Precedente :: Successivo |
Autore |
Messaggio |
Massy_73 Eroe
Registrato: 29/09/08 01:57 Messaggi: 51
|
Inviato: 25 Gen 2016 20:42 Oggetto: Topo Virus (Fax_Free) |
|
|
Ho un problema con un virus che temo non sarà di facile risoluzione visto la risalenza nel tempo dello stesso.
Allora, sto facendo il backup di un mio vecchio 8088 per avere i programmi sull'attuale pc e accedervi con DOSBox.
Ora in questo vecchio PC già sapevo che c'era un virus (parliamo dei primi anni '90) di nome, all'epoca, Topo Virus. Nell'8088 non mi aveva mai creato problemi quindi lo avevo lasciato diciamo così proliferare tranquillamente
Comunque ricordo che cancellarlo dai file EXE (solo a quelli si "attaccava") era molto semplice. Avevo una stringa di codice mi pare in HEX che con un pctools (programma dell'epoca che ricorderanno solo i più vecchietti come me) bastava cercare nel codice sorgente del file e poi cancellare per eliminare il virus e tornare ad avere il file EXE perfettamente pulito. (ovviamente la sequenza da cercare/cancellare non la trovo più)
Ora NOD32 me lo rileva col nome di "Fax_Free.1536.Topo virus". Il problema è che se gli dico "pulisci" invece di pulirlo mi cancella l'intero file EXE
Ho provato anche altri tools di pulizia ma tutti si comportano nello stesso modo (quelli che rilevano il virus cancellano l'intero file EXE anziché pulirlo).
Ora io vorrei recuperare alcuni di questi file EXE infetti perché si tratta anche di software scritti da me all'epoca e che quindi rivestono un certo valore a livello affettivo e di ricordo.
A parte che non ho idea di che danni possa mai fare un virus così vecchio ad un pc di oggi, ma comunque ovviamente non voglio rischiare.
Per completezza, facendo la scansione di un qualsiasi file EXE infetto con Virus Total, il risultato è il seguente:
Consigli/idee su come pulire quei file senza cancellarli?!
Grazie. |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 26 Gen 2016 18:46 Oggetto: |
|
|
Ciao
Citazione: | Ora io vorrei recuperare alcuni di questi file EXE infetti perché si tratta anche di software scritti da me all'epoca |
Strano....perchè nessuno conosce meglio di te, il codice sorgente di un software scritto da te.
Non puoi riscriverlo?
Citazione: | Ora NOD32 me lo rileva col nome di "Fax_Free.1536.Topo virus". Il problema è che se gli dico "pulisci" invece di pulirlo mi cancella l'intero file EXE |
Normale.
Il termine "Pulisci" per tutti i software di difesa, equivale a elimina.
Per estrarre un singolo file e "disassemblarlo" ci vogliono delle conoscenze da "programmatore".
Prova a rivolgerti in questa sezione:
http://forum.zeusnews.com/viewforum.php?f=27 |
|
Top |
|
|
Massy_73 Eroe
Registrato: 29/09/08 01:57 Messaggi: 51
|
Inviato: 28 Gen 2016 20:33 Oggetto: |
|
|
Citazione: | Strano....perchè nessuno conosce meglio di te, il codice sorgente di un software scritto da te.
Non puoi riscriverlo? |
La "stringa" del virus si "attacca" al file compilato, non al sorgente. Non ho sinceramente idea neanche cosa ci sarebbe disassemblandolo, ma non avrebbe comunque senso. Per togliere il virus bastava agire sul file exe e rimuovere quella stringa con software come pctools o (mi pare) hexdump. Ma comunque non ho più traccia della stringa da eliminare quindi anche avendo a disposizione questi software non potrei farlo.
Riscrivere migliaia di righe di codice scritte 20 anni fa?! E a che scopo?!
Citazione: | Normale.
Il termine "Pulisci" per tutti i software di difesa, equivale a elimina. |
Allora però mi dovrebbero spiegare perchè ci sono due diverse opzioni: "pulisci" e "elimina" (NOD32) se poi il file viene comunque eliminato... |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 29 Gen 2016 17:47 Oggetto: |
|
|
Citazione: | Riscrivere migliaia di righe di codice scritte 20 anni fa?! E a che scopo?! |
Come a quale scopo.....
Se ci tieni tanto riavere gli eseguibili puliti, riscrivi migliaia di righe di codice scritte 20 anni fa.
Capisco che è una rogna, ma dipende da te se ne vale la pena.
Citazione: | Allora però mi dovrebbero spiegare perchè ci sono due diverse opzioni: "pulisci" e "elimina" (NOD32) se poi il file viene comunque eliminato... |
I software da difesa (antivirus e antimalware vari) funzionano così:
Per "Pulisci" ecco cosa fanno: Eliminano il file di sistema, e lo sostituiscono con una copia pulita.
Se il file NON è di sistema, lo eliminano e buonanotte.
E' vero, in TUTTI i casi, eliminano il file, non vanno a ripulire l'interno del file infetto.
Come detto nel mio post precedente, prova a chiedere aiuto nella sezione "Programmazione". |
|
Top |
|
|
Massy_73 Eroe
Registrato: 29/09/08 01:57 Messaggi: 51
|
Inviato: 31 Gen 2016 02:38 Oggetto: |
|
|
Citazione: | Come a quale scopo..... Rolling Eyes
Se ci tieni tanto riavere gli eseguibili puliti, riscrivi migliaia di righe di codice scritte 20 anni fa.
Capisco che è una rogna, ma dipende da te se ne vale la pena. |
Ma scusa il valore di quei programmi è puramente affettivo!
Se li riscrivessi da zero (ammesso che ne fossi ancora in grado) che senso avrebbe?!
Peraltro, anche ad essere tanto pazzi da mettersi in un'impresa del genere, non sarebbero mai identici all'originale di allora...
Citazione: | I software da difesa (antivirus e antimalware vari) funzionano così:
Per "Pulisci" ecco cosa fanno: Eliminano il file di sistema, e lo sostituiscono con una copia pulita.
Se il file NON è di sistema, lo eliminano e buonanotte.
E' vero, in TUTTI i casi, eliminano il file, non vanno a ripulire l'interno del file infetto.
Come detto nel mio post precedente, prova a chiedere aiuto nella sezione "Programmazione". |
Sì, mi pare di aver capito che (purtroppo!!!!) sia proprio così! Ma non è che sia giusta/normale 'sta cosa eh! Ti assicuro che i vecchi antivirus (fine '80 primi '90) i file infetti li pulivano eccome non li cancellavano. Mi sembra un "passo indietro" veramente inaccettabile. Ma tant'è!
Cmq penso di aver trovato il modo di pulirli manualmente! Ho individuato la stringa di codice del virus da eliminare (per pura completezza informativa nella mia variante del virus è: "0026 8706 0C00 508C C826 8706 0E00 50CC 589D 5826 8706 0E00"). Devo solo trovare il tempo di cercare un software "moderno" che mi permetta di sostituire la stringa nel HEX del file EXE, come facevano normalmente i vecchi pctools...
EDIT: Trovato: HexEdit! Già pulito il primo file! |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 31 Gen 2016 14:20 Oggetto: |
|
|
Citazione: | Sì, mi pare di aver capito che (purtroppo!!!!) sia proprio così! Ma non è che sia giusta/normale 'sta cosa eh! |
E' la tua particolare richiesta, che non è normale....
Se mi credi, è la prima volta che mi capita, che un utente chiede di "bonificargli" un file.
Di solito, chiedono di bonificare l'intero pc.
Citazione: | EDIT: Trovato: HexEdit! Già pulito il primo file! |
Contento che tu abbia trovato la soluzione.
Potrà essere di aiuto a eventuali casi futuri. |
|
Top |
|
|
|
|
Non puoi inserire nuovi argomenti Non puoi rispondere a nessun argomento Non puoi modificare i tuoi messaggi Non puoi cancellare i tuoi messaggi Non puoi votare nei sondaggi
|
|