-->

sexta-feira, 31 de outubro de 2008

Análise do vírus: Segunda Parte.

04/11/08: Este é meu quarto post sobre este vírus. Se seu interesse é técnico, não deixe de consultar os outros (todos com informação relevante):




Vocês devem se lembrar da amostra de vírus indetectável que eu submeti ao serviço VirusTotal. Os resultados que apurei desde então foram esses:
Hoje, 17 dos antivirus se mostram capazes de reconhecer o parasita. Isso pode fazer parecer que os antivirus estão prontos para lidar com o monstrinho que tenho aqui, não é mesmo? Errado! Como o Avira Antivir aparece na lista dos 17/36, submeti a mesma amostra à minha cópia instalada do Avira e o vírus foi detectado, mas nenhuma das outras amostras que marquei como indetectáveis foi! Para completar a desconfiança, eu separei as amostras que o Avira havia sido capaz de detectar no dia 12 das amostras indetectáveis e retestei todas. As que o Avira já havia detectado ele continua detectando como "HEUR/Malware" e somente a cópia que eu submeti ao VirusTotal ele detecta agora como "TR/Drop.Agent.yat". E se trata da mesmíssima po**a de vírus! A propósito, fiz o mesmo teste com o AVAST, que é outro dos "17/36". Mesmo resultado. Com a diferença de que o AVAST nunca havia detectado nada e agora só detecta o que eu enviei para o Virustotal. Alguém mais está sentindo o cheiro de algo podre no ar? Seguindo a dica do Virustotal de que o Mcafee detecta o vírus como "W32/Wplugin", encontrei esta página, onde mais informações relevantes são dadas sobre o vírus.
  • Também pode ser identificado pela string "wplugin.dll" no código - Todas as minhas amostras conferem;
  • Cria um arquivo wplugin.dll quando é executado - Confere. No meu caso o arquivo foi depositado em c:\windows\
Raios... então foi por isso que eu não detectei mudanças no HDD na minha primeira análise. Eu estava procurando por arquivos .exe ou .com... Edit: O marasmo de só encontrar vírus "burros" dia após dia está me deixando relapso. Isso é erro de principiante... Analisando wplugin.dll constatei que pelo menos parte de seu conteúdo bate com o conteúdo do vírus. Pelo menos os dois endereços de e-mail estão lá. Como wplugin.dll no meu sistema tinha exatamente a data e hora da minha infecção (é o único arquivo tocado pelo vírus que dá essa pista), usei isso para procurar por outros arquivos que podiam ter passado abaixo do meu radar. Encontrei um "c:\windows\explorer.exe.local" que eu não faço a menor idéia de que propósito tem. Olhando com um editor hexadecimal seu conteúdo é exatamente (em ASCII): "Load library". Óbviamente suspeito, mas qual library? Qual o propósito da extensão ".local"? 04/04/09: A explicação está aqui. Analisando mais wplugin.dll, encontrei uma dica no código de que ele poderia mexer com ws2help.dll (uma DLL legítima do Windows, parte do subsistema Winsock). Através de comparações da minha cópia infectada do Windows com uma limpa, constatei que é isto mesmo. O vírus faz uma cópia infectada de ws2help.dll, que normalmente reside em c:\windows\system32\, para c:\windows\, juntamente com uma cópia de wplugin.dll. Apesar de eu não entender lhufas de assembly x86 existem dicas suficientes no código e no comportamento do virus que deixam óbvio para mim que a alteração feita em ws2help.dll tem o objetivo de anexar wplugin.dll à "cadeia" Winsock. Então é assim que o bicho roda mesmo em Modo de Segurança... Resta saber se a ws2help.dll infectada é carregada no lugar da sadia simplesmente porque o Windows (incorretamente) a encontra primeiro ou se existe mais algum arquivo alterado que faz com que a DLL errada seja carregada. 04/04/09: A explicação está aqui. A data e hora da cópia infectada é a mesma da DLL original, por isso o arquivo não aparece numa busca restrita ao horário da infecção. Acredite, quase 100% dos vírus que já encontrei não são assim tão espertos e entregam todos os seus traços numa simples busca por data/hora. Eu suponho agora (não tive tempo de testar ainda) que meu palpite anterior estava certo e meu teste de infecção proposital não funcionou justamente porque eu usei o XP SP3 como isca. Ws2help.DLL do SP3 é diferente da versão do SP2 e isso pode ter confundido o vírus, que abortou a infecção. Mas continua sendo um palpite que ainda vou testar. Bem. Essa segunda parte da minha análise começou há dois dias. Hoje, apareceu nas buscas esta página da Mcafee, informando que o vírus foi "descoberto" em 30/10/08 (LOL). E esta página, que acrescenta um detalhe curioso: O vírus supostamente cria os seguintes diretórios:

  • c:\winthor\prod

  • c:\winthor\prod\help

  • c:\winthor\spool

  • c:\winthor\spool\arquivos sql

  • "Winthor" é um sistema brasileiro de gestão empresarial. Ou a Mcafee se enganou ou isso confirma uma suspeita particular minha de que esse vírus (ou pelo menos o que estamos vendo hoje) foi criado no Brasil. É muito estranho que todo pedido de ajuda que encontrei na internet, mesmo em inglês, contenha pelo menos uma dica de que são brasileiros pedindo ajuda. Outra coisa curiosa: A principal característica da minha infecção foi a massiva infecção de arquivos .exe em todos os meus HDDs e a Mcafee fala nesse aspecto do vírus "de passagem" como se fosse algo de pouca importância... Continuo de olho. Pelo que descobri até agora eu tenho uma grande segurança de que poderei tirar meus HDDs da quarentena. Só não tirei ainda porque quero ter certeza de que não há nenhuma variação do método de infecção que deixei passar. Minha preocupação não é com os executáveis que sei que estão infectados, mas com o que não parece estar infectado. Edit: Quando eu publiquei os endereços de e-mail associados com o vírus meu blog se tornou o único lugar indexado pelo Google a fazer referências a esses endereços. Duas semanas depois se eu fizesse a mesma busca, encontrava dezenas de outras páginas com esses endereços, mas todas de blogs ou flogs "vítimas" de SPAM, onde os endereços são usados pelos "remetentes" do SPAM. Hoje, buscando o endereço "cvmb@hotmail.com", já dá para encontrar páginas como esta, (que não parece estar 100% correta, embora acrescente informações que fazem sentido) e outras falando sobre o vírus. Edit2: Eu nunca ouvira falar do tal "Per Antivirus" e existem alguns indícios na página de que eles estão forjando/chutando/copiando a análise do vírus:
    • Que arquivo W32.help.dll (fim da análise)? Isso nem mesmo é um arquivo legítimo do Windows. O virus só discrimina claramente Ws2help.dll.
    • Me causa bastante surpresa ver uma DLL ser colocada para executar como se fosse um executável comum, sem sequer ser precedida de "RUNDLL32". Ou aquelas duas chaves do registro tem essa capacidade embutida (tecnicamente possível, mas bastante improvável) e o vírus sabe explorá-la (nunca vi isso) ou o virus é burro. E minha cópia não tem nada de burra;
    • No código que eu tenho, não me parece que o vírus envia algo para os dois endereços de e-mail. O código dá a entender que o vírus envia e-mail PARA cvmb@hotmail.com DE sv003@yahoo.com.
    Repito: não entendo lhufas de assembly para fazer uma análise apropriada. E os caras podem ter outra versão do vírus. Mas o site (terrivelmente amador para um antivirus não gratuito) e o texto deles não me inspiram nenhuma confiança na qualidade da análise. Edit3: Supostamente, a última versão do Mcafee já é capaz de desinfectar os arquivos .exe.

    26/09/2010: O tal "Per antivirus" sumiu. Seu site nem existe mais.

    sábado, 25 de outubro de 2008

    Os falsos positivos do Avira Antivir

    Por recomendação de leitores eu venho testando o Avira há alguns meses. Eu já havia dito que não podia instalá-lo para clientes porque ele não tem versão em português, mas existe um outro problema: o Avira de uma hora para outra acusa de vírus ou trojan programas que nem chegam perto de serem maliciosos.

    A primeira vez foi há meses. De um dia para o outro o Avira acusou de trojan um programa feito por mim (se não me engano, foi o Getclip) e também a extensão de shell do Pspad. Assim todas as vezes que eu clicava com o botão direito em um arquivo, o Avira detectava a DLL do Pspad e me importunava com sua paranóia. Eu tinha que desligar o antivirus constantemente para poder trabalhar.

    Dias depois, consertou-se sozinho.

    Ontem aconteceu de novo. O Avira de repente começou a implicar com o programa que uso para gravar EPROM (Willem Eprom 0.98D5), acusando o trojan "TR/Crypt.UPKM.Gen". Eu sabia que deveria ser erro do Avira, mas como eu ainda estou me recuperando de uma infecção real, lá fui eu checar com o arquivo original do programa em CD, e confirmei que está OK.

    E o mais chato é que como o executável tem um link no menu Programas, cada vez que eu clico no Menu Iniciar o Avira percebe sua existência, trava o menu e exibe até 7 vezes (eu contei) a janela de aviso. Não adianta marcar "ignore" ou simplesmente "Deny Acess", que o Avira "ignora" o que você disse e continua perguntando o que fazer com o suposto "trojan". Enche tanto o saco que tenho que desligar o antivirus.

    Como experiência, fui rodar o mesmo programa em outro PC que estava há dez dias desconectado da rede (Avira não estava atualizando) e o antivirus não implicou com ele. Mandei atualizar e pronto: o Avira não me deixa mais rodar o programa.

    Para completar o problema, o Avira me dá zero informações sobre a natureza do tal "TR/Crypt.UPKM.Gen". Poderiam chamar de "TR/Nao.FAZEMOS.Ideia" que daria na mesma. Assim eu nem tenho como entender de onde veio a falsa interpretação de que se trata de malware e, mais importante, a que nível de risco eu me submeto se ignorar o Avira. É algo que formata o HDD ou que apenas transforma sua máquina num gerador de SPAM?

    Eu suponho que "TR/Crypt" signifique que se trata de um trojan criptografado (sim, Willem emprega criptografia no programa, provavelmente para evitar que alguém copie suas rotinas de gravação. Não há nada de malicioso nisso) e que ".Gen" signifique "Generator", que eu também suponho identificar programas ou técnicas usadas para criar trojans e não o trojan em si.

    É no mínimo bizarro ver seu antivirus acusar de trojan um programa que você mesmo fez, sem nem explicar o motivo. E é difícil dizer se ficar sendo assustado à toa vale à pena em troca de uma possível segurança extra. Mas eu certamente não posso recomendar algo assim para clientes.

    [26/10/08] Para poder trabalhar sem desligar o antivirus, adicionei o Willem como uma "exceção" em Configure Antivir->Guard->Scan->Exception ("Expert Mode" precisa estar selecionado).

    terça-feira, 21 de outubro de 2008

    E a mídia DVD dual layer já custa R$3!

    Da última vez que eu olhei, a mídia DVD de dupla camada ainda custava no mínimo R$8, ao mesmo tempo que uma mídia DVD comum e confiável podia ser encontrada por 70 centavos. Como uma nova experiência que estou fazendo vai requerer mídia DL para dar certo, fui conferir como estavam os preços no Mercado Livre e me surpreendi ao ver que dá para comprar um pack de 25 unidades por R$74. E com vários vendedores.

    Eu não vou deixar de usar mídia comum nem tão cedo, porque ainda sai por um quarto do preço (Edit: Na verdade, sai por metade do preço, porque a mídia DL tem o dobro da capacidade). Mas por R$3, DL deixou de ser "inviável" para mim.

    E olha que o dólar está alto.

    Edit: No outro front, a mídia BD-R de 25GB ainda custa inviáveis R$35, no mínimo. A mesma capacidade custa uns R$10 em DL e R$5 em DVD-R comum.

    Horário de verão: Se usa XP, verifique seu relógio.

    O Windows XP, mesmo com SP3, não é dos mais inteligentes quando se trata do horário de verão brasileiro. Se você está numa cidade que não precisou adiantar o relógio em uma hora, como Recife, verifique se o Windows não fez isso por você. Só agora eu notei que o relógio do meu PC adiantou a hora sozinho, quando não deveria.

    Eu não deveria ter tido nenhum problema com isso, porque eu sempre desligo "ajustar automaticamente o relógio para o horário de verão". Mas como um FDP me fez reinstalar meu sistema inteiro, esta foi mais uma das inúmeras configurações que eu vou descobrir que esqueci de fazer só quando algo der errado.

    Edit: Isso é ainda mais chato para usuários limitados, que não podem ajustar os próprios relógios e tem que esperar pela intervenção de um administrador. E lembre-se que isso não é só uma questão de "ver a hora errada", pois a hora de chegada e envio de e-mails do Outlook Express e de criação/modificação de arquivos também fica errada.

    Diferença de hora impede Vista de acessar XP

    A descrição do problema feita pelo cliente era muito estranha. Ele me disse que durante boa parte da manhã era impossível acessar o compartilhamento no PC da recepção (XP) a partir de uma máquina Windows Vista (a única), mas que não tinha problema nenhum para fazê-lo a partir da máquina XP que ficava ao lado. A parte estranha é que, segundo ele, deixando a janela do Explorer minimizada, horas depois ele conseguia acessar o compartilhamento.

    No momento em que eu cheguei, o acesso já funcionava normalmente. Mas bastou reiniciar o Vista para a máquina da Recepção recusar as mesmas senhas que aceitava um minuto antes. Como eu nunca tinha visto nada parecido, parti logo para uma busca no Google e, por sorte, logo na primeira página de resultados encontrei esta, onde um usuário que tinha o mesmo problema afirmava ter resolvido apenas sincronizando as datas nas máquinas.

    Eu sabia que uma diferença de horário impedia você de autenticar em um servidor de domínio, mas eu nunca havia me deparado antes com essa limitação em uma rede ponto a ponto e com máquinas 9x, 2K e XP. Mesmo desconfiado, pedi para o usuário atrasar o relógio dele em 10 minutos e tentar acessar o compartilhamento de novo. Funcionou na hora, literalmente.

    Nota: A regra geral em domínios Windows é que não deve haver uma diferença maior que 5 minutos entre os relógios das máquinas.

    Ainda cético, liguei na manhã seguinte para ver se realmente tinha resolvido o problema. Ele disse que aconteceu de novo, mas que bastou sincronizar os relógios novamente para fazer o logon.

    Putz... eu esquecera da sincronização de hora que o Windows faz pela internet.

    O problema é que a máquina da Recepção precisa ficar com o relógio 10 minutos atrasado por causa da programação do relógio de ponto da empresa (necessidade deles na qual não me meto). Quando a máquina Vista acerta seu relógio via Internet, o compartilhamento deixa de funcionar no próximo boot.

    Mais uma frescura do Vista para a minha lista. Eu entendo que sincronização de horários é muito importante em certas aplicações e eu mesmo já escrevi um programa de automação industrial que requeria isso, mas na maioria dos casos essa "imposição" é um estorvo. Se a máquina Vista não pudesse ficar também 10 minutos atrasada eu teria um pepino ainda maior para desentortar.

    O que falta explicar: Por que depois de algumas horas o compartilhamento funcionava? Isso poderia acontecer se o relógio do Vista estivesse atrasando uns 10 minutos por dia ou se o relógio da Recepção estivesse sendo atrasado manualmente todos os dias pela manhã e automaticamente corrigido horas depois. Mas a recepcionista disse que ninguém interfere com a hora do computador dela.

    Vou checar na próxima visita.

    domingo, 19 de outubro de 2008

    Google Update agindo como malware

    E eu não sou o único a achar isso.

    Desde que reinstalei o Google Chrome e meu firewall, o Google Update vem me enchendo o saco. De tempos em tempos, o firewall me diz que "Google Installer" quer acessar a internet. Eu mando negar e criar uma regra para isso, mas não adianta. Ele sempre volta para encher o saco, interrompendo a execução de filmes, etc.

    E eu tenho certeza de que o Google Chrome não me perguntou se eu queria isso. Passei dias sem usar o Chrome mas mesmo assim o Google Update testava a minha paciência.

    Na lista de processos, mais uma atitude estranha: GoogleUpdate.exe aparece duas vezes.

    Nota: Para muitos, isso pode parecer implicância injustificada da minha parte. Mas eu não tolero (e o Google Update faz tudo isso):
    • Processos que não vieram com o sistema operacional executando sem minha permissão;
    • Acesso à internet sem minha permissão e, pior, sorrateiro;
    • Atualizações sem minha explícita permissão;
    Se depender apenas do Msconfig você não faz a menor idéia de como o Google Update está sendo executado. É preciso usar o Autoruns para descobrir que o programa é executado pelo Agendador de Tarefas.



    Olhando a programação da tarefa eu entendi por que me irritava tanto: estava programado para executar sempre que o PC estivesse ocioso por 10 minutos. O problema é que além desse intervalo ser muito pequeno, para o Windows "ocioso" significa "sem atividade do mouse ou do teclado". Quando você está assistindo a um filme ou lendo, o PC está "ocioso" para o Windows.

    Desabilitando a tarefa pelo Autoruns ou pelo Agendador, o Google Update finalmente parou de procurar por uma atualização sem minha explícita permissão.

    Pelo menos, até agora.

    22/09/09: A Google parece ter mudado de idéia. O Google Update aparentemente não se instala mais como tarefa agendada.

    Notebook Toshiba U305 : Drivers para Windows XP

    O notebook vem originalmente com 1GB de RAM e Windows Vista Home Premium, que é naturalmente uma carroça. Mesmo com 2GB de RAM o bicho ainda fica lerdo.

    A Toshiba não dá suporte a Windows XP nesse notebook, por isso você tem que se virar para achar os drivers. Após instalado o Windows XP ficam faltando o driver de video, o driver do adaptador de rede sem fio e o driver do leitor de cartões (que aparece como uns quatro "dispositivo do sistema básico").

    Driver do leitor: Use o driver Ricoh Card Reader do DVD 1 ou do site da Toshiba;

    Driver de Video: Intel 945GM - O driver disponibilizado pela Toshiba, no site ou no DVD original, não serve.

    Driver Wi-Fi: Esse deu mais trabalho. O driver do DVD não serve (provavelmente é só para Vista). Para o Unknown Devices ele aparece mais ou menos como "Atheros AR5006x" e esse nome é que aparece na lista de drivers do DVD da Toshiba. Mas tentar instalar qualquer driver específico para o AR5006, como este, é perda de tempo. O driver instala, mas fica sempre com uma exclamação no gerenciador de dispositivos. Eu notei pelo Unknown Devices que havia uma referência a "askey", mas sem nenhum modelo. Depois de esgotar minha paciência com a instalação do driver errado (que até então eu achava ser o certo), abri o notebook para procurar mais pistas no próprio adaptador. Havia uma:



    Atheros/ASKEY AR5BXB63

    Procurando por "AR5BXB63" no Google só encontrei dois links com o driver. Um era no driverguide (requer registro) e o outro estava hospedado no Rapidshare. Baixei o do Rapidshare ciente de que podia ser alguma trapaça, mas não era.

    Para quem prefere confiar em mim, coloquei uma cópia no meu servidor.

    Edit: Com os drivers citados acima, o U305 está agora rodando XP com tudo instalado e funcionando como deveria.

    Edit 20/10/08: O autor deste tópico afirma que o Satellite U305 funciona com os drivers do Tecra M8. Assim se você tiver qualquer outra dificuldade com drivers XP para o U305, tente os desta página.

    sexta-feira, 17 de outubro de 2008

    Análise do vírus adiada

    Como as descobertas que fiz na primeira parte da análise não explicam como o virus executava automaticamente no meu sistema (não encontrei nenhum arquivo infectado que pudesse estar executando até no Modo de Segurança), a segunda parte da minha análise do vírus envolvia infectar um sistema de propósito para observar o comportamento do FDP.

    Fiz uma instalação nova do Windows XP, instalei antivirus, firewall configurado para modo "learning" e ferramentas para análise de modificações no sistema de arquivos e no Registro. Quando estava tudo pronto, executei vários arquivos infectados.

    Nada.

    Executei tanto amostras que ainda não são identificadas por antivirus quanto amostras que o Avira detecta, mas o virus não se ativou. Nenhum arquivo do disco ou no pendrive foi modificado, assim como nenhuma modificação suspeita no Registro ocorreu. Tentei inclusive o mesmo executável que infectou o meu PC principal. Nada.

    A única coisa claramente diferente entre a minha "isca" e os dois computadores que foram infectados é que na isca eu instalei o XP SP3 e os infectados tinham XP SP2. Esse me parece um motivo muito fraco para um File Infector sequer iniciar a operação mas é a única pista concreta que tenho no momento. Como a recuperação do meu computador principal (e por tabela todas as minhas outras atividades) está muito atrasada, preparar uma nova isca vai ter que esperar. As centenas de amostras do vírus que tenho aqui não vão a lugar algum mesmo.

    Edit: Esta estória se desenrola por esses outros posts:

    terça-feira, 14 de outubro de 2008

    Minha análise do virus. Parte 1.

    Este post se refere ao virus que me infectou no domingo. Veja este aqui para o início da estória.

    AMOSTRA1 - Ainda indetectável (0/36) por todos os 36 antivirus do serviço Virustotal. O arquivo infectado está com a extensão .vir, para poder ser manipulado de forma segura.

    O virus não infecta todos os *.exe que encontra. Por algum motivo que não pude determinar ele deixa de modificar muitos deles. Aparentemente existe um padrão porque eu submeti um grupo de arquivos várias vezes para testar a infecção e o grupo de arquivos infectados parece ser sempre o mesmo. [edit] É possível que o virus esteja saltando os executáveis comprimidos (com UPX, por exemplo) e certamente deve estar saltando os criptografados, como o Teracopy, e os executáveis DOS. Mas podem existir outras razões.

    Sintomas da infecção

    Ao iniciar o Windows, mesmo no Modo de Segurança, existe uma atividade incomum e agressiva no HDD. Pendrives são acessados e seus executáveis são infectados. Arquivos infectados são cerca de 100KB maiores que o original. Todas as unidades são varridas, incluindo as de rede, e você verá a luz do drive de disquete acender uma ou mais vezes sem motivo aparente.

    Como detectar os arquivos infectados

    Procure pela string "cvmb@hotmail.com" ou "sv003@yahoo.com" em todos os arquivos *.exe. Como o Windows XP por default não é capaz de fazer isso, use um programa de busca de texto mais capaz, como o Agent Ransack. Qualquer arquivo localizado com uma dessas strings está certamente infectado.

    ATENÇÃO: Se um único arquivo for encontrado infectado em uma unidade, todo o conteúdo deve ser posto em quarentena. Pode haver alguma variante do FDP que passe por esse filtro.

    Para aumentar sua segurança você pode procurar por "@hotmail" ou "@yahoo", mas você deve estar preparados para falsos positivos. O executável do MSN Messenger, por exemplo, cai nesse filtro.

    Como manipular os arquivos com segurança

    Use um programa que renomeie arquivos recursivamente para acrescentar ".vir" à extensão de todos os arquivos .EXE. No momento, Lupas Rename parece ser a melhor ferramenta para isso. Dessa forma não será mais possível executar o vírus por acidente e você ainda será capaz de desinfectar os arquivos quando sair uma ferramenta de remoção.

    Mais detalhes

    O vírus, pelo menos na fase inicial, não coloca nenhum executável extra em lugar nenhum. Mas seu código sugere que ele pode baixar mais alguma coisa para o HDD da vitima se houver uma conexão à internet. Existe também uma página HTML embutida no código. A infecção poderia ser detectada por uma ferramenta capaz de detectar a presença de assinaturas de executável ("MZ") extras. Aparentemente ele sempre é anexado no final do arquivo original, mas um trecho no início é modificado para executá-lo (um processo de "binding" comum).

    domingo, 12 de outubro de 2008

    Infectado por um novo vírus!

    Desde o início da manhã de hoje eu estou lutando contra um vírus novo, que me infectou quando eu executei um programa do meu pendrive. Eu submeti uma amostra ao Virustotal e o resultado foi 4/36.

    Características do virus:
    • File infector - Em minutos infectou dezenas (talvez centenas) de arquivos executáveis nos meus HDDs;
    • Usa duas variantes de infecção. Uma é detectável pela heurística do Avira Antivir. A outra variante é detectável apenas pelo Panda (1/36); Eu só descobri essa segunda variante porque o arquivo que me infectou não era acusado pela Avira, mas comparando o conteúdo do meu pendrive com outra cópia eu encontrei ele e vários arquivos com 100K a mais, que o Avira ainda não acusa.
    • Não consegui vê-lo pelo Process Explorer (mas não tive muito tempo para isso ainda);

    Por causa dessa segunda variante é possível passar o anti-virus (quase todos do mercado) em um HDD inteiro infectado e não encontrar nada. Foram infectados o meu computador principal e (ainda incerto) meu servidor/gateway, que começou a se comportar de modo muito estranho após um reboot, por isso estou instalando outra cópia do Windows nele neste momento.

    Não poder confiar em nenhum executável que não esteja em CD/DVD é dose.

    Uma análise mais detalhada vai ter que esperar. Já marquei com meu último cliente para ir lá ainda hoje às 14:00H para fazer uma varredura em sua rede. Estou levando dois computadores, sendo um com o Avira e outro com o Panda (que estou baixando agora) para analisar todos os HDDs de lá.

    Farei outro post mais detalhado quando a coisa estiver mais calma.

    Edit: Esta estória se desenrola por esses outros posts:

    sábado, 11 de outubro de 2008

    Pavilion A6015br demorando muito para inicializar

    Eu já havia me deparado com o problema nessa mesma máquina antes. E pensei que tinha resolvido. Mas o danado do problema voltou e o método usado antes não surtiu efeito.

    O sintoma é que a máquina fica parada um loooongo tempo exibindo o logo da HP, quando o normal é você nem ver esse logo.


    É importante notar que essa máquina não está mais original e tem um HDD IDE no lugar do SATA de fábrica.

    Desta vez a demora era dividida da seguinte forma:
    • 32 segundos desde o momento de apertar o botão power até o logo sumir;
    • 35 segundos exibindo uma tela preta com um cursor piscando
    Total de 1m7s até exibir o logotipo do Windows XP.

    O problema foi resolvido colocando o drive de DVD como master e o HDD como escravo. O contrário do que eu faço normalmente (e funciona em todos os outros lugares). O logotipo do XP passou a ser exibido em 12 segundos.
    • HDD Samsung SP0411N
    • DVD TSSTCorp TS-H652M
    • BIOS Pavilion v5.14

    Erro "Invalid Block Address" no Nero 6

    O problema começou hoje e era total novidade para mim. Ao tentar gravar um DVD-R entupido de arquivos deu essa mensagem. Troquei de mídia duas vezes, incluindo outro fabricante, e nada mudou. Desliguei o computador, fui trabalhar e voltei 15 horas depois torcendo pro problema ter "sumido", mas não tive essa sorte.

    Cenário:
    • Gravação em UDF (um dos arquivos é maior que 2GB);
    • O problema ocorre antes mesmo de iniciar a "queima" do disco;
    • Gravador Pioneer DVR115D v1.18;
    • Nero 6.3.1.6;
    Fiz uma rápida pesquisa no Google e encontrei mais um monte de gente com o mesmo problema ou semelhante (algumas pessoas reportaram o problema acontecendo durante a queima). A maioria das possíveis soluções culpava a qualidade da mídia, mas eu estava usando o mesmo "pack" de 100 discos da Elgin do qual eu já havia gravado uns 20 discos, sem problemas. E o problema aconteceu igual com uma sobra de outro pack que estava guardada há semanas. Eu estava mais disposto a acreditar em um problema no gravador que na mídia.

    Então eu vi uma sugestão de que o problema podia ser culpa de gravar com overburn. Eu não estava gravando com overburn mas isso tocou um sino na minha cabeça.

    Eu estava tentando gravar um filme .MKV que já ocupava quase todo o disco, mas queria aproveitar o espaço que sobrava para colocar codecs e outros programas necessários para ver o conteúdo. Coloquei um monte deles e à medida que o Nero me dizia que o espaço era insuficiente eu tirava alguma coisa e tentava de novo, até que o Nero não reclamou mais da falta de espaço no disco.

    Era esse o problema. Bastou remover mais algumas coisas para finalmente o erro sumir.
    • 4.488.7MB - "Espaço insuficiente"
    • 4.488.3MB - "Invalid Block Address"
    • 4.483.9MB - "Invalid Block Address"
    • 4.483.8MB - Grava
    Eu suponho que o valor exato do ponto onde o erro some pode depender da mídia.

    Gravar discos "lotados" é corriqueiro para mim, mas é a primeira vez que me deparo com esse erro. Eu suponho que isso tenha a ver com o fato de que estava gravando em UDF, que é algo que eu faço apenas em último caso. 

    Eu tenho que bancar o sysadmin até em casa.

    Uma das poucas coisas que mudaram para pior quando troquei o acesso via rádio por Velox é que agora o limite de 160kbps para upload é para valer mesmo e afeta negativamente minha capacidade de download. No acesso via rádio o provedor além de liberar uploads momentâneos que até superavam minha capacidade de download (é uma questão de conseguir distribuir automaticamente a "sobra" de link entre os usuários), isso não comprometia em nada o download. Ao contrário do que acontece com os planos ADSL, onde se você saturar o canal de upstream, o canal downstream fica severamente prejudicado.

    Por conta dessa mudança, eu agora preciso vigiar ainda mais de perto o uso que minhas irmãs fazem da rede. Pois elas são usuárias típicas que não param para medir as consequências do que estão fazendo.

    Hoje eu fui dormir às 14H e minha conexão estava com problemas há quase duas horas. Acordei às 20H e os gráficos no servidor mostravam que a conexão tinha permanecido com problemas durante as seis horas em que dormi. Desconfiado do modem DSL-500G que eu estava testando, troquei-o e a conexão imediatamente voltou ao normal, mas uns 15 minutos depois ficou ruim de novo (embora não tão ruim). Então flagrei minha irmã mais velha (não que ela faça escondido) fazendo um upload de um arquivo .mov de 122MB para o youtube. 

    Ainda que eu não estivesse usando a conexão para mais nada isso ia levar cerca de 2h30m a 160Kbps. E de cara eu achei que 122MB era um absurdo para um video do Youtube. Como no dia anterior eu já havia liberado para ela (depois de horas de congestionamento da conexão) um upload de 74MB, perguntei por que danado os videos dela precisavam ser tão grandes.

    Ela se justificou dizendo que precisavam de ser de boa qualidade porque senão o Youtube ia degenerar tudo ao recomprimir (ela não usou essas palavras). Até aí, tudo bem, mas eu tinha certeza de que dava para otimizar isso de alguma forma e fui olhar o material que ela estava mandando.

    OMG! 720x480, 29Mbps, audio PCM (Apple DV) !

    Enquanto eu reclamava, ela veio olhar e me disse que eu estava na pasta errada, porque os videos que ela estava mandando eram os WMV. Eu insisti que não estava na pasta errada porque eu vi a página de upload do youtube aberta e o video que estava mandando se chamava "jesi04.mov". O video que ela deveria estar mandando se chamava "jesi04.wmv" e tinha apenas 3.8MB!

    E olha que na máquina dela todas as extensões são exibidas e todos os arquivos .wmv estavam num subdiretório dos arquivos .mov.

    Nota: Ela tinha os arquivos .wmv porque em outro episódio relacionado com formato e tamanho de arquivos eu havia instalado o SUPER para ela e ensinado o básico do uso.

    Ela disse que tinha sido um engano e não entendia como tinha ocorrido. Eu disse que eu também não entendia, porque ela tinha cometido o mesmo erro no dia anterior.

    Se eu não "bancar o sysadmin" e intervir, a tendência é piorar. Ela colocava o video para upload e ia assistir televisão ou dormir, enquanto no primeiro andar eu presumia que era um problema no Velox. Eu avisei que ela prestasse mais atenção ao que estava fazendo porque para mim era mais fácil soltar o plug dela no switch.

    Até mesmo porque, claro, ela se recusa a colaborar com os custos de conexão.

    O Youtube, diga-se de passagem, é muito permissivo com o material que recebe. Para o usuário comum, simplesmente clicar em "upload" e escolher o arquivo é uma dádiva. Mas sysadmins como eu iriam preferir que o youtube tivesse um programa local (como o Picasa) para preparar os videos do usuário para um formato adequado antes do upload. É um tremendo desperdício até para o usuário enviar 122MB quando 3.8MB bastam.

    domingo, 5 de outubro de 2008

    O Wal-Mart agora tem loja online no Brasil

    Há muito tempo eu esperava que o Hiper (o braço nordestino do Wal-Mart) abrisse uma loja online, pois apesar de ter um site, nunca se vendeu nada lá. Pode-se dizer que isso mudou há cinco dias, quando walmart.com.br entrou em operação.

    A grande vantagem para quem é do Nordeste? Agorinha eu fiz um teste cotando um PC de R$599 e o prazo de entrega foi de 4 dias com frete grátis.

    É o mesmo que eu espero do Extra e das Americanas, que tem bases aqui mas sempre cobraram frete em suas lojas online para entregas na região, apesar de fazerem frete grátis pro sudeste.

    Só falta baixar o preço, pois estou desconfiado de que dá para encontrar mais barato nas lojas físicas da rede. E aqui em Recife ir até uma loja física não é a mesma experiência cara e desgastante que é em São Paulo, com seus estacionamentos de R$10 ou mais, rodízio, pedágio e engarrafamentos medidos em quilômetros, todos os dias.

    sábado, 4 de outubro de 2008

    Ou é bug do Google Chrome...

    ... ou minha digitação/revisão está pior que o normal hoje.

    Todas as vezes que eu leio meu post sobre o Macbook, encontro uma letra faltando no final de uma palavra. Edito, salvo, e quando leio de novo encontro outra letra faltando onde eu tenho certeza de que o texto estava ok.

    E eu estou redigindo os posts no Google Chrome hoje.

    sexta-feira, 3 de outubro de 2008

    Windows Mail demorando muito para compor mensagens

    Se ao clicar no botão "criar e-mail" do Windows Mail (leitor padrão do Windows Vista) aparece o frame da janela, mas leva um tempão para os campos aparecerem e conseguir digitar alguma coisa, verifique o número de contatos que você tem. 

    O Windows Mail, para facilitar o recurso de autocompletar o nome do destinatário à medida que você digita, carrega todos os contatos na memória sempre que você tenta criar, responder ou encaminhar um e-mail. Isso funciona direito para uma quantidade razoável de contatos, mas se por qualquer motivo você tiver toda a torcida do flamengo na sua lista, vai ter problemas.

    O problema aconteceu com uma cliente que tinha "só" 2600 contatos. O mais estranho é que ela não sabe de onde os contatos vieram, porque os contatos de e-mail dela eram apenas meia dúzia (isso eu constatei ao instalar o PC dela), mas de repente todos os contatos da lista telefònica da empresa (a maioria nem e-mail tem) foram carregados no seu Windows Vista. Meu melhor palpite é que como a lista telefônica da empresa é um banco de dados "address book" do Windows, ao abrir a lista no computador dela o Windows deve ter perguntado se ela queria importar os contatos para o seu catálogo de endereços particular e ela repondeu que sim.

    De qualquer forma, existem duas maneiras de eliminar a longa espera:
    • Eliminar os contatos desnecessários;
    • Desligar o recurso de "autocompletar endereços" do Windows Mail;
    A cliente optou por apagar todos os 2600 contatos e recriar os seus contatos particulares (mais fácil redigitar uma dúzia de endereços do que pescá-los no meio de 2600 outros)


    Finalmente, Velox.

    Eu não deveria estar contente com isto, mas estou.

    fazia quase um ano que meu acesso à internet era via rádio e apesar do "esforço" inicial que meu provedor fez para atender as minhas necessidades, os problemas ainda eram muitos:

    Excesso de pontos sensíveis - Como meu acesso depende de várias repetidoras e várias antenas, sem chance de redundância, parava de funcionar pelos mais variados problemas. Faltou energia no bairro de uma das repetidoras? Sem internet para mim

    Não ter IP próprio é um saco - Apesar do meu provedor ter feito configurações de modo a rotear duas portas direto para mim, isso ainda não bastava. Eu não conseguia usar VNC, nem testar apropriadamente o monitoramento remoto do sistema de câmeras de CFTV que quero instalar em casa. Além disso não podia usar serviços como o Rapidshare. Minha irmã mais nova teve que desistir de um jogo online que ela estava usando mas que de um dia para outro deixou de conectar ao servidor e o meu provedor não conseguiu (ou não quis) resolver o problema.

    Problemas com HTTPS - Como o provedor usa links diferentes (com prioridades diferentes) para HTTPS, HTTP, P2P e skype, volta e meia ele mudava alguma configuração que comprometia o funcionamento do HTTPS e ou ficava extraordinariamente lento ou não funcionava (principalmente por causa do balanceamento de carga). Imagine estar com pressa para acessar o banco e não conseguir.

    Problemas com upload FTP - Passei meses com o acesso FTP ao meu site extremamente lento e eu mesmo não fazia idéia de como o provedor "conseguia" fazer isso. Ele sempre dizia que ia resolver mas não resolvia nada e o problema só foi resolvido mesmo quando numa última conversa com ele eu citei que o Velox já havia chegado no meu bairro. Aí ele parou uma noite comigo ao telefone mexendo nas configurações até achar o problema. Eu tenho uma meia dúzia de reviews aqui que nunca foram publicados porque eu não consegui por online as imagens e acabei perdendo o interesse nos respectivos assuntos antes do acesso ser restabelecido.

    Problemas para administrar meu site - O meu host requer a porta 2082 aberta para acesso ao painel de controle (cPanel). Como o provedor via rádio não direcionava essa porta para mim, o acesso ainda era possível, mas mais lento do que numa conexão discada carregada. A cada link onde eu clicava, dava tempo de comer um sanduiche.

    Além disso, toda vez que o provedor decidia fazer algum teste para resolver o problema de um cliente, derrubava todos os outros repetidas vezes.

    No início, estava bom. Eu tinha um problema, ligava para ele e era resolvido, além de ser bem atendido. Era muito mais do que eu espero normalmente do atendimento da Telemar. Cerca de três meses depois de ter contratado o serviço ele, sem falar nada, aumentou minha banda em 30% e reduziu a mensalidade em R$10. Ainda por cima, por umas duas semanas, de madrugada ele roteava para mim um link de 2MB (meu contrato era de 400KB). Ele disse que se tratava de um novo serviço "corujão" que ele estava testando e que ia oferecer a alguns clientes como eu por um pequeno adicional na mensalidade.

    Por conta dessas coisas, quando eu soube que finalmente a Telemar estava oferecendo serviço Velox para o meu bairro, eu relutei em fazer a troca, porque ter problemas com a Telemar, mesmo sendo esparsos, é desesperador.

    Mas nos últimos meses minha confiança no provedor via rádio foi sendo minada. Os problemas eram frequentes e ele não atendia minhas ligações, principalmente nos fins de semana. A principal vantagem entre ele a Telemar sumiu.

    Juntando-se a isso o fato de que o Velox, num período de 12 meses, sai mais barato que o serviço dele, mesmo com velocidade 50% superior, acabei contratando o Velox de 600Kbps.

    Aí ainda tive minha derradeira decepção com o provedor via rádio. Quando eu informei que estava desligando o meu acesso, fui informado que eles iam passar para "buscar o equipamento". Eu jurava que por R$200 de instalação isso tinha que incluir a antena e a placa de rede wireless e que isso fosse meu. Mas como eu não perguntei por isso especificamente na época e simplesmente "assumi" que assim fosse, o errado era eu.

    Deixei que levassem sem brigar.

    Como vantagem extra de ter ADSL, finalmente posso testar modems. Até agora eu precisava testar e configurar os modems no próprio acesso dos clientes ou com amigos.

    TV-Monitor LG 22LG30R - Problema sério com jogos

    Um cliente decidiu aposentar seu monitor CRT SONY de 21" (Multiscan G520 - um espetáculo!) e comprou uma TV-monitor LCD widescreen de 22". Eu, que tenho uma enorme birra com monitores LCD em geral e um preconceito considerável contra monitores widescreen, consegui mais uma vez confirmar minha opinião depois dessa troca.

    Prá começar, como sempre eu fiquei decepcionado com a imagem ao exibir filmes. Mas isso era perfeitamente esperado e o cliente não se incomodou, pois para ele tirar o gigantesco e pesadíssimo CRT Sony de sua mesa valia o esforço. O problema real e totalmente inesperado apareceu foi quando começamos a testar como iam ficar os jogos.

    A imagem de vários deles ficava inexplicavelmente deslocada para a esquerda, tornando difícil ou impossível jogar.

    FIFA 2008



    The Fifth Element



    Flight Simulator 2004



    Outlaws



    Muitos jogos funcionavam perfeitamente e a princípio não parecia haver nenhuma relação entre os jogos problemáticos. Mas depois de muitas experiências e testes em três computadores diferentes, com três placas de vídeo diferentes de tecnologias diferentes (Nvidia e ATI) e dois SOs diferentes (Windows 98 e XP), tive certeza de que o problema era no monitor e deduzi que acontecia sempre que o jogo escolhia a resolução de 800x600, porque eu sempre conseguia reproduzir o problema no próprio desktop do Windows se escolhesse essa resolução para a placa:



    O problema é que um jogo baseado em DirectX não se importa com a resolução que você determina para o Windows. O desenvolvedor é que escolhe a resolução mais apropriada e justamente 800x600 é uma resolução muito popular em jogos Windows. Para alguns jogos foi possível mudar a resolução para passar pelo bug (para mim, tem que ser bug), mesmo que de um modo completamente contra-intuitivo (no FIFA 2008 isso precisa ser feito por linha de comando, no atalho do jogo), mas não teve jeito de resolver o problema para todos. The fifth element não oferece qualquer controle de resolução e o próprio FIFA 2008, apesar de poder ter a resolução da partida ajustada, exibe os menus iniciais sempre em 800x600. E a parte da tela perdida do lado esquerdo era suficiente para tornar impossível a escolha de opções para um dos times.

    O monitor tem opções limitadas de ajuste, que não serviram para nada. Uma das opções permite centralizar a imagem na tela, mas ela continua cortada!

    Procurei informações na internet sobre o problema e não encontrei nada. Todas as reclamações referentes a jogos em monitores widescreen são de outra natureza (em geral, porque não preenche a tela). Enviei uma solicitação de ajuda para a LG via formulário no site, anexando um arquivo ZIP com fotos do problema e, como eu já esperava, não obtive nenhuma resposta.

    Eu ainda tinha um palpite e resolvi arriscar. Como todos os testes tinham sido feitos com conexão analógica, a placa de vídeo do cliente tinha DVI e o monitor tem uma entrada HDMI, comprei no Mercado Livre um adaptador DVI-HDMI e repeti os testes.

    Problema resolvido. Na entrada digital o monitor não apresenta o bug.

    Macintosh: "It Just Works"?!

    "It just works" é o ponto principal da campanha "Get a Mac". O texto diz: 
    Why you'll love a Mac.
    1. It just works. How much time have you spent troubleshooting your PC? Imagine a computer designed by people who hate to waste time as much as you do. Where all the hardware and software just works, and works well together. Get a Mac and get your life back. 

    Yeah... Right!

    Ontem eu tive, pela primeira vez na vida, contato direto com um Mac. Um de meus clientes, influenciado por dois de seus filhos (um é publicitário e o outro é músico, claro) comprou um Macbook. O aparelho e o sistema me causaram impressões desagradáveis do início ao fim.



    Minha "missão" era instalar o Windows XP em outra partição, para que o o cliente tivesse duas opções de SO. Tarefa teoricamente simples já que o Macbook é "intel based" e já vem com o Bootcamp, que auxilia o usuário justamente nessa tarefa. Dessas coisas eu já sabia há muito tempo, por isso não perdi tempo com o "será que dá?". Mas não levei nem cinco minutos com o aparelho e os problemas já começaram.

    Ao final do processo de particionamento, o OS X pede para inserir o disco de instalação do Windows. O Macbook recusou o disco duas vezes. Na terceira tentativa ele reconheceu e reiniciou, mas ficou travado exibindo uma tela branca onde seria o "post" em um PC. Desligar e religar não adiantava nada, porque continuava não inicializando. Tentei ejetar o disco mas não foi possível porque o MacBook usa um drive "slot loading" (para mim, isso só tem seu lugar em carros) que nem tem botão "físico" de ejeção nem orifício para ejeção de emergência. O Mac tem um botão enorme de "Eject" no teclado que, adivinhe, só funciona com o sistem operacional carregado. Imagine o ridículo de um botão cuja única função é essa, mas que é inútil quando ele é realmente indispensável (no OS X, arrastar o ícone do drive para a lixeira também ejeta - o que também tem uma lógica duvidosa, diga-se de passagem).

    Lendo o pequeno manual encontrei a resposta. Basta manter pressionado o botão do trackpad ao inicializar para que o disco seja ejetado. Para que serve o botão de "eject" mesmo?

    Outra tentativa. Desta vez a instalação começou (nenhuma pista do motivo de não ter funcionado antes). Todos os arquivos foram copiados mas na primeira inicialização do XP (antes de entrar no modo gráfico de instalação) o Mac travou com uma mensagem de erro de boot e que pressionasse uma tecla para reiniciar. Claro, é um Mac, logo não adiantava pressionar tecla alguma porque não reiniciava.

    Desliguei e liguei de novo. Mesma coisa. Segui o procedimento para ejetar o disco. Mesma coisa. Fui procurar no manual se havia algum jeito de forçar o Mac para inicializar pelo OS X. Basta ligar pressionando a tecla Option para aparecer um menu com as opções de boot. Escolhi a partição do Mac OS e finalmente ressuscitei o notebook. Na GUI constatei que os arquivos do Windows estavam na partição incluindo os arquivos requeridos pelo boot, mas qualquer tentativa de dar boot pela partição Windows falhava. 

    Achei que pudesse ser algum detalhe que eu não conhecia sobre o processo de "ativação" da partição Windows e decidi imprimir (cadê a opção de ler na tela? Juro que não encontrei.) o "manual do bootcamp". Para isso era necessário instalar uma impressora. Conectei a HP deskjet do cliente e... nada...

    Eu esperava algum tipo de aviso de que a impressora havia sido reconhecida, mas nem mesmo se ouvia um bip. Tive que ir para a Ajuda descobrir que "era assim mesmo" e a impressora que nunca havia sido conectada antes ao notebook instalou sem dar um pio. Algo completamente sem sentido para mim.

    OK. Pelo menos a impressora está instalada. Pior seria se eu tivesse que arrumar um driver para Mac (estou tentando ser positivo). Procurei opções para imprimir apenas em preto e branco ou em modo rascunho e... nada também! Tive que imprimir o manual de 25 páginas em cores e na qualidade padrão da impressora.

    E não parou por aí: O OS X era em português mas o manual foi impresso em inglês!

    Até para mim, que consigo ler nas duas línguas sem dificuldade, isso atrapalha. Porque você lê uma coisa no manual e tem que encontrar o equivalente em português nos menus. Um exemplo de consistência, usabilidade e produto bem acabado, realmente...

    Constatei que não havia nenhum segredo. Eu estava procedendo do jeito que deveria (pelo menos de acordo com o manual) mas não funcionava.

    Fiz mais testes para determinar exatamente qual o problema. O Mac se recusou a dar boot pelo DVD do Windows Vista e pelos CDs do XP SP2 e SP3 (em comum, todos usam o método "no drive emulation" para o boot), mas deu boot normalmente por um CD de boot do tipo "floppy emulation". O fato de ser original ou cópia (CD-R/DVD-R), não mudava nada, pois o Mac rejeitou do mesmo jeito um CD do XP SP2 sem arranhões e ostentando toda a glória do rótulo tridimensional da MS.

    Como resolver isso? Não faço a menor idéia. Fiz uma rápida pesquisa no Google e encontrei pessoas com problemas relacionados (nenhum igual) e nenhuma resposta. Verifiquei se havia um update de firmware no site da Apple e a versão instalada no cliente era mais nova que a mais recente disponível para download.

    Desisti. Disse ao cliente que pedisse ajuda a seu filho que usava Mac, antes de levar para a Assistência (sim, foi comprado com nota e suposta garantia em todo o Brasil). Ele, que acompanhou todas as minhas tentativas, no final estava ainda menos impressionado do que eu com a suposta "facilidade de uso" do Mac e sua fama de "não dar defeito".

    Eu mesmo esperaria bem mais de algo que custou R$2300.