Мой первый собственноручно убитый вирус

Михалыч А: И этот диск Д защищен паролем. Такое может быть (про пароль)? И как его взломать?
Спасибо за любую наводку.

Может. http://www.nskcvd.ru/recpass.php

Меня вот интересует другое. Существуют ли вирусы и другое вредоносное ПО ,котрые могут аппаратно выводить компьютер.

ну жесткий диск , монитор (если CRT ) , CD-ROM , и даже FLOPPY

Link, есть сборка superDOS куда интегрированы драйвера для мыши, usb , ntfs и голый волков коммандер.

Михалыч А: Может кто-нибудь направит на ресурс в сети, где в картинках показан процесс сборки-разборки ноута.
Сайт производителя.
Михалыч А: как добраться до харда?
Как правило, очень легко. Не сложнее, чем к ОЗУ.

Михалыч А: Он себе на диске делает целый раздел, меняет как надо все загрузочные сектора и этот диск становится невидимым. Этот диск просто не проверяется в процессе любой проверки.
Какие именно сектора и как меняет? Диск становится невидимым или раздел? Из чего именно невидимым?

Link: Не раз видел винты с неразмеченной областью 8МБ, эта область получается при фарматировании винта при установке WinXp_Sp3. Сама инсталяшка объясняет эти 8метров как служебные, но я ради принципа прибивал эти 8МБ.
Это как прибить неразмеченную область? Её можно только присоединить к существующему разделу увеличением его размера.

Link: Нарывался так же на винты со слетевшей ОС без 8Мб неразмеченной области, но при фармотировании диска С партишеком эти восемь метров появлялись из ни откуда, приходилось фарматировать весь винт, и порой вплоть до ДОСовского форматирования в FAT32, а только потом уже в NTFS без 8Мб.
При форматировании происходит проверка и создание служебных областей В ПРЕДЕЛАХ форматируемого раздела, а 8 мб область находится ЗА ПРЕДЕЛАМИ раздела и никаким форматированием её нельзя ни добавить ни убрать.

Михалыч А: Возьмите пустую флешку, отформатируйте её FAT фортатом, запишите один любой маленький файл, с длиной имени 8 символов, текст например. Упросите любого человека запустить чистый дос на чистой (тут проблема) машине, и проанализируйте всю структуру данных на флешке досовскими сканерами. Они все будут ругаться, потому что этот вирус через все носители себя распространяет.
Что бы вирус каким-либо образом мог быть запущен с флешки из работающей ОС он ОБЯЗАН существовать в виде файла. Если он не существует как файл, то может быть запущен только при попытке загрузки системы с заражённого носителя, а значит такой вирус в настоящее время не сможет распространяться т.к. абсолютное большинство пользователей никогда не загружаются со сменных носителей.

Михалыч А: Когда хард отключен, свою защиту вирус строит на подмене чистого командного процессора своим. По памяти четко и ясно видно, что туда загружено два командных процессора. На чистой машине всегда будет только один.
Не правда! В памяти будет столько командных процессоров сколько запущено процессов. Если смотреть память из чистого DOS, то будет один командный процессор, если из под "навигатора", то два. Кстати, какой командой и с какими ключами Вы смотрели содержимое памяти?

Михалыч А: Нужно имя файла пропускать через командный процессор command.com и этот вирусовский процессор очень быстро перестанет позволять вам точку набирать.
Ничего не понял, нет, слова все понятные, но что они значат все вместе...

Михалыч А: Дальше самоё тяжелоё - нужно сбить биос.
Вынимаем батарейку камоса.
Так BIOS или CMOS сбиваем? Если CMOS, то может просто перемычку Clear CMOS преставить?

Михалыч А: Набираем в командной строке set COMSPEC = путь к чистому командному процесору command.co
Это из "навигатора"? Если да, то абсолютно бесполезное занятие, т.к. это поменяет содержимое окружения того процесса, который и завершит свою работу после выполнения этой команды. Соответственно эта установка потеряется сразу после выполнения этой команды.

Михалыч А: Ищем в командере-навигаторе доступ к переменным окружения (именно к COMSPEC ) и меняем путь ( там диск всё время А будет указан) на свой диск.
А загружались с CD-ROM? Тогда почему там должно быть не A:? При загрузке с CD создаётся виртуальный диск A: в котором отрображается содержимое загрузочного образа с CD. Реальный привод флоппи дисков (если существует) получает имя B:.

Михалыч А: Выполняем команду зафиксировать изменеия. Дальше возможны варианты - ещё что-то пытаться запустить со своего диска или сразу ресет делать.
Если сразу делаем ресет, то нафига вообще что-то в переменных окружения менять? Переменные окружения находятся в оперативной памяти и после ресета от них ничего не остаётся.

Михалыч А: После ресета у меня выскочило сообщение - биос ерор. Сработала процедура коррекции биоса и вирус перестал загружать свой командный процессор.
BIOS Error или всё же CMOS Error. Боюсь что если у материнской платы нет Dual BIOS, то после выскакивания BIOS Error надо перешивать BIOS. А вот CMOS Error - обычное дело когда батарейка вынута, и что бы обнулить CMOS достаточно воспользоваться соответствующей перемычкой даже не вынимая батарейку.

Михалыч А: Запускаем диск с утилитой - ерайсером. Затираем жесткий диск и он исчезат из машины.
Что за утилита? Как точно называется? Откуда исчезает жёсткий диск? Из системы, перестаёт определяться при загрузке или вообще из системника исчезает ?

Михалыч А: Контрольный запуск командера-навигатора
Так как конретно называлась эта секретная программа?

Написано много, но ничего конкретного. Чувствуется непонимание многих вещей.

AZUS6: Существуют ли вирусы и другое вредоносное ПО ,котрые могут аппаратно выводить компьютер.
ну жесткий диск , монитор (если CRT ) , CD-ROM , и даже FLOPPY
Существуют ли не знаю, но вывести из строя жесткий диск можно, с монитором ничего не поделать, в CD-ROM можно затереть прошивку, а вот флоп можно только молотком.

SAK, спасибо за разбор! Читая топик, чуял я, что тут какая-то халява, так что Вы прояснили вопрос.

SAK: Это как прибить неразмеченную область? Её можно только присоединить к существующему разделу увеличением его размера.
Именно это и имел ввиду. Но это не всегда помогает. При присоединении этой области Партишек маты гнёт и посылает на рестарт, с последующей ошибкой. Но это не единственный путь. Можно весь винт склеить, и разбить заново, формануть под ДОСос и потом партишиком перевести в NTFS после подобной процедуры нет никаких 8МБ в неразмеченной области. Вот меня по сей день мусолит вопрос, что это за 8МБ, если винт что с ними что без них работает. И что ещё интересно в последнее время при форматировании логического диска С: эти восемь метров выскакивают сами по себе. Хотя точно помню что раньше С: диск форматировался без выскакивания всяких 8МБ. Винт ещё древний ID 40Gb.

Про 8 Мб цитата откуда-то:
"Разбивальщик" Windows автоматически оставляет 8 мегабайт на случай, если впоследствии понадобится преобразовать обычные логические диски в динамические тома. При преобразовании в эту память будут помещены специальные таблицы.
Если такого не предвидится, можно было бы эту память не резервировать, но Microsoft решила, что лучше на всякий случай всегда оставлять такую возможность, поскольку по сравнению с памятью жестких дисков это пустяк.

ТО SAK
Какие именно сектора и как меняет? Диск становится невидимым или раздел? Из чего именно невидимым?
Что конкретно, по цифрам, вирус с секторами делает, я не знаю. Раздел становится невидимым из моего компьютера, проводника, всё что пользователь использует. Я не сомневаюсь, что есть спец программы, которые его увидят, но мне хватило МЕ.
Есть автозапуск со сменных носителей, его настоятельно рекомендуют отключать для всех дисков. Я вижу, как ругаются на английском языке сканировщики на флешку, но не сильно запоминаю, так как еле-еле английским владею.
У меня нортон командер и дос навигатор (версии есть, но я их не запомнаю) показывают информацию о системе и о памяти под управлением одной мыши. Команд набирать не надо. Я ходил на другую машину, там тоже один командный процессор в памяти виден.
Нажимаете на точку, а вместо точки на экране уголок появляется, верхний регистр работает и никак это изменить нельзя.
Я ж говорю - выскочило сообщение ERROR BIOS, мои действия привели к ошибке в биосе, а не в камосе.
На счет COMSPEC - может и бесполезно, но тогда зачем предоставлена возможность изменения этой переменной пользователю?
На счет диска А - я не говорю, что там должно быть не А, я говорю что я делал. Если командный процессор на других диска есть, почему его оттуда нельзя взять?
Переменные окружения могут контролироваться вирусом, чтобы он правильно работал, хотя я не знаю как вирус работает. Но всех действий юзера он предусмотреть не может.
Про биос ерор уже говорил.
Утилита - ерайсес на болванке СД слишком хитро записана. И в досе и в винде на болваке виден один только файл - реадми.текст, в файле одно предложение - загрузитесь с этого диска. Боюсь она мне с работающей виндой что-нибудь сделает, но название английское у неё конечно есть.
Конечно, много не знаю, я описал свои действия, а другие люди описывали свои мучения без нужного им результата.
P.S.После ерайсера ни сканировщики, ни партишеки, ни установщики винды не могут выполнить свои функции. Ругаются по разному, в том числе и по-русски - в системе не найден жесткий диск.

Михалыч А: На счет COMSPEC - может и бесполезно, но тогда зачем предоставлена возможность изменения этой переменной пользователю?
Когда Нортон-командер или другая подобная программа выполняет команду, то на самом деле она запускает не непосредственно указанную программу, а запускает

%COMSPEC% /C команда

Михалыч А: Раздел становится невидимым из моего компьютера, проводника, всё что пользователь использует.
Ага, понятно, но "Мой компьютер" и "Проводник" это одно и тоже и показывают они только те разделы тип которых им известен, а разметку диска надо смотреть через fdisk.

Я очень сомневаюсь кто-то будет писать вирус работающий с bios, dos и windows - это ОЧЕНЬ сложная задача.