я например чего полюбил в последнее время восстановительные программы,мой комп когда помер,признаков та ни каких не было,выключил,включать а файловой системы та уже нет,винт по состоянию винды голенький как с завода.так это я к чему у меня например на буке биос с офсайта шьется,может человек шил не понятно чем а потом он и брыкается выдовая чудеса,и еще очень бы хотелось узнать какая система стоит,и полностью устроин режим гибернация,кроме того что он записывает все на хард перед выключением,а что запускается первое перед запуском.и как ведет себя оператива в этой ситуации.
В итоге организовались две задачи: - удалить троян и перепрошить BIOS Можно начать с перепрошивки, но есть подозрение, что это придётся проделать дважды. Троян, по видимому, нужно Dr.Web , так как информация от него. Интересно какой антивирус пропустил его на комп? Если видишь, как вода течёт вверх по холму, значит, кто-то отплатил добром за добро.
Alecs962, спасибо в очередной раз! Ты помоложе, пограмотней, а у меня мозги немного закипают, когда начинаю разбираться в этой премудрости. Не мог-ли составить для рядового пользователя, не имею в виду полных чайников, что-либо в виде инструкции? Необходимо определить следующее: 1. Как обнаружить присутствие этого трояна и заражённость bios. 2. Как исправить, пошаговые варианты. Думаю многие будут благодарны. Если видишь, как вода течёт вверх по холму, значит, кто-то отплатил добром за добро.
Дядь Жень,"зверь"новый,неведанный.Нужно немного времени,но искать противоядие нужно.Будем искать и как боротся и как предупредить,потому что разгребать за ним намного сложнее чем предупредить.
Противоядие - сам вирус , запущенный с ключём -u. Осталось только найти его и написть батник для запуска в автозагружаемой Mikro PE без bootfix.bin . Такие мысли. «Если бы Honda делала девушек - они бы так не ломались.»
Немного утешает, что у моей платы bios AMI... Где-то промелькнуло: - его не берёт. Если видишь, как вода течёт вверх по холму, значит, кто-то отплатил добром за добро.
Да мысль хорошая,вполне поможет временно.Пугает это:"Что скорее экспериментальная разработка, нежели полноценная вредоносная программа, — либо она «утекла» раньше, чем этого хотелось бы автору."
Quote (Arlette)
.только в той статье "не подвержены" сему заражению БИОСа старые компы....
Вот это 100% выход,скинул настройки bios комп цел,система мелочь.А с этими flach перемудрили.
Всем здрасте так и не получилось убить этот вирус сам не знаю что такое было много раз эти баннеры удалял с помощью AntiWinLocker но здесь вообще херня какая та клава заработала только после того как подсказала Core-2 (Удалить файл подтверждения нажатием (boot\ bootfix.bin) ) потом все сделал как надо исправил все файлы перезагрузил и опа все по прежнему клава не работает баннер на месте короче боролись боролись с этой гадостью в итоге решили переустановить винду с диска диск не грузится так как клава не работает сняли жесткий подсоединили к другому компу проверили на вирусню доктор WEB нашел 24 зараженных файла исправили все это обратно подсоединяем и все винда слетела и клава заработала начала реагировать итог новая windows7 хорошо что еще диск разбит на 2 раздела ну вот и все спасибо все за помощь и советы
Хотелось вернуться к теме Trojan.Bioskit.1 так как некоторые вопросы остались.
Действительно писалось видимо на одном компе и идеально такое же железо найти трудно.
Во это настораживает,от этого защита-в BIOS(имеющий flach) включить защиту от перезаписи.
Признаки заражения BIOS:при сканировании антивирусом памяти покажет что память заражена. Но после выключения и перезагрузки память всегда очищается,и если повторно покажет вирус-дело плохо.А если не грузит диски реаниматоры(имеется в ввиде проверенные), не спешите с перепрошивкой.Случай со знакомым ustas_77 не единственный. Описан случай когда не грузилось с нескольких дисков,лишь удалось загрузить старую версию LiveCD. Но при отключенном HDD грузились все диски.Причина-рекламма баннер с теми же признаками перезаписи MBR.
Если у вируса не получилось с BIOS,он принимается за MBR.Этому подвержены все компы. Из картинки-текста защита аппаратными средствами:в первом случае тормоз, во втором случае может работает,но Boot Virus Detection есть не не во всех BIOS.
По защите MBR на одном сайте была предложена защита заслуживающая внимания.Суть такая: Cоздать сценарий при выкл\перезагрузке системы. 1.Считать существующий MBR(применяется утилита Sector Inspector) 2.Сравнить 3.Если нет изменений-выход 4.Если есть-возвратить забэкапленный на место Провёл тест на виртуалке вот результат(в батнике включалась пауза):
[url=][/url]
ИМХО.Это перспективный вариант.Знать,что поймали такую заразу лучше заранее. Но есть небольшие проблемы,нужно доработать.Об этой проблеме в ветке "Помогите найти программу".
впрочем, кажется нашел подходящую сборку, которая не настолько тяжела для старого железа в дополнение к тому, что уже есть, выдерну из вашей сборки софт и ссылки на всякие
Quote (bigsoft)
у меня на проце 1.3GHz и оперативой аж 256мб работает на ура, что тебе еще надо,ты хочешь сказать что есть еще хуже машины???
представь себе, есть и хуже - п3 800 (1000)/128(256)/32(64)/40(80) а так-как организация бюджетная, то деньги на обновление парка, выбиваются долго и трудно по поводу каждой мелочи, надо писать обоснование, для чего это надо
Михалыч,нет.Но читал про него,ещё есть такой же только синие буквы.Попадают с видеофайлами с двойным расширением avi.exe,mkv.exe,mp.exe и т.д.Где его взять для эксперимента.
Дата: Понедельник, 24.10.2011, 20:00 | Сообщение # 81
Доцент
Группа: Проверенные
Сообщений: 1000
Статус:
Quote (bmp)
Ща ссыли дам в личку
Михалыч спасибо,это оно.Нужно проверить все варианты запуска батника(т.е.встроить в групповую политику сценария выключения,или как то совместить с кнопкой выключения).Дело в том что нужно добиться вывода сообщения"Varning Virus" на экран,чтобы было понятно что переписан MBR,и откатить выключение-соответственно занятся лечением.
Добавлено (24.10.2011, 20:00) --------------------------------------------- При запуске баннера(mbr-lock)сразу пошла перезагрузка.ОС(на виртуалке)запустилась.Для чистоты эксперимента запустил баннер на действующей ОС,отключив Avast IS.Запустилась ОС без проблем.Что интересно AntiWinLocker 2.0.002 не отключал,который должен это ловить- даже не среагировал.Чтобы убедиться что перезапись MBR была сравним последнюю копию с бэкапом:
Видим,первые сектора не подпорчены,а перезаписаны почти полностью. Удалился баннер просто,просканировал Avast:
При удалении из папки Temp=\sys3.exe -перехвачен Dc86.exe.Почистил реестр,проверил сканерами AVZ,uVS-чисто.То есть защита сработала.Желающим могу предложить.
Здесь в папке MBR находится утилита Sector Inspector и MBR.bat-файл. Эту папку положите в директорию диска C:\.Зайти в пуск=поиск=набрать gpedit.msc\Конфигурация компьютера\Конфигурация Windows\Сценарии(запуск-завершение)\завершение работы\свойства=нажать добавить=обзор=указать MBR.bat=OK=применить.Теперь нужно сделать бэкап.Перезагрузим комп,если указали всё правильно то зайдя gpedit.msc\Конфигурация компьютера\Конфигурация Windows\Сценарии(запуск-завершение)\завершение=нажать на "показать файлы",откроется папка Shutdown в ней будет файл mbr1.bin(это утилита считала существующий MBR),его переименуем убрав в названии 1( должно mbr.bin),вот это и есть бэкап.При следующем выключении,утилита создаст mbr1.bin,это будет последнее фото MBR,которое будет обновлятся после каждого выключения.Всё,готово.Сценарий таков, если изменений нет-перезаписывается файл mbr1.bin(это меньше секунды).Если изменения есть -перезаписываеться MBR из файла mbr.bin.На Win7 так же.Win7 на реальный вирус не проверял. Батник написан на 0 диск с системой,если система на диске 1-в бат файле в двух строках---- \\.\PhysicalDrive0 переправить на---- \\.\PhysicalDrive1
Дата: Понедельник, 07.05.2012, 00:56 | Сообщение # 83
Ученик
Группа: Старожилы
Сообщений: 2
Статус:
ужжжжааасно долго загружается!! почти 10 минут до финала. Вот до этого у меня на базе Хрюши бала вторая версия, грузилась за секунды! Жаль вирус похерил, теперь найти нигде не могу...
Впору в интернет не ходи... 
Додумались же "хакеры" в своем новом амплуа для такого действия!
...только в той статье "не подвержены" сему заражению БИОСа старые компы.... 
