Вирус или досадное стечение обстоятельств???

Golden Raptor · 19.11.2005, 23:47

Предисловие: прошу обратить особое внимание на серьезность описанной проблемы, т.к. данный вопрос имеет очень большое значение. Сразу укажу, что данная проблема случилась не у меня лично, а у AL*CUler`a. Он лично на данный момент не может описать ее, поэтому данная миссия выпала мне. Писать буду с его слов.
Начну сначала

У него есть 2 винта (Hitachi T7K250 160Gb и IBM DeskStar 180 JXP 60 Gb). Системным является первый, второй же является большой дискетой и часто используется для переноса данных. В один прекрасный день пошел он на одну машину, целью было сбросить инфу как с этого переносного винта, так и на него. Сразу напишу, что эта машина порядка двух лет назад страдала от виря: некорректно отображалась информация в БИОСе, т.е. представляла из себя хаотичный набор символов (Phoenix AMI Bios). За этот период времени машина была избавлена от этой проблемы (способ неизвестен, но симптомы прошли). После переноса данных и подключения харда к своей машине стали обнаруживаться странные вещи. В первый вечер винт (№2) был подключен, но не использовался (пользователем). При запуске системы на следующий день некоторая часть информации была перенесена на винт №1. Сначала никаких изменений замечено не было (часов 6-7), кстати, в течении этого периода машина и не перезагружалась. Все это время писался FAQ по мат. платам (смотри раздел мат. плат), т.е. работали такие приложения, как опера 8.5, блокнот и Word. Потом, без произведения каких-либо посторонних действий появилось окно в красной рамке и содержащее информацию о какой-то ошибке мыши (Left Click Mouse Error!!!), особенностью этого окна было то, что оно не имело ни кнопки ОК, ни «закрыть», также лишних (необычных) процессов в системе замечено не было. По истечению 3-5 секунд сообщение исчезло. Но за это время был запущен лицензионный Kaspersky Antivirus 5.0.384 Personal Pro. При сканировании всех хардов не было обнаружено ни одного даже подозрительного объекта (при этом стояла проверка всей файловой системы и ВСЕХ файлов). По истечении 20-30 минут машина была перезагружена. Герой моего рассказа был удивлен не до конца загруженным БИОСом. На POST-индикаторе был код 75(напишите плиз, кстати, о чем он говорит, кто знает), материнка Epox 8KDA3J. Повторная перезагрузка клавишами CTRL+ALT+Del не привела к положительному результату и лишь после 3-его нажатия клавиши RESET машина пустилась в работу. Такое странное поведение машины несколько удивило, но после загрузки и работы посторонних окон и приложений замечено не было.
На следующее утро машина стартовала с 1го раза (включалась только ради проверки), но по истечении 10 минут работы и почти нажатия кнопки ВЫКЛЮЧЕНИЕ снова появилось это окно, напоминающее об ошибке мыши. Он все же решил вырубить тачку, т. к. времени было мало. Мы решили, что Винда отжила свое и пора ее переставить, хотя время после переустановки было всего около 1.5 месяцев. Следующее включение машины происходило без участия винта №2. Кстати, тут он стал вспоминать о той проблеме, которая была на машине, куда он ходил с винтом, и что решения этой проблемы не было – действие этого виря просто не проявлялось. Но не факт правда, что его там не было. Стоит уделить внимание тому факту, что это была вторая вылазка с винтом на ту систему за месяц (после первого раза не было никаких подозрительных последствий, правда с той машины на этот винт ничего не кидалось, только с него). Машина спокойно стартовала без второго харда, но при обратном подключении второго винта машина могла либо вообще не определять харды (NONE), либо на месте их названий вообще не было ничего указано. Также могли пропаст винты и по отдельности (как №1, так и №2). Так как он давно собирался отформатировать второй винт, то захотел загрузиться с мультизагрузочного CD, но тот странно зависал на ранее не виданном этапе загрузки «Scanning PCI bus by mechanism #2…». Также был опробован вариант загрузки с другого CD, но помимо вышеуказанной строчки загрузчик говорил о невозможности загрузки ACPI7DOS.sys. Мы приняли решение очистить CMOS путем перемычки. Это привело лишь к тому, что стали отображаться симптомы другой машины в виде некорректного отображения инфы о харде №1. Вместо HDT722516DLAT80 – Tw72256dlva8 (соблюдаю регистр

). При подключенном одном винте система через раз проходит POST, но через раз останавливается именно на 75 по POST индикатору. Сейчас он старается не включать машину и оЧЧЧень ждет Ваших советов и решений. Вышеуказанные зловредные окна больше не появлялись (ПОКА!!!), но комп недолго и работал.

Итак, список проблем кратко:
1. Что за чушь творится???!!!
2. Если это вирус, то какой именно, если так, то почему его не видит антивирь (пробовали уже последний DR Web, Antivir, NOD 32, Kaspersky (в его базах 161к вирусов))?
3. Что делать???!!! Ссылка на описание и лечение вируса не возбраняется.

4. Что за код ошибки на POST-индикаторе?
5. Есть ли в последней прошивке или в какой-либо другой для этой матери защита от записи (Write Protect), может ли ее обойти вирус, насколько она надежна.
6. Каким образом может распространяться эта живность?
7. Есть ли смысл перешивать БИОС? Если есть, то как – из под винды или ALT+F2?
8. Может быть это глюк материнки?
9. Что же такое «Scanning PCI bus by mechanism #2…», почему не грузится ACPI7DOS.sys?

Заранее благодарю, огромный респект тому, кто реально поможет.

Golden Raptor feat AL*CUler.

Fakir · 20.11.2005, 13:27

Есть такие вирусы, которые помечают сектор как плохой и записываются в него, таким образом выживают даже после форматирования
Собственно почему вы думаете что вирус мог попасть только с той машины? Что другим способам он не мог попасть?
А почему вы решили, что это вирус, ведь это могут быть глюки железа, например материнской платы…

Fakir добавил :

Да, и сразу полную конфигурацию компа укажите…

Lamo · 20.11.2005, 21:31

Golden Raptor
промыслите это
FAQ по жестким дискам#511723

AL*CUler · 20.11.2005, 22:50

Ну в общем вот и я. Машина вроде бы как нормально стартует с одним хардом.

Цитата (Fakir) »

Собственно почему вы думаете что вирус мог попасть только с той машины? Что другим способам он не мог попасть?

Больше нет никаких вариантов его проникновения (если это вирус), т.к. хард был чист (посекторным стиранием в Victoria), затем на него была влита инфа как с моего РС, так и с того.

Цитата (Fakir) »

А почему вы решили, что это вирус, ведь это могут быть глюки железа, например материнской платы…

Сейчас мы больше рассматриваем этот вариант, но все симптомы, как на той машине, но 2 года назад...

Lamo, спасибо, почитаю.

Dark Wizdom · 21.11.2005, 17:19

Цитата

Есть такие вирусы, которые помечают сектор как плохой и записываются в него, таким образом выживают даже после форматирования

Eto posle high-level formating (Ms-DOS format C: ). Esli est podozrenie chto virus vseje vijil posle formata, smotrim na http://www.ariolic.com/activesmart/l...el-format.html utiliti dlia low-level format. NO: low-level format is always of LAST RESORT when you encounter HDD problems!
Takje dumaiu est smisl pereshit bios (is DOSa).
A post error 75, eto oshibka printera

Kak vidno, ochen mojet bit chto eto virus.

merlin · 21.11.2005, 19:49

Вообще даже если вирус пометил какой-то сектор битым (если часть кода хранится так), то после форматирования он [вирус] должен знать, где находится его вторая часть (кстати, сканирование поверхности сразу пропалит сбойные сектора, нужно только проверить его на абсолютно чистой системе; судя по объему диска, он еще не старый и сыпаться ему рановато). Поэтому если это вирус, то обязательно должен быть его загрузчик. Если есть возможность достать прошивку на BIOS, то можно так попробовать рассеять (или подтвердить?) подозрения по поводу вируса в BIOS. Остальное можно вылечить потом, ну или поубивать к чертовой матери.

AL*CUler · 21.11.2005, 22:17

Ну вот, проблема вроде бы как решена!!! Огромный респект Lamo, обнаружил одну отошевшую ножку (хотя странно, вроде бы пайка). После соединения - винт нормально грузится. По поводу невозможности загрузки с CD - это все творит мой новый Радик 9600ХТ, при смене на FX - все нормально. Ну а так как я не часто с мультизагрузки стартую - то по надобности буду видео менять...

Цитата (merlin) »

(кстати, сканирование поверхности сразу пропалит сбойные сектора, нужно только проверить его на абсолютно чистой системе; судя по объему диска, он еще не старый и сыпаться ему рановато)

Согласен. Я ж говорю, посекторно стер на терминале хард, сменид микрокод (перешиванием), да он и правда у меня нормально все это время хранился - я его за 2 года ни разу снять не умудрился...

BIOS мамке не перешивал, да и так все ОК...

Всем огромный РЕСПЕКТ, в долгу не останусь...

ЗЫ Но правда с Radeon'ом и мультизагрузкой как-то неудобно получается. Может кто-нибудь знает чем можно решить? (в BIOS'e уже пробовал убирать FastWrite, SideBand Adressing и все вместе - эффекта 0...)

Golden Raptor · 22.11.2005, 07:53

AL*CUler Наверное ответ Nvidia на установку Радеона на нФорс...

Другого просто в голову не приходит.

19.11.2005, 23:47	Вверх #1
Golden Raptor Опытный Автор темы Регистрация: 05.10.2004 Адрес: AMD 3DNClan, Ставрополь	Вирус или досадное стечение обстоятельств??? Предисловие: прошу обратить особое внимание на серьезность описанной проблемы, т.к. данный вопрос имеет очень большое значение. Сразу укажу, что данная проблема случилась не у меня лично, а у *ALCUler`a. Он лично на данный момент не может описать ее, поэтому данная миссия выпала мне. Писать буду с его слов. Начну сначала У него есть 2 винта (Hitachi T7K250 160Gb и IBM DeskStar 180 JXP 60 Gb). Системным является первый, второй же является большой дискетой и часто используется для переноса данных. В один прекрасный день пошел он на одну машину, целью было сбросить инфу как с этого переносного винта, так и на него. Сразу напишу, что эта машина порядка двух лет назад страдала от виря: некорректно отображалась информация в БИОСе, т.е. представляла из себя хаотичный набор символов (Phoenix AMI Bios). За этот период времени машина была избавлена от этой проблемы (способ неизвестен, но симптомы прошли). После переноса данных и подключения харда к своей машине стали обнаруживаться странные вещи. В первый вечер винт (№2) был подключен, но не использовался (пользователем). При запуске системы на следующий день некоторая часть информации была перенесена на винт №1. Сначала никаких изменений замечено не было (часов 6-7), кстати, в течении этого периода машина и не перезагружалась. Все это время писался FAQ по мат. платам (смотри раздел мат. плат), т.е. работали такие приложения, как опера 8.5, блокнот и Word. Потом, без произведения каких-либо посторонних действий появилось окно в красной рамке и содержащее информацию о какой-то ошибке мыши (Left Click Mouse Error!!!), особенностью этого окна было то, что оно не имело ни кнопки ОК, ни «закрыть», также лишних (необычных) процессов в системе замечено не было. По истечению 3-5 секунд сообщение исчезло. Но за это время был запущен лицензионный Kaspersky Antivirus 5.0.384 Personal Pro. При сканировании всех хардов не было обнаружено ни одного даже подозрительного объекта (при этом стояла проверка всей файловой системы и ВСЕХ файлов). По истечении 20-30 минут машина была перезагружена. Герой моего рассказа был удивлен не до конца загруженным БИОСом. На POST-индикаторе был код 75(напишите плиз, кстати, о чем он говорит, кто знает), материнка Epox 8KDA3J. Повторная перезагрузка клавишами CTRL+ALT+Del не привела к положительному результату и лишь после 3-его нажатия клавиши RESET машина пустилась в работу. Такое странное поведение машины несколько удивило, но после загрузки и работы посторонних окон и приложений замечено не было. На следующее утро машина стартовала с 1го раза (включалась только ради проверки), но по истечении 10 минут работы и почти нажатия кнопки ВЫКЛЮЧЕНИЕ снова появилось это окно, напоминающее об ошибке мыши. Он все же решил вырубить тачку, т. к. времени было мало. Мы решили, что Винда отжила свое и пора ее переставить, хотя время после переустановки было всего около 1.5 месяцев. Следующее включение машины происходило без участия винта №2. Кстати, тут он стал вспоминать о той проблеме, которая была на машине, куда он ходил с винтом, и что решения этой проблемы не было – действие этого виря просто не проявлялось. Но не факт правда, что его там не было. Стоит уделить внимание тому факту, что это была вторая вылазка с винтом на ту систему за месяц (после первого раза не было никаких подозрительных последствий, правда с той машины на этот винт ничего не кидалось, только с него). Машина спокойно стартовала без второго харда, но при обратном подключении второго винта машина могла либо вообще не определять харды (NONE), либо на месте их названий вообще не было ничего указано. Также могли пропаст винты и по отдельности (как №1, так и №2). Так как он давно собирался отформатировать второй винт, то захотел загрузиться с мультизагрузочного CD, но тот странно зависал на ранее не виданном этапе загрузки «Scanning PCI bus by mechanism #2…». Также был опробован вариант загрузки с другого CD, но помимо вышеуказанной строчки загрузчик говорил о невозможности загрузки ACPI7DOS.sys. Мы приняли решение очистить CMOS путем перемычки. Это привело лишь к тому, что стали отображаться симптомы другой машины в виде некорректного отображения инфы о харде №1. Вместо HDT722516DLAT80 – Tw72256dlva8 (соблюдаю регистр). При подключенном одном винте система через раз проходит POST, но через раз останавливается именно на 75 по POST индикатору. Сейчас он старается не включать машину и оЧЧЧень ждет Ваших советов и решений. Вышеуказанные зловредные окна больше не появлялись (ПОКА!!!), но комп недолго и работал. Итак, список проблем кратко: 1. Что за чушь творится???!!! 2. Если это вирус, то какой именно, если так, то почему его не видит антивирь (пробовали уже последний DR Web, Antivir, NOD 32, Kaspersky (в его базах 161к вирусов))? 3. Что делать???!!! Ссылка на описание и лечение вируса не возбраняется. 4. Что за код ошибки на POST-индикаторе? 5. Есть ли в последней прошивке или в какой-либо другой для этой матери защита от записи (Write Protect), может ли ее обойти вирус, насколько она надежна. 6. Каким образом может распространяться эта живность? 7. Есть ли смысл перешивать БИОС? Если есть, то как – из под винды или ALT+F2? 8. Может быть это глюк материнки? 9. Что же такое «Scanning PCI bus by mechanism #2…», почему не грузится ACPI7DOS.sys? Заранее благодарю, огромный респект тому, кто реально поможет. Golden Raptor feat ALCUler. __________________ [3DnewSSupreme Team]* Да пребудет с вами сила. AMD 3DNClan. Последний раз редактировалось Golden Raptor; 19.11.2005 в 23:58.

20.11.2005, 13:27	Вверх #2
Fakir Экс-модератор Регистрация: 26.04.2004 Адрес: Тольятти	Есть такие вирусы, которые помечают сектор как плохой и записываются в него, таким образом выживают даже после форматирования Собственно почему вы думаете что вирус мог попасть только с той машины? Что другим способам он не мог попасть? А почему вы решили, что это вирус, ведь это могут быть глюки железа, например материнской платы… Fakir добавил : Да, и сразу полную конфигурацию компа укажите… __________________ Решил проблему, сообщи мне, как…

20.11.2005, 21:31	Вверх #3
Lamo Экс-модератор Регистрация: 26.02.2003 Адрес: _________________ Valley of Damned Soul	Golden Raptor промыслите это FAQ по жестким дискам#511723 __________________ Вот что я вам скажу. Позвольте мне немножко подсластить вам сделку (Вельзевул)

20.11.2005, 22:50	Вверх #4
AL*CUler Опытный Регистрация: 12.10.2004 Адрес: AMD 3DNClan, Ставрополь	Ну в общем вот и я. Машина вроде бы как нормально стартует с одним хардом. Цитата (Fakir) » Собственно почему вы думаете что вирус мог попасть только с той машины? Что другим способам он не мог попасть? Больше нет никаких вариантов его проникновения (если это вирус), т.к. хард был чист (посекторным стиранием в Victoria), затем на него была влита инфа как с моего РС, так и с того. Цитата (Fakir) » А почему вы решили, что это вирус, ведь это могут быть глюки железа, например материнской платы… Сейчас мы больше рассматриваем этот вариант, но все симптомы, как на той машине, но 2 года назад... Lamo, спасибо, почитаю. __________________ ego quaerere in sensus amor...

21.11.2005, 17:19	Вверх #5
Dark Wizdom Бывалый Регистрация: 08.06.2004 Адрес: Middlearth	Цитата Есть такие вирусы, которые помечают сектор как плохой и записываются в него, таким образом выживают даже после форматирования Eto posle high-level formating (Ms-DOS format C: ). Esli est podozrenie chto virus vseje vijil posle formata, smotrim na http://www.ariolic.com/activesmart/l...el-format.html utiliti dlia low-level format. NO: low-level format is always of LAST RESORT when you encounter HDD problems! Takje dumaiu est smisl pereshit bios (is DOSa). A post error 75, eto oshibka printera Kak vidno, ochen mojet bit chto eto virus. __________________ Are You Quake?

21.11.2005, 19:49	Вверх #6
merlin Бывалый Регистрация: 29.08.2005 Адрес: Солнечная система, пл.Земля, РФ, Орёл	Вообще даже если вирус пометил какой-то сектор битым (если часть кода хранится так), то после форматирования он [вирус] должен знать, где находится его вторая часть (кстати, сканирование поверхности сразу пропалит сбойные сектора, нужно только проверить его на абсолютно чистой системе; судя по объему диска, он еще не старый и сыпаться ему рановато). Поэтому если это вирус, то обязательно должен быть его загрузчик. Если есть возможность достать прошивку на BIOS, то можно так попробовать рассеять (или подтвердить?) подозрения по поводу вируса в BIOS. Остальное можно вылечить потом, ну или поубивать к чертовой матери. __________________ Кто властен над людьми - силен, кто властен над собой - еще сильнее.

21.11.2005, 22:17	Вверх #7
AL*CUler Опытный Регистрация: 12.10.2004 Адрес: AMD 3DNClan, Ставрополь	Ну вот, проблема вроде бы как решена!!! Огромный респект Lamo, обнаружил одну отошевшую ножку (хотя странно, вроде бы пайка). После соединения - винт нормально грузится. По поводу невозможности загрузки с CD - это все творит мой новый Радик 9600ХТ, при смене на FX - все нормально. Ну а так как я не часто с мультизагрузки стартую - то по надобности буду видео менять... Цитата (merlin) » (кстати, сканирование поверхности сразу пропалит сбойные сектора, нужно только проверить его на абсолютно чистой системе; судя по объему диска, он еще не старый и сыпаться ему рановато) Согласен. Я ж говорю, посекторно стер на терминале хард, сменид микрокод (перешиванием), да он и правда у меня нормально все это время хранился - я его за 2 года ни разу снять не умудрился... BIOS мамке не перешивал, да и так все ОК... Всем огромный РЕСПЕКТ, в долгу не останусь... ЗЫ Но правда с Radeon'ом и мультизагрузкой как-то неудобно получается. Может кто-нибудь знает чем можно решить? (в BIOS'e уже пробовал убирать FastWrite, SideBand Adressing и все вместе - эффекта 0...) __________________ ego quaerere in sensus amor...

22.11.2005, 07:53	Вверх #8
Golden Raptor Опытный Автор темы Регистрация: 05.10.2004 Адрес: AMD 3DNClan, Ставрополь	*ALCUler Наверное ответ Nvidia на установку Радеона на нФорс... Другого просто в голову не приходит. __________________ [3DnewSSupreme Team]** Да пребудет с вами сила. AMD 3DNClan.