Чем удалить вирус NYB?

Все, что не подходит под определение "старого софта и железа", обсуждается здесь
Аватара пользователя
CodeMaster
Advanced Member
Сообщения: 7669
Зарегистрирован: 27.08.2010,11:17
Откуда: Воронеж
Контактная информация:

Вклад в сообщество

Сообщение CodeMaster » 14.04.2018,19:47

XPOHOMETP писал(а):Да и не уточнили что за флешка - CF, USB, ...
USB. CF это, в принципе, почти винт.
XPOHOMETP писал(а):Ну и если что, после fdisk можно ведь еще sys сделать
Это всё неспортивно! Вирус должен удалять антивирус. А так можно диск и в пушке Гаусса очистить, для верности.
"Во времена всеобщей лжи говорить правду - это экстремизм" © Джордж Оруэлл, "1984"

Аватара пользователя
Rio444
Почётный пользователь
Сообщения: 26861
Зарегистрирован: 14.09.2014,19:11
Откуда: Ростов-на-Дону

Вклад в сообщество

Сообщение Rio444 » 15.04.2018,08:25

Ни MBR ни Boot Record никакой информации не несут.
Boot Record - небольшой код, который ищет и загружает ось.
MBR - ищет активный диск и загружает Boot Record.
Лечить там нечего.
Если найдётся антивирус, который сможет это "вылечить", уверен, он просто создаст новую MBR и Boot Record.
Причем, первая почти одинакова для всех ос (для старых 2 разновидности), вторая может отличатся в зависимости от ос.
Пишу по памяти, могут быть неточности.
Электронка: Изображение копия Изображение

Аватара пользователя
CodeMaster
Advanced Member
Сообщения: 7669
Зарегистрирован: 27.08.2010,11:17
Откуда: Воронеж
Контактная информация:

Вклад в сообщество

Сообщение CodeMaster » 15.04.2018,08:33

Rio444 писал(а):Ни MBR ни Boot Record никакой информации не несут.
MBR содержит таблицу разделов диска.
Rio444 писал(а):Лечить там нечего.
Если один раздел на весь диск, то да.
Rio444 писал(а):Если найдётся антивирус, который сможет это "вылечить", уверен, он просто создаст новую MBR и Boot Record.
Мне интересно сможет ли он это сделать на загрузочной флешке.
"Во времена всеобщей лжи говорить правду - это экстремизм" © Джордж Оруэлл, "1984"

Аватара пользователя
Rio444
Почётный пользователь
Сообщения: 26861
Зарегистрирован: 14.09.2014,19:11
Откуда: Ростов-на-Дону

Вклад в сообщество

Сообщение Rio444 » 15.04.2018,13:10

XPOHOMETP писал(а):И в той, и в другой исполняемый код однозначно есть, пусть и небольшой. Значит есть откуда вызвать вирус.
Имел в виду, что код этот типовой. Проще записать его заново, чем пытаться вычленить и удалить вирус.

Теоретически вирус может зашифровать таблицу разделов. И антивирус теоретически может её расшифровать. Это единственная польза от антивируса в таком случае.

Что касается флешки, не сталкивался. Не знаю, как там организованы данные.
Электронка: Изображение копия Изображение

Forza3dfx
Advanced Member
Сообщения: 1021
Зарегистрирован: 01.03.2015,08:51

Вклад в сообщество

Сообщение Forza3dfx » 15.04.2018,17:37

FDISK /MBR можно использовать, если есть уверенность, что в MBR-секторе сидит какой-нибудь примитив типа Stoned-подобного.
Иначе можно остаться без информации на диске.
Например, вирус, садящийся в MBR-сектор, может зашифровать таблицу разделов и расшифровывать ее на лету при загрузке,
если командой FDISK /MBR заместить вирусный код, то таблица разделов останется зашифрованной, со всеми вытекающими...
Или известный всем файлово-загрузочный OneHalf шифрует сектора начиная с конца диска и расшифровывает их на лету при обращении к ним, голова вируса находится в MBR-секторе и если командой FDISK /MBR заместить ее, то при следующей
перезагрузке невозможно будет получить доступ к зашифрованным секторам...
Или еще вот такой пример - вирус вроде бы не ахти какой, но все сектора, к которым идет обращение через обычные функции
чтения/записи (02h и 03h) прерывания 13h, может перезаписывать функцией длинной записи, при обращении к таким секторам
он их считывает длинным чтением. Использование команды FDISK /MBR сделает эти сектора недоступными для чтения обычными
средствами при следующей перезагрузке...
Опять же - самый простейший вирус может вообще не касаться MBR-сектора, а садиться в BOOT-сектор активного загрузочного
раздела, он только посмеется при вводе команды FDISK /MBR... ))
То же самое будет, если более продвинутый вирус изменит в MBR-секторе не загрузочный код, а всего лишь ссылку на BOOT-сектор
активного раздела в таблице разделов на сектор, содержащий его голову, где-нибудь на нулевой дорожке. Команда FDISK /MBR
окажется импотентна...
Еще более продвинутый загрузочный или файлово-загрузочный вирус может при загрузке определить адрес прерывания DOS
Int 21h и фильтровать, например, файловые операции - при запуске любой программы через функцию 4Bh узнать имя файла
и если это FDISK, то сделать с ним все, что душа пожелает...
А еще я видел сон если стелсирующийся через Int 13h вирус может мониторить не только функцию чтения, но и записи,
подставив при запуске команды FDISK /MBR вместо MBR-сектора любой другой...
Вообще стелсироваться вирус может гораздо интереснее - не на уровне Int 13h, а на уровне аппаратного прерывания
контроллера жесткого диска...
И т.д. и т.п.
Компьютерная вирусология достаточно интересна и разнообразна.

Так что лечить есть чего...))
Точнее не лечить, т.е. исправлять последствия и снимать симптомы, чем занимается наша официальная медицина,
а разбираться в причинах возникновения...

Аватара пользователя
CodeMaster
Advanced Member
Сообщения: 7669
Зарегистрирован: 27.08.2010,11:17
Откуда: Воронеж
Контактная информация:

Вклад в сообщество

Сообщение CodeMaster » 15.04.2018,20:39

XPOHOMETP писал(а):Если эти вирусы такие страшные, то зачем их исключили из баз современного антивируса
Его не исключили, он видит, но лечить не может.
XPOHOMETP писал(а):(да и какой использовал ТС)?
SEP 12
XPOHOMETP писал(а):Нужны ли ТС-у эти файлы
Считай, что не нужны, но еслиб антивирус мог полечить это было минимум телодвижений.
XPOHOMETP писал(а):это спортивный интерес по выяснению кто победит - вирус или антивирус?
Это основное.
XPOHOMETP писал(а):Как отформатирована флешка - под FAT16 или FAT32 (есть ли длинные имена)?
FAT16
XPOHOMETP писал(а):а там Norton Disk Editor, Norton Disk Doctor и т.п. в зубы и воевать!
"Прибить" флешку проще ;-)
Forza3dfx писал(а):а разбираться в причинах возникновения...
Причина, я думаю, в утилите делающей флешку загрузочной, но в ней антивирус ничего подозрительного не видит.
"Во времена всеобщей лжи говорить правду - это экстремизм" © Джордж Оруэлл, "1984"

Forza3dfx
Advanced Member
Сообщения: 1021
Зарегистрирован: 01.03.2015,08:51

Вклад в сообщество

Сообщение Forza3dfx » 15.04.2018,21:00

CodeMaster писал(а):Причина, я думаю, в утилите делающей флешку загрузочной, но в ней антивирус ничего подозрительного не видит.
Так антивирус что сообщает?
Имя конкретного загрузочного вируса? Или из серии "Бут-сектор возможно инфицирован неизвестным вирусом"? ))
Может он просто таким образом воспринимает нестандартный загрузочный сектор?
Как работает эвристик? - Ищет вирусоподобные команды и конструкции из команд.
Т.е. за вирус может сойти в таком случае какой-нибудь нестандартный (вовсе не вирусный!) MBR- или BOOT-сектор,
но при этом вполне возможно выстроить вирусный код таким образом, что эвристик не пикнет и скажет "Все ОК!" ))

Аватара пользователя
CodeMaster
Advanced Member
Сообщения: 7669
Зарегистрирован: 27.08.2010,11:17
Откуда: Воронеж
Контактная информация:

Вклад в сообщество

Сообщение CodeMaster » 15.04.2018,21:17

Forza3dfx писал(а):Имя конкретного загрузочного вируса?
Ща не помню, буду на неделе на работе - напишу точно.
Forza3dfx писал(а):Т.е. за вирус может сойти в таком случае какой-нибудь нестандартный (вовсе не вирусный!) MBR- или BOOT-сектор
Всё возможно, но если при старте этой флешки подключен другой диск, то материнка запрашивает разрешение на перезапись бутсектора, т.ч. это "жжжж" скорее всего не спроста.
"Во времена всеобщей лжи говорить правду - это экстремизм" © Джордж Оруэлл, "1984"

Forza3dfx
Advanced Member
Сообщения: 1021
Зарегистрирован: 01.03.2015,08:51

Вклад в сообщество

Сообщение Forza3dfx » 15.04.2018,21:48

CodeMaster писал(а): но если при старте этой флешки подключен другой диск
другой диск - это HDD (ну или CF через переходник IDE-CF, что то же самое в данном случае) ?
CodeMaster писал(а): то материнка запрашивает разрешение на перезапись бутсектора,
В БИОСе включен встроенный антивирус (что-то типа "бут-вирус протекшн") ?
Такой "антивирус" очень прост и реагирует на запись в MBR-сектор только при использовании прерывания Int 13h.
В таком случае - да, возможно что в бут-секторе флэшки что-то есть...
Но, конечно, уважающий себя загрузочный вирус будет использовать прямое программирование портов контроллера HDD
при инфицировании жесткого диска и такой "антивирус" ничего не поймет и не пикнет...))

Аватара пользователя
ATauenis
Advanced Member
Сообщения: 5526
Зарегистрирован: 30.04.2015,21:30
Откуда: Москва
Контактная информация:

Вклад в сообщество

Сообщение ATauenis » 15.04.2018,23:21

Столько разговоров. За это время можно было 5 раз забэкапить данные, отформатировать, накинуть загрузчик DOS, и вернуть данные на место. И ещё просканировать данные всеми основными антивирусами с 1990 по 2018 годы, на всякий пожарный.

Аватара пользователя
CodeMaster
Advanced Member
Сообщения: 7669
Зарегистрирован: 27.08.2010,11:17
Откуда: Воронеж
Контактная информация:

Вклад в сообщество

Сообщение CodeMaster » 20.04.2018,08:41

ATauenis писал(а):За это время можно было 5 раз
Да вот времени на хобби как раз катастрофически не хватает.

Напишу пока что выяснил, что бы не забыть:

Флешек 2 на 128 и 256 МБ ;-) Первая большинством S775 материнок видится как жёсткий, вторая как флоппи.
Обе сделаны загрузочными с помощью hpusbfw.exe и уставновлен DOS то ли от Win 95, то ли от Win 98.
Из автозапуска запускается Grub4DOS который запускает разные имиджи и пр.

Вирус NYB. SEP не отказывается его лечить, он типа говорит, что все ОК, вылечил, но при следующем сканировании опять его находит. В SEP есть так же опция "Удалить" при обнаружении, но пока не пробовал.

Загрузил некую XP LiveCD, с неё пока попробовал только KAV (Dr. Web не запустился). KAV вирус в бутсекторе не видит, но нашёл его же в имидже EBD Windows 98 (SEP кстати в нем вируса не находит) и предлагает только удалить этот файл, вариантов лечения нет.

История это имиджа EBD покрыта мраком, но насколько я понимаю при его запуске он и заразил флешку.

Буду продолжать эксперименты, надо попробовать остальные антивирусы и подумать можно ли вылечить имидж EBD не создавая реальную дискету.
XPOHOMETP писал(а):И все варианты могут быть загрузочными, в том числе и для DOS.
Немножко не в тему (спрашивал в другой, но там ответа не было), а может и в тему окажется. Вот эти 2 флешки загружаются только на материнках S775 и ранее, на S1156 и позже они уже не стартуют. При попытке загрузки с флешки происходит зацикливание какого-то обращения к ней (постоянно мигает LED) Сейчас я вот думаю не из-за этого ли вируса, может встроенный вирус (ME) не хочет пускать чужой РНК с флешки ;-)
"Во времена всеобщей лжи говорить правду - это экстремизм" © Джордж Оруэлл, "1984"

Ответить