Keosan: Astec pise, ze je to notebook. A ty maji BIOSy velmi orezane, nejde v nich nastavit temer nic.
Keosan: Astec pise, ze je to notebook. A ty maji BIOSy velmi orezane, nejde v nich nastavit temer nic.
Co takhle zkusit ve windows XP (ve Vistách je to podobné) Nastavení/Ovládací panely pak najděte ikonu Nástroje pro správu. Pak Správa počítače... A mrknou se jestli tam není nějaký problém. Nepamatuji si z hlavy co tam všechno je, používám Linux.
Konečně je klid.
Takže jak jsem psal NEMOHU reinstalovat, v BIOSu není, žádný příkaz nepomohl, žádný spyware nenalezen, Síťovka nelze odinstalovat jen zakázat. Zkusím vyndat disk ( jsou tam moc důležitá data a hlavně jeden program.... Programátoři jsou prasata) a nabootovat... Žádná chyba ani v logách....
Díky všem, co mi pomáhlali a šli k věci.
To je vše hezké, ale když samotnou síťovku nelze odebrat ani v nouzáku, ajk chceš aby systém provedl korektní instalaci a přiřazení nových ovládačů, když má odňata oprávnění? Je na úrovni "user-a" a ani admin s tím nic nenadělá. De-facto, to co jí teď vlasní, má práva na úrovni domény nebo clusteru. A s tím si má poradit instaler winů? Asi těžko, musel by jej o to požádat vlastník a ten tam už asi není, jestli se mu podařilo mršky vyhnat. Souhlasím s Alliens-em - čistá instalace je nerychlejší a nejefektivnější. Nikdy nevíš, co v systému z portů zůstalo otevřeno a kdy se to to vrátí zpět jako bumerang.Původně odesláno od KEOSAN
Tak hoši to jsem nezažil. Sehnal jsem si PCMCIA net kartu a ono je to stejné. VYtvořil jsem nového uživatele - admin práva, na še co jsem našel, registry a pod jsem dal práva fuli i pro starou Blažkovou a NIC. Kurňa co je to za sviňu v systému..... Teď dělám clon disku a zkusím opravu instalace a tak vůbec. Takže to bude v systému. Ach jo.
Tak v tom pripade tam mas na 90% nejakou breberku. Vim, ze jsi psal, ze neni mozna cista instalace, ale co tak zaloha dat a potom instalace? Nebo je problem s instalacnimi medii na specificke problemy?
Ona ta slavná sračka kvůli které jsem v ..... si totiž někam něco zapíše, bere to ID disku, volume disku po formátu, a asi nějaké check sum a ještě sektory.... No ošetřil si to chlapec dobře... a instalačky nenechal díky smluvě....
A neda se snim nejak domluvit? Nebo je to pase?
Madam mu podepsala smlouvu na 25 za reinstalaci + cestovné + hodinovku 2,5........ Loni je to stálo 34 a nějaké drobné.... Myslím tím tisíce...
No tak "madam" je pekne hloupa a ted to odnasis ty.
Nicmene jsme trosku OT, takze se zeptam. Jde se pripojit na net s tou pridavnou LAN kartou?
Pomocou regedt32 /vo WinXP uz to ide aj cez regedit priamo/ sa daju pridelit pristupove prava na konkretne vetve v registroch. Potom by som si vyhladal dany sietovy adapter /napr. hladat IP adresu/ a zmazal by som cely jeho zaznam. Najskor by som si nasiel ake vsetky ovladace vyuziva adapter a potom by som ich nasiel v registroch a odmazal. Ak by tomu nieco branilo, pridal by som si opravnenia, aby som ich mohol modifikovat. Potom by sa vymazali dane subory z HDD. Tou odinstalaciou som myslel taketo manualne zlikvidovanie adaptera z registrov, ak bezne odinstalacia zlyha.
Pohladal by som aj novy BIOS. Niekedy s novym BIOSom /ale iba niekedy/, zmodifikuju aj firmware pre sietovku, ci sa zmeni vymenou dokonca aj MAC adresa. Vtedy by sa to mohlo reinicializovat ako nova sietovka. Ale ak tam daval PCMCIA sietovku, tak nejaka potvora je na HDD. Mozno aj rootkit.
Odporucal by som teda, na urobit image HDD. Ten preniest na iny pocitac a tam z neho vyextrahovat data. Potom prejst antivirakmi a antispyware. V takejto offline kontrole by pripadne rootkity mali byt viditelne.
Odporucal by som stiahnut antivirak MWAV
ftp://ftp.microworldsystems.com/download/tools/mwav.exe
Je to utilita, ktora sa aktualizuje s najnovsimi databazami Kasperskeho + ma este vlastne databazy a rozsirenia. Ma to velmi podrobne databazy malware. Neinstaluje sa to. Staci po spusteni potvrdit este update, nech si stiahne posledne databazy a spustit scan. Nevymaze sice nic, ale aspon najde nieco. Bude to dlhsie trvat. Bolo by dobre to spustit ako na infikovanom systeme, kde to prezrie registry aj sluzby, tak ako aj na vyhladavani suborov pri offline kontrole na systeme, kde sa nakopirovala a extrahovala zaloha.
Tu je navod pre MWAV
http://www.viry.cz/forum/viewtopic.php?t=4097
-----------------------
Ak by aj napriek vsetkemu boli registry nejak blokovane proti modifikacii, tak po vycistenom systeme by sa dalo urobit.
Extrahovat registry zo zalohy a pouzit na ne DOSovsky Registry Viewer.
http://paullee.ru/regstry.html
Ten dokaze nacitat offline registry a napr. exportovat z nich zaznam, ci zmazat zaznam. Cize ak si poznacim prvy krat, kde su zapisane hodnoty a parametre sietovej karty, mozem ju zmazat. Potom tento opraveny registre by slo nahodit. Tusim je tam este nejaky adresar, kde je zaloha registrov, tu by bolo asi dobre prepisat tiez, nech neobnovi starsie, chybne...
--------------------------------
Inac je mozne, ze ak niekto upravoval zakazkovo program, nechal tam SCHVALNE nejaky backdoor, alebo naplanoval nejaku sabotaz. Znamej sa takto pri kavicke priznal jeden chlapik, ze robil programovanie a servis na uctovny program a schvalne toto robil. Do programu dal casovu chybu, ci podla poctu spusteni. Niektore skusenosti s firmami mi to potvrdzuju tiez. Napr. ak je tam dialkovy pristup, ci ak si chcu vynutit platbu. Pripadne je mozne zneuzitie, ak tam mal backdoor a je to na internete. Kludne to nemusia pouzit ani hned, staci, ked to naprogramuju do aktualizacie. Ci tam mohol nieco naplanovat a zabezpecil si tak dalsiu robotu.
Dobre by bolo prehodnotit zmluvu a priamo sa opytat na prenositelnost pri poskodeni - nech napr. pouziva HW kluc. Inac, mohli by ste totiz tvrdit, ze vam znemoznuje pouzivanie programu /ci reklamovat to unho/ a vymahat to sudnou cestou. On by musel nejak dokazovat, ze to tak neni.
Eventualne, niektore firmy robia este tak, ze pri podobnej situacii si zaplatia studentov z vysokej skoly, co im to preprogramuju na novo a bez nejakeho blokovania, ked uz vedia, co to ma robit.
Naposledy upraveno uživatelem KEOSAN: 01-09-2008 v 20:31
Původně odesláno od Keosan -
Ano, souhlasím. Jen nemáme daný HW k dispozici a těžko takhle zjistíme rozsah škod a změn, když do toho nevidíme, že? Jinak je to jen akademická diskuse. Vycházím ze zkušenosti pravděpodobně se stejnou havětí, ale tady se nehraje na předpoklady.
Napisal som postup, ako detekovat, ci je to vadna sietovka, alebo nie.
Ak sa to tak urobi tak:
a/ je vadna sietovka a moze sa to reklamovat. To vsak skor vychadza, ze ak siet funguje, tak je to:
b/ malware, alebo sabotaz v systeme.
Pre detekciu malware a rootkitov to skusit moze, nic tym nepokazi.
Navod na zmazanie a reinicializaciu sietovky moze skusit tiez.
Su len dve varianty
a/ odstranit to
b/ neodstrani to a budu to musiet preinstalovat. V tom pripade uz je to jednoduche. Cista reinstalacia + budu musiet zaplatit za znovu instalaciu programu.
Vela moznosti mu jednoducho neostava...
Ako som hovoril, podrobnejsie analyzy logov kvoli malware robia na
http://www.viry.cz/forum
kde by mu mohli pomoct s rootkitmi, malware, ci mozno tam bude niekto kto si spomenie na podobne symptomy so skrytim sietoveho adaptera. Takto sa da len spekulovat, pokial sa nenapise, co sa z odporucanych rad urobilo a co fungovalo, nefungovalo.
ASTEC:
ten
netsh winsock reset - si skusal ? Casto pri poruche LSP v systeme, za ktore je nabalene TCP/IP, potom nemusia fungovat ziadne sietovky.
Pripadne potom este skusit tuto utilitku opravujucu winsock, ktora moze mat podobne ucinky. Ako som pisal, je bezny jav, ze malware sa usidli v systeme tak, aby mal pod kontrolou prenos na sietovej vrstve. Robia to tak aj casto antiviraky.
Mohlo by to zabrat
http://www.snapfiles.com/get/winsockxpfix.html
Původně odesláno od Keosan
Ano, to by šlo určit, pokud by jme věděli zda mu síť funguje, ale myslím, že v prvním příspěvku se vyjádřil, že je funkční, ale není vidět. Pak by to bylo tak jak jsi to výše popsal. Winsy i LSP opravil, ale nepomohlo mu to kartu zviditelnit. Jinak dělal skeny na všechno i na Rootkity. Napadlo mě, že jsem se s tím setkal, jednoduchým skriptem (už nevím, co to bylo za zrůdu, co v tom kompu byla, protože to bylo šlehlý až po půdu - našlo to tehdy 19 trojanů kolem 45 Malware-Spyware s nejvyšší rizikovostí - těžko říct, který to přepsal, ale dal jsem to dohromady, jen v IE to nebylo OK) přepsal nastavení v registry a bylo vymalováno.
Pokial nic nenasiel - ze robil skeny na systeme /sikovne rootkity sa dokazu dobre maskovat a je tazko ich odhalit/, je mozne ze urobi tu offline kontrolu na inom PC, ked extrahuje data zo zalohy. Tam nebude branit ziadny malware nejakemu blokovaniu, takze vsetky subory musia byt pre detekcne programy viditelne.
Uz dalej je to len spekulacia, mali by sme si pockat na ASTECove vyjadrenie.
Pripadne ak si niekto nespomenie, co to bolo za malware s podobnymi dosledkami a skript ktory to napraval.
Existovala by aj moznost, pozriet napr. zo zaloh, alebo z ineho funkcneho PC, ake boli hodnoty, parametre pre sietovu kartu nastavene, urobit export do REG suboru, pripadne ho upravit podla ID sietovky a importovat na poskodeny pocitac.
Odpovídat lze po přihlášení
