Elektroda.pl
Elektroda.pl
X
Elektroda.pl
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Zarchiwizowany virek. Jak można się tego pozbyć?

27 Mar 2006 23:30 2799 24
  • Poziom 10  
    na płycie dvd - kopii ważnych danych i podręcznych programów schował się mały upierdliwiec.Wywalił mi już kila!!! kompów.teraz siadł na biosie i powycinał dyski -nawet fdisk nie widzi twardzieli,nawet te które formatowałem na innym pccie i to nie NTFS.Poradzcie jak dorwać toto , bo z dyskami i biosem to jakoś sobie poradzę i uruchomię.Tylko ile można!?!?Toka zabawa trwa już rok.Zaden anty wir nic nie widzi,a przypuszczam że to ręczna robota -jakiś ukryty programik.Oddam toto po wykryciu w dobre ręce-darmo....
  • Poziom 43  
    ZUZANKA napisał:
    ...Wywalił mi już kilka!!! komputerów....

    Co? Wybuchły?
    Nie oglądaj amerykańskich filmów :lol:
    Mitów się naczytałeś.
    Po pierwsze przeskanuj tę płytę PORZĄDNYM I AKTUALNYM antywirusem na innym komputerze.
    Po drugie z tym "siąściem na biosie i powycinaniem dysków" to TOTALNA BZDURA.
    W BIOSIE nic się nie lokuje a CMOS wyczyścisz zworką do resetu.

    Sprawdź lepiej zasilacz (MIERNIKIEM), pamięć Memtestem i te dyski diagnostyką producenta.
  • Poziom 24  
    tez miałem cos podobnego dopiero dało sie TO namierzyc programem Gmer, polskiej produkcji.

    u mnie siedział w tablicy SSDT i sobie skakał.
    do tej tablicy nie siegaja anty-wiry i nic nie widać.
    jak złapiesz TO, to podeslij na PM, dzięki i powodzenia w walce.
  • Poziom 43  
    Wytrzeźwiałeś już czy jeszcze Cię trzyma?
    GMER to program, który wykrywa procesy typu rootkit
    Do tego musisz najpierw Windows odpalić.
    http://www.gmer.net/index.php
    http://www.searchengines.pl/phpbb203/lofiversion/index.php/t47101.html
    Poczytaj zanim napiszesz następne brednie.
  • Poziom 24  
    dream pack tez jest wykrywany jako wirusik przez małego lotu programy.
    registry defender sam robi to samo, czyli "wygryza" gmera.

    bubu321
  • Poziom 43  
    A porządny Norton Antywirus nie ma nic przeciwko Gmerowi :)
    :arrow: gmer
    Możesz śmiało dodać NAV do listy programów antywirusowych uruchamianych za pośrednictwem Twojego programu (daj mu w następnej wersji jakąś ładną ikonkę).
    :arrow: bubu321
    Gmer jest programem wielofunkcyjnym ale przecież nie ma siły żeby zobaczył jakiegoś mitycznego potwora który "...siadł na biosie i powycinał dyski..." i którego w dodatku nie widzą DOBRE programy antywirusowe.
    Na "straszliwego" Chernobyla szczepionka była w Symantecu następnego dnia :)
  • Poziom 10  
    Robert B napisał:
    A porządny Norton Antywirus nie ma nic przeciwko Gmerowi :)
    :arrow: gmer
    Możesz śmiało dodać NAV do listy programów antywirusowych uruchamianych za pośrednictwem Twojego programu (daj mu w następnej wersji jakąś ładną ikonkę).

    Picasso kiedys pisala ze miala jakis problem z NAV + GMER "Zabij wszystko" . Rozumiem ze Tobie to dziala :)
  • Poziom 43  
  • Poziom 10  
    Robert B napisał:
    Jak widać na załączonym obrazku :)
    Z najwyższymi poziomami ochrony.

    Ale czy mozesz zrobic "Zabij wszystko" ?
  • Poziom 43  
    Wszystkie procesy? Na logikę - gdybym pisał dobry program antywirusowy to z pewnością nie pozwoliłbym na zabicie go przez inny program, bo to kłóciłoby się z przeznaczeniem antywirusa gdyby dał się byle czym (nie ubliżając Gmerowi) wyłączyć. Ale zaraz sprawdzę.

    Dopisane po resecie:
    Tak jak myślałem. Ani Norton Antywirus ani Norton Internet Security nie dały sie zabić i zostały na liście Gmera co świadzczy o ich dobrej jakości. Resztę Gmer zabił, co było również do przewidzenia.

    Tak na marginesie to chyba te komputery wybuchły razem z ZUZANKĄ bo coś się nie odzywa :lol:
  • Specjalista - HDD i odzyskiwanie danych
    Trochę odeszliście od tematu , ale do rzeczy . Z natury rzeczy bios jeśli nawet jest zawirusowany , to mozna go zdezaktywować dla systemu wyłączając np. wczytywanie go do pamięci operacyjnej komputera , czyli wyłączamy ładowanie biosu do podręcznego archiwum systemu . Również rozpoznawanie Plug&Play pozostawiamy systemowi . System działa wówczas samodzielnie bez potrzeby korzystania z ustawień biosu . Przynajmniej nowe systemy , takie jak XP radzą sobie bardzo dobrze bez pomocy i ustawień biosu . Zresztą bios jest bardzo ograniczony w stosunku do systemu . Można też spróbować nadgrania nowszą wersją biosu . Wcześniej tylko musimy w biosie wyłączyć ładowanie biosu do pamięci operacyjnej i pamięci procesora - wyłączamy Cache pamięci . Operacja taka trwa trochę dłużej , ale jest skuteczna .
    A tak na marginesie . Jeżeli wirus jest w biosie , to po załadowaniu komputera powinien się znaleźć w pamięci operacyjnej . Tam , czyli do pamięci operacyjnej , dostęp ma każdy program antywirusowy i wiele innych , aby go wyeliminować . A napewno wykryć .
    Pozdrawiam .
  • Poziom 10  
    Robert B napisał:
    Wszystkie procesy? Na logikę - gdybym pisał dobry Tak jak myślałem. Ani Norton Antywirus ani Norton Internet Security nie dały sie zabić i zostały na liście Gmera co świadzczy o ich dobrej jakości. Resztę Gmer zabił, co było również do przewidzenia.


    Dzieki. Wlasnie o to mi chodzilo.
    Widze ze musze jeszcze troche popracowac nad GMERem ;)

    @Robert B nigdy nie ufaj zadnemu programowi AV na 100%.

    PS AV:
    http://www.gmer.net/sysbus32.avi
  • Spec od komputerów
    :arrow: BIGOLSEN
    hm nie ma takigo wirusa ktory moglby zainfekowac bios, a komputer dalej by dzialal po takiej infekcji. Piszesz jakies bzdury...
  • Specjalista - HDD i odzyskiwanie danych
    Kolobos napisał:
    :arrow: BIGOLSEN
    hm nie ma takigo wirusa ktory moglby zainfekowac bios, a komputer dalej by dzialal po takiej infekcji. Piszesz jakies bzdury...


    Uznam to za prowokację i obrazę , ale sprowokować tak do końca się nie dam . Masz prawo mieć inne zdanie , co nie znaczy , że masz absolutną rację . Moje doświadczenie nie do końca pokrywa się z twoim . Więc i zdania będziemy mieć różne .
    A skoro juz masz w podpisie Spec od komputerów , to przypuszczam , że masz gotowe rozwiązanie dla kolegi ZUZANKA .

    P.S. Czytaj "dokładnie" cały temat , zanim coś "klepniesz" .
    Pozdrawiam .
  • Spec od komputerów
    :arrow: BIGOLSEN
    Podaj przyklad wirusa, ktory infekuje bios, a pozniej z zainfekowanego biosu infekuje system...
    Skoro jak piszesz, masz jakies doswiadczenia w tym temacie to zapewne bez problemu podasz nie jeden przyklad takiego wirusa ;-)

    Przeczytalem dokladnie caly temat i dalej uwazam, ze piszesz bzdury...

    Zuzanka w swoim poscie nie napisal/a żadnych konkretnych informacji, tylko ogolna papke pomieszana z jej/jego przypuszczeniami (zapewne blednymi) z ktorej nic nie da sie wywnioskowac, a wiec i pomoc!
  • Pomocny post
    Specjalista - HDD i odzyskiwanie danych
    Skoro nadal twierdzisz , że nie spotkałeś się z tym i potrzebujesz nakierowania/przykładu , to proszę bardzo . Wybrany cytat :
    "WinCih - CIH (tzw. Czarnobyl) Jego autorem jest Chen Ing-Hou z uniwersytetu Tajpej na Tajwanie. Znanych jest kilka odmian wirusa CIH, które różnią się małymi fragmentami kodu i datą rozpoczęcia destrukcji (26 kwietnia każdego roku lub 26 dzień każdego miesiąca).Wirus CIH został nazwany Czarnobyl ze względu na przypadkową zbieżność daty aktywacji z datą katastrofy w Czarnobylu.
    Długość kodu wirusa wynosi ok. 1 kilobajta. Jest to wirus specyficzny dla plików wykonywalnych PE (Portable Executable) Windows 95/98. Podczas infekcji wirus szuka "dziur" w kodzie pliku PE, którego nieużywane fragmenty znajdują się pomiędzy tzw. sekcjami, opisanymi w nagłówku pliku. Po odnalezieniu takich dziur zapisuje tam swój kod, następnie zwiększa rozmiar sekcji o niezbędną wartość, tak aby rozmiar całego pliku nie wzrósł po infekcji. Jeśli dziura jest wystarczającej wielkości, wirus zapisuje swój kod do jednej sekcji. Jeśli nie, wirus dzieli swój kod na kilka części i zapisuje je na końcu kilku sekcji. Kod wirusa może być zatem podzielony wewnątrz zarażonego pliku na kilka części, co oczywiście utrudnia jego wykrycie przez program antywirusowy.
    Wirus szuka także dziur w nagłówku plików PE. Jeśli znajdzie nieużywany blok nie mniejszy niż 284 bajty, zapisuje tam swoją procedurę startową. Następnie zmienia adres wejścia do programu w nagłówku PE na wartość wskazującą wejście do własnej procedury, umieszczonej w nagłówku. Adres wejścia do programu wskazuje zatem nie na odpowiednią sekcję, lecz na nagłówek - poza ładowany obszar pliku. Mimo tego, zainfekowane programy mogą działać bez problemów - Windows ignoruje niebezpieczeństwo, ładuje sekcje programu, następnie przekazuje sterowanie do procedury startowej wirusa w nagłówku PE...
    CIH instaluje się w pamięci, przejmuje odwołania dostępu do pliku i infekuje otwierane pliki EXE. W niektórych przypadkach system zawiesza się podczas uruchamiania zainfekowanej aplikacji. Następnie wirus sprawdza datę systemową i uruchamia procedurę destrukcji, podczas której używa bezpośredniego dostępu do portów Flash BIOS i bezpośredniego dostępu do dysku. Zależnie od daty systemowej, CIH uruchamia swoją procedurę destrukcyjną, która próbuje zamazać Flash BIOS. Jest to oczywiście możliwe tylko wtedy, gdy płyta główna i chipset pozwalają na zapis do pamięci Flash.
    Zwykle zapis pamięci Flash może być zablokowany przez przełącznik DIP, o ile płyta główna na to pozwala. Następnie procedura destrukcyjna wirusa CIH zamazuje dane na wszystkich twardych dyskach. Zamazując sektory rozruchowe dysków, wirus korzysta z bezpośrednich odwołań zapisu na dysk i omija zabezpieczenia antywirusowe zaimplementowane w BIOS-ie. "
    Koniec cytatu

    Uszkodzenia po tym wirusie mogą miec różne objawy . Naprawiałem nawet duże uszkodzenia tego wirusa , z całkowitym wymazaniem biosu włącznie .
    To , że ty czegoś nie robileś dotąd , to nie znaczy , że tego nie ma , lub tez nie jest możliwe . W świecie komputerów wszystko jest możliwe mądralo . No cóż kolejny Alfa i Omega , a może i Ypsilon ???
    Pozdrawiam .
  • Spec od komputerów
    Tak jak myslalem, nie wiesz o czym piszesz, cos tam slyszales, cos widziales ale nie do konca rozumiesz i stad Twoje problemy.
    Zamiast cytowac tekst lepiej go przeczytaj ze zrozumieniem...

    Tutaj zacytuje Twoja spora dawke bzdur:
    Cytat:
    Z natury rzeczy bios jeśli nawet jest zawirusowany


    Nie ma takiego wirusa (jeszcze), ktory infekuje bios, a pozniej pamiec i w koncu pliki itd, a CIH infekuje pliki NA DYSKU oraz moze uszkodzic bios/dysk. Komputer z uszkodzonym biosem nie wystartuje, a wiec Twoja teoria o zainfekowaniu biosu nie ma racji bytu.

    Cytat:
    to mozna go zdezaktywować dla systemu wyłączając np. wczytywanie go do pamięci operacyjnej komputera , czyli wyłączamy ładowanie biosu do podręcznego archiwum systemu . Również rozpoznawanie Plug&Play pozostawiamy systemowi.


    Tego juz nawet nie chce mi sie komentowac...

    Czytajac Twoje posty mozna miec wrazenie, ze jest sie w dziale Na wesolo, a nie Komputery Hardware.

    Na przyszlosc radze sie powaznie zastawnowic przed ponownym napisaniem na forum...
  • Poziom 40  
    Ja z doswiadczenia powiem ze kolega Kolobos ma racje
    Bios skrzywdzony przez cicha sie nie odpali (przynajmniej jeszcze sie z takim nie spotkalem)
    wiec nie zainstaluje sie w pamieci "z biosu"
    Z notki ktora kolega Bigolsen napisal wynika tylko tyle ze ten wirus jest w stanie zrobic biosowi kuku i nic wiecej.
    Oczywiscie jest i z tym sie nikt nie sprzecza ale po czyms takim komp sie nie podniesie wiec wir sie do ramu nie skopiuje.
  • Spec od komputerów
    Kolega Kolobos oczywiscie ma rację.Zainfekowany bios nie "odpali".Znam to z autopsji.Jakby ktoś chciał "potrenować" to mam CIHa zarchiwizowanego na CD,oryginał z dawnych lat.
  • Poziom 43  
    Dodam jescze że W95.CIH nie jest rezydentny w systemach WinNT, 2000, 3.11, DOS i Macintosh :) więc zarażone dyski można śmiało leczyć pod tymi systemami a podniesienie sprzętu i odzyskanie większości danych zrobi średnio zaawansowany technik serwisu.
  • Poziom 24  
    @ ZUZANKA
    a jak tam walka z tym robakiem binarnym, cały czas czekam i trzymam kciuki za robaka, że Go złapiesz.
  • Poziom 10  
    wielkie dzięki za wsparcie.:D Komp zdycha w kącie bo remoncik w lokalu.A tak mi sie przypomniało że CIH 95 był dawnymi czasy na tej ruinie /NIS go wyciął ale ja go i tak widziałem w ukrytm recykledzie i nie mogłem z tamtąd wywalić- może odżył na wiosnę.Wogle to teraz mam płytę z Duo Biosem i przywracam go czasem defaultem żeby cokolwiek odpalić,a na ferolną dvd płytke upatrzyłem miejsce na dnie kontenera.

    Dodano po 39 [minuty]:

    Podoba mi się załącziony obraz stanu Nortona w odpowiedziach zaznaczony na czerwono skanowanie dokończyć/wymaga uwagi,Wielka szkoda że nie widzieliście umnie jak powycinało wszystkie opcje nortona,Aż miło było patrzeć na czerwone krążki z krzyżykami od góry do dołu/tuż przed awarią i norton poszedł się paść :cry::cry::cry:--więc postawiłem krzyżyk na nieboszczyku - exhumacja po Swietach.
    G woli informacji swoje masochstyczno komputerowe ciągotki pogłębiam na prywatnym kompie po zainstalowaniu win 2000 - to dopiero systemik może przestarzały ale jak zmusza do pogłebiania wiedzy:!::!::!: i nikt ze znajomych nie chce pomagać .Patrzą jak na wariata .Coś na czole niby poprawiają aja swoje loczki.
    Zauważyłem że 2k prędziutko potrafi wywalić aktualizacja virusów Nortona pobrany up pod x32 zamiast x86 i trzeba odinstalować to co wlazło bo ekran świeci na niebiesko jak zacier.Feralna DVD płytka też namieszała ale przy podwójnym biosie szybko się up-defaultuje.
  • Poziom 43  
    Co do braku pełnego skanowania systemu to u mnie jest to świadome działanie gdyż na jednym z dysków trzymam keyloggery, łamacze haseł itp. programy serwisowe o które NAV mógłby mieć słuszne pretensje a z lenistwa nie dodaję ich do listy wykluczeń :)
    Co do błędnego pobierania nie tych plików co potrzeba to z komputerem jest jak z samochodem:
    Jeżeli jadąc nim zdasz się tylko na samochód to na 100% w coś przywalisz.
    Niektórzy uważają że posiadanie komputera zwalnia ich całkowicie od myślenia. Gdyby tak było z kierowcami to i przeludnienia by nie było... i bezrobocia... :lol:
    :arrow: ZUZANKA pisz mniej poetycko a bardziej do rzeczy. To jest forum techniczne.
  • Poziom 10  
    Wielkie sory za bajdużenie to dopiero druga moja wizyta na forum i muszę poznać zasady choć jeszce paluszki świerzbią./Neta mam co dwa dni / - wybaczcie ...od jutra tylko suche dane mc2