PDA

Visualizza versione completa : Boot Virus.


peertoopeer
10-08-2005, 17.47.17
Salve. Cercando di fare un'immagine del disco con Drive Immage,
il programma stesso mi informa, che c'e' un 'Boot Virus', e che
non e' possibile continuare se prima non e' eliminato.
Come antivirus ho Personal Anti Vir, e sistema Windows ME.
Cosa devo fare e come procedere? Gia fatto scansione ma niente.
Nel frattempo, scandisk e deframmentazione, funzionano solamente
in comando dos, e con diskiper,non con i programmi di windows, ma cosi, una puntualizzazione, non so se attinente a questo problema.
Cos'e' un Boot-Virus? e che problemi darebbe? Grazie.

crazy.cat
10-08-2005, 18.05.50
Un boot virus si nasconde nei settori di avvio del tuo hard disk, ogni volta che avvii il pc lui "esce" e si diffonde a seconda delle sue caratteristiche.

Molto curioso che drive image ti dia una segnalazione del genere.

Se vuoi provare a farti una scansione con un altro antivirus senza installare niente vedi articolo (http://news.wintricks.it/web/sicurezza/1/antivirus-update/)
c'è un opzione in scangui che ti permette di controllare anche i settori di boot del disco.

Facci sapere il nome del virus se salta fuori, che poi vediamo come si può eliminare.

Hai il tuo hard disk con partizione fat o ntfs ?

peertoopeer
10-08-2005, 18.49.44
penso fat, si. vedo e riporto, grazie.

peertoopeer
10-08-2005, 20.34.20
l ho scaricato, l ho lasciato conle spunte sue, l ho fatto andare,
anche se non da' segni di vita, vedo solo che sotto appare poi una scritta di numeri, non so se sono file selezionati o che, mi dice cha non ho file sulla cartella TEMP di scan.txt, e l ho fatto, si e' creato una cartella in C di QUARANTINE, lo rieseguo, passa unpo e sotto compare una seie di numeri, ma nessun rapporto di virus trovati o che.
Funziona?

peertoopeer
10-08-2005, 22.38.23
non ha fatto segnalazione stavolta e l ha svolto.
devo preoccuparmi lo stesso? altro sistema per fare una scansione
nel Boot?

Semi.genius
10-08-2005, 23.39.23
prova con F-Prot

www.fsecure.com

peertoopeer
11-08-2005, 15.56.24
Originariamente inviato da Semi.genius
prova con F-Prot

www.fsecure.com

Provato, fatto.
Allora: Ha fatto scattare AVpersonal, che dopo un aggiornamento
ha trtovato 3 worm (che sono?), cancellati, poi, con F-Prot,
nella scansione, ha fatto scattare ancora AVpersonal, che
ha fatto eliminare un -rilevatore fi password-.
Alla fine, F-protor, ha individuato nei file CAB, 9 sospetti,
e 2 infetti.
FS153 CAB Aoo1 W32/CIH 1019
.........................20.

Dove li vado a prendere questi file per eliminarli,
e che file sono o dove si trovano?
o che dovrei fare?

allego risultato. Grazie. anche per f-prot.

peertoopeer
12-08-2005, 14.08.39
Originariamente inviato da peertoopeer


Provato, fatto.
Allora: Ha fatto scattare AVpersonal, che dopo un aggiornamento
ha trtovato 3 worm (che sono?), cancellati, poi, con F-Prot,
nella scansione, ha fatto scattare ancora AVpersonal, che
ha fatto eliminare un -rilevatore fi password-.
Alla fine, F-protor, ha individuato nei file CAB, 9 sospetti,
e 2 infetti.
FS153 CAB Aoo1 W32/CIH 1019
.........................20.

Dove li vado a prendere questi file per eliminarli,
e che file sono o dove si trovano?
o che dovrei fare?

allego risultato. Grazie. anche per f-prot.

Rimanendo fermo a quello detto sopra, hoprovato a rifare immage-HD.
Mi e' uscita questa scritta:
Trend chip Away Virus has detected a bad virus on your hard disk
the operating system is not supported by CHIPS AWY Virus
Trend micro www antivir.com
Insert Bootable clean floppi disk into your floppi aliver,
press R to restart your sistem B to go back prevous screean.
(qualche errore scrittura riporto parole)

poi, cercando, ho trovato questo articolo:

cosa intendi con "virus nel boot o fuori dall' hd"? C'erano alcuni vecchi virus (all'epoca del Dos) che si installavano nel boot sector e si pulivano facendo ripartire il pc tramite floppy non infetto e ricostruendo il boot sector originale, comunque anche quelli erano sull'hard disk. C'era anche il caro e vecchio Chernobil che pare riuscisse anche ad installarsi nel bios delle macchine nelle quali non era stato protetto da scrittura. Alcuni virus si piazzano in RAM, ma quando si spegne la macchina se ne vanno (dalla ram) ma rimangono sull'hd.

alla fine: come eliminare sto boot virus,
e questi archivi infetti(?)

Come si fa a ripartire con floppy ripulendo il boot originale,
se il problema fosse li? grazie.

zen67
13-08-2005, 00.08.49
McAfee CleanBoot....

zen67
13-08-2005, 00.16.36
Prima scaricati il programma free poi devi aggiornare il prgm con i file superdatxxx italiano
alla pag

http://www.networkassociates.com/it/downloads/updates/dat.asp?ID=1



ps.s nel file allegato c'è la descrizione del programma.....


Ciaoz

peertoopeer
13-08-2005, 01.55.30
Originariamente inviato da zen67
McAfee CleanBoot....

Grazie, mi sembra buono e al caso.


l unica cosa che non funziona e' questa.
Ho eseguito l exe in programmi, escompattato il file dat, in C.
Con il programma, l'aggiornamento, che viene attivato nella cartella
dove ho scompattato il file exe dat, mi mostra solamente questi file:
clean,dat
internet.dat
license.dat
messagge.dat
name.dat
scan.dat
ma nessuno di loro viene accettato per l update.
che file deve essere inserito, per fare gli aggiornamenti?

grazie

crazy.cat
13-08-2005, 08.31.30
Cleanboot non è più aggiornabile e non si può più usare.

peertoopeer
13-08-2005, 22.00.36
Originariamente inviato da crazy.cat
Cleanboot non è più aggiornabile e non si può più usare.


qui non lo danno piu l aggiornamento. alla fine, un programma
non elimina, l altro non va per fine distribuzione aggiornamenti ecc.

io ho questo che AV personal ha rilevato, in archivi cab:

C:\_RESTORE\ARCHIVE

FS64.CAB
ArchiveType: CAB (Microsoft)
--> A0008454.CPY
[DETECTION] Is the Trojan horse TR/Click.VB.DN
FS153.CAB
ArchiveType: CAB (Microsoft)
--> A0018494.CPY
[DETECTION] Is the Trojan horse TR/Unabomber
--> A0018506.CPY
[DETECTION] Contains code of the Windows virus W95/CIH.A
--> A0018509.CPY
[DETECTION] Is the Trojan horse TR/XMAS.A
--> A0018532.CPY
[DETECTION] Contains code of the Windows virus W95/CIH.A
--> A0018535.CPY
[DETECTION] Is the Trojan horse TR/XMAS.A
____________________________
da quello che ho capito, questi archivi, sono nella cartella nascosta
Restore, e non ci si arriva, almeno in quello che ne so io.
C'e' una possibilita' di arrivarci e eliminarli?

Se no, che sistema c'e'? , senza manomettere il pc?
Altri sistemi possibili con qualche altro software che sia funzionale?
grazie.

crazy.cat
14-08-2005, 08.39.37
Disabilita il ripristino della configurazione, riavii il pc in modo che i files infetti dentro la cartella restore vengono cancellati, poi riabiliti il ripristino.

Non ho capito se hai provato il secondo cd che ti ho suggerito...

peertoopeer
14-08-2005, 13.45.14
Originariamente inviato da crazy.cat
Disabilita il ripristino della configurazione, riavii il pc in modo che i files infetti dentro la cartella restore vengono cancellati, poi riabiliti il ripristino.

Non ho capito se hai provato il secondo cd che ti ho suggerito...
se ti riferisci all'ultimo dowload per aggiornamento,
da inserire nel programma, non lo fanno scaricare.
Mi ero dimenticato del ripristino di sistema, da togliere, grazie.
ho visto in altro 3d qui vicino, un software asqured, e 1i me ne ha trovati anche lui 1.
insomma, ogni software ne prende quello che altri lasciano.
grazie ancora, penso di aver concluso, tengo aggiornato.

peertoopeer
14-08-2005, 14.56.21
Con tolta configurazione di ripristino, e riavvio,
sono riuscito a fare immagine HD. mi va bene.

L'unica cosa che mi rimane di sapere, e' come assicurarmi
di togliere quei file dagli archivi CAB.
(vedi post sopra) Ciao. e grazie.