Внимание, вирус! — Форум про радио

Компьютеры	Внимание, вирус!
	1 ← 9 → 59
gudd 03.02.2011, 22:29	SAK: Да, это действительно чудеса. В реальности после вставления чистой микросхемы надо запустить программу прошивальщик с файлом для заливки +1
МихАн 04.02.2011, 22:45	dmitriy2 Скопировал рабочую Винду, проверил чере ЮСБи на таком же ноуте, поставил в ЮСБи битого - не грузит, виснет сразу. Не в приводе НДД дело. Как основательно "потрепанный" этим:http://www.securitylab.ru/virus/363745.php и особенно этим:http://www.securitylab.ru/virus/399964.php поделюсь своим опытом. Железо оставлял обесточенным на сутки. HDD перезаписывал AcronisDriveCleanser в сборке "hobbit" от 11.04.2008г, в поздних версиях HDD не определялся, драйвера другие. Если в ботнете уже долгое время, с помощью в материнке ноута может быть поздно. Мне пришлось отложить мать MSI - Вынь7 OEM не ставится. В флеши сетевухи (предполагаю) зашит загрузчик. С включением компа искажаются драйвера. Желательно обоим ноутам не включаться в сеть, пока Винда не станет правильно.
AN1440 05.02.2011, 02:53	Возьми загрузочный КД с виндой - типо "Windows XPE" - загрузится с него система? Если "да" - БИОС нипричём. Из-под этой системы увидится тот диск? Если "нет" - значит что-то со структурой диска. На месте ли загрузочная запись? Если нет - попробовать из консоли восстановления fix MBR. Попробовать "применить" штатный ЧекДиск, если диск увидится как устройство, но не увидится его содержимое. ------------------ Проблемы безобразиев всегда надо начинать решать с попытки загрузиться с КД.
lazyed 05.02.2011, 08:09	dmitriy2: Скопировал рабочую Винду, проверил чере ЮСБи на таком же ноуте, поставил в ЮСБи битого - не грузит, виснет сразу. Не в приводе НДД дело. Что значит скопировал? Просто с винта на винт? Проверил через ЮСБ - это как, просто наличие файлов? По крайней мере необходимо было снять образ с рабочего ноута, используя акронис или нортон гост и т.п. и через ЮСБ такое не проверить. Судя по всему, проблема вовсе не в каком-то вирусе, а в неумении поставить WinXP на ноут с SATA винтом. То, что описывает dmitriy2 - обычная картина отсутствия драйвера SATA в дистрибутиве. Выход 1. Изменить режим винта в БИОС 2. Найти подходящую сборку WinXP с интегрированными дровами 3. Самому интегрировать нужный драйвер 4. Попробовать Win7 Рекомендую сходить сюда http://forum.ixbt.com/, раздел "Ноутбуки", поиск по "nx6310" - там куча тем по этому ноуту, в т.ч. и про установку ХР.
dmitriy2 06.02.2011, 12:02	ВСЕМ!! Еще раз спасибо всем заинтересовавшимся моей бедой. Но это не только моя беда. Сначала хорошее. Ноут (Compaq nx6310) я восстановил. У производителя взял новый биос, СМОS почистил ClearCMOS.rar (в пакете есть и Вин и ДОС проги), подправил СэтАп. После этого поставил ВинХР без проблем. Итак: железо было исправно. Биос был бит (я его сравнил с образцом производителя, есть много отличий кроме служебной области, S/N, дата изготовления и др., его CR верна, но отличается от эталона. Т.е. BIOS был скомпилирован "на месте". При каждом обращении к биос в СМОS писался код, индицирующий "не готовность HDD". ДОС работает с винтами напрямую, поэтому работал нормально. А Виды - считывают готовность винта из ОЗУ, куда при каждом обращении к винту писалось "не готов". Теперь о плохом. Разработчик этого вируса хорошо разобрался с BIOS и СМОS. Кроме функций винта ничего не трогает. При выдаче сообщения биос уже подменен. Возможно, что в случае успешного шантажа биос и восстановят из копии, но вирус оставят однозначно! Прога с вирусом передает сетевые настройки компа, номер сетевой карты и пароли из "Documents and Settings". По крайней мере у меня атаки были только на "битый" ноут после его восстановления. Вывод: после такого жука желательно переписаь биос и СМОS с их чистых копий. На винт установить или восстановить систему с ее "чистого образа". Если чистить - то только на другом компе через USB. Поэтому нужна прога, считывающая и восстанавливающая BIOS и СМОS из их копии. Впрочем, нас ждут еще большие неприятности если "жук" "закроеет" и прочие порты компа. Тогда - только аппаратно программировать или покупать у "вредителя" код доступа. А это уже иная история. Жаль, что этот вредитель работает на владельцев порносайтов, а не пишет свои хорошие проги.
AN1440 06.02.2011, 13:18	dmitriy2: Итак: .... ... Откуда такая исчерпывающая информация, если не секрет?
denis_111 06.02.2011, 13:53	AN1440: Откуда такая исчерпывающая информация, если не секрет? http://forum.ixbt.com/topic.cgi?id=77:12198 Не отсюда часом?
SAK 06.02.2011, 15:54	dmitriy2: Биос был бит (я его сравнил с образцом производителя, есть много отличий кроме служебной области, S/N, дата изготовления и др. Скажу по секрету: производители иногда обновляют версию BIOS. Кроме того в BIOS есть специальные служебные области которые обновляются при изменении конфигурации оборудования (DMI). Так что ещё раз сравни с оригиналом там опять будут различия. dmitriy2: При каждом обращении к биос в СМОS писался код, индицирующий "не готовность HDD" Что это за код такой в CMOS? И на кой он там нужен? Состояние диска читается напрямую из его контроллера. Причём в DOS это делается через BIOS (int 13), а в многозадачных ОС (каковыми являются и Windows, и Linux) через соответствующий драйвер в обход BIOS-а. dmitriy2: Вывод: после такого жука желательно переписаь биос и СМОS с их чистых копий. А нафига CMOS восстанавливать из копии? Просто обнулить нельзя?
Cherema 06.02.2011, 20:25	SAK: Просто обнулить нельзя? Чёт, сдаётся в этом и была собака зарыта (блокировка харда для системы) - изначально рекомендовалось (но проигнорировалось) в первую очередь сбросить биос в дефолт (кому так не наравится.., то cmos - как то перестали упоминать эт слово в быт. диалогах, но имея ввиду ) А уж после сброса.., ежели не помогло, и всё прочее, - а то перешивается биос без обнуления... и т.д. и т.п. (Да и, ежели затирался mbr, то винт в системе и не увидится, до определённых манипуляций (...присвоение буквы, формат...), но ситему-то ставить и на такой.., можно по обычному сценарию. Однако, "после драки c гадом", клавами не щёлкают и крысяками не ёрзают - Всё удалось, и славненько, разве, что были лишние хлопоты + потраченные нервы
dmitriy2 07.02.2011, 07:55	AN1440, denis_111, SAK, Cherema и все "Откуда такая исчерпывающая информация, если не секрет?" - Пришлось разобраться. Сильно заело. Пользовался много чем из И-Нета, Много народа помогло. Все и всех даже не помню. Только текстов перелопатил больше 40 Мег, в рабочем каталоге осталось 3 Гига прог, пакетов и др. Но ВСЕМ СПАСИБО !!! Cherema ◊ "сбросить биос..." - с этого я начинал. Но команда "дефолт" сбразывает только видимые в биос настройки. Первая копия состояние винта обновляется при каждом считывании регистра состояния винта, поэтому не сбасывается. А вторая копия при инициализации. При перезаписи биос инициализации порта нет, поэтому вторая копия сохраняется. Да КМОС по-всякому надо чистить полностью "От греха". Так ДОС, последние ХР и Вин 7 напрямую считывает регистр состояния винта, поэтому для них можно и не чистить. Но непонятно, что еще может быть в КМОС написано. Винт с битого компа на другом компе сразу работал без глюков. ОС с него я снес, поскольку Касперский вирус не нашел, а другими я не пользуюсь. Да в данном случае это было уже бесполезно. "Однако, "после драки c гадом", клавами не щёлкают" - это так, но мой опыт может оказаться полезным другим. Учитывая вредоносность данной проги, сайты с рекламками лучше закрывать не читая и не трогать банеры пытаясь их закрыть. Не хочется, чтобы вымогатели из среды классных программистов тратили на себя наше время и, тем более, жрали сами и кормили своих детенышей на наши деньги.
	1 ← 9 Дальше → 59