Внимание! Это временный неофициальный архив старой версии форума Полигон Призраков, созданный сочувствующим форуму участником. Этот сайт просуществует лишь до тех пор, пока администрация Полигона не сдержит своё обещание и не откроет официальный архив по адресу old.sannata.org.

Полигон-2

Форум о старых компьютерах

Объявление форума

Если пользуетесь личными сообщениями и получили по электронной почте оповещение о новом письме, не отвечайте, пожалуйста, почтой. Зайдите на форум и ответьте отправителю через ЛС.

Полигон-2 »   Флейм на общие темы »   нужна помощь в лечении вируса
RSS

нужна помощь в лечении вируса

OneHalf

<<Назад  Вперед>> Страницы: 1 2 3
Печать
 
dk_spb
Advanced Member


Всего сообщений: 5056
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
16 сен. 2009
Есть у меня машинка winXP специально для работы с FDD 5.25".
И поймал я там гадость, которую виндовая Avira обзывает OneHalf.
Нужен какой-то досовский антивирус, который умеет не только ловить, но и лечить эту гадость. Досовский потому что нет CD, и грузиться могу только с дискеты.
Что посоветуете?
aidstest 97года и drweb 2002 даже не видят эту каку из под чистой системы.
В грязной системе достаточно раз запустить/скопировать aidstest и он ругается что его кто-то повредил.
SKcorp
Advanced Member
Эксперт.

Откуда: Leningrad, USSR
Всего сообщений: 3005
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
28 июля 2008
Это ж классика!!!

Загрузись с защищенной от записи дискеты с последним DR.web for DOS, причем без оконного интерфейса а-ля Турбо Вижн.
3.27 вроде.
DOS Logic
Advanced Member
d(-_-)b

Откуда: Украина. Ивано-Франковск
Всего сообщений: 4778
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
1 июля 2006
Да DR.web досовский лечит 100%, только это долго

Я как-то пробовал на 286-8 мгц и бросил это дело через несколько часов, слишком долго он декодирует на таком проце.
Хотя если снять винт и подключить на более шуструю машину? ...
slc
Newbie


Откуда: Екатеринбург
Всего сообщений: 44
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
13 июля 2014
вытащить винт, воткнуть в другой комп ?
skoroxod
Advanced Member
вежливый пролетарий

Откуда: Старый Оскол
Всего сообщений: 8177
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
5 мар. 2009
slc написал:
[q]
вытащить винт, воткнуть в другой комп ?
[/q]
Ни в коем случае!!! OneHalf нужно лечиить только в родной системе, иначе потеряются все те данные, что вирь успел
зашифровать. С CD загружатся было-б значительно проще, там и антивирь мощнее можно приткнуть, да и быстрее всё.
dk_spb
Advanced Member


Всего сообщений: 5056
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
16 сен. 2009
Нашел годную версию касперского.
drweb от 2002 года этот вирус не видит вообще.
Tronix
Advanced Member


Откуда: Москва
Всего сообщений: 1749
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
15 янв. 2008
Сорцы великого творения: http://spth.virii.lu/asterix1/dl/onehalf.zip
Anderson1
Advanced Member


Откуда: Москва
Всего сообщений: 2098
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
27 фев. 2011
Из под чистой системы и не увидят. Лечить Onehalf надо из под грязной системы, но не под виндой, а в досе. Тот же дрвеб должен справиться, версия где-то 4.1x-4.2х. Айдстест 97-го года вроде ещё не был знаком с этим вирем.
Посредственный пользователь
Advanced Member


Откуда: $pb
Всего сообщений: 1469
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
4 июля 2014
SKcorp написал:
[q]
[/q]
Так и делали.
Досовый веб лечил onehalf.
Если не изменяет память ,то длинна вируса 3544байта.
Ко мне друг детства часто приходил с дискетами от роботрона .в техникуме роботроны стояли,писишные.
Аидстест не ловил,вот у меня дома на четверке лечили вебычем.
Потом я давал другу наклейку на системную дискетку.
И желал удачи! На дворе стоял 98год :-)

Вот нерезидентный den2 virus,штука посерьезнее.
dk_spb
Advanced Member


Всего сообщений: 5056
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
16 сен. 2009
Dr.Web for DOS/386, version 4.28 (May 6, 2002) не находит этот вирус.
Anderson1
Advanced Member


Откуда: Москва
Всего сообщений: 2098
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
27 фев. 2011
Попробовать 16-битную версию. Емнимс, 4.14 или 4.16 ещё влезала вирусной базой в дос-память...
Сейчас разрыл архив, нашёл 16-битного 4.14 - на 386 запускается, в вирлисте onehalf есть.
dk_spb
Advanced Member


Всего сообщений: 5056
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
16 сен. 2009
Стесняюсь спросить, а как 16/32 версия влияет на поиск вируса в файлах?
Anderson1
Advanced Member


Откуда: Москва
Всего сообщений: 2098
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
27 фев. 2011
Не в файлах, а в памяти. Тело вируса зашифровано и на чистой системе его искать не слишком полезно.

BTW, статейка из дрвебовского вирлиста:

OneHalf.3544 (1-7), 3570, 3577, 3666
Очень опасные полиморфные файлово-загрузочные стелс-вирусы. Используют
алгоритм заражения, похожий на алгоритм CommanderBomber. Но помимо
того, что "усеивают пятнами" своего кода (10 "пятен" по 10 байт)
инфицированный файл, производят шифрование основного тела вируса,
расположенного в конце файла. При первом запуске инфицированного файла,
заражают MBR "винчестера". Оригинальный MBR и 7 секторов своего тела
"прячут" в последних секторах 0 цилиндра жесткого диска. При
перезагрузке компьютера, "отрезают" от доступной DOS памяти 4K,
считывают в "отрезанную" верхнюю область памяти свое продолжение - 7
секторов, и перехватывают INT 13h и INT 1Ch. Контролируют с помощью INT
1Ch установку DOS'овского INT 21h, и перехватывают его. При каждой
перезагрузке системы с жесткого диска последовательно, начиная с
последних цилиндров, шифруют все сектора двух цилиндров на каждой
головке диска. Когда вирусы находятся в памяти, они контролируют чтение
секторов данных цилиндров и расшифровывают их. Если же вирусы будут
удалены из MBR и памяти, то восстановление зашифрованных секторов
окажется невозможным. При зашифровывании половины диска вирусы выводят
на экран фразу:

Dis is one half.
Press any key to continue ...

OneHalf.3544 (3) выводит текст:

Dis is TWO HALF.
Fucks any key to Goping...

OneHalf.3544 (4):

HET - фu3uke u ucTopuu B pacnucaHuu uy7 !

OneHalf.3544 (5):

Disk is Tpu half.
(Bepx, Hu3 u Pe6po)

OneHalf.3544 (6):

Dis is 3 HALF !.
Fucks any key to LoHing...

OneHalf.3544 (7):

A cup of Beer ?.
See you later...


После этого ожидают нажатия на любую клавишу. После чего продолжают
свою дальнейшую инсталляцию в память. При попытке трассировки
резидентной части вируса, предпринимают некоторые простые, но
действенные меры "завешивания" системы. Содержат текстовые строки "Did
you leave the room?" или "DidYouLeaveTheRoom?". OneHalf.3544 (3) имеет
текст "User is loh !". Не заражают файлы с именами SCAN,CLEAN,FINDVIRU,
GUARD,NOD,VSAFE,MSAV,CHKDSK,AIDS,ADINF,WEB. Вирусы OneHalf.3544 (4,5)
не зашифровывают диск. OneHalf.3544 (4) содержит тексты "Copyright©
by Automatic Integerated Digital Software", "3TO - HE Bupyc, cynepxakep
Ara6ekoB !", "CugopeHKOB - gypak !!!". OneHalf.3544 (6) имеет текст
"WEB - LOH !!!", Onehalf.3666 - "Hail to the GREAT OneHalf's author!".
OneHalf.3544 (7): "Doyou want to Drink ?".

P.S. Видимо расслабили современные вирусописатели, которые в большинстве своём ничего хитрее трояна придумать не могут. OneHalf в сравнении с ними настоящий шедевр :) Вот и сложно нынче даже помыслить, что стандартными противотроянными методами с ним не справиться...
dk_spb
Advanced Member


Всего сообщений: 5056
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
16 сен. 2009
Кто же лечит комп с вирусом в памяти??? Я с флопа чистую систему гружу.
Anderson1
Advanced Member


Откуда: Москва
Всего сообщений: 2098
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
27 фев. 2011
dk_spb, а я о чём? Вот об этом же - ну не работает этот стандартный метод с OneHalf-ом, ибо сей вирус стандартностью не отличается. Пора бы уже это осознать ;) BTW, почему 386 версия не лечит, то возможно такая функция, как перехват вирусного кода в памяти и не удаление его, а использование для исправления последствий действия вируса, была из неё убрана типа за ненадобностью - якобы OneHalf давно вымер и это средство борьбы с ним больше не нужно. Но как показывает практика, для шедевра и 20 лет живучести не срок :thumbup:
dk_spb
Advanced Member


Всего сообщений: 5056
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
16 сен. 2009
Я как Вас не понимал, так и не понимаю.
1) Всегда вирусы лечат на чистой системе (если, конечно, нет повышенной жажды приключений на одно место).
2) если какой-то антивирус не обнаруживает вирус, значит он его не обнаруживает. И мне не важно умел ли он это раньше, умеет ли он это если при его запуске делать пассы руками и говорить заклинания - он для меня всё-равно остается антивирусом, который не знает данный вирус

В общем проблема решена (самым наистандартнейшим способом), всем спасибо за помощь, предлагаю закрыть тему, а то пошли уже какие-то непонятные рассуждения типа стандартный это вирус или нестандартный.
DOS Logic
Advanced Member
d(-_-)b

Откуда: Украина. Ивано-Франковск
Всего сообщений: 4778
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
1 июля 2006
Дело в том что надо лечить exe файлы зараженные OneHalf, это может делать любой антивирус на любой системе.
НО!
Надо и декодировать винт! Место на винте которое уже перекодировал OneHalf!
Вот с этим я не знаю как новые антивири справлятся, старый доктор веб досовский точно такое умел.
А то потом у вас будут не файлы, а каша.

Именно когда остается половина винта вирус выводит свою коронную фразу :)
[q]
если же вирусы будут
удалены из MBR и памяти, то восстановление зашифрованных секторов
окажется невозможным.
[/q]
Расскажите вирусу как вы лечились на другой системе и чистой дискете :biggrin:
[q]
потом у вас будут не файлы, а каша.
[/q]
после вируса надо попробовать все файлы прочитать, что у них внутри а то окажется что названия файлов есть, а вместимое покоцано ;)

Я уже писал что у меня эта беда вылезла на двойке, и лечилось оочеееень долго. Но там ничего особо ценного небыло, только пару моих прог на паскале, поэтому убил все фдиском + почистил МБР
bblkkskgv
Гость

Ссылка

DOS Logic написал:
[q]
поэтому убил все фдиском + почистил МБР
[/q]
ТС, видимо, это и сказал вот этим:


dk_spb написал:
[q]
В общем проблема решена (самым наистандартнейшим способом)
[/q]
Сейчас на форуме
dk_spb
Advanced Member


Всего сообщений: 5056
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
16 сен. 2009
Нет, найден антивирус, который это всё лечит
Посредственный пользователь
Advanced Member


Откуда: $pb
Всего сообщений: 1469
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
4 июля 2014
Были и avp32 for dos. Касперыч. Был и drweb386. Куча мелких антивирей.
У меня относительно просто. Я просто заучил автоматом длину всех экзешников,ком-файлов. Самых важных,по крайне мере. Сразу,если что...редко случалось,мог определить наличие 'чужака' на пк. Разумеется под досом.
Еще помню,в нач нулевых европейцы делали абсолютно бесполезный в плане безопасности f-prot.
Недавно с работы приполз,пытался найти коллекцию вирий на старых сд. Не обнаружил. А там ванхэлфыч был точно. И антивирей нашел много. За период 99-04гг. Различных версий.
Интересно было порыться.

Раз лечилку отыскали,то и сказочки конец :-)
Anonymous
Advanced Member


Откуда: Москва(Россия)
Всего сообщений: 2537
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
22 нояб. 2011
А которым антивирусом таки вылечили, можно поинтересоваться?
eretik
Advanced Member


Откуда: Екатеринбург
Всего сообщений: 821
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
7 нояб. 2013
Anonymous написал:
[q]
А которым антивирусом таки вылечили, можно поинтересоваться?
[/q]
Мне помогла виктория в режиме посекторного стирания диска!
dk_spb
Advanced Member


Всего сообщений: 5056
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
16 сен. 2009
Anonymous написал:
[q]
А которым антивирусом таки вылечили
[/q]
kavdos32 v3.0 build 135 (2001 год)
Anonymous
Advanced Member


Откуда: Москва(Россия)
Всего сообщений: 2537
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
22 нояб. 2011
Спасибо. Просто, чтоб на будущее знать - вдруг попадется.

У нас в Текстильщиках был печальный случай: добыл один из друзей клуба целый ящик дискет от УКНЦ, наладил я ему эмулятор PDP-11 под MSDOS, который имеет доступ к файловой системе DOS, 8 образам 32мб разделов винчестера под rt11, ну и флопику физическому, в формате MY: - это была одна из версий E11 с соответствующим конфигурационным файлом. А на той же машине jekka записывал из образов дискет пожатых дискеты для ЕС1841 - и попался ему образ с вирусом, который поражает загрузочный сектор на дискете. Когда Бэтмен пришел считывать очередную пачку дискет УКНЦ, вирус уже сидел в памяти и портил любую вставленную дискету, вне зависимости, была ли она с разметкой дос или чуждого формата... Все дискеты УКНЦ в тот день оказались с бутовым блоком от ПЦ, модифицированным вируснёй...
fikus8
Full Member


Откуда: Моск обл
Всего сообщений: 221
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
29 сен. 2014
Заимел тут по случаю классную 286 машинку. Удачно перепаял батарейку на 2032, переразметил 40мб винт, установил DOS 6.22 и т.д.
И тут ... чуть со стула не слетел... :eek:

Вспомнилось, как 20 лет назад боролись с этой гениальной хренью. Кто-то ездил в "Диалог-науку" за DrWeb-ом. Был скандал, в результате которого физически отключили все флопы.. благо, сеть Nowell-овская была..
Сейчас буду искать DrWeb.
eretik
Advanced Member


Откуда: Екатеринбург
Всего сообщений: 821
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
7 нояб. 2013
Текущая авира на современном компе ловит эту гадость (так я его и отловил на винте от новоприобретенного ноута :biggrin: )
В лечении винта прекрасно помогла виктория в режиме erase и большой-пребольшой магнит в лечении контаминированных дискет.
<<Назад  Вперед>> Страницы: 1 2 3
Печать
Полигон-2 »   Флейм на общие темы »   нужна помощь в лечении вируса
RSS

1 посетитель просмотрел эту тему за последние 15 минут
В том числе: 1 гость, 0 скрытых пользователей

Последние RSS
[Москва] LIQUID-Акция. Сливаются разъемы CF
МС7004 и 7004А на AT и XT
Пайка термотрубок
Проммать s478 PEAK 715VL2-HT ( Full-Size SBC)
Подскажите по 386 материке по джамперам.

Самые активные 5 тем RSS