понедельник, 12 ноября 2007
[ok]
вирус Dodgy
у меня на компьютере в активном загрузочном секторе диска 1 поселился contains вирус Dodgy
NOD32 его похоже не лечит
и в поисковиках я не нашла ничего кроме того что это очень опасный резидентный загрузочный стелс-вирусОчень опасный резидентный загрузочный стелс-вирус. Занимает два сектора (1024 байт). Поражает boot-сектора дискет и MBR винчестера. При заражении MBR записывает первоначальный MBR-сектор и свой второй сектор на нулевой трек/нулевую сторону винчестера, начиная с сектора 14 (обычно эти сектора не заняты программами и данными). На дискетах вирус сохраняет boot-сектор и свой код в последних секторах корневого каталога.
При загрузке с зараженного диска вирус уменьшает размер свободной памяти (слово по адресу 0:0413h), копирует туда свой код, перехватывает INT 8, 13h, 40h и вызывает системный загрузчик (т.е. инициирует повторную загрузку с диска). Поскольку вирус реализует стелс-алгоритм, системный загрузчик при повторном запуске считывает с диска и выполняет не код вируса, а первоначальные boot/MBR-сектора.
При инсталляции вирус также считывает в память MBR винчестера - уже установленная в память резидентная копия вируса перехватывает этот вызов и заражает MBR.
При заражени вирус использует несколько приемов, направленных против антивирусной защиты, встроенной в BIOS - вирус снимает флаг проверки в CMOS и записывает в буфер клавиатуры символ 'Y'.
Перехват INT 13h, 40h используется вирусом для заражения дисков, к которым идет обращение. При этом вирус также вызывает стелс-процедуру, если диски уже заражены. При помощи перехвата INT 8 вирус постоянно сканирует область памяти, куда DOS загружает свой код, и ищет там строку "PEC=" (остаток от строки "COMSPEC=", обычно присутствующей в области Environment DOS-программ). Если эта строка найдена, вирус перехватывает DOS-прерывания INT 21h, 2Fh и увеличивает (т.е. восстанавливает в прежнее значение) размер системной памяти (0:0413h). В результате TSR-копия вируса оказывается за пределами DOS. Затем вирус "отключает" свой перехватчик INT 8.
INT 21h: вирус проверяет имена программ и при запуске файла RAV* вызывает свою подпрограмму уничтожения данных на диске (см. ниже). Эта подпрограмма не вызывается, если компьютер работает под Windows. В этом случае вирус вызывает ее при окончании работы Windows (вирус перехватывает этот момент при помощи INT 2Fh).
INT 2Fh: вирус перехватывает запуск и окончание работы Windows. При запуске Windows вирус стирает в рабочем каталоге Windows файл SYSTEM\IOSUBSYS\HSFLOP.PDR. При окончании работы Windows вирус вызывает процедуру уничтожения данных на диске, если в процессе работы Windows был запуск программы RAV*.
Через три месяца после заражения (или при запуске RAV*) вирус проявляет себя следующим образом: переводит компьютер в графический видео-режим, выводит текст "RAVage is wiping data! RP&muRphy", отключает клавиатуру и стирает сектора на винчестере.я не нашла чем это лечится
и я не поняла что такое активный загрузочный сектор диска 1
так же нод пишет что в "активном загрузочном секторе диска 2 все ОК"
это что за диски такие если физически у меня 1 жесткий диск и разбит он на 4 области
кстати после глубокой проверки нод сказал что вирусов не найдено а в списке проверяемых файлов написано что найдено.....
операционная система winXP SP2
NOD32 обновляется регулярно
@темы:
B Grade,
Вирусы spyware и adware
-
-
12.11.2007 в 12:44тут речь про Windows 9x/Me
-
-
12.11.2007 в 12:55NOD32 его похоже не лечит
Разверните тему, пожалуйста.
после глубокой проверки нод сказал что вирусов не найдено а в списке проверяемых файлов написано что найдено
Это нормально если мы действительно имеем дело с загрузочным вирусом, т.к. его тело находится не в файле.
-
-
12.11.2007 в 16:36нод пишет:
"Активный загрузочный сектор диска 1 contains вирус Dodgy" больше ничего
NOD32 его похоже не лечит:
повторные проверки выявляют этот вирус там же
когда нод находил вирусы ранее то уведомлял "вирус ххх в файле ууу был удален/вылечен" и повторные проверки его уже не обнаруживали
тут еще выяснилось что на рабочей машине у меня такая же пакость находится только у диска 2....
-
-
12.11.2007 в 16:45-
-
12.11.2007 в 16:50на рабочей временами бывает, но с проверенных вроде как машин нашей бухгалтерии
-
-
12.11.2007 в 16:53я задумалась что общего у этих машин на момент проверки и поняла что подключенная флешка, отключила
нод не показал вируса при проверке!!!
значит вирус на флешке
как можно его оттуда выбить? отформатировать?
-
-
12.11.2007 в 16:53Попробуй сделать вот что (на обоих компьютерах):
1. Загрузить комп с CD (дистрибутив Windows), запустить recovery console (нажав на "R"), ввести пароль администратора, выполнить команды FIXBOOT и FIXMBR, перезагрузить компьютер.
2. В BIOS Setup выставить очерёдность загрузки - в первую очередь грузиться с жёсткого диска. Впредь не забывать дискеты в дисководе.
3. Из загруженной Windows отформатировать все имеющиеся дискеты.
4. Повторить сканирование с помощью NOD32.
-
-
12.11.2007 в 16:56Маловероятно. Во-первых вы вряд ли загружались с флэшки. Во-вторых, Dodgy (он же Ravage) - старый вирус, известные модификации которого флэшки не заражают.
-
-
12.11.2007 в 16:58Маловероятно.
может и маловероятно, но
флешка отключена вирус не найден
флешка подключена - найден на том же месте
-
-
12.11.2007 в 17:05тут на одном форуме говорят, что удалось удалить Dodgy с помощью Trojan Remover'а - www.simplysup.com/tremover/download.html
лично мне не очень верится, но почему бы не попробовать
ну и формат попробуй, конечно же. что ты теряешь? 10 секунд времени?
-
-
12.11.2007 в 17:09а этот загрузочный сектор тоже форматируется? а то мало ли, вдруг он защищен от этого
щас попробую скачать этот Remover
-
-
12.11.2007 в 17:14-
-
12.11.2007 в 17:44я ж тогда о компах знала что они работают, жужжат и монитор светится
а в одной умной книжке было сказано что винчестеры надо отформатировать на низком уровне
кстати тот винт который у меня сейчас тоже прошел эту процедуру, но работает до сих и без нареканий...
с тех пор сигейтам я доверяю а WD нет
форматирование не помогло
ремувер не помог
-
-
12.11.2007 в 19:22-
-
12.11.2007 в 20:14может и маловероятно, но
флешка отключена вирус не найден
флешка подключена - найден на том же месте
я давно написала но что нет
-
-
12.11.2007 в 21:43-
-
12.11.2007 в 21:51-
-
13.11.2007 в 09:46да, похоже именно так
форматирование её от вируса не избавляет?
нет
похоже от вирусе в mdr может избавить только низкоуровневое форматирование, а как его запустить для флешки и не повредит ли ей это я не поняла
-
-
13.11.2007 в 09:58Вообще-то форматироване должно очищать (точнее - перезаписывать новой информацией) как boot record (на флэшке) так и master boot record (тот самый mbr, на жёстком диске). Попробуй запустить форматирование из командной строки - format m: /FS:FAT32 /X (m: здесь - буква диска для примера, вместо неё нужно подставить ту, которая у тебя).
-
-
13.11.2007 в 10:19-
-
13.11.2007 в 12:47-
-
13.11.2007 в 13:15-
-
16.11.2007 в 16:4813-летний вирус заразил 100 тыс. ноутбуков с Vista
-
-
02.12.2007 в 11:10techsupport эта програмка флешку не захотела увидеть, только винчестер
проблему мне решили путем переразбивания флешки на разделы как потенциальное место для постановки винды, при этом мбр перезаписалас и этот гад раздавился
Enkryptor старичок выполз, стариной тряхнул
-
-
02.12.2007 в 17:07-
-
02.12.2007 в 23:14-
-
07.12.2007 в 00:38а почему собственно нет?
neo_rage ну я же не собиралась туда на самом деле винду ставить