[ok]

вирус Dodgy

у меня на компьютере в активном загрузочном секторе диска 1 поселился contains вирус Dodgy
NOD32 его похоже не лечит
и в поисковиках я не нашла ничего кроме того что это очень опасный резидентный загрузочный стелс-вирусОчень опасный резидентный загрузочный стелс-вирус. Занимает два сектора (1024 байт). Поражает boot-сектора дискет и MBR винчестера. При заражении MBR записывает первоначальный MBR-сектор и свой второй сектор на нулевой трек/нулевую сторону винчестера, начиная с сектора 14 (обычно эти сектора не заняты программами и данными). На дискетах вирус сохраняет boot-сектор и свой код в последних секторах корневого каталога.

При загрузке с зараженного диска вирус уменьшает размер свободной памяти (слово по адресу 0:0413h), копирует туда свой код, перехватывает INT 8, 13h, 40h и вызывает системный загрузчик (т.е. инициирует повторную загрузку с диска). Поскольку вирус реализует стелс-алгоритм, системный загрузчик при повторном запуске считывает с диска и выполняет не код вируса, а первоначальные boot/MBR-сектора.

При инсталляции вирус также считывает в память MBR винчестера - уже установленная в память резидентная копия вируса перехватывает этот вызов и заражает MBR.

При заражени вирус использует несколько приемов, направленных против антивирусной защиты, встроенной в BIOS - вирус снимает флаг проверки в CMOS и записывает в буфер клавиатуры символ 'Y'.

Перехват INT 13h, 40h используется вирусом для заражения дисков, к которым идет обращение. При этом вирус также вызывает стелс-процедуру, если диски уже заражены. При помощи перехвата INT 8 вирус постоянно сканирует область памяти, куда DOS загружает свой код, и ищет там строку "PEC=" (остаток от строки "COMSPEC=", обычно присутствующей в области Environment DOS-программ). Если эта строка найдена, вирус перехватывает DOS-прерывания INT 21h, 2Fh и увеличивает (т.е. восстанавливает в прежнее значение) размер системной памяти (0:0413h). В результате TSR-копия вируса оказывается за пределами DOS. Затем вирус "отключает" свой перехватчик INT 8.

INT 21h: вирус проверяет имена программ и при запуске файла RAV* вызывает свою подпрограмму уничтожения данных на диске (см. ниже). Эта подпрограмма не вызывается, если компьютер работает под Windows. В этом случае вирус вызывает ее при окончании работы Windows (вирус перехватывает этот момент при помощи INT 2Fh).

INT 2Fh: вирус перехватывает запуск и окончание работы Windows. При запуске Windows вирус стирает в рабочем каталоге Windows файл SYSTEM\IOSUBSYS\HSFLOP.PDR. При окончании работы Windows вирус вызывает процедуру уничтожения данных на диске, если в процессе работы Windows был запуск программы RAV*.

Через три месяца после заражения (или при запуске RAV*) вирус проявляет себя следующим образом: переводит компьютер в графический видео-режим, выводит текст "RAVage is wiping data! RP&muRphy", отключает клавиатуру и стирает сектора на винчестере.

я не нашла чем это лечится

и я не поняла что такое активный загрузочный сектор диска 1
так же нод пишет что в "активном загрузочном секторе диска 2 все ОК"
это что за диски такие если физически у меня 1 жесткий диск и разбит он на 4 области

кстати после глубокой проверки нод сказал что вирусов не найдено а в списке проверяемых файлов написано что найдено.....

операционная система winXP SP2
NOD32 обновляется регулярно