Полигон-2

С винта удалить через fdisk /mbr (загрузившись с чистой дискеты) не получается?

Дискету можно попробовать почистить записав какой-нибудь образ на неё. Это точно сотрёт всё.

Большинство "сильно умных" MBR вирусов лечится одинаково - грузим заражённую систему, сохранаяем MBR в файл (diskedit).
Затем грузимся с чистой дискеты и восстанавливаем MBR из только что сохраненного файла.

На дискетах конкретно этот вирус сохраняет оригинальный Boot в последнем секторе директории. Под чистой системой находим его - и копируем вместо зараженного.

*ЗАЯВЛЕНИЕ О ПОЛНОМ ОТКАЗЕ ОТ ГАРАНТИИ*

gunsm написал:

[q]

https://www.symantec.com/secur...mp;tabid=2

[/q]

Это я читал давно, когда SEP его обнаружил, но вопрос остаётся:


gunsm написал:

[q]

Затем грузимся с чистой дискеты и восстанавливаем MBR из только что сохраненного файла.

[/q]

gunsm написал:

[q]

Под чистой системой находим его - и копируем вместо зараженного.

[/q]

почему современные антивирусы не могут сделать этих элементарных действий?

drweb386.exe раньше был в составе дистрибутива, сейчас фиг найдешь, старые версии они убрали, ftp не доступен. На old-dos.ru ищите.

drweb 5 для дос?
капец. счас глянул - почти 200 мегабайт весит.

Извините, а просто восстановить MBR нельзя? Зачем антивирус?

Я под DOS 6.22 использую Dr.Web 4.29 (2002 год, 31635 записей)



---

CodeMaster, Вам нужен антивирус по DOS, или "вылечить" MBR?

[q]

Недокументированные возможности программы FDISK
Это программа с очень большими возможностями, которые были еще более расширены в
DOS 5 и следующих версиях. К сожалению, эти возможности никогда не документировались
в руководстве по DOS и не были описаны даже в Windows. Самым важным из недокументи
рованных параметров является /MBR. С его помощью программа FDISK перезаписывает дан
ные в главном загрузочном секторе, оставляя неизменными таблицы разделов диска.
Параметр /MBR словно специально предназначен для уничтожения вирусов, “заражающих”
главный загрузочный сектор диска (цилиндр 0, головка 0, сектор 1). Чтобы воспользоваться
этой возможностью, введите следующую команду: FDISK/MBR.
После этого FDISK перезапишет код загрузочного сектора, оставляя таблицы разделов
неизменными. В нормально работающей системе это не приведет к проблемам, но на всякий
случай создайте резервную копию таблиц разделов на дискете.

[/q]

CodeMaster написал:

[q]

Попробую, но боюсь на флешке это не сработает (в смысле не оставит её загрузочной)

[/q]

Чтобы осталась загрузочной - должны совпасть C/H/S и активность нужного раздела.
Если делать на другом компе, то по первому пункту изменения могут быть иногда.
Тогда уж не за загрузку, а за сохранность файлов переживать надо!
Ну и если что, после fdisk можно ведь еще sys сделать (системную дискету приготовить заранее).

А если файлы по любому копировать, так можно и по новой на разделы разбить.
Только первый сектор флешки затереть чем-нибудь перед этим (вирус убить).

Да и не уточнили что за флешка - CF, USB, ...
Последняя и загрузочным флоппи прикидываться может.
Там не Master конечно, но Boot Record все же есть

CodeMaster написал:

[q]

USB. CF это, в принципе, почти винт.

[/q]

Ну так MBR с винтов и пошел. С загрузочной USB-флешкой и другие варианты существуют.

CodeMaster написал:

[q]

Это всё неспортивно!

[/q]

Зато оперативно! За время поиска и установки антивируса можно пять раз этот вирус вручную извести...
Опять же что за вирус (и какого он года) - непонятно. Где гарантия, что он найдется в базе старого антивируса? В общем дело хозяйское

CodeMaster написал:

[q]

Вирус должен удалять антивирус.

[/q]

Ну это как посмотреть Казнить нельзя помиловать !!!

Rio444 написал:

[q]

Ни MBR ни Boot Record никакой информации не несут.

[/q]

MBR содержит таблицу разделов диска.


Rio444 написал:

[q]

Лечить там нечего.

[/q]

Если один раздел на весь диск, то да.


Rio444 написал:

[q]

Если найдётся антивирус, который сможет это "вылечить", уверен, он просто создаст новую MBR и Boot Record.

[/q]

Мне интересно сможет ли он это сделать на загрузочной флешке.

XPOHOMETP написал:

[q]

И в той, и в другой исполняемый код однозначно есть, пусть и небольшой. Значит есть откуда вызвать вирус.

[/q]

Имел в виду, что код этот типовой. Проще записать его заново, чем пытаться вычленить и удалить вирус.

Теоретически вирус может зашифровать таблицу разделов. И антивирус теоретически может её расшифровать. Это единственная польза от антивируса в таком случае.

Что касается флешки, не сталкивался. Не знаю, как там организованы данные.

FDISK /MBR можно использовать, если есть уверенность, что в MBR-секторе сидит какой-нибудь примитив типа Stoned-подобного.
Иначе можно остаться без информации на диске.
Например, вирус, садящийся в MBR-сектор, может зашифровать таблицу разделов и расшифровывать ее на лету при загрузке,
если командой FDISK /MBR заместить вирусный код, то таблица разделов останется зашифрованной, со всеми вытекающими...
Или известный всем файлово-загрузочный OneHalf шифрует сектора начиная с конца диска и расшифровывает их на лету при обращении к ним, голова вируса находится в MBR-секторе и если командой FDISK /MBR заместить ее, то при следующей
перезагрузке невозможно будет получить доступ к зашифрованным секторам...
Или еще вот такой пример - вирус вроде бы не ахти какой, но все сектора, к которым идет обращение через обычные функции
чтения/записи (02h и 03h) прерывания 13h, может перезаписывать функцией длинной записи, при обращении к таким секторам
он их считывает длинным чтением. Использование команды FDISK /MBR сделает эти сектора недоступными для чтения обычными
средствами при следующей перезагрузке...
Опять же - самый простейший вирус может вообще не касаться MBR-сектора, а садиться в BOOT-сектор активного загрузочного
раздела, он только посмеется при вводе команды FDISK /MBR... ))
То же самое будет, если более продвинутый вирус изменит в MBR-секторе не загрузочный код, а всего лишь ссылку на BOOT-сектор
активного раздела в таблице разделов на сектор, содержащий его голову, где-нибудь на нулевой дорожке. Команда FDISK /MBR
окажется импотентна...
Еще более продвинутый загрузочный или файлово-загрузочный вирус может при загрузке определить адрес прерывания DOS
Int 21h и фильтровать, например, файловые операции - при запуске любой программы через функцию 4Bh узнать имя файла
и если это FDISK, то сделать с ним все, что душа пожелает...
А еще я видел сон если стелсирующийся через Int 13h вирус может мониторить не только функцию чтения, но и записи,
подставив при запуске команды FDISK /MBR вместо MBR-сектора любой другой...
Вообще стелсироваться вирус может гораздо интереснее - не на уровне Int 13h, а на уровне аппаратного прерывания
контроллера жесткого диска...
И т.д. и т.п.
Компьютерная вирусология достаточно интересна и разнообразна.

Так что лечить есть чего...))
Точнее не лечить, т.е. исправлять последствия и снимать симптомы, чем занимается наша официальная медицина,
а разбираться в причинах возникновения...

XPOHOMETP написал:

[q]

Если эти вирусы такие страшные, то зачем их исключили из баз современного антивируса

[/q]

Его не исключили, он видит, но лечить не может.


XPOHOMETP написал:

[q]

(да и какой использовал ТС)?

[/q]

SEP 12


XPOHOMETP написал:

[q]

Нужны ли ТС-у эти файлы

[/q]

Считай, что не нужны, но еслиб антивирус мог полечить это было минимум телодвижений.


XPOHOMETP написал:

[q]

это спортивный интерес по выяснению кто победит - вирус или антивирус?

[/q]

Это основное.


XPOHOMETP написал:

[q]

Как отформатирована флешка - под FAT16 или FAT32 (есть ли длинные имена)?

[/q]

FAT16


XPOHOMETP написал:

[q]

а там Norton Disk Editor, Norton Disk Doctor и т.п. в зубы и воевать!

[/q]

"Прибить" флешку проще ;-)


Forza3dfx написал:

[q]

а разбираться в причинах возникновения...

[/q]

Причина, я думаю, в утилите делающей флешку загрузочной, но в ней антивирус ничего подозрительного не видит.

Forza3dfx написал:

[q]

Имя конкретного загрузочного вируса?

[/q]

Ща не помню, буду на неделе на работе - напишу точно.


Forza3dfx написал:

[q]

Т.е. за вирус может сойти в таком случае какой-нибудь нестандартный (вовсе не вирусный!) MBR- или BOOT-сектор

[/q]

Всё возможно, но если при старте этой флешки подключен другой диск, то материнка запрашивает разрешение на перезапись бутсектора, т.ч. это "жжжж" скорее всего не спроста.

Столько разговоров. За это время можно было 5 раз забэкапить данные, отформатировать, накинуть загрузчик DOS, и вернуть данные на место. И ещё просканировать данные всеми основными антивирусами с 1990 по 2018 годы, на всякий пожарный.

CodeMaster написал:

[q]

можно ли вылечить имидж EBD не создавая реальную дискету.

[/q]

В виртуалке делаете виртуальную машину с W9x, создаёте образ дискеты (IMA), штатным путём пишете туда ЕБД винды, далее копируете файл на флешку. Вообще, все дела с флешками легко делать при помощи Virtual PC/Virtual Box/VMware/PCem.


CodeMaster написал:

[q]

Обе сделаны загрузочными с помощью hpusbfw.exe и уставновлен DOS то ли от Win 95, то ли от Win 98.
Из автозапуска запускается Grub4DOS который запускает разные имиджи и пр.

[/q]

Есть смысл повторить операцию.

Назад в будущее...))
Где-то я это все уже видел :
topic/22056

Или записать на флешку *EFI загрузчик. Флешка должна быть в FAT32.

Объединил