Безопасность: Куда, кроме винчестера, может прописаться вирус на компе? #304261

Ситуация такая у моего знакомого: он скачал какую-то ссылку с вирусом, и у него все на компе перестало работать,кроме инета, и пришло сообщение, что можно все исправить, если заплатить 500 рублей. Так вот, похоже, что права были в учетной записи изменены, так как не было кнопки Пуск, и всего остального, что, как известно, убирается в реестре. Но дело в том, что форматирование диска не помогло? Может ли вирус прописаться в биосе? И как с этим бороться?

детский сад... в мастербуте он сидит наверняка, как грузишься в оперативку прыгает, после форматирования опять на винт. Форматить надо загрузившись с сидюка с виндой, заведомо чистого короче... Хотя новая версия биос = EEPROM позволяет сунуть часть кода в прошивку, но пока о таких вирусах чегой-то не слыхал. А насчет 500 рублей бороться надо с помощью ментов ;)

Мать не совсем новая, к сожалению не знаю какая, не была на месте, компа не видела, все с его слов... Так вот он и форматировал винт, загружаясь с сидюка с виндой... как можно обнулить биос? или восстановить?

Нефиг качать фигню какую-то...

Так и я ему про то же самое сказала... чем думал? не понятно... Так что по делу? как решить проблему, куда еще может этот вирус прописаться?

Старый биос можно только убить. Записать туда вирус реально теоретически, но это как с линуксами, надо точно знать производителя и версию прошивки.

биос скорее всего не причем. вам же написали что в загрузочной области, форматом разделов он не убивается.

Как раз по делу, с биосом наверняка все в порядке. Не верь на слово, просто сделай сама ;)

+ Суешь системный сидюк, грузишься с него, убиваешь все разделы к чертовой бабушке, создаешь заново, ставишь венду...

Стерильность точно соблюдали? Если да - зайдите на сайт производителя матери, скачайте прошивку биоса и перепрошейте. Дело 10 минут. Но что-то мне не верится в вирусы прячущиеся в биос, 512кб на биос, да еще чтоб и вирус целиком влез - спецы способные написать ЭТО не станут зарабатывать таким способом.

и еще по поводу биоса. Не дай те бог с такими познаниями с ним извращаться. Прошивается он в два клика, но если прошьешь не то, при включении будет грустная картина: гудят вентиляторы, темный экран, никаких звуков.. Тогда только вынимай мать и тащи прошивать, если с данной матерью оно вообще возможно.

С нетерпением жду следующей ветки: "убила биос, че делать" ))

Не мать, а микросхему биоса...

Да ну? А если припаяна? К тому же тому кто будет прошивать надо знать что за мать, да и вообще потестить. Был печальный опыт, еще на первом пне, я правда микросхему возил, но зная чем рискую догадался перед извратами записать о матери все что нарыл. ))

А если припаяна, то дешевле мать поменять, чем микросхему прошить... А по поводу "записать о матери все что нарыл" - образ биоса уже есть (скачали с инета), название матери тоже известно.

Такой ветки точно не будет :-))) Так как я этот комп точно делать не буду, это чисто теоретически невозможно ))) Получается, что нужно убить все разделы, созданные до этого на винте? форматнуть? разбить заново на разделы? так? Хорошо, скажу ему, пусть помучается.

А тут простого форматирования и переразметки мало, если уж на то пошло. Занули поверхность винта тем же MHDD...

Для начала стоит зайти в панель восстановления и сделать fixboot, fixmbr, и т.п.. Быстрее ;)

если вирус поселился в mbr - то зачем? если в другом месте... то откуда идет обращение? не иначе, чем из mbr. по крайней мере я так понимаю.

была ветка про этот вирус... поиск не работает - фиг чего найдешь... вроде бы скунки давал четкую инструкцию, как бороться...

так а где он, не помнишь? просто интересно стало

Буквально месяц назад как лечил такой же... Если я правильно понял - в момент "окна приветствия" (до рабочего стола) показывается окошко, просит "мани" и код активации, якобы получаемый после оплаты. Что то мог упустить, но лечили так: 1. Сняли винт с зараженной тачки 2. Подцепили к рабочей машине 3. заменили winlogon.exe 4. Вернули винт на место 5. Включили, заработало. з.ы. В то, что вирус будет сидеть в MBR не верю... слишком мало места. То, что винт форматировали - тоже маловероятно. Так как вирь простенький и вполне безобидный при правильном подходе к лечению.

"В то, что вирус будет сидеть в MBR не верю.." - молод ты еще, не застал one half'а :) Тоже кстати форматом не лечился, тупо резидентный, сидит в оперативе, если с зараженной форматишь тут же в загрузочную запись пишется. Места в загрузочной записи под вирус хватит даже на дискете, кстати, ну если его конечно не на 1С писать... ;)

Вопрос не в том, что я не верю, что вирус туда не может попасть, а то что конкретно этот не может там сидеть. Потому, как уже писал выше, что сам лечил такой в "три хода".

а откуда информация что именно такой? чего-то я в сабже сигнатуры его не вижу... ;)

Если игрешишь на Биос, попробуй вынуть батарейку и подержать пару минут. Если думаешь на винте, тогда ответ №8. В досе была такая команда SYS (Новые системные файлы)

Ежик тоже отличился, пукнул так, что свет включился...

Без обид, но вместо sys нынче , а батарейка тут вообще не при чем..

Делаю выводы из сказанного... "Но дело в том, что форматирование диска не помогло?"... Но ни слово про то, что винда была переустановлена... Мало ли какой диск там форматнули... Возможно это выглядело так: диск под НТФС, а загрузились с СД, который подрузил ДОС или что нить, что не понимает НТФС, далее команда format c: /q которая в данном случае форматирует первый дос раздел который встречает в системе, перегружаются и вуаля... Система на месте, вирус на месте. Да и ситуация переданная через третьи руки очень сильно искажается. Вот к примеру, как понять фразу: "и у него все на компе перестало работать,кроме инета,". Очень интересно, как в данном случае проявляется работа "инета", если ВСЕ перестало работать? Просто все может оказаться намного банельней вируса в биосе...

Ну про то что он в биосе никто и не говорит кроме автора сабжа. По симптомам, если есть опыть общения с юзерами, понять все очень просто: "Все перестало работать" = Пропала панель задач, ("так как не было кнопки Пуск, и всего остального"), Интернет = Internet Explorer (ну это как процессор = системный блок и т.п., такие вещи знать надо:) Чего он там форматил, и форматил ли действительно неизвестно. Я всего лишь о том что вирус в мастер-буте это совершенно нормально. Тот же one-half отлично помещался в загрузочном секторе 5-дюймовой дискеты, при этом у него хватало ума на лету шифровать диски, и расшифровывать обратно, таким образом чтобы пользователь ничего не заметил пока не останется незашифрованной одна сторона одного из блинов, при этом еще и сам шифровался и изменял собственный код, чтобы усложнить его обнаружение и удаление + скрывался перехватывая функции ДОС обращения к диску. А ты "В то, что вирус будет сидеть в MBR не верю... слишком мало места"... Да просто прог нынче обмельчал, благодаря тупым пользователям, мощному железу и навороченности операционок. Зачем писать на асме кусок кода в пару килобайт, который будет встраиваться в исполнимые файлы, когда в винде можно многометровый exe'шник так запрятать, что с приборами не найдешь..

Как это сделать? Поймите, не я буду делать, мне ему нужно объяснить будет. Что значит "Занули поверхность винта тем же MHDD"? это нужно винт снимать и цеплять к другому компу и какой-то программкой или из-под доса?

Спасибо, учту, но он уже снес сатрую винду, как поняла, а новую не поставил А поподробнее нельзя? Где эта Панель восстановления? "сделать fixboot, fixmbr"- это что команды или что? Не все такие спецы, так что, пожалуйста, поподробнее.

С сидюка виндового как загрузится, винда предложит - для восстановления нажмите "r", будет что-то типа командной строки дос, там есть эти комманды, чтобы узнать какие вообще есть - вводим "help", по конкретной параметры "/?" (например "fixmbr /?"), все на русском, ничего сложного.

Спасибо большое

а может эту ситуацию обернуть как повод купить новый комп? :))

Я согласен старый забрать. Нахаляву. Самовывоз ))

Я думаю он поселился в мышке..... тем более если она шариковая... если её раскрутите и там не будет....даж не знаю.монитор протрите :)))а если сирйозно...то хард пролечите на другой тачке....

red code никуда не происывался... в памяти все время сидел...

в какой памяти ? Оператива очищается когда вырубаешь тачку

В наших сердцах :))

такое ощущение что пока я спал всё в мире поменялось :)

в биос или оперативку

может в РОМ

+ format c: /mbr

Может в ПЗУ CD-ROM, да и везде куда прошивки можно заливать. Еще вариант распечатает себя на всех принтерах и сверху инструкцию как забить его через клавиатуру в файл

Правильно. Крысы и мыши - переносчики инфекции.

:) Откровенно повеселила тема. Согласен с теми, кто сказал про жесткий. Вряд ли достаточно умный хакер, или кто-там ещё будет говорить "заплатите - исправим". :) Его ведь так запросто можно найти. Значит так.. Любитель. Значит вирус как обычно на жестком (может и как onehalf). В теории его, наверное, можно было бы и в безопасном режиме можно было бы поймать если он в boot'е не сидит. И решения два: проверить на стерильной машине, либо загрузиться со стерильного диска, и отформатировать всё, хотя наджнее наверное снести разделы?

Скрорей всего вирус залез в  блок питания. Некорые особо злобные экземпляры живут в кулерах.

А самые хитрые и опасные вирусы живут в шнурах питания. Для избавления от вирусов все шнуры рекомендуется прокипятить втечении 15 минут в подсоленой воде.

Мне притаранивали комп на ремонт, мальчик не мог печатать на нем контрольные... Резюме: на компе пару десятков игр, 20 гиг порнухи, и нет ни одного документа... даже, попытки, понимаю, такой не было....  А ВЫ ВИРУС! ВИРУС!  :)))))

Линух поставить )))

Вы таки думаете что мальчик не сможет под ним порнуху смотреть ? Я бы посоветовал оплатить пару суток нормальной проститутки, после этого он будет учиться, учиться и еще раз учиться!

Хм... не думаю, что в третьем кольце, тем более из переполненого стека браузера реально записать что-либо в бутсектор харда. ИМХО, работа специалиста, способного на такое, стоит далеко не 500 руб. Хотя может на паблик что-нибудь интерсного выложили, последний раз слышал про возможность таких манипуляций максимум в Windows 95. А прятать из бутсектора панель задач - вовсе нонсенс :D Логики, ИМХО, ноль.

Вирус мог еще прописать я на внешнии носители. Флешку, CD, DVD и т.д. Харды отформатировали, виндовс переставили, а потом флешку вставили с автозапуском и вуаля... все на месте.

у нас тут недавно у железячников случай был: привезли им комп, который не включается, только пищит биос при запуске. они давай думать - что случилось? поменяли память - не помогло. поменяли проц - не помогло. поменяли диск - не помогло. поменяли память, проц, диск - не помогло. сказали - "значит дело в маме". поменяли маму (и корпус), засунули туда старые память, проц и диск - помогло. --- через пару недель привозят снова этот комп. они удивились очень. но все-таки поменяли только корпус - помогло. --- еще через пару недель его опять привозят. они опять поменяли корпус - опять помогло. вот мы тут и шутили - мол, вирус, который живет в корпусах.

не, есть еще умельцы... Тут на выходных винт откачивал, сначала пытался данные выудить, пяток прог юзал, бесполезно, ни одного файла не видят, хотя у клиента он вроде даже грузиться начинал, но вис с ошибкой типа "винту писец". Ну да хрен с ним, я им основную базу успел на другую тачку слить раньше чем слетело. Дай думаю форматну что ли, фигушки, куча сбойных кластеров, под конец "форматирование завершить не удалось", причем такая хня как в виндах, так и с дистриба венды если грузиться и форматить. Качаю родную максторовскую утилу, тестю (с дискеты грузится заметьте, кроме нее ничего). Пишет без обиняков - замените винт. Ну раз такое дело, терять нечего, низкоуровневое форматирование, опять тест, опять "замените". Лан, винда ругается в конце, дай-ко размерчик поменяю, качаю mhdd, лезу в святая святых, уменьшаю размер, затем создание раздела/форматирование в венде - получилось. Возвращаю размер на место, опять раздел/форматирование, опять все хокей. Родной утилой - все прекрасно. Тесты SMART - практически состояние нового. Итого имеем, вирусняк зашифровал все данные, покоцал служебные данные, и нод его в упор не увидел. Не, есть еще грамотные люди, не кончились они на Win95 :)))

95, 95... Сейчас время онлайновых сервисов! ХР без заплаток, клиент постоянно ходит на один и тот же порносайт, к нему постоянно падает один и тот же троян в винлогон. И можно долго искать черную кошку в темной комнате, не догадываясь, что ее там может и не быть.