku) - nadal coś tam siedziało (oprócz tego widać jeszcze pozostałości po ESS 4). Jeśli chodzi o te logi z firewall'a to na razie wygląda to tak -----> klik. Ja wiem, że uparcie wracam do tego tematu ale to tylko dlatego, że widzę ogromną różnicę w porównaniu z tym co było wcześniej (żałuję bardzo, że nie mam już starych logów ale dałbym sobie obie ręce uciąć, że takiej częstotliwości skanowania portów tam nie było - raz na miesiąc góra i to wcale nie dlatego, że firewall nie rejestrował wszystkiego ^^). No chyba, że na przestrzeni kilku miesięcy znacznie powiększyła się liczba automatycznie przeprowadzanych ataków (o których jest mowa w artykule "- Mity bezpieczeństwa") co oczywiście nie jest niemożliwe. Prawdę mówiąc to bardzo nie chciałem robić tego formatowania partycji systemowej a co dopiero zerowania całego dysku Na tym kompie nie robiłem formatu od kilku lat ponieważ jestem zdania, że format to takie obejście problemu a tak jak się zawsze posiedziało nad jakimś problemem to nie tylko znalazło się jakieś rozwiązanie ale i wiedzy w głowie przybywało ^^ Niestety w przypadku tej infekcji zerowanie dysku było chyba najrozsądniejszą opcją. @picasso po raz kolejny bardzo mi pomogłaś - bardzo Ci dziękuję! @Landuss dziękuję Ci za pomoc i poświęcony czas @sphere dzięki za zainteresowanie tematem Pozdrawiam! ps. jeżeli mam wrzucić jeszcze logi z jakiegoś programu to proszę o informację.

Tak. To są logi wykonane już po formacie na nowo postawionym XP'ku. No właśnie najbardziej obawiam się tego co siedzi w sektorze zero ale pomyślałem, że informacja o trochę zmienionej linijce przy "malicious code" może się przydać. Myślałem, że tam już jest coś nowego, coś co mogło nadpisać tamte pozostałości. To blokowanie najbardziej z tego wszystkiego mnie cieszy ale martwi mnie to, że od jakiegoś czasu do skanowania dochodzi kilka razy w ciągu doby od pewnego czasu. Wcześniej tak nie było (może raz na miesiąc) i to może chyba mieć związek z infekcją. Czytałem już wcześniej ale teraz też sobie przeczytałem. I odnośnie fragmentu tego artykułu mam też pytanie: Czy to znaczy, że w logach firewall'a każdego komputera można znaleść treści wskazujące na skanowanie portów codziennie kilka razy na dobę czy tylko tych zainfekowanych? Log, który podałem zawiera tylko dwa dni (czyli tyle ile pracuje zapora po nowym postawieniu systemu) a już zaczyna wypełniać się informacjami o skanowaniu. Wcześniej tak nie było a logi były od czasu do czasu uzupełniane tylko o wpisy typu: ICMP PING CyberKit 2.2 Windows oraz ICMP Destination Unreachable Port Unreachable przy czym to ostatnie przeważnie ukazywało się po odpaleniu Steam'a.

Jestem po formacie partycji systemowej. Pełne formatowanie (ale standardowe z poziomu instalatora chociaż wiem, że przydałoby się całkowite wyzerowanie dysku). Logi przed wykonaniem FIXMBR: MBRCheck Gmer Logi po wykonaniu FIXMBR: MBRCheck Gmer Pamiętam o pozostałościach z poprzedniej infekcji w sektorze 61 ale wspominam o tym ponieważ linijka z "malicious code" w Gmer trochę się teraz różni. Pozostałości po wcześniejszej infekcji kiedyś wyglądały tak: malicious code @ sector 0x950a600 size 0x1c6 Dziś Gmer pokazuje je tak: malicious code @ sector 0x12a18ac1 size 0x1c6 Pamiętam też, że MBR pokazywał pozostałości w taki sposób, że wymieniał tylko sektor 61 z "malicious code" i sektor 62 z kopią MBR a ostatnio program MBR wskazywał już ten inny "malicious code" (i dodatkowy wers z treścią "MBR rootkit infection detected"). No i trochę przeraża mnie log z Sunbelt Personal Firewall - klik.

"I Feel You" (DM) zagrany przez Samael'a i Vader. http://www.youtube.com/watch?v=ayR6QKMxG9M http://www.youtube.com/watch?v=SJGW9zmyo-Y

Ja słyszałem. Najlepiej zrobiony (moim zdaniem) cover Paint It Black (The Rolling Stones) http://www.youtube.com/watch?v=Dsvf9_7O8b0 Polecam także wspaniale zagrany cover Black Sabbath http://www.youtube.com/watch?v=vZppJ64ZA38

Log z TDSSKiller --> klik. Nie wykrył nic. ----- UPDATE ----- Problem z wykrywaniem rootkita w MBR zniknął (a użyłem tylko parametru "-t"czyli zgodnie z instrukcją "trace called modules "). Przed użyciem MBR jeszcze wykrywał a zaraz po użyciu przestał. Gmer wykrywa nadal rootkita (a właściwie rootkit-like). Skopiowałem zawartość każdego sektora, w którym Gmer wykrył to coś rootkit-like i wrzuciłem na stronkę Virus Total. Jedynie w 61 sektorze jest coś wykrywane. Na stronie bitdefender.com jest opisane działanie tego rootkita. Wydaje mi się, że w tym 61 sektorze znajdują się pozostałości po rootkicie. Nie wiem tylko dlaczego Gmer nadal pokazuje (jest podświetlone na czerwono), że coś siedzi w MBR (sektor 00) a sam program MBR pokazuje, że już jest czysto. Logi: użycie parametru -t w MBR MBR po użyciu parametru -t Gmer Link do wyników ze skanowania 61 sektora na Virus Total - klik. ------ UPDATE ------ Nie wspomniałem wcześniej, że od pewnego czasu w logach Sunbelt Personal Firewall (czyli wcześniejsze Kerio) pojawiają się informacje typu "ICMP superscan echo" oraz "PortScan" (raz nawet był atak typu DOS). Nie byłoby w tym nic dziwnego gdyby nie to, że dochodzi do tego dwa czy trzy razy w ciągu dnia (lub nocy) a wcześniej tak nie było. Adresy źródeł ataku pochodzą z Korei, Chin, Rosji, Kanady. Strony z warezem, xxx czy też gry z witaminami omijam szerokim łukiem. Podejrzewam, że mogłem coś złapać poprzez kliknięcie w link prowadzący do strony z niebezpiecznym kodem (mam trochę znajomych w biurach, którzy w międzyczasie wysyłają mnóstwo linków do śmiesznych rzeczy typu filmiki, animacje flash czy też mailem wysyłają pps). Aktualizuję wszystko ręcznie (nie lubię jak coś się ma samo w tle robić a tak mam pewność) i często. Używam Sandboxie i Firefox'a (z pluginami Adblock Plus, NoScript, DownloadHelper, WOT i ostatnio zainstalowałem jeszcze CsFire z tym, że ten ostatni wyłączam na czas pobytu na youtube bo inaczej wyświetla się "an error occurred, please try again later." a nie wiem jak ustawić we wtyczce żeby "tolerował" zawartość strony). No ale wracając do tego skanowania to może to coś co złapał mój komputer powiadomiło o uruchomieniu serwera i teraz ktoś chciałby to wykorzystać. Pytanie tylko po co tyle zachodu skoro to jest zwykły komp używany głównie do słuchania muzyki z wav'ów zrzuconych z oryginalnych płyt (dla wygody), czasem pogrania w CS:S, Q3 czy Diablo 1 i 2, uruchamianie emulatora Atari 65 XE () i oglądania filmów na dvd lub youtube. W każdym razie od razu w tym temacie pytam czy wystarczy mi taka ochrona przed tym internetowym agresorem i czy może być jakiś związek z tym co wykrywa Gmer w 00 sektorze. Zamieszczam log z Sunbelt Personal Firewall (powtarzający się w krótkich odstępach czasu komunikat "ICMP Destination Unreachable Port Unreachable" to efekt działania Steam) ----> klik. Ustawienia firewalla są takie: 1, 2, 3 ----- UPDATE ------- Log z Rootkit Unhooker ---> klik W sekcji Stealth jest coś takiego: Unknown page with executable code Address: 0xFE154F53 Size: 173 Unknown page with executable code Address: 0xFE1E507B Size: 3973 Unknown page with executable code Address: 0xFE1E3E44 Size: 444 Unknown page with executable code Address: 0xFE1EBD66 Size: 666 Porobiłem zrzuty i przeskanowałem na Virus Total. W dwóch z nich wykryło coś ale tylko przy McAfee-GW-Edition. Ten o wielkości 666 jest wykrywany jako Heuristic.BehavesLike.Exploit.CodeExec.EOOJ a ten o wielkości 3973 wykrywa jako Heuristic.BehavesLike.Exploit.CodeExec.FFOO

Udało się przywrócić partycje na tym dysku. Jestem już na Xp'ku i wykonałem skrypt w OTL oraz skanowanie OTL, Gmer i MBR. Oto logi: Gmer Log po użyciu skryptu w OTL OTL Extras MBR Zamieszczam jeszcze wczorajszego loga z MBR po użyciu parametru "-f" - MBR

Przed chwilą właśnie użyłem polecenia FIXMBR ale niestety nic się nie zmieniło. Instalator XP pokazuje, że dysk jest niepodzielony czyli chyba jednak doszło do uszkodzenia tablic partycji. Jeżeli jest jeszcze jakaś szansa na odratowanie partycji (i zawartości) to bardzo bym prosił o pomoc.

Uruchomiłem MBR z parametrem "-f" i wyskoczył komunikat, że operacja zakończyła się pomyślnie. Uruchomiłem jeszcze raz MBR żeby sprawdzić czy znowu wykryje rootkita no i niestety wykrył. Po restarcie system nie wstał. W ogóle tak jakby nie było dysku, na którym jest system. Piszę właśnie z linux'a (live cd bo innego systemu na dyskach nie mam). Prawdę mowiąc to nie wiem teraz co mam robić. Odpaliłem instalator z plyty z XP i myślałem, że uda sie to jakoś naprawić ale komenda "fixboot" nic nie daje bo nie widać partycji z systemem (w ogóle nie widać żadnej partycji z tego dysku, na którym był system). Chciałem też użyc opcji "fixmbr" ale wyskoczył komunikat, ze moze to uszkodzić tablice partycji wiec zrezygnowałem. Czy przez użycie parametru "-f" w MBR mogło właśnie dojść do takiego uszkodzenia tablic partycji? Czy da się to jakoś naprawić? Sam nie wiem dlaczego teraz się tak stało bo używałem kiedyś MBR i wszystko było w porządku. Mam sporo rzeczy na tym dysku, ktorych nie chciałbym stracić. Dodam jeszcze, że pod linuxem także nie widać partycji dysku, na którym jest system. ----update--- W instalatorze od XP widać dysk, na którym był system ale bez partycji.

Witam. Chciałem się upewnić czy mam infekcję rootkitem. Zrobiłem skan GMER'em w trybie awaryjnym i wykryło mi coś i sam nie wiem czy to rootkit. Zupełnie zapomniałem o tym, że nie wolno samemu bez wyraźnego sygnału stosować Combofix'a... Załączam więc loga także z Combofix'a (nie sprzątałem po nim - katalog Qoobox jest nadal - nie ruszany). Załączam również wymagany raport z OTL (z zaznaczoną opcją "Use No-Company-Name WhiteList" - wersja nowsza OTL od tej w tutorialu posiada tą opcję i nie wiedziałem czy mam ją odznaczyć). Miałem już wcześniej jakieś stare pozostałości "malicious code" po wcześniejszej infekcji /index.php?showtopic=136884&view=findpost&p=593222"]S-E ale teraz wygląda to na coś innego (moim zdaniem). Specjalnie nie robiłem "fixa" w MBR (który wykrywa infekcję). GMER OTL Extras Combofix MBR

Jak zwykle o wszystkim dowiaduję się ostatni...

Właśnie w tv poleciała reklama, że jutro czyli 19 października do "Dziennika Gazety Prawnej" dołączona będzie płytka CD z pakietem ESET Smart Security z półroczną licencją. Niezła okazja żeby się zaopatrzyć w naprawdę dobry program zwłaszcza, że cena nie jest wysoka (6,99 zł). Więcej info tu - klik.

Nie słyszałem nic poza płytkami "Body Count" i "Born Dead" (na której super zagrano cover Hey Joe) także dzięki za wrzucenie tych dwóch kawałków.

@ wieslaw531 Próbowałem chyba każdą możliwą opcję włączając w to zmianę sterowników monitora (na tych domyślnych i na najnowszych ze strony HP ten sam efekt). Mniej więcej znam różnice w kablach HDMI ale dziękuję za linka. Sam też podejrzewałem kabel ale bardziej końcówkę DVI niż HDMI. W necie znalazłem dużo przypadków, w których wymiana kabla była dobrym rozwiązaniem. Głównie chodziło o wymianę kabla DVI-I na kabel DVI-D. Były też przypadki wymiany kabla DVI-D Dual Link czyli 24+1 na DVI_D Single Link czyli 18+1 (sam posiadam właśnie Single Link o długości 1.8m). Właściwie to mógłbym kabel wymienić ale nie wiem czy to nie będzie poprostu obejście problemu zamiast jego rozwiązanie bo np. w DOS'ie i w Windows XP uruchomionym w trybie awaryjnym wszystko działa idealnie czyli po wyłączeniu monitora i ponownym włączeniu monitor nie gubi sygnału. Dodam jeszcze, że monitor w DOS'ie i w trybie awaryjnym przeskalowuje obraz z rozdzielczości 800x600 na 1280x1024 (75hz). Normalnie pracuję przy rozdzielczości natywnej czyli 1650x1080 w 60hz. Zmiana parametrów (tj. rozdzielczości i odświeżania) na te z trybu awaryjnego (ale przy sterownikach ze strony producenta a nie vga standard jak w trybie awaryjnym) nie przynosi efektów. Instrukcję monitora jak i informacje na stronie producenta przestudiowałem ale niestety nie znalazłem tam rozwiązania. @3oo Skoro problem występował u Ciebie przy połączeniu HDMI-HDMI to chyba można też wykluczyć to, że winę w moim przypadku ponosi DVI-D Single Link (tylko sam właśnie nie wiem czemu niektórym osobom w necie taka wymiana kabla na Dual Link pomogła [może zależy to od tego w jak wysokiej rozdziałce pracuje monitor - tak mi się wydaje]. Podsunąłeś mi pomysł ze sprawdzeniem połączenia cyfrowego pod linux'em i wypróbowałem Kororaa XGL (korzysta z opengl). Niestety monitor również pod linuxem gubił sygnał po wyłączeniu i włączeniu. Funkcje oszczędzania energii wyłączyłem w Windows'ie i w monitorze bo jak już zgubi sygnał to nawet do menu nie da się wejść (nie da rady "wybudzić" monitora). Jedyne opcje w moim monitorze dotyczące wyjść to "Switch Video Input" do przełączania wejść oraz "Default Video Input" czyli do wybierania domyślnego wejścia sygnału. Nie mam niestety możliwości wyłącznenia trybu auto-detekcji.

Bardzo fajny temat. Głos oddałem na "Wąż w cieniu orła"! - oglądałem ten film wiele razy jak byłem mały Oczywiście bardzo lubię też inne filmy z Jackie Chanem (ale te starsze), Bruce'em Lee (chyba wszystko), czy Van Damme'em (głównie wcześniejsze filmy).

Witam Forumowiczów. "Przeskoczyłem" podobnie jak większość z Was z forum SE, na którym picasso uzdrowiła mój komputer (nie jeden raz). Pozdrawiam

Witam. Mam problem z monitorem HP w2207h. Wszystko działa bardzo dobrze przy połączeniu kabem VGA-VGA czyli analogowo. Cyfrowo czyli kablem DVI-HDMI też wszystko jest super i jedyny problem jest taki, że jak wyłączę monitor na jakiś czas bo nie będzie używany (np. gdy słucham tylko muzyki to wyłączam monitor żeby zaoszczędzić trochę energii) i po jakimś czasie włączę monitor to wyświetla się wiadomość "no input signal" dla VGA i HDMI. Dla VGA to się nie dziwię bo ten kabel całkiem odłączyłem ale nie wiem czemu nie ma sygnału dla HDMI. W menu monitora włączoną mam opcję, że domyślnym złączem jest HDMI. W windzie (XP) i w biosie wyłączyłem wszystko do oszczędzania energii itp. Zmieniałem stery do monitora i do grafy (Radeon 9800 Pro) ale to nic nie dało. Nie wiem czym to jest spowodowane i jak grzebałem w googlach to sporo ludzi ma podobny problem przy połączeniach cyfrowych DVI-DVI i DVI-HDMI. Jeżeli ktoś z Was wie jak rozwiązać problem pojawiającego się komunikatu o braku sygnału (po ponownym włączeniu monitora) to bardzo bym prosił o pomoc.