Внимание! Это временный неофициальный архив старой версии форума Полигон Призраков, созданный сочувствующим форуму участником. Этот сайт просуществует лишь до тех пор, пока администрация Полигона не сдержит своё обещание и не откроет официальный архив по адресу old.sannata.org.

Полигон-2

Форум о старых компьютерах

Объявление форума

Если пользуетесь личными сообщениями и получили по электронной почте оповещение о новом письме, не отвечайте, пожалуйста, почтой. Зайдите на форум и ответьте отправителю через ЛС.

Полигон-2 »   Флейм на общие темы »   нужна помощь в лечении вируса
RSS

нужна помощь в лечении вируса

OneHalf

<<Назад  Вперед>> Страницы: 1 * 2 3
Печать
 
slc
Newbie


Откуда: Екатеринбург
Всего сообщений: 44
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
13 июля 2014
вытащить винт, воткнуть в другой комп ?
skoroxod
Advanced Member
вежливый пролетарий

Откуда: Старый Оскол
Всего сообщений: 8177
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
5 мар. 2009
slc написал:
[q]
вытащить винт, воткнуть в другой комп ?
[/q]
Ни в коем случае!!! OneHalf нужно лечиить только в родной системе, иначе потеряются все те данные, что вирь успел
зашифровать. С CD загружатся было-б значительно проще, там и антивирь мощнее можно приткнуть, да и быстрее всё.
dk_spb
Advanced Member


Всего сообщений: 5056
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
16 сен. 2009
Нашел годную версию касперского.
drweb от 2002 года этот вирус не видит вообще.
Tronix
Advanced Member


Откуда: Москва
Всего сообщений: 1749
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
15 янв. 2008
Сорцы великого творения: http://spth.virii.lu/asterix1/dl/onehalf.zip
Anderson1
Advanced Member


Откуда: Москва
Всего сообщений: 2098
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
27 фев. 2011
Из под чистой системы и не увидят. Лечить Onehalf надо из под грязной системы, но не под виндой, а в досе. Тот же дрвеб должен справиться, версия где-то 4.1x-4.2х. Айдстест 97-го года вроде ещё не был знаком с этим вирем.
Посредственный пользователь
Advanced Member


Откуда: $pb
Всего сообщений: 1469
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
4 июля 2014
SKcorp написал:
[q]
[/q]
Так и делали.
Досовый веб лечил onehalf.
Если не изменяет память ,то длинна вируса 3544байта.
Ко мне друг детства часто приходил с дискетами от роботрона .в техникуме роботроны стояли,писишные.
Аидстест не ловил,вот у меня дома на четверке лечили вебычем.
Потом я давал другу наклейку на системную дискетку.
И желал удачи! На дворе стоял 98год :-)

Вот нерезидентный den2 virus,штука посерьезнее.
dk_spb
Advanced Member


Всего сообщений: 5056
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
16 сен. 2009
Dr.Web for DOS/386, version 4.28 (May 6, 2002) не находит этот вирус.
Anderson1
Advanced Member


Откуда: Москва
Всего сообщений: 2098
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
27 фев. 2011
Попробовать 16-битную версию. Емнимс, 4.14 или 4.16 ещё влезала вирусной базой в дос-память...
Сейчас разрыл архив, нашёл 16-битного 4.14 - на 386 запускается, в вирлисте onehalf есть.
dk_spb
Advanced Member


Всего сообщений: 5056
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
16 сен. 2009
Стесняюсь спросить, а как 16/32 версия влияет на поиск вируса в файлах?
Anderson1
Advanced Member


Откуда: Москва
Всего сообщений: 2098
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
27 фев. 2011
Не в файлах, а в памяти. Тело вируса зашифровано и на чистой системе его искать не слишком полезно.

BTW, статейка из дрвебовского вирлиста:

OneHalf.3544 (1-7), 3570, 3577, 3666
Очень опасные полиморфные файлово-загрузочные стелс-вирусы. Используют
алгоритм заражения, похожий на алгоритм CommanderBomber. Но помимо
того, что "усеивают пятнами" своего кода (10 "пятен" по 10 байт)
инфицированный файл, производят шифрование основного тела вируса,
расположенного в конце файла. При первом запуске инфицированного файла,
заражают MBR "винчестера". Оригинальный MBR и 7 секторов своего тела
"прячут" в последних секторах 0 цилиндра жесткого диска. При
перезагрузке компьютера, "отрезают" от доступной DOS памяти 4K,
считывают в "отрезанную" верхнюю область памяти свое продолжение - 7
секторов, и перехватывают INT 13h и INT 1Ch. Контролируют с помощью INT
1Ch установку DOS'овского INT 21h, и перехватывают его. При каждой
перезагрузке системы с жесткого диска последовательно, начиная с
последних цилиндров, шифруют все сектора двух цилиндров на каждой
головке диска. Когда вирусы находятся в памяти, они контролируют чтение
секторов данных цилиндров и расшифровывают их. Если же вирусы будут
удалены из MBR и памяти, то восстановление зашифрованных секторов
окажется невозможным. При зашифровывании половины диска вирусы выводят
на экран фразу:

Dis is one half.
Press any key to continue ...

OneHalf.3544 (3) выводит текст:

Dis is TWO HALF.
Fucks any key to Goping...

OneHalf.3544 (4):

HET - фu3uke u ucTopuu B pacnucaHuu uy7 !

OneHalf.3544 (5):

Disk is Tpu half.
(Bepx, Hu3 u Pe6po)

OneHalf.3544 (6):

Dis is 3 HALF !.
Fucks any key to LoHing...

OneHalf.3544 (7):

A cup of Beer ?.
See you later...


После этого ожидают нажатия на любую клавишу. После чего продолжают
свою дальнейшую инсталляцию в память. При попытке трассировки
резидентной части вируса, предпринимают некоторые простые, но
действенные меры "завешивания" системы. Содержат текстовые строки "Did
you leave the room?" или "DidYouLeaveTheRoom?". OneHalf.3544 (3) имеет
текст "User is loh !". Не заражают файлы с именами SCAN,CLEAN,FINDVIRU,
GUARD,NOD,VSAFE,MSAV,CHKDSK,AIDS,ADINF,WEB. Вирусы OneHalf.3544 (4,5)
не зашифровывают диск. OneHalf.3544 (4) содержит тексты "Copyright©
by Automatic Integerated Digital Software", "3TO - HE Bupyc, cynepxakep
Ara6ekoB !", "CugopeHKOB - gypak !!!". OneHalf.3544 (6) имеет текст
"WEB - LOH !!!", Onehalf.3666 - "Hail to the GREAT OneHalf's author!".
OneHalf.3544 (7): "Doyou want to Drink ?".

P.S. Видимо расслабили современные вирусописатели, которые в большинстве своём ничего хитрее трояна придумать не могут. OneHalf в сравнении с ними настоящий шедевр :) Вот и сложно нынче даже помыслить, что стандартными противотроянными методами с ним не справиться...
<<Назад  Вперед>> Страницы: 1 * 2 3
Печать
Полигон-2 »   Флейм на общие темы »   нужна помощь в лечении вируса
RSS

0 посетителей просмотрели эту тему за последние 15 минут
В том числе: 0 гостей, 0 скрытых пользователей

Последние RSS
[Москва] LIQUID-Акция. Сливаются разъемы CF
МС7004 и 7004А на AT и XT
Пайка термотрубок
Проммать s478 PEAK 715VL2-HT ( Full-Size SBC)
Подскажите по 386 материке по джамперам.

Самые активные 5 тем RSS