Объявление форума |
Если пользуетесь личными сообщениями и получили по электронной почте оповещение о новом письме, не отвечайте, пожалуйста, почтой. Зайдите на форум и ответьте отправителю через ЛС. |
Полигон-2 » Флейм на общие темы » нужна помощь в лечении вируса |
<<Назад Вперед>> | Страницы: 1 * 2 3 | Печать |
slc
Newbie
Откуда: Екатеринбург Всего сообщений: 44 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 13 июля 2014 |
вытащить винт, воткнуть в другой комп ? |
skoroxod
Advanced Member
вежливый пролетарий Откуда: Старый Оскол Всего сообщений: 8177 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 5 мар. 2009 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 2 октября 2014 0:00 Сообщение отредактировано: 2 октября 2014 0:02
slc написал: Ни в коем случае!!! OneHalf нужно лечиить только в родной системе, иначе потеряются все те данные, что вирь успел вытащить винт, воткнуть в другой комп ? зашифровать. С CD загружатся было-б значительно проще, там и антивирь мощнее можно приткнуть, да и быстрее всё. |
dk_spb
Advanced Member
Всего сообщений: 5056 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 16 сен. 2009 |
Нашел годную версию касперского. drweb от 2002 года этот вирус не видит вообще. |
Tronix
Advanced Member
Откуда: Москва Всего сообщений: 1749 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 15 янв. 2008 |
Сорцы великого творения: http://spth.virii.lu/asterix1/dl/onehalf.zip |
Anderson1
Advanced Member
Откуда: Москва Всего сообщений: 2098 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 фев. 2011 |
Из под чистой системы и не увидят. Лечить Onehalf надо из под грязной системы, но не под виндой, а в досе. Тот же дрвеб должен справиться, версия где-то 4.1x-4.2х. Айдстест 97-го года вроде ещё не был знаком с этим вирем. |
Посредственный пользователь
Advanced Member
Откуда: $pb Всего сообщений: 1469 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 4 июля 2014 |
SKcorp написал: Так и делали. Досовый веб лечил onehalf. Если не изменяет память ,то длинна вируса 3544байта. Ко мне друг детства часто приходил с дискетами от роботрона .в техникуме роботроны стояли,писишные. Аидстест не ловил,вот у меня дома на четверке лечили вебычем. Потом я давал другу наклейку на системную дискетку. И желал удачи! На дворе стоял 98год :-) Вот нерезидентный den2 virus,штука посерьезнее. |
dk_spb
Advanced Member
Всего сообщений: 5056 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 16 сен. 2009 |
Dr.Web for DOS/386, version 4.28 (May 6, 2002) не находит этот вирус. |
Anderson1
Advanced Member
Откуда: Москва Всего сообщений: 2098 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 фев. 2011 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 2 октября 2014 12:49 Сообщение отредактировано: 2 октября 2014 13:00
Попробовать 16-битную версию. Емнимс, 4.14 или 4.16 ещё влезала вирусной базой в дос-память... Сейчас разрыл архив, нашёл 16-битного 4.14 - на 386 запускается, в вирлисте onehalf есть. |
dk_spb
Advanced Member
Всего сообщений: 5056 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 16 сен. 2009 |
Стесняюсь спросить, а как 16/32 версия влияет на поиск вируса в файлах? |
Anderson1
Advanced Member
Откуда: Москва Всего сообщений: 2098 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 фев. 2011 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 2 октября 2014 13:05 Сообщение отредактировано: 2 октября 2014 13:20
Не в файлах, а в памяти. Тело вируса зашифровано и на чистой системе его искать не слишком полезно. BTW, статейка из дрвебовского вирлиста: OneHalf.3544 (1-7), 3570, 3577, 3666 Очень опасные полиморфные файлово-загрузочные стелс-вирусы. Используют алгоритм заражения, похожий на алгоритм CommanderBomber. Но помимо того, что "усеивают пятнами" своего кода (10 "пятен" по 10 байт) инфицированный файл, производят шифрование основного тела вируса, расположенного в конце файла. При первом запуске инфицированного файла, заражают MBR "винчестера". Оригинальный MBR и 7 секторов своего тела "прячут" в последних секторах 0 цилиндра жесткого диска. При перезагрузке компьютера, "отрезают" от доступной DOS памяти 4K, считывают в "отрезанную" верхнюю область памяти свое продолжение - 7 секторов, и перехватывают INT 13h и INT 1Ch. Контролируют с помощью INT 1Ch установку DOS'овского INT 21h, и перехватывают его. При каждой перезагрузке системы с жесткого диска последовательно, начиная с последних цилиндров, шифруют все сектора двух цилиндров на каждой головке диска. Когда вирусы находятся в памяти, они контролируют чтение секторов данных цилиндров и расшифровывают их. Если же вирусы будут удалены из MBR и памяти, то восстановление зашифрованных секторов окажется невозможным. При зашифровывании половины диска вирусы выводят на экран фразу: Dis is one half. Press any key to continue ... OneHalf.3544 (3) выводит текст: Dis is TWO HALF. Fucks any key to Goping... OneHalf.3544 (4): HET - фu3uke u ucTopuu B pacnucaHuu uy7 ! OneHalf.3544 (5): Disk is Tpu half. (Bepx, Hu3 u Pe6po) OneHalf.3544 (6): Dis is 3 HALF !. Fucks any key to LoHing... OneHalf.3544 (7): A cup of Beer ?. See you later... После этого ожидают нажатия на любую клавишу. После чего продолжают свою дальнейшую инсталляцию в память. При попытке трассировки резидентной части вируса, предпринимают некоторые простые, но действенные меры "завешивания" системы. Содержат текстовые строки "Did you leave the room?" или "DidYouLeaveTheRoom?". OneHalf.3544 (3) имеет текст "User is loh !". Не заражают файлы с именами SCAN,CLEAN,FINDVIRU, GUARD,NOD,VSAFE,MSAV,CHKDSK,AIDS,ADINF,WEB. Вирусы OneHalf.3544 (4,5) не зашифровывают диск. OneHalf.3544 (4) содержит тексты "Copyright© by Automatic Integerated Digital Software", "3TO - HE Bupyc, cynepxakep Ara6ekoB !", "CugopeHKOB - gypak !!!". OneHalf.3544 (6) имеет текст "WEB - LOH !!!", Onehalf.3666 - "Hail to the GREAT OneHalf's author!". OneHalf.3544 (7): "Doyou want to Drink ?". P.S. Видимо расслабили современные вирусописатели, которые в большинстве своём ничего хитрее трояна придумать не могут. OneHalf в сравнении с ними настоящий шедевр Вот и сложно нынче даже помыслить, что стандартными противотроянными методами с ним не справиться... |
<<Назад Вперед>> | Страницы: 1 * 2 3 | Печать |
Полигон-2 » Флейм на общие темы » нужна помощь в лечении вируса |
0 посетителей просмотрели эту тему за последние 15 минут |
В том числе: 0 гостей, 0 скрытых пользователей |
Последние | |
[Москва] LIQUID-Акция. Сливаются разъемы CF МС7004 и 7004А на AT и XT Пайка термотрубок Проммать s478 PEAK 715VL2-HT ( Full-Size SBC) Подскажите по 386 материке по джамперам. |
Самые активные 5 тем | |