Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Virus pazzesco che non conosco...sigh!

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Virus pazzesco che non conosco...sigh!

Postdi kyara » 19/03/03 21:09

Ho contratto un virus su un pc (non mio ma di un mio cliente, ma ciò non toglie il fatto che mi sia incapponita per risolvere il problema), che si insinua nel bios della mobo, del hd e di qualsiasi cosa abbia una Rom.
I sintomi:
il disco fisso comincia a cliccare e non viene riconosciuto dal bios della mobo.
Anche dopo un riconoscimento da parte di questa (il primo e l'unico), e dopo formattazione a basso livello (mobo tipo vecchio), questo non parte e inoltre si disabilita la funzione del controller floppy e da qui il problema a dover entrare anche solo per un aggiornamento del bios della mobo ( perchè il problema avviene anche dopo, e cioè, la mobo si "impalla" e non fà piu nessun boot, neppure da floppy, anche cambiando il disco fisso, che tra le altre cose si infetta e si deve buttare anche lui), costringendomi a cambiare la mobo in questione (ormai sono gia 4 che butto, compresi 3 hd, un paio di floppy e un mare di dischetti floppy infettati).
Notare che anche abilitando l'antivirus integrato nella mobo, non si ottiene nessun effetto, e cioè si infetta lo stesso e amen.
Non mi dispero per i pezzi che ho gia buttato e che probabilmente butterò ancora, ma mi stò "incazzando" perchè la mia knowledge base in fatto di virus non mi indica anche lontanamente che cacchio di virus sia, non sò con chi combatto perchè non è il solito virus, e non posso nemmeno fare un semplice debug anche su un pc acceso, questo è il problema!
Avevo pensato al CIH ma questo mi lascia con qualche dubbio, impossibile che il CIH infetti qualsiasi componente con ROM e anche dischetti floppy e hd addirittura.
Datemi conferma che sia questo, altrimenti finisco per passarci un mare di tempo a cercare di costruire l'albero genealogico di questo bastardo!
E' una lotta impari questa, ma vorrei vincerla io una volta tanto.
kyara
Utente Senior
 
Post: 923
Iscritto il: 07/08/01 01:00
Località: web

Sponsor
 

Postdi zello » 19/03/03 21:42

kia, questo è il secondo messaggio del genere, e sono già meno scettico sulla possibilità di un virus da bios... Tuttavia, mi vengono ulteriori idee:
- ai bei vecchi tempi del dos, qualche virus formattava delle extratracce (oltre il limite previsto dal progettista dell'hardware), sia sull'hd sia sul fd, per nascondersi dagli antivirus. In casi non frequentissimi, questo "rompeva" le testine, che andavano a sbattere e/o ad incastrarsi. Se c'è ancora in giro roba di questo genere, è probabile che i malfunzionamenti siano più frequenti su hardware più recente (dischi che ruotano a maggiore velocità), anche se però rimango allibito a sentire che risulta disabilitato il controller del fd. Non che sia impossibile farlo tramite CMOS, ma cmq così dovresti pure riuscire a riabilitarlo.
- CIH sovrascriveva il BIOS, ma se ricordo bene lo faceva con dati casuali, il ché rendeva il PC unbootable, ma non infettava ulteriori dischi fissi. Un virus da BIOS valido per tutti i BIOS in giro oggi è quasi impossibile da scrivere, e continuo a pensare che richiede uno skill troppo evoluto per chiunque.
- mi puzza di problema hardware, di alimentazione o di raffreddamento. Sei sicura che non sia solo l'alimentatore impazzito che frigge i controllers?
- se hai identificato in qualche modo il virus stesso (in un eseguibile, per dirne una) se non è gigantesco posso provare a disassemblarlo.

Google non è di nessunissimo aiuto stavolta, e neanche su usenet si trova nulla. Fammi sapere, mi interessa.

Ciao
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi zello » 19/03/03 21:48

Scusa, un'idea: riesci a disabilitare da BIOS sia il floppy sia tutti gli HD, e a fare il boot da cdrom? Così siamo sicuri che niente viene caricato da supporti riscrivibili. Poi vediamo un po' cosa si vede e cosa non si vede (una buona idea sarebbe un kernel *nix, dato che per quanto ne so scavalca il bios e accede all'hardware via porte di IO).
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Argonauta » 19/03/03 23:53

mmmm... mi sembrano più plausibili problemi di alimentazione...
:diavolo: :diavolo: :diavolo: :diavolo: :diavolo:

cambia alimentatore, non costa tanto (30/40 € massimo) e così vai avanti nel tuo troubleshooting tranquillo, mi sembra tutto troppo :x stano....
"The attacks to network-connected computers by hackers [...] aren't possible if you connect to Internet using a modem and Tin.it [...]"
http://www.s0ftpj.org/
Argonauta
Utente Junior
 
Post: 24
Iscritto il: 18/03/03 17:41
Località: Milano

Postdi kyara » 20/03/03 13:15

Nada! I pc usati sono diversi e tutti completi di alimentatore autonomo dedicato e non uno solo.
Vengono disattivati tutti i controller, sia ide che fdd e non parte neppure da cdrom, praticamente si ha la schermata fino al riconoscimento bios e poi al momento di caricare qualsiasi cosa sia da fdd che da ide, si blocca.
Non è il CIH, perchè ho fatto dei controlli, non è neppure un .exe, altrimenti si riuscirebbe ad individuarlo, non è neppure un virus che scrive solo il mbr o la prima parte del hd come il CIH appunto (Chernobyl), allora che è?
Le mobo sono diverse, così come gli hd e i fdd, ma rimane il fatto che solo inserendo collegamento ide di uno dei hd, succede il fatto ( e sono ormai 3).
Esclusione di altre parti hardware come ram e schede varie (sostituite ripetutamente allo scopo di controllo preventivo), rimane solo la certezza di un virus (beccato a quanto pare scaricando qualcosa dal sito di Marylin Manson, così come descrittomi inconveniente dopo visita sito specifico), e a questo punto credo che M:M sia davvero qualcosa che rompe (e non solo come musica).
kyara
Utente Senior
 
Post: 923
Iscritto il: 07/08/01 01:00
Località: web

Postdi zello » 20/03/03 13:45

Le mobo sono diverse, così come gli hd e i fdd, ma rimane il fatto che solo inserendo collegamento ide di uno dei hd, succede il fatto ( e sono ormai 3).

Ma che brutta cosa... In pratica: qualcosa da dentro l'hd (diciamo nel suo firmware, per amore della discussione) ti sovraincide allegramente il bios della scheda madre appena il cavetto è collegato? Ma che io sappia, gli hd *non* hanno un firmware riscrivibile... D'altra parte i sintomi sono gli stessi che qualcunaltro ha segnalato sul forum un qualche tempo fa.
Quindi, andiamoci logicamente:
- per far partire il tutto, è necessario bootarsi o basta accendere la macchina e spegnerla? (in altri termini: non è che il disco "infetto" ha un autorun.inf che lo rende eseguibile praticamente al boot, cioé quando explorer va ad aprirlo?)
- se rendi non scrivibile il bios (tramite jumper), succede qualcosa o non cambia nulla?
Vengono disattivati tutti i controller, sia ide che fdd e non parte neppure da cdrom, praticamente si ha la schermata fino al riconoscimento bios e poi al momento di caricare qualsiasi cosa sia da fdd che da ide, si blocca.

Lo so, è una domanda imbecille: ti lascia entrare nella configurazione del bios, o flippa ancora prima? Se ti lascia entrare: i settings sono "credibili", o sballa anche la data (per dirne una)? Alcune (recenti) mobo hanno il voltaggio dell'alimentazione e la frequenza di clock controllabile via bios (e quindi memorizzato nel CMOS) - un modo per impallare tutto quanto sarebbe - per dirne una - forzare una sovraalimentazione, oppure sparare il processore a 3 volte la sua velocità di clock...
Semmai, prima di disperare, prova a resettare il CMOS via jumpers e a ripartire (disconnettendo il drive bidone). Vediamo come va....
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi kyara » 20/03/03 20:38

zello ha scritto:
Le mobo sono diverse, così come gli hd e i fdd, ma rimane il fatto che solo inserendo collegamento ide di uno dei hd, succede il fatto ( e sono ormai 3).

Ma che brutta cosa... In pratica: qualcosa da dentro l'hd (diciamo nel suo firmware, per amore della discussione) ti sovraincide allegramente il bios della scheda madre appena il cavetto è collegato? Ma che io sappia, gli hd *non* hanno un firmware riscrivibile... D'altra parte i sintomi sono gli stessi che qualcunaltro ha segnalato sul forum un qualche tempo fa.
Quindi, andiamoci logicamente:
- per far partire il tutto, è necessario bootarsi o basta accendere la macchina e spegnerla? (in altri termini: non è che il disco "infetto" ha un autorun.inf che lo rende eseguibile praticamente al boot, cioé quando explorer va ad aprirlo?)
- se rendi non scrivibile il bios (tramite jumper), succede qualcosa o non cambia nulla?
Vengono disattivati tutti i controller, sia ide che fdd e non parte neppure da cdrom, praticamente si ha la schermata fino al riconoscimento bios e poi al momento di caricare qualsiasi cosa sia da fdd che da ide, si blocca.

Lo so, è una domanda imbecille: ti lascia entrare nella configurazione del bios, o flippa ancora prima? Se ti lascia entrare: i settings sono "credibili", o sballa anche la data (per dirne una)? Alcune (recenti) mobo hanno il voltaggio dell'alimentazione e la frequenza di clock controllabile via bios (e quindi memorizzato nel CMOS) - un modo per impallare tutto quanto sarebbe - per dirne una - forzare una sovraalimentazione, oppure sparare il processore a 3 volte la sua velocità di clock...
Semmai, prima di disperare, prova a resettare il CMOS via jumpers e a ripartire (disconnettendo il drive bidone). Vediamo come va....
Esatto, non esiste un file.inf, perchè ho provato anche a fare il low level format, ma a quanto pare, basta il solo riconoscimento da parte del bios del disco per infettare qualcosa (il bios anche ) e non permettere piu nessun tipo di riconoscimento, infatti, ripeto, una volta, solo installato e riconosciuto da bios, il disco infetto, trasmette il virus e infetta anche il bios stesso, a niente sono valse le prove sia con mobo nuove che vecchie, come il reset del cmos e altro, il fatto permane ed è inspiegabile.
La data non sballa così come tutte le regolazioni create od aggiustate, e a nulla serve sconnettere il drive una volta installato e riconosciuto dal bios (ripeto lo fà solo una volta il riconoscimento, poi sparisce tutto e si impalla anche la ricerca del drive.
kyara
Utente Senior
 
Post: 923
Iscritto il: 07/08/01 01:00
Località: web

Postdi kadosh » 20/03/03 23:30

Se ci fosse in circolazione un Virus simile, capace di arrecare simili danni, qualcuno dovrebbe saperne qualcosa ma fino ad ora nessuno mi ha riportato casi anomali o simili al tuo, nè tantomeno ho trovato in giro delle corrispondenze.
Ho mandato una copia del problema ad una mia cara amica scandinava oserei dire padrona della materia 8) , ti riporto solo un parere, sul quale direi che concordo alla grande:

Run MAKEDISK.BAT file on the Windows 2000 Server Installation CD to create diskette. Boot the PC with the Diskette.


Ti spiego cosa intende. L'utility MAKEDISK.BAT è usata per controllare se nel settore di Boot c'è un virus.
L'utility crea un dischetto che controlla l'intero settore di boot; una volta creato basta che avvii il PC col floppino che lancerà il check del boot sector. Alla fine, leva il floppina e continua con l'installazione del S.O.
Se fosse CIH, ma non credo, si farebbe fuori in 2 minuti ;)
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi GAD » 22/03/03 22:30

Una volta contratto il virus hai provato a riflashare la mobo in modo da sovrascrivere la rom e vedere se al riavvio si ribecca il virus da hd?
Anche a me era capitato qualcosa di simile ma si parla del periodo pre-windows, forse qualcuno e' andato a caccia di un virus talmete vecchio e scontato che ormai e' uscito dalle liste di quelli da temere.
GAD
Moderatore
 
Post: 2184
Iscritto il: 22/09/02 14:36
Località: Nebbiosa


Torna a Sicurezza e Privacy


Topic correlati a "Virus pazzesco che non conosco...sigh!":


Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti