| Объявление форума |
Если пользуетесь личными сообщениями и получили по электронной почте оповещение о новом письме, не отвечайте, пожалуйста, почтой. Зайдите на форум и ответьте отправителю через ЛС. |
Полигон-2 » Технический флейм » Чем удалить вирус NYB? |
 |
Чем удалить вирус NYB?
| <<Назад Вперед>> | Страницы: 1 2 3 4 | Печать |
| Rio444
Гость
Откуда: Ростов-на-Дону Всего сообщений: 8632 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 14 сен. 2014 |
Ни MBR ни Boot Record никакой информации не несут. Boot Record - небольшой код, который ищет и загружает ось. MBR - ищет активный диск и загружает Boot Record. Лечить там нечего. Если найдётся антивирус, который сможет это "вылечить", уверен, он просто создаст новую MBR и Boot Record. Причем, первая почти одинакова для всех ос (для старых 2 разновидности), вторая может отличатся в зависимости от ос. Пишу по памяти, могут быть неточности. |
| CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
Rio444 написал: Ни MBR ни Boot Record никакой информации не несут.MBR содержит таблицу разделов диска. Rio444 написал: Лечить там нечего.Если один раздел на весь диск, то да. Rio444 написал: Если найдётся антивирус, который сможет это "вылечить", уверен, он просто создаст новую MBR и Boot Record.Мне интересно сможет ли он это сделать на загрузочной флешке. |
| XPOHOMETP
Advanced Member
Всего сообщений: 752 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 13 мая 2015 |
Rio444 написал: Лечить там нечего.И в той, и в другой исполняемый код однозначно есть, пусть и небольшой. Значит есть откуда вызвать вирус. Тем более, MBR 1 сектор занимает обычно, до конца дорожки пусто - вирус достаточно толстым может быть. Rio444 написал: Если найдётся антивирус, который сможет это "вылечить", уверен, он просто создаст новую MBR и Boot Record.Если он сможет корректно извлечь информацию по C/H/S из текущей MBR - проблем не будет. Просто сейчас вагон утилит есть для создания загрузочной флешки, как делали эту - неизвестно. А один и то же объем диска можно получить при совершенно разном соотношении C/H/S, главное чтобы их произведение совпадало. При этом положение Boot Record на диске тоже может измениться  CodeMaster написал: Мне интересно сможет ли он это сделать на загрузочной флешке.С учетом изложенного выше, определенные сомнения, что флешка останется загрузочной. имеют право возникнуть... Но тут и с fdisk-ом та же засада. Так что если файлы ценные - только резервная копия. |
| Rio444
Гость
Откуда: Ростов-на-Дону Всего сообщений: 8632 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 14 сен. 2014 |
XPOHOMETP написал: И в той, и в другой исполняемый код однозначно есть, пусть и небольшой. Значит есть откуда вызвать вирус.Имел в виду, что код этот типовой. Проще записать его заново, чем пытаться вычленить и удалить вирус. Теоретически вирус может зашифровать таблицу разделов. И антивирус теоретически может её расшифровать. Это единственная польза от антивируса в таком случае. Что касается флешки, не сталкивался. Не знаю, как там организованы данные. |
| XPOHOMETP
Advanced Member
Всего сообщений: 752 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 13 мая 2015 |
Хорошо, тоже попробую изложить мысли другими словами. Rio444 написал: Имел в виду, что код этот типовой. Проще записать его заново, чем пытаться вычленить и удалить вирус.Проблема не код восстановить, а получить те же цифры геометрии что и были до того - совпадать они не обязаны. Делать USB Flash можно в разных форматах и разными средствами от DOS-овских fdisk/format до какой-нибудь HP Flash Disk Format Utility работающей из под Windows. Если кол-во цилиндров/головок/секторов то же, всё сохранится. Будут отличия - можно потерять либо возможность загрузки, либо данные полностью. С жестким диском, например, те же проблемы быть могут, только там вариантов поменьше: Rio444 написал: Что касается флешки, не сталкивался. Не знаю, как там организованы данные.Те, которые через USB подключаются можно как HDD подготовить. Будет с MBR и т.д. Можно подготовить как FDD, только размером на всю флеш. Будет BR как на дискете. Можно вообще образ CD/DVD на USB Flash положить. Там тоже какой-то свой загрузчик запишется. И все варианты могут быть загрузочными, в том числе и для DOS. Есть эти варианты в BIOS материнской (обычно там где выбор загрузочного устройства). |
| Forza3dfx
Advanced Member
Всего сообщений: 493 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 1 мар. 2015 |
FDISK /MBR можно использовать, если есть уверенность, что в MBR-секторе сидит какой-нибудь примитив типа Stoned-подобного. Иначе можно остаться без информации на диске. Например, вирус, садящийся в MBR-сектор, может зашифровать таблицу разделов и расшифровывать ее на лету при загрузке, если командой FDISK /MBR заместить вирусный код, то таблица разделов останется зашифрованной, со всеми вытекающими... Или известный всем файлово-загрузочный OneHalf шифрует сектора начиная с конца диска и расшифровывает их на лету при обращении к ним, голова вируса находится в MBR-секторе и если командой FDISK /MBR заместить ее, то при следующей перезагрузке невозможно будет получить доступ к зашифрованным секторам... Или еще вот такой пример - вирус вроде бы не ахти какой, но все сектора, к которым идет обращение через обычные функции чтения/записи (02h и 03h) прерывания 13h, может перезаписывать функцией длинной записи, при обращении к таким секторам он их считывает длинным чтением. Использование команды FDISK /MBR сделает эти сектора недоступными для чтения обычными средствами при следующей перезагрузке... Опять же - самый простейший вирус может вообще не касаться MBR-сектора, а садиться в BOOT-сектор активного загрузочного раздела, он только посмеется при вводе команды FDISK /MBR... )) То же самое будет, если более продвинутый вирус изменит в MBR-секторе не загрузочный код, а всего лишь ссылку на BOOT-сектор активного раздела в таблице разделов на сектор, содержащий его голову, где-нибудь на нулевой дорожке. Команда FDISK /MBR окажется импотентна... Еще более продвинутый загрузочный или файлово-загрузочный вирус может при загрузке определить адрес прерывания DOS Int 21h и фильтровать, например, файловые операции - при запуске любой программы через функцию 4Bh узнать имя файла и если это FDISK, то сделать с ним все, что душа пожелает... подставив при запуске команды FDISK /MBR вместо MBR-сектора любой другой... Вообще стелсироваться вирус может гораздо интереснее - не на уровне Int 13h, а на уровне аппаратного прерывания контроллера жесткого диска... И т.д. и т.п. Компьютерная вирусология достаточно интересна и разнообразна. Так что лечить есть чего...)) Точнее не лечить, т.е. исправлять последствия и снимать симптомы, чем занимается наша официальная медицина, а разбираться в причинах возникновения... |
| XPOHOMETP
Advanced Member
Всего сообщений: 752 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 13 мая 2015 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 15 апреля 2018 20:21 Сообщение отредактировано: 15 апреля 2018 20:24
Forza3dfx, познавательно  Но исходных данных все равно мало. Если эти вирусы такие страшные, то зачем их исключили из баз современного антивируса (да и какой использовал ТС)? Нужны ли ТС-у эти файлы или это спортивный интерес по выяснению кто победит - вирус или антивирус? Как отформатирована флешка - под FAT16 или FAT32 (есть ли длинные имена)? Так то при проверке желательно систему и антивирус грузить с отдельной (защищенной от записи) дискеты например. Но тут задача осложняется тем, что тогда до USB флешки без доп драйверов не достучаться из DOS... В драйверах таких я не силен, но имхо ряд ограничений там будет. Хотя скопировать посекторный образ с USB на обычный HDD тоже вариант. Опять грузиться с дискеты, а там Norton Disk Editor, Norton Disk Doctor и т.п. в зубы и воевать! Если файлы уже зашифрованы, но расшифровываются на лету, можно попробовать перекинуть их на другой комп с помощью Нортон командера и нуль-модемного соединения. Так шансов перепрыгнуть вирусу на новое место думаю меньше будет. Хотя до конца не уверен, но поле для экспериментов есть  |
| CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
XPOHOMETP написал: Если эти вирусы такие страшные, то зачем их исключили из баз современного антивирусаЕго не исключили, он видит, но лечить не может. XPOHOMETP написал: (да и какой использовал ТС)?SEP 12 XPOHOMETP написал: Нужны ли ТС-у эти файлыСчитай, что не нужны, но еслиб антивирус мог полечить это было минимум телодвижений. XPOHOMETP написал: это спортивный интерес по выяснению кто победит - вирус или антивирус?Это основное. XPOHOMETP написал: Как отформатирована флешка - под FAT16 или FAT32 (есть ли длинные имена)?FAT16 XPOHOMETP написал: а там Norton Disk Editor, Norton Disk Doctor и т.п. в зубы и воевать!"Прибить" флешку проще ;-) Forza3dfx написал: а разбираться в причинах возникновения...Причина, я думаю, в утилите делающей флешку загрузочной, но в ней антивирус ничего подозрительного не видит. |
| Forza3dfx
Advanced Member
Всего сообщений: 493 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 1 мар. 2015 |
CodeMaster написал: Причина, я думаю, в утилите делающей флешку загрузочной, но в ней антивирус ничего подозрительного не видит.Так антивирус что сообщает? Имя конкретного загрузочного вируса? Или из серии "Бут-сектор возможно инфицирован неизвестным вирусом"? )) Может он просто таким образом воспринимает нестандартный загрузочный сектор? Как работает эвристик? - Ищет вирусоподобные команды и конструкции из команд. Т.е. за вирус может сойти в таком случае какой-нибудь нестандартный (вовсе не вирусный!) MBR- или BOOT-сектор, но при этом вполне возможно выстроить вирусный код таким образом, что эвристик не пикнет и скажет "Все ОК!" )) |
| CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
Forza3dfx написал: Имя конкретного загрузочного вируса?Ща не помню, буду на неделе на работе - напишу точно. Forza3dfx написал: Т.е. за вирус может сойти в таком случае какой-нибудь нестандартный (вовсе не вирусный!) MBR- или BOOT-секторВсё возможно, но если при старте этой флешки подключен другой диск, то материнка запрашивает разрешение на перезапись бутсектора, т.ч. это "жжжж" скорее всего не спроста. |
| <<Назад Вперед>> | Страницы: 1 2 3 4 | Печать |
Полигон-2 » Технический флейм » Чем удалить вирус NYB? |
|
| 1 посетитель просмотрел эту тему за последние 15 минут |
| В том числе: 1 гость, 0 скрытых пользователей |
| Последние |
|
| [Москва] LIQUID-Акция. Сливаются разъемы CF МС7004 и 7004А на AT и XT Пайка термотрубок Проммать s478 PEAK 715VL2-HT ( Full-Size SBC) Подскажите по 386 материке по джамперам. | |
| Самые активные 5 тем |
|