Объявление форума |
Если пользуетесь личными сообщениями и получили по электронной почте оповещение о новом письме, не отвечайте, пожалуйста, почтой. Зайдите на форум и ответьте отправителю через ЛС. |
Полигон-2 » Технический флейм » Чем удалить вирус NYB? |
<<Назад Вперед>> | Страницы: 1 2 * 3 4 | Печать |
XPOHOMETP
Advanced Member
Всего сообщений: 752 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 13 мая 2015 |
CodeMaster написал: Чтобы осталась загрузочной - должны совпасть C/H/S и активность нужного раздела. Попробую, но боюсь на флешке это не сработает (в смысле не оставит её загрузочной) Если делать на другом компе, то по первому пункту изменения могут быть иногда. Тогда уж не за загрузку, а за сохранность файлов переживать надо! Ну и если что, после fdisk можно ведь еще sys сделать (системную дискету приготовить заранее). А если файлы по любому копировать, так можно и по новой на разделы разбить. Только первый сектор флешки затереть чем-нибудь перед этим (вирус убить). Да и не уточнили что за флешка - CF, USB, ... Последняя и загрузочным флоппи прикидываться может. Там не Master конечно, но Boot Record все же есть |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
XPOHOMETP написал: USB. CF это, в принципе, почти винт. Да и не уточнили что за флешка - CF, USB, ... XPOHOMETP написал: Это всё неспортивно! Вирус должен удалять антивирус. А так можно диск и в пушке Гаусса очистить, для верности. Ну и если что, после fdisk можно ведь еще sys сделать |
XPOHOMETP
Advanced Member
Всего сообщений: 752 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 13 мая 2015 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 14 апреля 2018 20:05 Сообщение отредактировано: 15 апреля 2018 6:46
CodeMaster написал: Ну так MBR с винтов и пошел. С загрузочной USB-флешкой и другие варианты существуют. USB. CF это, в принципе, почти винт. CodeMaster написал: Зато оперативно! За время поиска и установки антивируса можно пять раз этот вирус вручную извести... Это всё неспортивно! Опять же что за вирус (и какого он года) - непонятно. Где гарантия, что он найдется в базе старого антивируса? В общем дело хозяйское CodeMaster написал: Ну это как посмотреть Казнить нельзя помиловать !!! Вирус должен удалять антивирус. |
Rio444
Гость
Откуда: Ростов-на-Дону Всего сообщений: 8632 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 14 сен. 2014 |
Ни MBR ни Boot Record никакой информации не несут. Boot Record - небольшой код, который ищет и загружает ось. MBR - ищет активный диск и загружает Boot Record. Лечить там нечего. Если найдётся антивирус, который сможет это "вылечить", уверен, он просто создаст новую MBR и Boot Record. Причем, первая почти одинакова для всех ос (для старых 2 разновидности), вторая может отличатся в зависимости от ос. Пишу по памяти, могут быть неточности. |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
Rio444 написал: MBR содержит таблицу разделов диска. Ни MBR ни Boot Record никакой информации не несут. Rio444 написал: Если один раздел на весь диск, то да. Лечить там нечего. Rio444 написал: Мне интересно сможет ли он это сделать на загрузочной флешке. Если найдётся антивирус, который сможет это "вылечить", уверен, он просто создаст новую MBR и Boot Record. |
XPOHOMETP
Advanced Member
Всего сообщений: 752 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 13 мая 2015 |
Rio444 написал: И в той, и в другой исполняемый код однозначно есть, пусть и небольшой. Значит есть откуда вызвать вирус. Лечить там нечего. Тем более, MBR 1 сектор занимает обычно, до конца дорожки пусто - вирус достаточно толстым может быть. Rio444 написал: Если он сможет корректно извлечь информацию по C/H/S из текущей MBR - проблем не будет. Если найдётся антивирус, который сможет это "вылечить", уверен, он просто создаст новую MBR и Boot Record. Просто сейчас вагон утилит есть для создания загрузочной флешки, как делали эту - неизвестно. А один и то же объем диска можно получить при совершенно разном соотношении C/H/S, главное чтобы их произведение совпадало. При этом положение Boot Record на диске тоже может измениться CodeMaster написал: С учетом изложенного выше, определенные сомнения, что флешка останется загрузочной. имеют право возникнуть... Мне интересно сможет ли он это сделать на загрузочной флешке. Но тут и с fdisk-ом та же засада. Так что если файлы ценные - только резервная копия. |
Rio444
Гость
Откуда: Ростов-на-Дону Всего сообщений: 8632 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 14 сен. 2014 |
XPOHOMETP написал: Имел в виду, что код этот типовой. Проще записать его заново, чем пытаться вычленить и удалить вирус. И в той, и в другой исполняемый код однозначно есть, пусть и небольшой. Значит есть откуда вызвать вирус. Теоретически вирус может зашифровать таблицу разделов. И антивирус теоретически может её расшифровать. Это единственная польза от антивируса в таком случае. Что касается флешки, не сталкивался. Не знаю, как там организованы данные. |
XPOHOMETP
Advanced Member
Всего сообщений: 752 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 13 мая 2015 |
Хорошо, тоже попробую изложить мысли другими словами. Rio444 написал: Проблема не код восстановить, а получить те же цифры геометрии что и были до того - совпадать они не обязаны. Имел в виду, что код этот типовой. Проще записать его заново, чем пытаться вычленить и удалить вирус. Делать USB Flash можно в разных форматах и разными средствами от DOS-овских fdisk/format до какой-нибудь HP Flash Disk Format Utility работающей из под Windows. Если кол-во цилиндров/головок/секторов то же, всё сохранится. Будут отличия - можно потерять либо возможность загрузки, либо данные полностью. С жестким диском, например, те же проблемы быть могут, только там вариантов поменьше: Rio444 написал: Те, которые через USB подключаются можно как HDD подготовить. Будет с MBR и т.д. Что касается флешки, не сталкивался. Не знаю, как там организованы данные. Можно подготовить как FDD, только размером на всю флеш. Будет BR как на дискете. Можно вообще образ CD/DVD на USB Flash положить. Там тоже какой-то свой загрузчик запишется. И все варианты могут быть загрузочными, в том числе и для DOS. Есть эти варианты в BIOS материнской (обычно там где выбор загрузочного устройства). |
Forza3dfx
Advanced Member
Всего сообщений: 493 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 1 мар. 2015 |
FDISK /MBR можно использовать, если есть уверенность, что в MBR-секторе сидит какой-нибудь примитив типа Stoned-подобного. Иначе можно остаться без информации на диске. Например, вирус, садящийся в MBR-сектор, может зашифровать таблицу разделов и расшифровывать ее на лету при загрузке, если командой FDISK /MBR заместить вирусный код, то таблица разделов останется зашифрованной, со всеми вытекающими... Или известный всем файлово-загрузочный OneHalf шифрует сектора начиная с конца диска и расшифровывает их на лету при обращении к ним, голова вируса находится в MBR-секторе и если командой FDISK /MBR заместить ее, то при следующей перезагрузке невозможно будет получить доступ к зашифрованным секторам... Или еще вот такой пример - вирус вроде бы не ахти какой, но все сектора, к которым идет обращение через обычные функции чтения/записи (02h и 03h) прерывания 13h, может перезаписывать функцией длинной записи, при обращении к таким секторам он их считывает длинным чтением. Использование команды FDISK /MBR сделает эти сектора недоступными для чтения обычными средствами при следующей перезагрузке... Опять же - самый простейший вирус может вообще не касаться MBR-сектора, а садиться в BOOT-сектор активного загрузочного раздела, он только посмеется при вводе команды FDISK /MBR... )) То же самое будет, если более продвинутый вирус изменит в MBR-секторе не загрузочный код, а всего лишь ссылку на BOOT-сектор активного раздела в таблице разделов на сектор, содержащий его голову, где-нибудь на нулевой дорожке. Команда FDISK /MBR окажется импотентна... Еще более продвинутый загрузочный или файлово-загрузочный вирус может при загрузке определить адрес прерывания DOS Int 21h и фильтровать, например, файловые операции - при запуске любой программы через функцию 4Bh узнать имя файла и если это FDISK, то сделать с ним все, что душа пожелает... подставив при запуске команды FDISK /MBR вместо MBR-сектора любой другой... Вообще стелсироваться вирус может гораздо интереснее - не на уровне Int 13h, а на уровне аппаратного прерывания контроллера жесткого диска... И т.д. и т.п. Компьютерная вирусология достаточно интересна и разнообразна. Так что лечить есть чего...)) Точнее не лечить, т.е. исправлять последствия и снимать симптомы, чем занимается наша официальная медицина, а разбираться в причинах возникновения... |
XPOHOMETP
Advanced Member
Всего сообщений: 752 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 13 мая 2015 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 15 апреля 2018 20:21 Сообщение отредактировано: 15 апреля 2018 20:24
Forza3dfx, познавательно Но исходных данных все равно мало. Если эти вирусы такие страшные, то зачем их исключили из баз современного антивируса (да и какой использовал ТС)? Нужны ли ТС-у эти файлы или это спортивный интерес по выяснению кто победит - вирус или антивирус? Как отформатирована флешка - под FAT16 или FAT32 (есть ли длинные имена)? Так то при проверке желательно систему и антивирус грузить с отдельной (защищенной от записи) дискеты например. Но тут задача осложняется тем, что тогда до USB флешки без доп драйверов не достучаться из DOS... В драйверах таких я не силен, но имхо ряд ограничений там будет. Хотя скопировать посекторный образ с USB на обычный HDD тоже вариант. Опять грузиться с дискеты, а там Norton Disk Editor, Norton Disk Doctor и т.п. в зубы и воевать! Если файлы уже зашифрованы, но расшифровываются на лету, можно попробовать перекинуть их на другой комп с помощью Нортон командера и нуль-модемного соединения. Так шансов перепрыгнуть вирусу на новое место думаю меньше будет. Хотя до конца не уверен, но поле для экспериментов есть |
<<Назад Вперед>> | Страницы: 1 2 * 3 4 | Печать |
Полигон-2 » Технический флейм » Чем удалить вирус NYB? |
1 посетитель просмотрел эту тему за последние 15 минут |
В том числе: 1 гость, 0 скрытых пользователей |
Последние | |
[Москва] LIQUID-Акция. Сливаются разъемы CF МС7004 и 7004А на AT и XT Пайка термотрубок Проммать s478 PEAK 715VL2-HT ( Full-Size SBC) Подскажите по 386 материке по джамперам. |
Самые активные 5 тем | |