Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

BOO\NYB-G... кто сможет победить???

  1. #1
    DDD
    Guest

    BOO\NYB-G... кто сможет победить???

    буду очень признателен, кто знает про эту хрень что нить, победить я его не смог ни AVP, Symantek, DRWEB, Panda, AVG, ANTIVIR.....
    что нить ещё есть полезное?
    сразу скажу что это полиморф, меняется каждую перезагрузку, ПОЛНОСТЬЮ шифрует раздел HDD (любого), запрещает доступы к любому устройству (флоп, сиди, флешка, другой хард), после установки на другую машину, показывает что диск не размечен, можно создавать всё заново, но грузится с заражённого харда замечательно, ничем не обнаруживается...
    я нашёл первичное место загрузки харда, 232 сектор, до этого всё вытерто в ноль.
    после 232 сектора уходит в неизвестность, каждый раз в новое место, я так и не могу его поймать, он меняет свою структуру прикаждой загрузке, но начальный старт всегда с 232 сектора...я забыл тебе сказать что ни одно устройство, присоединённое к машине, флоп, сиди, флеш карта, другой хард, сеть, модем, не видятся и не определятся... при попытке настроить прямое кабельное соединение через USB (у меня даже такой проводок нашёлся), он его устанавливает, но обратится на другую машину или с другой машины не возможно, в DOSe сеть не могу настроить, т.к.всё на компахе лежит, а её не видно.... виден тока один завирусованный жестяк и всё...
    А с других машин он виден как неразмеченный хард и предлагает сразу его разметить (создать новый том)
    НО САМ ТО ОН РАБОТАЕТ!!!!!


  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Geser
    Guest

    Re:BOO\NYB-G... кто сможет победить???

    Я уже 2 раза написал в личном сообщении что нужны логи. По поводу телепатии и чтению судьбы по подчерку на другой форум.

  4. #3
    DDD
    Guest

    Re:BOO\NYB-G... кто сможет победить???

    я тока один могу прислать, от Адваре, я не могу скачать AVZ, мне его не записать на машину никак, а на другой машине этот раздел не виден, так что, мне присылать один лог?

  5. #4
    Geser
    Guest

    Re:BOO\NYB-G... кто сможет победить???

    Цитата Сообщение от DDD
    я тока один могу прислать, от Адваре, я не могу скачать AVZ, мне его не записать на машину никак, а на другой машине этот раздел не виден, так что, мне присылать один лог?
    Не поможет, у Адваре такие логи что чёрт ногу сломает. Если ты не можеш записывать файлы на комп, то я не знаю что можно сделать кроме формата.

  6. #5
    baklan
    Guest

    Re:BOO\NYB-G... кто сможет победить???

    Раздел совершенно ни при чём. NYB - это загрузочный вирус, так что сидит он либо в MBR, либо в загрузочном секторе активного раздела. При наличии вируса в MBR разделу на диске быть совсем не обязательно. Надо загрузиться с дискеты или с компакт-диска с досом, запустить дискэдитор (к примеру нортоновский), переключиться в режим просмотра физического диска и сбросить в файл первые две сотни секторов, начиная с нулевого. Этот файл отправить антивирусникам с подробным описанием ситуации. Если данные на диске не очень нужны, то для уничтожения вируса достаточно тем же дискэдитором забить нулями нулевой сектор, после чего диск с точки зрения системы станет незагрузочным и неразмеченым, а после загрузки и разметки с гарантированно чистого компакта или флопика вирусу взяться будет неоткуда. А простая переразметка и форматирование не помогут, так как активный код, сидящий в MBR, они не трогают. Если это именно NYB, то категорически рекомендуется после восстановления системы убрать из списка загрузочных устройств флоппик и провести полное форматирование всех дискет - этот вирус чисто загрузочный и заразиться им можно только при попытке загрузки с диска, у которого заражён загрузочный сектор. Если есть самописные загрузочные компакт-диски, для которых использовался имидж дискеты, то вирус может быть и там. С компакта выдрать вирус, естественно не получится, поэтому я бы от всех подозрительные дисков просто избавился.

    ЗЫ Для ковыряния с дисками и вообще для аварийных ситуаций очень удобно использовать Hiren's Boot CD - на нём есть много полезных программ, включая нортоновский дискэдитор..

  7. #6
    DDD
    Guest

    Re:BOO\NYB-G... кто сможет победить???

    Уважаемый baklan
    я могу отослать данные с первых 232 секторов прямо сейчас, они забиты "FF" изначально, а первая информация после них "AR_zdaf%7р" после этого идёт название файла из Виндовоза "iсs.inf" и далее данные этого файла, далее идут данные о перянных секторах.... это всё..... куда после "AR_zdaf" пыгает, я не знаю (ассемблер плохо в школе учил)....
    в принципе, это всё что я нарыл, да, я могу ещё отослать образ диска целиком, он сделан в NORTON GHOST, весит 4.7 гига... это легко..... может ктото поковыряется.... =(((

  8. #7
    DDD
    Guest

    Re:BOO\NYB-G... кто сможет победить???

    я так понял, что эту гадость пока ещё никто не ловил, и нормального антивира для неё не написано...... забавно.. =))

  9. #8
    DDD
    Guest

    Re:BOO\NYB-G... кто сможет победить???

    Ответ Geser
    я сделал образ диска, записал его на другой хард. отформатировал и попытался восстановить. получилось восстановить тока в виде RAW данных, но это полный писец =)))
    скока расширений файлов было на харде, стока и каталогов получилось с названиями DIR0001.INF, DIR0001.doc, а в каждом файлы... 00000001.doc, 00000002.doc и т.д.

    *далее следует гомерический хохот*

    =)))

    но зато я чтото увидел =)) всегото ничего 114 тысяч файлов =)

  10. #9
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    796

    Re:BOO\NYB-G... кто сможет победить???

    Цитата Сообщение от baklan
    Раздел совершенно ни при чём. NYB - это загрузочный вирус, так что сидит он либо в MBR, либо в загрузочном секторе активного раздела.
    Скорее, в MBR. Если бы в boot'е, то partition table виделся бы на другой машине.

    Если данные на диске не очень нужны,
    Если я правильно понял, то нужны.

    А простая переразметка и форматирование не помогут, так как активный код, сидящий в MBR, они не трогают.
    FDISK /MBR

    Если это именно NYB, то категорически рекомендуется после восстановления системы убрать из списка загрузочных устройств флоппик и провести полное форматирование всех дискет - этот вирус чисто загрузочный и заразиться им можно только при попытке загрузки с диска, у которого заражён загрузочный сектор.
    Вот это очень вероятно, что флоп тоже заражен.

    Если есть самописные загрузочные компакт-диски, для которых использовался имидж дискеты, то вирус может быть и там. С компакта выдрать вирус, естественно не получится, поэтому я бы от всех подозрительные дисков просто избавился.
    Согласен.

  11. #10
    DDD
    Guest

    Re:BOO\NYB-G... кто сможет победить???

    Я сам справился с этой проблемой!!
    Я скопировал диск как устройство, и потом (GetDataBack рулит!!!) восстановил данные со всеми путями!!!!

    Всётаки я гений!!!! =)))
    УРАААА!!!!!
    ничего не потерялось...

    большое спасибо "baklan"у за идею, которая мне помогла, точнее сподвигла на эти действия =)))

  12. #11
    Geser
    Guest

    Re:BOO\NYB-G... кто сможет победить???

    Цитата Сообщение от DDD
    Я сам справился с этой проблемой!!
    Я скопировал диск как устройство, и потом (GetDataBack рулит!!!) восстановил данные со всеми путями!!!!

    Всётаки я гений!!!! =)))
    УРАААА!!!!!
    ничего не потерялось...

    большое спасибо "baklan"у за идею, которая мне помогла, точнее сподвигла на эти действия =)))
    Можно конкретнее, можгет кому пригодится.

  13. #12
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    53

    Re:BOO\NYB-G... кто сможет победить???

    http://www.viruslist.com/en/viruses/...?virusid=16948

    вирус извесный.... что то не так делал когда сканировал?

  14. #13
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    53

    Re:BOO\NYB-G... кто сможет победить???

    During the boot process, NYB loads the MBR into memory and checks for infection. After determining that the MBR is not infected, the NYB stores the uninfected MBR at cylinder 0, side 0, sector 17 on the hard disk. Then, NYB places its virus code into the MBR and rewrites the infected MBR to the hard disk at cylinder 0, side 0, sector 1.

    Once the boot process is complete and the NYB virus is active in memory, the virus displays its stealthing capabilities by redirecting any disk reads of the infected MBR or DBS to its clean counterpart. (On floppy disks, the original DBS is stored in the last sector of the root directory.) NYB is highly prolific.

    можно и мбр вернуть при желании

  15. #14
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    53

    Re:BOO\NYB-G... кто сможет победить???

    так что если не трудно... можеш достать infected MBR to the hard disk at cylinder 0, side 0, sector 1. + 1024 байтов начиная от этого места и послать мне дамп на sanja@ssxp.net посмотрю...

  16. #15
    DDD
    Guest

    Re:BOO\NYB-G... кто сможет победить???

    для Sanja
    могу... адрес пиши куда....
    на твой, с который приходят письма отослать не могу, maildaemon ругается.. =(

  17. #16
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    53

    Re:BOO\NYB-G... кто сможет победить???

    как ругается? пробуй на sxp@nm.ru, heker@mail.ru лучше в архиве с паролем.. чтоб вирус не поймали почтовые сканнеры

  18. #17
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для agnec
    Регистрация
    25.01.2005
    Сообщений
    156
    Вес репутации
    56

    Re:BOO\NYB-G... кто сможет победить???

    раньше такая фигня убивалась элементарно с помощью "fdisk /mbr" с загрузочной дискетки

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292

    Re:BOO\NYB-G... кто сможет победить???

    Убить зверя вместе со всеми данными не проблема. Проблема убить одного зверя, сохранив при этом все спрятанные данные.

  20. #19
    DDD
    Guest

    Re:BOO\NYB-G... кто сможет победить???

    для Агнеца
    мне инфа позарез нужна была =)

    Всё оказалось намного проще, даже первый вариант оказался сложнее второго!!! =)) не вижу смысла первый описывать...
    Всё банально, NORTON Ghost 8 делаем образ диска, как устройства, а потом открываем образ, и смотрим, что там есть..... вирус не грузится, а инфа лежит целая и невредимая, проблема тока с обьёмом, а в остальном, всё оказалось "проще паренной репы". ;D

  21. #20
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для agnec
    Регистрация
    25.01.2005
    Сообщений
    156
    Вес репутации
    56

    Re:BOO\NYB-G... кто сможет победить???

    Цитата Сообщение от DDD
    Всё банально, NORTON Ghost 8 делаем образ диска, как устройства, а потом открываем образ, и смотрим, что там есть..... вирус не грузится, а инфа лежит целая и невредимая
    значит винт не шифруется, а только mbr и возможно таблица разделов гадится.

Страница 1 из 2 12 Последняя

Похожие темы

  1. Сможет ли Android победить iPhone
    От SDA в разделе Лечение и защита мобильных устройств
    Ответов: 7
    Последнее сообщение: 05.07.2011, 11:42
  2. Ответов: 1
    Последнее сообщение: 28.07.2009, 17:23
  3. iPhone сможет запускать приложения в фоновом режиме
    От SDA в разделе Лечение и защита мобильных устройств
    Ответов: 0
    Последнее сообщение: 18.05.2009, 13:53
  4. Стая микророботов сможет принимать любую форму
    От ALEX(XX) в разделе Высокие технологии
    Ответов: 2
    Последнее сообщение: 05.02.2008, 08:42

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01056 seconds with 16 queries